Come segnalare con successo l'attacco DoS proveniente da un grande ISP?

3

Alcune settimane fa ho segnalato una piccola botnet che proviene dalla rete di un grande fornitore di servizi Internet.

Mi hanno chiesto ulteriori dettagli che ho fornito. Ma l'attacco dura già da settimane e da parte nostra sembra che non abbiano fatto alcuna azione per fermarlo.

Dato che il traffico segue schemi molto specifici, siamo riusciti a suddividerli e bloccarne la maggior parte con fail2ban, ma ogni giorno aggiungiamo nuovi IPS da bloccare - finora abbiamo bannato intorno al 1700 IPS.

Mi aspetto che informino i loro clienti sull'essere parte della botnet e anche per fermare il cattivo traffico che colpisce i nostri server. È un'aspettativa ragionevole?

Quanto tempo impiega solitamente i maggiori provider di internet a compiere azioni contro botnet?

Come segnalare correttamente l'attacco DoS in arrivo dal Big ISP?

Vorrei anche sapere come in realtà tali richieste siano elaborate da ISP più grandi. Dalla mia attuale esperienza (non è la prima volta) sembra che le segnalazioni di abusi vengano ignorate in larga misura.

    
posta Pawel Dubiel 03.04.2016 - 00:54
fonte

1 risposta

3

ICANN ha un buon articolo su questo. Leggilo.

Ma poiché sembri essere solo sotto attacco da un ISP specifico, posso dirti di più.

La maggior parte delle persone ha indirizzi IP dinamici. Ciò significa che il loro IP cambia dopo massimo 24 ore. Quindi tutto ciò che hai bandito più di 24 ore fa non dovrebbe essere più vietato perché per ogni dato IP bandito più sottile 24 ore fa, ora qualcun altro ha l'IP bandito e non può accedere al tuo servizio anche se non lo ha fatto qualcosa di sbagliato. Quindi la tua politica non ha senso.

Un approccio migliore sarebbe quello di vietare tutti i blocchi di indirizzi IP dell'ISP con cui si hanno problemi. Quindi nessuno che utilizza quell'ISP può accedere al tuo servizio e non devi preoccuparti degli attacchi DDoS.

Tuttavia, un approccio più intelligente è quello di vietare dinamicamente e per un breve periodo di tempo. Far rispettare un divieto fa sempre del male agli altri e rende la tua lista di indirizzi IP proibiti molto lunga, quindi ci vuole molto tempo per confrontare l'indirizzo IP ricevuto da una tua richiesta al tuo elenco.

    
risposta data 03.04.2016 - 01:45
fonte

Leggi altre domande sui tag