Ci sono così tanti sistemi di rilevamento delle intrusioni e sistemi che bloccano gli indirizzi IP con comportamenti sospetti. Tutti possono utilizzare questi sistemi, in quanto molti di loro sono gratuiti.
Ma perché è ancora possibile per persone come anonimi di DDos un server, se devono essere immediatamente bloccati dal sistema?
I programmi DDos utilizzano programmi speciali?
Il blocco del traffico di attacco sul firewall attenuerà un attacco progettato per sopraffare la CPU del server o le risorse di memoria, ma la maggior parte degli attacchi di alto profilo semplicemente inviano un flusso di dati che mira a esaurire la larghezza di banda della rete. In questo caso l'attaccante non si preoccupa se stai bloccando i dati, perché nel momento in cui il firewall può bloccarlo la larghezza di banda della rete è già stata consumata.
Per un'analogia, immagina se possiedi un negozio in un centro commerciale e un concorrente manda un'inondazione di falsi acquirenti ad affollare il tuo negozio, con l'intenzione di impedire ai veri acquirenti di entrare. Puoi imparare a riconoscere questi falsi compratori e respingerli alla porta, ma non servirà a nulla perché l'ingresso del tuo negozio è ancora pieno di acquirenti falsi. Il problema dovrebbe essere affrontato a monte dove c'è più capacità, ad esempio all'ingresso del centro commerciale.
Esistono diverse strategie utilizzate per lanciare attacchi DDoS di successo. L'obiettivo di un attacco DDoS è mirare e esaurire una risorsa al fine di interrompere un servizio, quindi è essenzialmente una battaglia di risorse; risorse da attaccare e risorse da difendere. Una risorsa qui è un termine molto ampio e diversi attacchi DDoS indirizzeranno risorse diverse a effetti diversi. Le risorse possono variare dall'hardware, al sistema operativo o ai limiti imposti dal fornitore. Alcuni esempi sono i limiti di memoria (RAM), CPU, Open File (connessioni TCP attive), larghezza di banda della rete e così via.
Una società ha un numero finito di risorse per difendersi dagli attacchi DDoS e può quindi difendersi solo da una quantità limitata di traffico DDoS. Questo si presenta sotto forma di budget che hanno stanziato per proteggere i loro sistemi (appliance di attenuazione DDoS, sistemi IDS con un numero fisso di CPU e RAM o livelli di sottoscrizione per il lavaggio del cloud). Lo squilibrio arriva laddove le risorse offensive sono di solito esponenzialmente meno costose delle risorse utilizzate per difendersi, in genere perché sono illegalmente ottenute (diffusione di malware e sistemi infettanti).
A causa di questo squilibrio tra i costi di attacco e difesa, diventa molto più facile generare traffico di attacco oltre a quello che possono gestire i limiti delle risorse a sua difesa, anche se possono farlo in modo abbastanza efficiente. Questo è il motivo per cui gli aggressori generalmente hanno ancora successo. Generano abbastanza traffico di attacco in modo che colgano un collo di bottiglia di una o più risorse in difesa. Nella maggior parte dei casi, per il traffico volumetrico, limiterà i limiti di larghezza di banda. Se hai una larghezza di banda di rete, la CPU sarà probabilmente il collo di bottiglia dall'elaborazione di milioni di pacchetti.
Un altro utilizzatore di strategia è quello di utilizzare in modo specifico le richieste ad alta intensità di risorse che assomigliano al normale traffico. Il caso più comune di questo è l'utilizzo di richieste HTTP. Se stai utilizzando un server Web, ti aspetti il traffico HTTP, quindi dovrai eseguire un'analisi più approfondita del traffico (noto come Deep Packet Inspection o DPI) per determinare se sia legittimo o meno. Questo è più costoso sul lato difensivo e quindi richiede meno risorse per l'attaccante. Ciò rende ancora più difficile il rilevamento perché non sono "rumorosi" e non hanno necessariamente un aspetto insolito per il ricevitore.
Aggiungi semplicemente fatti aggiuntivi per completare la risposta.
Intrusion Detection Systems (IDS) è solo una build di firewall con programmi aggiuntivi che agiscono sui traffici in arrivo, memorizzano nella cache il contatore e lo stato di ogni traffico in entrata per decidere cosa fare dopo.
La mitigazione dell'attacco SYN-flood dovrebbe essere effettuata dall'ISP . Tuttavia, c'è poco che un IDS possa fare per prevenire gli attacchi di degradazione del servizio. Poiché la maggior parte dei servizi Web viene eseguita su una specifica porta TCP / IP, IDS non ha modo di eludere tali attacchi "flood" alla porta di correzione lenta.
(Update) Pertanto, per l'ambiente B2B, si consiglia di utilizzare VPN. Tuttavia, la soluzione VPN è costosa da mantenere, ovvero è necessario un server VPN sul client o creare un client VPN desktop. Inoltre, per un obiettivo redditizio, il paradigma DDoS passa dalla porta dei servizi Web al server VPN.
Leggi altre domande sui tag denial-of-service ddos