Strategia seguente che utilizza il servizio di mitigazione DDoS: attacco banda UDP con esaurimento da IP falsificati

1

Devo difendermi dal ricevere un massiccio spam di pacchetti UDP da indirizzi IP falsificati casuali. Lo farei in questo modo:

Nel mio protocollo, ogni pacchetto UDP contiene nome utente e password. Firewall (di terze parti) avrebbe un elenco aggiornabile di utenti (nome e password). Verificherà se il pacchetto contiene dati validi, se sì allora lo passerebbe al mio server, in caso contrario, quindi la mia larghezza di banda non sarebbe influenzata.

La mia domanda è, conosci qualche servizio che consentirebbe tale soluzione?

    
posta John Lock 11.06.2016 - 00:39
fonte

1 risposta

1

Sia che utilizzi una, due o una dozzina di server per gestire l'attività, la larghezza di banda tra i client e i server rimarrà la stessa. L'unica parte che puoi controllare è il modo in cui il tuo server risponde a richieste non valide oa enormi quantità di richieste.

Un modo in cui potrebbe essere implementato è utilizzando fail2ban e un firewall sul server. In questo modo il tuo servizio UDP potrebbe registrare casi rischiosi che alla fine attivano regole fail2ban che dovresti definire. Sarebbe una buona idea bloccare rapidamente le richieste ripetute per lo stesso IP e aumentare i tempi di divieto quando diventano recidivi.

È molto importante notare che questo tipo di attacco è di solito che mira all'IP spoofato, non al servizio UDP stesso che subisce solo un effetto collaterale molto più debole se correttamente protetto.

Le richieste UDP di solito sono molto più piccole della loro risposta e gestire grandi richieste renderebbe anche più difficile perpetrare un attacco efficiente.

    
risposta data 11.06.2016 - 02:26
fonte

Leggi altre domande sui tag