Soluzione per l'acquisizione del traffico dal router

Gli DDoS possono essere analizzati semplicemente controllando il volume e il modello del traffico che colpisce il router. Qualsiasi router decente avrà qualcosa chiamato SNMP (Simple Network Management Protocol). SNMP acquisisce informazioni sulle prestazioni del router (in questo caso può essere utilizzato per tutti i tipi di dispositivi) e consente a un servizio esterno di acquisire i dati, aggregarli e riferire su di essi. Uno dei vantaggi di SNMP è che si verifica fuori dal limite del traffico effettivo e che pertanto non dovrebbe influire sulle prestazioni del router e sul suo traffico. Idealmente, il traffico SNMP per un router dovrebbe passare da una LAN completamente separata (una LAN di gestione) ai dati. SNMP può essere ovviamente un rischio per la sicurezza e quindi deve essere gestito con attenzione al limite della rete.

Qualsiasi router di livello enterprise avrà questa capacità. Molti router di fascia consumer hanno anche il mio Billion 7800N.

Un'alternativa che cattura più dettagli e può rilevare gli attacchi DDoS che un semplice monitoraggio SNMP potrebbe perdere richiede qualcosa nel flusso di traffico per intercettare il traffico e analizzarlo. Ciò potrebbe accadere all'esterno del router modificando la voce DNS per la rete da monitorare in modo che passi attraverso un servizio di monitoraggio esterno che, a sua volta, inoltra i dati al router. Puoi farlo anche all'interno del confine della rete. Il pericolo qui sta aggiungendo troppa latenza al traffico in modo che incida sulle prestazioni.

Non sono sicuro di cosa intendi con la tua ultima domanda. È possibile indirizzare nuovamente il traffico in entrata piuttosto che verso l'interno, ma non sono sicuro del motivo per cui lo si vorrebbe. Certamente se l'obiettivo fosse quello di monitorare il traffico, questo sarebbe un metodo molto inefficiente.

AGGIORNAMENTO: dal tuo commento riguardante i anturis servizi.

Anturis è un esempio di serie di prodotti che coprono un numero di tipi.

• Server & monitoraggio web. Questi usano agenti che devi installare sul tuo server. I monitor acquisiscono informazioni specifiche sulle prestazioni dei server e li rimandano centralmente a un servizio di registrazione e dashboard. Molto efficiente, ma devi fidarti del servizio e non importa che stai inviando i dati a loro.

• Monitoraggio di rete. Questo viene fatto usando un paio di misure.

  • Ping. Invia regolarmente un semplice pacchetto ICMP al dispositivo di rete. Il servizio misura il tempo di andata e ritorno e tutti i pacchetti persi. È necessario consentire al router (ad esempio) di rispondere a questo. La possibilità di ping può aprirti agli attacchi denial of service e molti router la sposteranno sul lato pubblico dell'interfaccia.
  • SNMP. Come ho detto in precedenza, questo è qualcosa disponibile sui dispositivi di rete più gestibili, inclusi praticamente tutti i router, switch di livello aziendale, punti di accesso, ecc. Se si intende utilizzare un'agenzia esterna per monitorare SNMP, è necessario assicurarsi che il traffico sia sicuro potrebbe non essere facile.

In tutti questi casi, è necessario intraprendere qualche tipo di azione per consentire il monitoraggio. Variabile rispetto all'installazione del software sui server, alla riconfigurazione dei router (per consentire l'accesso a SNMP), fino a consentire il ping da Internet.

La maggior parte dei router / firewall di dimensioni aziendali includono i sistemi Intrusion Detection (o Prevention) (IDS o IPS) che possono rilevare e bloccare determinati tipi di attacchi alla rete. La maggior parte di questi dispositivi scarica regolarmente nuove definizioni di pattern di attacco dal produttore, proprio come fa l'antivirus del tuo PC. Alcuni produttori offrono anche un servizio in cui gestiscono da remoto il firewall per conto dell'utente, se non si dispone di una persona locale con tali competenze. Non è necessario che il tuo traffico sia inviato a loro: semplicemente "chiamano" sul tuo dispositivo locale e lo configurano per eseguire il lavoro all'interno della tua rete.