DDoS in corso: qual è il prossimo passo dopo essere in grado di gestirlo?

0

I nostri siti Web sono stati l'obiettivo di un aumento di DDoS, la ragione è sconosciuta. Al momento, abbiamo preso le precauzioni necessarie per identificare e filtrare in modo affidabile le richieste problematiche (circa 1 mio / giorno al massimo, prima di interrompere il conteggio). Ma poiché c'erano altri tentativi per interrompere il nostro servizio in intervalli ricorrenti nel passato e gli attacchi sembrano correlati, mi chiedo che altro potremmo fare.

Gli IP sono ovviamente solo alcune botnet sui dispositivi consumer (connessioni DSL in tutto il mondo ecc., non sui nodi TOR), quindi anche se avessimo iniziato a inviare email di abuso, non farebbe davvero la differenza, dato che gli IP sono cambiando frequentemente. L'attaccante non sembra davvero preoccuparsi del fatto che l'attacco non stia più generando alcun deterioramento nel nostro servizio, ma sta andando avanti da più di una settimana.

Quale dovrebbe essere il nostro prossimo passo, mentre l'attacco è ancora in corso, ma non ci sta danneggiando? Raccogli gli indirizzi IP e segnalali da qualche parte? Gestire le richieste problematiche in modo speciale al fine di ridurre il danno della botnet agli altri? Qualcosa per identificare chi c'è dietro, o perché il sito è stato attaccato?

In altre parole, al momento possiamo raccogliere informazioni, se la prossima ondata è migliore potremmo non essere in grado di farlo in un modo così affidabile. Possiamo fare qualcosa adesso?

    
posta Martin 13.12.2014 - 00:53
fonte

1 risposta

1

La segnalazione degli indirizzi IP ridurrà poco, inoltre, nulla. In molti casi, gli indirizzi di DoS sono verosimilmente compromessi o infetti da malware. Il tuo obiettivo dovrebbe essere quello di concentrare il tuo tempo, le risorse per ridurre al minimo o eliminare le capacità di essere dei DoS, questo è il tempo speso meglio. La domanda diventa, come si ferma / minimizza gli attacchi DoS.

I miei suggerimenti: familiarizza con RFC 4732 . Di che tipo di DoS soffri? Esaurimento delle risorse sul lato della rete? Lato applicazione (ad esempio qualcuno che richiede centinaia di migliaia di pagine Web)? Quindi concentrati sulla correzione di quel lato dell'equazione.

Dal lato della rete, potresti lavorare con il tuo provider per implementare BCP38 (RFC 2827 ), e chiedi al tuo ISP di collaborare con il tuo fornitore upstream affinché anche loro applichino alcune modifiche, ma questo è fuori dal tuo controllo (il cambiamento vero e proprio) e sei in balia del tuo provider, e il loro fornitore di fare davvero qualcosa.

Dal lato dell'applicazione (diciamo che il tuo server HTTP si sta martellando), puoi spostare HTTP su qualcosa di simile a Cloudflare ma se < strong> THEY fatto, così anche tu. Esistono molti approcci diversi per affrontare questo problema, ad es. bilanciamento del carico utilizzando diverse istanze di Amazon AWS, i fornitori di CDN, tutto dipende da quanto tempo e risorse si mettono in esso. Per quanto riguarda la segnalazione di IP, è come chiamare NON le autorità locali, ma una società di sicurezza casuale locale e dire: "Ho appena visto guidare 1.000 auto sospette". Posso assicurarti che sarà fatto ben poco.

    
risposta data 13.12.2014 - 14:10
fonte

Leggi altre domande sui tag