I nostri siti Web sono stati l'obiettivo di un aumento di DDoS, la ragione è sconosciuta. Al momento, abbiamo preso le precauzioni necessarie per identificare e filtrare in modo affidabile le richieste problematiche (circa 1 mio / giorno al massimo, prima di interrompere il conteggio). Ma poiché c'erano altri tentativi per interrompere il nostro servizio in intervalli ricorrenti nel passato e gli attacchi sembrano correlati, mi chiedo che altro potremmo fare.
Gli IP sono ovviamente solo alcune botnet sui dispositivi consumer (connessioni DSL in tutto il mondo ecc., non sui nodi TOR), quindi anche se avessimo iniziato a inviare email di abuso, non farebbe davvero la differenza, dato che gli IP sono cambiando frequentemente. L'attaccante non sembra davvero preoccuparsi del fatto che l'attacco non stia più generando alcun deterioramento nel nostro servizio, ma sta andando avanti da più di una settimana.
Quale dovrebbe essere il nostro prossimo passo, mentre l'attacco è ancora in corso, ma non ci sta danneggiando? Raccogli gli indirizzi IP e segnalali da qualche parte? Gestire le richieste problematiche in modo speciale al fine di ridurre il danno della botnet agli altri? Qualcosa per identificare chi c'è dietro, o perché il sito è stato attaccato?
In altre parole, al momento possiamo raccogliere informazioni, se la prossima ondata è migliore potremmo non essere in grado di farlo in un modo così affidabile. Possiamo fare qualcosa adesso?