In che modo la lista nera di un IP che utilizza un firewall protegge dagli attacchi DDoS?

È possibile inserire nella lista nera un IP per proteggere un server da un attacco DDoS. Molto dipenderebbe dal firewall, dalla rete, dal sistema e dal tipo di attacco.

1. La lista nera significa che devi dire al tuo firewall di intraprendere un'azione speciale contro il traffico da quell'IP o dall'intervallo di rete. Si potrebbe dire al firewall di ignorare il traffico da quell'IP o di rifiutare quel traffico. Se la rete e il firewall sono in grado di gestire grandi quantità di traffico, ma il server non è in grado di farlo, ciò potrebbe interrompere l'attacco presumendo che l'utente malintenzionato non cambi gli IP di origine. Potrebbe essere un'utile attenuazione a breve termine, ma di solito non è una soluzione a lungo termine.

2. Per "abbandonare una connessione" probabilmente significa ignorarlo. Il server remoto invierà (supponendo TCP) un pacchetto syn e il firewall accetterà il pacchetto, lo esaminerà, troverà che corrisponde a una regola e quindi eseguirà quella regola. Se stai perdendo pacchetti da quella fonte, il tuo firewall non farebbe altro. Tieni presente che per trovare la regola è stato necessario accettare il pacchetto ed esaminarlo, che ha consumato una piccola quantità di risorse. Moltiplica il consumo di risorse minime rispetto a un milione di pacchetti e inizia a sommarsi ...

3. Come proteggerebbe un server? Se il firewall e il server sono dispositivi separati, il firewall prende tutto il carico del traffico e il server non deve gestire il traffico di posta indesiderata. Se si trovano sullo stesso sistema, si spera che il livello del firewall gestisca il traffico e che non debba essere elaborato dal livello dell'applicazione.

La lista nera degli IP al firewall è un caso di "enumerazione di cattiva qualità" e in molti casi non si adatta bene. Vuoi passare la prossima settimana della tua vita a scorrere i registri e aggiungere le regole del firewall ogni volta che un utente malintenzionato riceve un nuovo IP? A lungo termine ci sono approcci migliori:

• Whitelist IP noti - se possibile, consente solo il traffico dal tuo partner di fiducia e blocca tutto il resto per impostazione predefinita.
• Implementa un sistema in grado di analizzare automaticamente il traffico e filtrare il traffico indesiderato
• Crea un sistema che può scalare per soddisfare il carico di traffico previsto e picchi di traffico indesiderato. Ciò dovrebbe accadere a tutti i livelli: rete, firewall, applicazione, ecc.

Il termine blacklist significa che neghi effettivamente qualsiasi connessione (ad esempio pacchetti) a un particolare indirizzo IP. Pertanto, tutti i pacchetti di rete con l'IP nella lista nera come origine o destinazione non passeranno attraverso il firewall. Questo può essere considerato un "collegamento interrotto". Tieni presente che nei casi in cui la sicurezza è la priorità più elevata, la whitelist degli IP affidabili è una pratica migliore, il che significa che saranno consentite solo le connessioni presenti nella tua lista bianca e tutte le altre verranno eliminate. L'inserimento nella lista nera degli IP non pone rimedio a un attacco DDoS. Viene distribuito un attacco DDoS, il che significa che proviene da molti indirizzi IP. Inoltre gli IP possono essere falsificati in modo che sembrino provenire da una fonte affidabile.

La blacklist di base consiste nell'ignorare i pacchetti provenienti dagli indirizzi nella blacklist. Semplicemente "lo fanno cadere a terra" e lo ignorano, senza ulteriori azioni dopo di ciò che stanno aspettando il prossimo pacchetto da analizzare.