Come rilevare quando uno o più dispositivi nella mia rete locale sono diventati nodi di attacco DDOS?

1

Ho una rete domestica, una grande famiglia, con circa 20 dispositivi su di essa in qualsiasi momento. Sembra che ogni anno, qualche dispositivo riceve un virus o un difetto di sicurezza viene rivelato, e il dispositivo inizia a comportarsi male.

Normalmente il dispositivo si comporta male e tenta di crackare le mie cartelle di rete, ecc.

Ma l'ultima cosa che abbiamo vissuto quest'anno è che il dispositivo interessato inizierà a sparare migliaia di richieste su qualche sito. Successivamente, ottengo una lista di ban DDOS. Ad esempio, al momento non posso accedere

Una risposta qui sotto mi ha aiutato a capire che ciò è dovuto al fatto che Akamai Tecnhologies ha bloccato il mio IP. Ho chiamato Akamai Tecnhologies e loro hanno confermato ciò e mi hanno fatto sapere che il mio IP era sospettato come "Web Scraping". Il che significa che una sorta di malware deve aver fatto tonnellate di richieste web ai siti protetti da Akamai Tecnhologies e quindi è stato contrassegnato come un attaccante DDoS. Non necessariamente malware, potrebbe essere stato un problema di software non autorizzato che ha causato anche queste richieste eccessive. Li ho contattati cercando di ottenere i siti esatti colpiti in modo da poter eseguire il debug ulteriormente.

Questo fa schifo perché il mio ISP non mi consente di cambiare il mio indirizzo IP, quindi sono bloccato.

Ho attivato la funzionalità QoS del mio router e al momento non vedo alcun comportamento di rete sospetto. Ma potrebbe cambiare in qualsiasi momento.

Quindi ora la domanda:

Quali metodi ci sono per identificare questa situazione in modo che io possa agire immediatamente?

In particolare, ho bisogno di un modo per ottenere un avviso quando la mia rete domestica è improvvisamente diventata un nodo di attacco DDOS. Idealmente qualcosa potrebbe essere collegato al router per inviarmi una notifica - "hey dispositivo IP 192.168.1.x ha appena iniziato a fare migliaia di richieste ai siti, quindi ho bloccato il suo accesso fino a quando non si interviene."

Finora questo è ciò che ho fatto:

  • Vedi Come faccio a sapere se il mio computer viene utilizzato per un attacco DDoS basato su botnet?
  • Modificate tutte le password, impostate l'autenticazione 2factor su tutti i siti di gestione password, ecc.
  • Formattato tutti i laptop Windows con nuove copie di Windows, perché Windows ha una maggiore tendenza ad avere virus.
  • Virus ha scannerizzato tutta la mia rete.
  • Blocca tutto il traffico TCP / UDP su tutti i dispositivi che devono essere utilizzati solo nella intranet locale. Come le mie telecamere di sicurezza e tablet Android che monitorano quelle telecamere.
  • Software antivirus su ciascun dispositivo, assicurarsi che gli aggiornamenti software siano aggiornati, ecc.
  • Assicurati che nessuno tranne me abbia l'accesso amministratore dei dispositivi. Tutti gli account utente su ciascun computer sono limitati a ciò di cui la persona ha bisogno.

UPDATE:

Sto usando un router netgear R9000. Pensi che ci siano dei servizi web di API REST / SOAP che posso usare per creare un semplice programma che controlli i pattern di attacco DDoS?

    
posta Nicholas DiPiazza 19.09.2018 - 15:45
fonte

3 risposte

3

Configura un Pihole per bloccare annunci pubblicitari, siti dannosi e per registrare le richieste DNS. Quando i numeri aumentano, saprai dove bloccare e chi sta causando il problema.

Come spiegato nella documentazione del pi-hole (e nella documentazione video) si configura il router per utilizzare la macchina pi-hole come server DNS. Guarda questo video circa 0:57 secondi: youtube.com/watch?v=vKWjx1AQYgs

Qualsiasi box Linux funzionerà, non necessariamente un Raspberry Pi. Ho aggiunto elenchi di blocchi per l'elenco di immunizzazione di Microsoft Telemetry e Spybot.

link

    
risposta data 19.09.2018 - 19:45
fonte
0

Ci scusiamo per il tuo disappunto (perché la tua intenzione di essere un cittadino responsabile di Internet è molto lodevole), ma non c'è un modo semplice per fare ciò che vuoi fare.

Il più semplice dei suggerimenti sarebbe quello di scrivere una e-mail a un fornitore di servizi di mitigazione DDoS che nega l'accesso e chiede gentilmente supporto e chiarimenti. Un fornitore di attenuazione DDoS probabilmente conosce il tipo di malware che dovresti aspettarti di vedere nella tua rete dall'impronta digitale di rete che rimane.

Sembra che il fornitore in questione sia Akamai Tecnhologies nel tuo caso, perché tre dei quattro nomi di dominio che hai fornito puntano agli indirizzi IP Akamai. Probabilmente USPS ha acquistato o implementato attrezzature dedicate o è servito da AT & T , in entrambi i casi, Akamai sarebbe più facile per raggiungere.

Altri metodi sono molto più complicati. Tuttavia, una cosa che apparentemente hai dimenticato di fare è controllare il tuo router gateway esterno (o semplicemente rifarlo e aggiornarlo a una versione più recente del firmware). I router SOHO sono un obiettivo comune per il malware.

Inoltre, potrebbe non essere colpa tua. Alcuni servizi di mitigazione DDoS implementano una tecnica che potrebbe essere meglio descritta come "network ridigliando ", ovvero impedendo l'accesso da intere reti che sembrano sospetto, bloccando interi ISP o paesi (ad esempio la Cina, se parliamo di un servizio di rete con sede negli Stati Uniti), e così via. Per assicurarti di non essere interessati da questo, chiedi a amici e vicini di casa, prova a capire se altri clienti del tuo ISP hanno lo stesso numero di problemi.

    
risposta data 19.09.2018 - 17:30
fonte
-1

Ci sono molti modi per risolvere questo problema. L'individuazione / intercettazione basata sulla rete può essere un buon inizio. Per esempio. installazione di un firewall che regolerà o bloccherà il traffico sospetto.

    
risposta data 19.09.2018 - 17:13
fonte

Leggi altre domande sui tag