¿Puede un Cisco ASA 5505 bloquear este ataque DDoS?

5

Desde hace más de una semana, mi servidor dedicado (ubicado en ovh.com) ha estado bajo ataque TCP SYN (creo). A OVH no le importa, pero este ataque está matando a mi servidor con una alta carga de CPU (100% permanente en los momentos más importantes).

Tengo la opción de agregar un Cisco ASA 5505 en mi host y me gustaría saber si realmente puedo bloquear este tipo de ataque. ¿Alguien tiene experiencia con este firewall?

Si analicé el registro correctamente, obtuve algo así como 550 direcciones IP diferentes, paquetes de sincronización TCP SYN (18320 paquetes en total) por minuto en dos puertos. (No puedo cambiar estos puertos, y si lo hago, el atacante también cambia su ataque al instante).

En los momentos pico, calculé más de 2.000 IP diferentes (36640 paquetes) por minuto haciendo exactamente lo mismo.

También hacen ataques GET en mi sitio, ¿puede este Cisco ASA 5505 hacer algo al respecto?

Además, me gustaría saber cómo puedo "calcular" los Mbps / Gbps de un ataque.

He probado casi todos, bloqueé todas las IP, cambié la IP del servidor, cambié los informes, incluso la protección DDoS del proxy remoto, pero sin éxito.

Grabé este registro con WireShark (se puede abrir con el bloc de notas) durante más de un minuto con 0 "tráfico legítimo", por lo que todo este tráfico es el ataque. Aquí está el registro.

    
pregunta Dr. House 06.11.2015 - 11:37
fuente

1 respuesta

5

Tiene varias consultas por separado aquí, así que intentaré resolverlas.

Si tiene las direcciones IP, entonces sí, puede hacer que se bloquee el 5505, que es bastante simple, solo agregue las direcciones IP a la lista de bloqueo (o según sus necesidades, bloquee todo, excepto el tráfico de IP buenas conocidas) )

Cisco ofrece protección contra inundaciones SYN: vale la pena verla para ver si se ajusta a su situación particular. Es muy básico, pero funciona muy bien para ciertos escenarios.

Un 5505 no ayudará en la solicitud GET; necesitaría un firewall con capacidad de inspección profunda. Dependiendo de su servidor web, puede hacer esto aquí.

Usted dice que la mitigación de las ddos proxy no fue útil. En realidad, esta es una solución muy útil y exitosa que utilizan miles de compañías, por lo que quizás necesite ver cómo la está utilizando.

    
respondido por el Rory Alsop 06.11.2015 - 12:17
fuente

Lea otras preguntas en las etiquetas