Perché è facile rilevare gli attacchi DDoS a livello di rete?

2

Ho visto numerosi documenti di ricerca che affermano che è "facile rilevare gli attacchi DDoS a livello di rete" senza dire perché. Di solito questi documenti di ricerca si concentrano sul rilevamento o sulla prevenzione degli attacchi a livello di applicazione, motivo per cui non entrano nei dettagli sugli attacchi a livello di rete. Perché è facile rilevare gli attacchi a livello di rete? Uno degli articoli che sto guardando dice "Negli attacchi DDoS a livello di rete, gli attaccanti inviano un gran numero di pacchetti fasulli (pacchetti con payload fasullo e numero SYN e ACK non valido)". Perché non aprire un gran numero di "nuove connessioni" con dati validi, a parte un indirizzo IP falsificato? Sì, suppongo che sarebbe facile rilevare quando hai appena ricevuto un pacchetto con un'intestazione di pacchetto non valida. Ma cosa succede quando si ricevono molti pacchetti con intestazioni valide, che tuttavia sono IP falsificati?

    
posta KyleM 10.03.2013 - 07:56
fonte

3 risposte

1

Gli attacchi DDoS a livello di rete implicano in genere molto traffico simile; segue uno schema riconoscibile, appare in quantità statisticamente insolite e sembra molto diverso dal traffico "normale" circostante.

Questo è ciò che rende più facile l'identificazione.

    
risposta data 10.03.2013 - 08:18
fonte
1

Il traffico tende ad apparire molto diverso, a seconda del protocollo utilizzato. Le alluvioni SYN, ad esempio, si distinguono per un notevole aumento del numero di sessioni a due pacchetti, che rappresentano un SYN dall'attaccante e un SYN-ACK dalla vittima. Se stai monitorando le tue connessioni e vedi un notevole aumento della diversità IP sia di volume che di sorgente, puoi essere certo che sei sotto attacco DDOS.

È importante distinguere tra "facile da rilevare" e "facile da distinguere", tuttavia - sapere che "Sono sotto attacco DDOS" non aiuta a capire quali singole sessioni sono dannose e quali no. Devi guardare ogni singola sessione, ea volte le sessioni sembrano normali ma sono troncate.

Yes, I suppose it would be easy to detect when you've just received a packet with an invalid packet header. But what about when you receive a lot of packets with valid headers, that are nonetheless from spoofed IPs?

Questo è "Affrontare gli attacchi DDoS a livello di applicazione" di Hakem Beitollahi e Geert Deconinck, sì? Penso che ciò che gli autori stanno facendo sia utilizzare intestazioni valide o invalide come modo per distinguere i tipi di attacco. Sembra che stiano definendo attacchi usando pacchetti con intestazioni valide come attacchi a livello di applicazione e pacchetti di intestazione non validi come attacchi a livello di rete. Quindi, non stanno necessariamente sostenendo che uno è fatto più spesso dell'altro o più efficace dell'altro: stanno solo definendo un problema più piccolo che poi si rivolgono al loro sistema ConnectionScore.

    
risposta data 18.03.2013 - 20:38
fonte
0

Perché gli attacchi DDos sono facili da rilevare?

Perché è nella natura dell'attacco; non si nasconde, non è un attacco furtivo, non è come un grande squalo bianco che ti attacca; è più di una situazione in cui si viene colpiti da enormi iceberg.

Perché lo spoofing IP è difficile?

Ora, per i bit tecnici, lo spoofing di un indirizzo IPS non ti porta lontano perché come in cisco asa 5885 con bultin nel modulo AIP funziona in linea ma su LAYER-2 che significa tutto il traffico passa inosservato. Anche il suo non è scelto dal pacchetto traceroute. Questa funzione è per le ragioni che hai suggerito nelle tue ultime righe; il suo meccanismo di difesa IPS.

Inoltre, si raccomanda che l'IPS sia posizionato dietro il firewall non di fronte ad esso; poichè mettendolo in primo piano provoca un traffico indesiderato che schiaccia il suo motore di firma, ha senso che l'IPS faccia solo analisi sul traffico autorizzato / consentito. Quindi l'IPS in quel caso sarebbe nascosto automaticamente dal firewall.

    
risposta data 10.03.2013 - 08:43
fonte

Leggi altre domande sui tag