Esiste un metodo per prevenire / tracciare l'attacco DDoS?

4

Ho un server Debian Linux che gestisce alcuni servizi di giochi online. Ho alcuni concorrenti in quest'area e penso che uno di loro sia dietro gli attacchi DDoS.

Ho pieno accesso al router, quindi ho impostato alcune regole di connessione in Winbox in grado di rilevare e rilasciare gli indirizzi IP DDoSer, ma penso che non sia il modo migliore per prevenire un attacco.

Questi sono alcuni indirizzi IP sorgente (tutti dalla porta 53)

  • 38.111.134.26
    41.78.27.213
    66.232.92.39
    66.232.92.43
    66.243.192.11
    67.43.55.110
    67.43.55.111
    67.50.161.103
    67.59.80.28
    67.118.192.2
    69.27.136.10
    69.27.136.12
    69.27.211.200
    69.31.186.27
    74.114.48.151
    116.199.220.101
    203.87.92.4
    203.161.128.249
    203.161.159.10
    206.51.97.91
    206.158.2.91
    209.240.96.6

Esiste un metodo per prevenire o tracciare un attacco DDoS?

    
posta tomas 23.01.2015 - 15:20
fonte

3 risposte

4

No: non esiste un modo utile per rintracciare la fonte di tale attacco. Un DDoS verrà da centinaia o migliaia di macchine, probabilmente in più paesi, e probabilmente tutte vittime involontariamente di un aggressore.

Ma sì - puoi prevenire un simile attacco. Hai 3 possibili soluzioni:

  • Cambia gli indirizzi IP, quindi non sei più il bersaglio.
  • Acquista più larghezza di banda in modo che la tua pipa sia più grande della larghezza di banda totale destinata a te.
  • Acquista i servizi di un fornitore di attenuazione DDoS.
risposta data 18.08.2016 - 15:50
fonte
2

Non sarai efficiente nel cercare gli indirizzi delle sorgenti IP di una botnet in movimento. Possono cambiare rapidamente e usare udp di cui nemmeno hanno bisogno essere quelli giusti.

Suppongo che quando la porta di origine sia 53 / udp, la porta di destinazione non sia 53 / udp. Ma questo è nascosto di proposito nella cattura dello schermo.

Farò anche l'ipotesi che tu non stia eseguendo il tuo DNS server e stai utilizzando quello del tuo provider.

Suggerisco di utilizzare un filtraggio più efficiente per sovraperformare il tuo aggressore in questo caso. Basta inserire la seguente regola sul router:

# just let pass the legitimate 53/udp traffic
permit udp ••my_official_DNS_servers•• port 53 ••my_server_IP_address•• port 53
# deny anything else which is error or attack
deny udp any any port 53
deny udp any port 53 any

E se il tuo router lo gestisce, disattiva il routing di origine.

    
risposta data 18.08.2016 - 16:15
fonte
0

Questi IP sono probabilmente falsificati come indicato dall'utente42178.

Questo è probabilmente un " DNS Amplification Attack " utilizzato per DDoS. Puoi vedere che gli IP dicono che 116.199.220.101 sono server DNS.

Penso che una regola del firewall suggerita da daniel Azuelos che cancelli tutti i pacchetti UDP con la porta Source 53, con l'eccezione dei tuoi server DNS ufficiali (IP statici come 8.8.8.8/8.8.4.4) ti aiuterà.

Tuttavia, è necessario aumentare la larghezza di banda. Questa soluzione consente solo di salvare le risorse del server. Puoi anche parlare con il tuo ISP per bloccare il traffico sulla loro infrastruttura e risparmiare la larghezza di banda.

    
risposta data 18.08.2016 - 16:59
fonte

Leggi altre domande sui tag