2 IP esterni per prevenire DDoS?

4

Nella mia rete domestica, attualmente ho un Hitron cgnm-2250 che funge da modem / router combinato con un'opzione Passthrough IP abilitata per un secondo router ad esso collegato (ddwrt nighthawk x6 r8000). Ho già mostrato i 2 IP esterni per ciascun dispositivo, ma il mio problema è ottenere DDoS offline.

Ho il mio computer su cui ho effettuato lo streaming collegato direttamente all'Hitron e le mie console di gioco collegate al mio Nighthawk. Le persone stanno ottenendo l'indirizzo IP esterno assegnato al router di Nighthawk e stanno eseguendo l'IP di DDoSing. L'IP esterno assegnato all'Hitron è sicuro dall'essere DDoSed in quanto i giocatori vedono solo l'IP del Nighthawk. Ho l'impostazione QoS sul nighthawk in modo che possa utilizzare un massimo del 25% della mia larghezza di banda totale, questo in teoria impedisce che tutta la larghezza di banda venga utilizzata quando sto facendo DDoSed.

Quindi la mia domanda è: perché questi attacchi DDoS abbattono l'intera rete? Non dovrebbero questi attacchi solo influenzare / abbattere il mio nighthawk perché l'Hitron non dovrebbe occuparsi di quel traffico? In teoria, dovrei avere anche la larghezza di banda rimanente per l'Hitron per eseguire lo streaming e altre applicazioni. Il mio obiettivo finale è far sì che le console siano offline e il computer rimanga connesso.

Qualche soluzione a questo? Preferirei non utilizzare una VPN per prevenire questi attacchi DDoS dato che le mie velocità hanno un enorme successo.

    
posta thematr1x 01.08.2015 - 22:11
fonte

2 risposte

2

Il tuo dispositivo Hitron funziona ancora come un gateway. Ciò significa che qualsiasi traffico indirizzato al tuo secondo dispositivo deve essere gestito da Hitron. Quando il dispositivo Hitron sta esaurendo le risorse, viene interessato ogni host che utilizza Hitron come gateway.

Prima di tutto, non è molto efficace aggirare questo problema senza un gateway esterno come VPN. Tuttavia, è possibile valutare la possibilità di ottenere una connessione secondaria separata fisicamente. (In Germania, ad esempio, c'è la possibilità di utilizzare il cavo TV per Internet oltre alla linea telefonica). Potresti anche chiedere aiuto al tuo ISP.

    
risposta data 01.08.2015 - 23:31
fonte
2

Come è stato affermato, un IP secondario tramite lo stesso gateway non aiuterà. Questo diagramma basato sul testo mostra perché:

{INTERNET} <---> [Hitron, the Gateway, 2xIP] <--IP Passthrough---(a)
   (a)---> [dd/wrt NightHawk, 2xIP] <---> Devices on the network

IP Passthrough funziona solo perché il dispositivo Hitron vede prima tutto il traffico, quindi passa a NightHawk attraverso quello. In questo caso un IP secondario non aiuterà in questo caso, poiché il dispositivo Hitron è il tuo gateway per la 'rete.

I dettagli di un DDoS dipendono dal vettore di attacco scelto per l'attacco. Sembra che tu sia preoccupato per la saturazione della larghezza di banda che consumerebbe tutta la larghezza di banda disponibile della tua rete. Tale DDoS è progettato per sovraccaricare il tubo e consumare tutte le risorse della rete. Ciò significa che se si dispone di una pipe che può gestire solo 100 Mbps di traffico e attacco tramite botnet / DDoS con 500 Gbps di traffico, ho consumato tutte le risorse. Anche QoS non risolverà il problema, poiché un DDoS colpirà e consumerà l'intera pipa di rete (da Internet, all'ISP e quindi alla tua rete), e nella tua installazione il primo colpo è l'Hitron . Rimuovilo dall'equazione e l'intera rete va giù, anche se connetti il NightHawk alla connessione in entrata, perché anche questo sarà il prossimo colpo.

L'unico modo per farlo funzionare è se l'ISP è in grado di "azzerare" il tuo indirizzo IP primario all'inizio di DDoS, o di iniziare a filtrare il traffico DDoS. Quando questo viene annullato, il tuo secondo IP può funzionare, o entrambi possono ancora operare con il filtraggio in atto dal lato dell'ISP. Si noti però che se quel secondo IP si trova nella stessa sottorete dell'altro IP, probabilmente è probabile che indirizzerà anche quella sottorete con un DDoS, se davvero vogliono interrompere la disponibilità. Gli ISP possono offrire anche il filtraggio o la mitigazione DDoS, a condizione che si paghi il servizio.

True failover di tipo a cui stai pensando mentre il secondo dispositivo prende il sopravvento e not ancora ricevendo DDoS'd significa avere una seconda connessione nella rete che può essere commutata quando il primo è 'sotto attacco'.

Questo, tuttavia, è solo la mitigazione più basilare, perché un attore della minaccia che sta cercando di trovare probabilmente alla fine troverà la tua altra connessione e lo eliminerà, indirizzando entrambi i gateway di rete simultaneamente .

I DDoS possono essere difficili da mitigare. L'opzione migliore è raggiungere l'ISP e vedere se possono aiutare con il filtraggio e la mitigazione di DDoS: probabilmente saranno la vostra migliore risorsa per la mitigazione di DDoS.

    
risposta data 02.08.2015 - 14:46
fonte

Leggi altre domande sui tag