In quale misura un attacco DOS può riuscire anche se è stato rilevato?

1

Durante la lettura del rilevamento e della prevenzione del DOS link mi sono chiesto : Anche se un firewall rileva un attacco DOS e inizia a filtrarlo, il rilevamento e il filtraggio (tramite IP ecc.) Non richiedono ancora una risorsa per rispondere all'attacco (in termini di rifiuto della richiesta)?

Capisco che le risorse necessarie per bloccare un attacco siano di entità inferiore rispetto alla reale gestione degli attacchi ma ci sono scenari in cui un DOS può ancora riuscire ad occupare una risorsa in modo che il filtro dell'attacco causi ancora un DOS?

    
posta Samuel 30.01.2014 - 11:35
fonte

2 risposte

5

Finché l'attacco DOS può consumare più risorse (larghezza di banda della rete, potenza di calcolo, ecc.) che il target può fornire, allora riuscirà, nonostante sia stato identificato.

Il filtraggio è molto difficile - richiede molta larghezza di banda e un modo per separare il bene dal cattivo traffico. Se si filtra tutto, si causa comunque un DOS su se stessi.

Ecco perché un DDoS ha un tale impatto. È possibile lanciare ordini di grandezza più traffico di quanto l'obiettivo possa far fronte. L'unica soluzione in questi casi è l'utilizzo di un partner di mitigazione DDoS - e anche lì, c'è sempre un certo impatto in quanto abilitano il reindirizzamento, configurare le regole di scrubbing, ottimizzare queste regole ecc. E come prima, se il DDoS diventa abbastanza grande anche mettere fuori uso il provider di attenuazione.

    
risposta data 30.01.2014 - 11:56
fonte
0

To what extend can a DOS attack succeed even if it was detected?

Se un attacco DOS non è rilevabile, non ha avuto successo.

Affinché un attacco DOS abbia successo, il difensore deve essere sopraffatto, anche se sa cosa sta succedendo.

Più il costo per pacchetto del difensore supera il costo per pacchetto dell'attaccante, più è probabile che il difensore sia sopraffatto.

Lo scopo del filtraggio DOS è quello di scartare i pacchetti DOS a basso costo - per ridurre il costo di ricezione del pacchetto a qualcosa di simile al costo di invio del pacchetto.

È abbastanza probabile che il filtro non riesca a prevenire il successo del DOS. Se, ad esempio, il DOS mastica tutta la larghezza di banda, ci riuscirà.

Tuttavia, il solo modo in cui il filtro causa l'attacco ha esito positivo è se il filtraggio è molto più costoso che lasciare che i pacchetti DOS colpiscano la tua infrastruttura. Non è impossibile, ma è improbabile.

Se il filtraggio è solo leggermente più costoso del non filtraggio, che di solito accade se il filtro non funziona, probabilmente non farà alcuna differenza durante un attacco. Qualsiasi attacco che riesce probabilmente sarebbe comunque riuscito, specialmente perché il firewall è quasi sempre una scatola diversa da quella che ospita il servizio sotto attacco.

Dove il filtro può fare male è con il traffico normale. Se il costo del filtro è significativo, rispetto al normale costo di elaborazione e se non c'è molta capacità inutilizzata, il filtraggio può trasformare un carico di traffico sano in un auto-rifiuto del servizio.

    
risposta data 10.05.2017 - 03:29
fonte

Leggi altre domande sui tag