Il mio servizio sta vedendo un attacco abbastanza sofisticato che è distribuito su più indirizzi IP. Ho una lista di indirizzi IP "canaglia". Sono distribuiti in tutto il mondo. C'è un modo per capire se c'è una botnet / servizio per il noleggio che sta inviando questi attacchi?
Quindi usando i log che hai raccolto puoi identificare quali IP stavano inviando questi attacchi giusto? Quindi immagino ci siano due possibilità:
1) Questi IP fanno parte di una botnet, nel qual caso è possibile identificare solo quale frigorifero / tostapane / tv (eliminare dove appropriato) invia l'overflow dei pacchetti. Non si può fare molto se questo è il caso perché presumibilmente potrebbero essercene centinaia; è uno spreco di risorse che informa centinaia di famiglie che le loro lavatrici intelligenti sono state ridotte in schiavitù in una botnet e come sfuggire alla rete. Non sarai in grado di tracciare l'IP dell'organizzatore attraverso uno dei bot.
2) Gli hacker stessi stanno inviando i pacchetti, tuttavia dubito che troverebbero i loro IP perché sarebbero nascosti dietro qualcosa come una VPN o usando gli indirizzi IP inutilizzati dei loro ISP. In ogni caso, dovresti ottenere un ordine del tribunale per identificare chi ha utilizzato i servizi.
Ma nonostante queste probabilità, hai trovato gli indirizzi IP effettivi dell'hacker. Allora, cosa fai adesso?
Beh, personalmente non puoi fare nulla oltre a riportare gli indirizzi IP offensivi alle tue autorità locali o forse al tuo ISP. So che l'FBI ha un modulo che puoi compilare per il crimine informatico, anche se potresti non essere degli Stati Uniti, mi dispiace. Persino le autorità locali potrebbero non interessarsene a meno che l'attacco non abbia causato gravi danni finanziari o facciano parte di una minaccia più diffusa. Ricordati di inviare i log dettagliati di tutto ciò che sai dell'attacco se passi lungo il percorso di segnalazione.
Un'altra grande cosa da fare sarebbe prepararsi. Ottieni personale qualificato, tecnici di emergenza, ecc. Che possano aiutare a ripristinare i servizi il più rapidamente possibile. Cerca anche di ottenere un'infrastruttura e un software migliori in grado di gestire bene gli attacchi DDoS fino a un certo punto.
FONTI: