Come testare gli attacchi DOS attraverso il router?

1

Uno dei miei clienti è stato informato dal proprio ISP che è successo un attacco DoS e hanno fornito i log del router Juniper. Quali sono i criteri nei router su cui possiamo confermare che l'attacco DoS sta accadendo / si è verificato?

Qualche articolo o dati per mostrare un po 'di luce sulla ricerca di attacchi attraverso i router? Log fondamentalmente dice:

Nov 5 12:24:42 RT_FLOW: RT_FLOW_SESSION_CLOSE: session closed unset: 209.95.32.62/20443->xx.xx.xx.xx/50544 None 209.95.32.62/20443->xx.xx.xx.xx/50544 None None 17 1000 Trust Trust 336106 0(0) 0(0) 1 UNKNOWN UNKNOWN N/A(N/A) ge-2/0/21.0

    
posta santosh407 07.12.2015 - 22:17
fonte

1 risposta

1

Probabilmente intendete includere attacchi DDoS (Distributed Denial of Service) piuttosto che attacchi DoS che potrebbero tecnicamente essere un singolo pacchetto (pensate a Ping of Death).

Nondimeno, i criteri che stai chiedendo sono leggermente diversi da provider a provider, ma alcune cose che sono facilmente rintracciabili da questi dispositivi sono le seguenti:

1.) Vedere i sistemi generare improvvisamente grandi scoppi di traffico, oltre 10.000 pacchetti al secondo è una buona regola empirica.

2.) Visualizzazione di un gran numero di pacchetti che lasciano una rete di clienti con indirizzi IP di origine falsificati. In teoria questo sarebbe bloccato dalle regole di uscita, ma succederà.

3.) Grandi quantità di traffico intenzionalmente dannoso. Attacchi SYN Flood, attacchi UDP Flood, attacchi di amplificazione DNS, richieste SNMP di massa inviate da un host "target".

4.) Grandi quantità di pacchetti intenzionalmente frammentati.

Cisco, un grande produttore di routing commerciale, ha un documento che può anche darti maggiori informazioni su ciò che può essere rilevato.

link

Wikipedia ha una voce davvero utile sugli attacchi di tipo Denial of Service che menziona anche molto del traffico di rete che vorrete cercare.

link

Infine, può essere utile anche il seguente documento

link

    
risposta data 08.12.2015 - 00:40
fonte

Leggi altre domande sui tag