C'è un modo in cui puoi fermare un attacco DDoS (o qualsiasi misura che puoi prendere), se i pacchetti inviati dall'attaccante sembrano traffico normale?
Ho ricevuto la domanda in un'intervista (come bloccheresti un attacco DDoS se il traffico dannoso assomiglia al normale traffico?) e non sapevo come rispondere.
Grazie mille!
Nella maggior parte dei casi, è molto difficile mitigare gli attacchi DDoS da soli. La maggior parte delle banche e delle grandi aziende si avvale del servizio di fornitori di servizi di mitigazione DDoS professionali. Quest'ultimo rileverà i modelli di traffico anomalo e reindirizzerà tutto il traffico verso i loro centri di lavaggio per filtrare il cattivo traffico. I seguenti meccanismi basati sul filtraggio sono comunemente usati per mitigare tali attacchi:
1) Autorizzazione degli indirizzi IP riconosciuti. Ad esempio, se la tua azienda si trova negli Stati Uniti e la maggior parte dei tuoi clienti si trova, allora potrebbe essere ragionevole filtrare il traffico di rete proveniente da altre parti del mondo durante un attacco in modo che la maggior parte dei tuoi clienti possa ancora essere in grado di accedi al tuo servizio.
2) Blacklisting del traffico proveniente da regioni conosciute di "spammer".
3) Implementa un meccanismo di challenge progressivo come il CAPTCHA per dimostrare che il traffico proviene da una fonte umana e non da un programma.
4) Limitazione della velocità per indirizzo IP di destinazione. Ogni indirizzo IP è autorizzato a inviare un numero fisso di richieste e il resto delle richieste verrà semplicemente eliminato.
5) Rilevamento dell'anomalia basato sulla firma e successivo blocco IP. Anche se i pacchetti maligni sembrano normali, potrebbero ancora esistere modelli distinti nel traffico generale. ad esempio, un utente medio invierà il traffico solo ininterrottamente per 5 minuti ogni giorno, ma il traffico inviato dall'attaccante continuerà ad arrivare per lunghi periodi di tempo.
Infine, aumentare le risorse della rete per sopravvivere all'attacco o affittare temporaneamente risorse extra basate sul cloud per "assorbire" l'attacco. Tale contromisura viene utilizzata dai fornitori di servizi di mitigazione DDoS come Incapsula, Akamai e Verisign per evitare che diventino vittime.
L'uso di un provider di lavaggio può potenzialmente aiutare, a seconda del tipo di traffico "normale" e di quanto controllo si ha su di esso. Nel migliore dei casi, tale traffico sarebbe il traffico http o https avviato dall'uomo e lo scrubbing potrebbe consistere nell'usare test basati su JavaScript e schermate di spunta CAPTCHA per autorizzare il traffico legittimo.
Se il traffico legittimo viene generato anche da una macchina, cerchi delle stranezze nelle implementazioni per differenziare il traffico e sfrutti quelle per impronte digitali del traffico. Genera errori, impronte digitali basate sulla reazione. È probabile che l'autore dell'attacco non abbia realizzato un'implementazione completa e solida di qualsiasi applicazione che generi legittimamente quel traffico, e quindi potresti essere in grado di differenziare il modo in cui l'applicazione legittima gestisce gli errori e produrre whitelist da utilizzare per lo scrubbing.
Se tutti gli altri mezzi per identificare il traffico falliscono, c'è ancora una buona possibilità che la maggior parte del traffico sia concentrata all'interno di determinate reti di origine, nel qual caso è possibile identificare quale interfaccia è saturata, contattare il fornitore upstream per quell'interfaccia e farli fare allo stesso modo, ripetendo la linea fino a quando le gamme di sorgenti più pesanti dell'attacco possono essere identificate con un certo grado di accuratezza e gli annunci di rotta possono essere ritirati in modo selettivo.
Un altro mezzo utile per neutralizzare da solo (senza la necessità di servizi di terze parti), è quello di specificare un basso numero di record TTL DNS, che consentirà alla vittima di dirigere il traffico da qualche altra parte relativamente velocemente.
Leggi altre domande sui tag ddos