Mitigazione DDoS con spoofing / mitigazione dell'amplificazione DNS [duplicato]

-3

Recentemente il mio server è stato attaccato più volte, dopo aver visto il mio firewall sono giunto alla conclusione che gli IP sono falsificati. (Più di 10.000 IP si collegano contemporaneamente)

Sto eseguendo Win server 2012 x64 (non posso andare su Linux perché alcuni dei miei programmi richiedono Windows)

L'attacco di solito è di circa 800MBps - 1GBps

La mia domanda è, c'è un modo per prevenire un attacco DDoS / SSYN falsificato e / o trovare la fonte da cui è originato l'attacco? Ho fatto delle ricerche e non riesco a trovare nulla a riguardo.

Ecco un tipico pacchetto da uno dei migliaia di IP che invadono il mio server durante un attacco:

10:45:21 An incoming packet(Blocked) Protocol: UDP, Source port: 36851, Destination port: 46662
EI  ×moÿõ º£!yàØ»ÄææOvO>MÔ„'^PðM„µS²zEÔÍì7âˆ(_Ž±¹ð4ñÆT~³sJ˜áÌ·'âz…ÞUæ÷z¯p
L_ùÌÆâY‰âó©pé€eáÅ£.#...Ò."...SSIP+D2U._sip_udpiscorg.ÆQ.....Ò.›... Qž¡QwÃ\iscorg.”À{«Ÿ_'D*¥l×ÚØ]ÙŒṮ~Éw.ÃÐÁaË1Ïè°öSµ*r±{û¤$
ŽüócÊ.§!BÏêؑׄ¨4Ÿ.‹Û×âeå’‰þ'ë/[–úÌ®‚CŸœWo@¨Ë2àäÜòl£d‡+.²þ´eðûAü%8vÈÞ=nsÆx....Ò. ø..........
Æx.....Ò.›... Qž¡QwÃ\iscorg.­™4U­¸ÁQ˜q’ü¬´¤…ÕÎnÆ€g9²“Ûˆì¯b<þ€”'#(4À²5- 7+â\Nb­  ΀®Ðþ¶ÀÙL°e/Y‰!rÌÄÿ8Šcµ9ñt¡ÿu'q!D,[AjáÖyÆÿž&ö~B1¹mºÂÑ¢"&UUW…÷öõÇ;....Ò.dcv=spf1 a mx ip4:204.152.184.0/21 ip4:149.20.0.0/16 ip6:2001:04F8::0/32 ip6:2001:500:60::65/128 ~allÇ;....Ò.54$Id: isc.org,v 1.1795 2013-04-23 00:33:52 bind Exp $Ç;.....Ò.›... Qž¡QwÃ\iscorg.YÅÇ
¤JÐ@Ç78ôžK
Îê‡î]à]óÝüÓÕ&ãÌJä@ˆK¸l´<Ln—WûÛÂÃñðFPlìÓfòfŽý”.;ð£m{ ¨rH… -c‘ü<üVŠ½êùKEG•‹Æžˆ³:mHÆ]Ï?«o ³ã6èÙÆQKÎÈ“....Ò..
mxams1È“È“....Ò..
mxpao1È“È“.....Ò.›... Qž¡QwÃ\iscorg.Ž5Ž“Yñ
.&¡ÞbXÁùãE.›
Ãùµ\ëÍù²Kÿ©Ãfšp’ÿ8>ôûk“{°FÞRWŒá@EÁöa6b4³    Æ…=šPŒxwë–®š­gÝŸâÕ§ÕK¹S‡þøÄ0¡dç$«kžv,·pœáØ|;Ò>»Ï¤à¸ùíÉj....Ò.•@*Éj.....Ò.›... Qž¡QwÃ\iscorg.‰¹›´qÏùû†ÈA$aŒ9eú Ýëá“yUܼÌaç>ŽC¬¹Ôââ¿Wª«åöR:øŒàV™ôÁR¼^ßQW£YÔr²æáò¬Ž¨•t²Ð®2b˜æË[{@knk›»òÒpÀ¢u]‡ÏèÉlŽHœá<ï¾Oÿ×[³$ýŽŽÊ!.....Ò.›... Qž¡QwÃ\iscorg.l    99éŠükQ”ˆ‹qG~<ÒÜÚèØÍ/ÞKTªeKÌÊZ⧅Է¬ ÏöžtÊÏWRå‡iѨq¤RêKA/£- Ò¥Ts]AÀ¹uýù‚J½æž.¦$¬qÕú5dNÈ]»à†ê£ÐíN$(8ŠL¡ÌÄt)öbîÑtGÊÈ....Ò.*ns-intÊÈ
hostmasterÊÈwü–à.. ..z^€..Ê

Posso distinguere alcune cose dal pacchetto come afillias-nst.info ma questo non mi aiuta affatto.

Apprezzerei qualsiasi consiglio.

    
posta sman133 28.04.2013 - 10:59
fonte

1 risposta

1

L'unica protezione sana contro gli attacchi DDoS sta implementando un servizio come CloudFlare .

La natura stessa di un attacco DDoS rende difficile il rilevamento e l'interruzione. Come distinguerai tra traffico dannoso e traffico normale? Anche se hai questo mezzo, l'esecuzione di analisi su ogni singolo tentativo di connessione sul tuo server probabilmente sovraccaricherà qualsiasi router o firewall.

Cloudflare utilizza la tecnologia anycast per diffondere il traffico tra diversi endpoint situati in tutto il mondo. Questo "assottiglia" abbastanza il traffico in modo che il tuo sito possa rimanere a galla durante un attacco DDoS.

    
risposta data 28.04.2013 - 14:08
fonte

Leggi altre domande sui tag