Come gestire gli attacchi DDoS all'esaurimento della larghezza di banda UDP?

5

Sto costruendo un servizio, che userà UDP. Funzionerà su Amazon AWS: nel firewall che forniscono, posso bloccare tutto tranne quella porta UDP in cui verrà eseguito il servizio.

L'unica cosa che mi preoccupa è ricevere un massiccio spam di pacchetti UDP da indirizzi IP falsificati casuali su quella particolare porta UDP. Se un pool di questi indirizzi IP falsificati fosse limitato, tutti potrebbero essere inseriti in una blacklist su un firewall di terze parti. Ma se ogni pacchetto può avere indirizzi IP a 32 bit casuali, allora non riesco a pensare a un modo per riconoscerlo da un pacchetto legittimo.

C'è persino un modo per difendersi da questo attacco?

    
posta John Lock 04.06.2016 - 01:36
fonte

2 risposte

2

Sei assolutamente legato a UDP; TCP corregge gli attacchi di spoofing IP.

IPSEC? Se ogni pacchetto proviene da un dispositivo attendibile predeterminato, è possibile aggiungere l'intestazione di autenticazione per convalidarlo.

    
risposta data 25.11.2017 - 01:26
fonte
1

L'obiettivo degli attacchi DDoS è quello di esaurire alcune delle risorse (larghezza di banda, CPU, RAM, disco, ...). Di solito sono di due tipi:

  • sfruttare una vulnerabilità sul tuo server (o back-end) che ha un impatto su una risorsa con un piccolo sforzo (in termini di risorsa) dal lato dell'attaccante. Sloworis è un esempio. La soluzione è di solito una correzione dal fornitore.
  • sfrutta il fatto di avere una larghezza di banda limitata rispetto all'attaccante. La soluzione, quando funziona, consiste nell'utilizzare un intermediario (CloudFlare, Akamai, ...) che magicamente pulirà il traffico prima che ti raggiunga. Magicamente = soluzione proprietaria che può funzionare o meno. In ogni caso, quando una tale ondata di traffico ti raggiunge, è troppo tardi per proteggerti: i pacchetti devono essere trattati a monte da te.

Nel tuo caso questo è probabilmente il caso # 2.

Se possiedi un DoS da un singolo IP, puoi gestirlo a livello del firewall facendo cadere il suo traffico. Questo di solito è un attacco molto primitivo, però.

    
risposta data 04.06.2016 - 11:46
fonte

Leggi altre domande sui tag