È possibile inserire nella lista nera un IP per proteggere un server da un attacco DDoS. Molto dipenderebbe dal firewall, dalla rete, dal sistema e dal tipo di attacco.
-
La lista nera significa che devi dire al tuo firewall di intraprendere un'azione speciale contro il traffico da quell'IP o dall'intervallo di rete. Si potrebbe dire al firewall di ignorare il traffico da quell'IP o di rifiutare quel traffico. Se la rete e il firewall sono in grado di gestire grandi quantità di traffico, ma il server non è in grado di farlo, ciò potrebbe interrompere l'attacco presumendo che l'utente malintenzionato non cambi gli IP di origine. Potrebbe essere un'utile attenuazione a breve termine, ma di solito non è una soluzione a lungo termine.
-
Per "abbandonare una connessione" probabilmente significa ignorarlo. Il server remoto invierà (supponendo TCP) un pacchetto syn e il firewall accetterà il pacchetto, lo esaminerà, troverà che corrisponde a una regola e quindi eseguirà quella regola. Se stai perdendo pacchetti da quella fonte, il tuo firewall non farebbe altro. Tieni presente che per trovare la regola è stato necessario accettare il pacchetto ed esaminarlo, che ha consumato una piccola quantità di risorse. Moltiplica il consumo di risorse minime rispetto a un milione di pacchetti e inizia a sommarsi ...
-
Come proteggerebbe un server? Se il firewall e il server sono dispositivi separati, il firewall prende tutto il carico del traffico e il server non deve gestire il traffico di posta indesiderata. Se si trovano sullo stesso sistema, si spera che il livello del firewall gestisca il traffico e che non debba essere elaborato dal livello dell'applicazione.
La lista nera degli IP al firewall è un caso di "enumerazione di cattiva qualità" e in molti casi non si adatta bene. Vuoi passare la prossima settimana della tua vita a scorrere i registri e aggiungere le regole del firewall ogni volta che un utente malintenzionato riceve un nuovo IP? A lungo termine ci sono approcci migliori:
- Whitelist IP noti - se possibile, consente solo il traffico dal tuo
partner di fiducia e blocca tutto il resto per impostazione predefinita.
- Implementa un sistema in grado di analizzare automaticamente il traffico e filtrare il traffico indesiderato
- Crea un sistema che può scalare per soddisfare il carico di traffico previsto e picchi di traffico indesiderato. Ciò dovrebbe accadere a tutti i livelli: rete, firewall, applicazione, ecc.