In che modo i fornitori di servizi cloud sanno che vengono utilizzati per l'avvio di un DoS?

Naviga le tue risposte
1

I fornitori di servizi cloud come Amazon, Microsoft ecc. possono rilevare che vengono utilizzati per lanciare un DoS / DDoS contro qualsiasi obiettivo? Se sì, come?

Immagino che se attaccano una singola macchina, un buon ID può rilevarlo. Il mio dubbio è qui, può l'IDS rilevare uno scenario in cui il sistema cloud spoofing l'indirizzo IP e inondazioni diverse macchine per DoS la destinazione. Con una nota simile, il provider di servizi cloud può rilevare se le macchine ospitate vengono utilizzate in botnet?

Fonte di ispirazione: link

    
posta Limit 29.09.2016 - 03:11
fonte

3 risposte

1

Prima di tutto, lo spoofing IP può e deve essere rilevato e bloccato. I firewall del provider non dovrebbero consentire ai pacchetti che hanno un IP sorgente diverso dai legittimi netblock assegnati al server e generare un avviso poiché lo spoofing IP è un indicatore abbastanza affidabile che alcuni idioti stanno tentando di utilizzare il server per DoS o simili cose nefaste (Non riesco a pensare a un caso d'uso legittimo per lo spoofing IP).

Per il semplice DoS di esaurimento della larghezza di banda, supponendo che il metodo precedente non lo catturasse, il provider può provare a rilevare indicatori comuni, ad esempio se i pacchetti corrispondono a qualsiasi strumento DoS o malware noto, se i pacchetti sono simili (1 Gb / s di esattamente lo stesso pacchetto UDP sembra sospetto per esempio), e può finalmente applicare patterner avanzati basati su reti neurali che cercano di cercare qualcosa di insolito proprio come fanno le banche per le carte di credito (un server che non invia mai molto traffico invia improvvisamente 1 Gb / s - > genera un avviso).

Per attacchi di livello superiore come HTTP, ecc. Non vedo molte soluzioni che temo. Il primo numero è legale ed etico. Confrontando la sorgente / destinazione, la dimensione e l'entropia dei pacchetti (come descritto sopra) è una cosa e personalmente mi andrebbe bene, d'altra parte avendo un proxy che tenterebbe di analizzare ogni pacchetto inviato e scomporlo in un l'elenco di intestazioni HTTP, richieste DNS, ecc. è un'altra cosa e sarebbe equivalente alle intercettazioni telefoniche e oltre a essere potenzialmente illegale, scommetto che alla maggior parte delle persone non piacerebbe, anche se è usato per scopi legittimi (ma una volta ottenuto il potenziale per analizzare e comprendere qualsiasi pacchetto, è solo una questione di tempo prima che qualcuno decida di registrare tali dati per qualsiasi motivo).

Supponendo che i problemi legali / etici siano fuori strada, sarebbe davvero difficile distinguere pacchetti legittimi e maligni. Ci sono alcune applicazioni che possono essere abbattute con solo una manciata di richieste nel modulo di ricerca con la query corretta. In che modo un sistema come questo indica un utilizzo legittimo del modulo di ricerca da un abuso malevolo?

A mio parere, gli attacchi di livello superiore vengono affrontati al destinatario dell'attacco, poiché solo loro possono dire una richiesta malevola da una legittima e possono facilmente implementare contromisure da soli, al contrario degli attacchi di esaurimento della larghezza di banda in cui la cooperazione del provider della rete che attacca è necessario poiché ottenere una larghezza di banda sufficiente a sostenere un attacco è a volte impossibile per un'azienda di medie dimensioni a fronte di una botnet sufficientemente grande.

    
risposta data 29.09.2016 - 04:03
fonte
1

Possono facilmente impostare il monitoraggio per grandi cambiamenti nell'uso della larghezza di banda da / verso un gran numero di host, ma più probabilmente per questo scenario se qualcuno viene attaccato segnaleranno l'abuso, a quel punto l'equivalente di csirt amazon il team conosce il suo traffico non legittimo e può giocare a whackamole con i conti dietro di esso.

Per la maggior parte, l'abuso accade e l'onere non spetta a queste aziende per prevenirlo in primo luogo, così come rispondere in modo appropriato quando viene segnalato, nell'attuale stato di avanzamento. Rispondere-appropriatamente però dovrebbe significare che ripetuto attaccato con lo stesso M.O. non dovrebbe accadere.

    
risposta data 29.09.2016 - 04:03
fonte
1

Un modo molto comune per rilevare ciò è utilizzare un analizzatore netflow per eseguire analisi del traffico. Senza dubbio queste grandi reti hanno questo posto. Con netflow è possibile raccogliere caratteristiche specifiche del traffico in entrata e in uscita, inclusi gli indirizzi IP di origine e di destinazione, il volume di traffico, le informazioni specifiche su protocollo e protocollo (ad esempio, porta di origine e di destinazione).

Un analizzatore netflow prenderà questi dati e farà analisi su di essi, che possono essere utilizzati per rilevare anomalie, incluse informazioni come indirizzi IP di origine e destinazione principali (sia nel numero di pacchetti / sec che in byte / sec) e nell'origine superiore e le porte di destinazione.

Molti analizzatori di flusso netto includono il rilevamento di anomalie e offrono avvisi in base a queste caratteristiche del traffico. Quindi, ad esempio, puoi usarli per segnalare se c'è una quantità anormale di traffico proveniente da UDP / 53 verso uno specifico indirizzo IP, o se la quantità totale di traffico da tutti gli IP nella rete verso uno specifico indirizzo è sopra i limiti impostati . Gli indirizzi falsificati possono essere anche determinati in questo modo.

    
risposta data 29.09.2016 - 08:58
fonte

Leggi altre domande sui tag

In che modo grandi affari come Google mantengono le password così sicure quando altre no? C ++: memset su una struttura contenente std :: wstring - È un rischio?