Umbral para DDOS Attack

4

Estoy tratando de entender y simular los ataques SYN Flood DDOS. Estoy usando snort para darme alertas. Si bien tengo control sobre la tasa de mis pruebas, me interesa saber cuál sería una buena estimación de la tasa de tráfico para un ataque real.

    
pregunta cosmicrao 01.11.2018 - 19:48
fuente

3 respuestas

13

Hoy en día, los ataques TCP SYN no son comunes, se centran más en los ataques de amplificación UDP sobre DNS, memcache y otros servicios UDP. Por otro lado, si desea calcular la tasa de tráfico, puede utilizar la fórmula, encabezado IP (20 bytes) + encabezado TCP (20/32) bytes por paquete, por lo que es fácil saber cuántos paquetes por segundo necesita Envía si quieres un 1GB por ejemplo.

Otro aspecto clave que puede considerar es la "falsificación de la dirección IP", para evitar la detección de la fuente del ataque, es fácil falsificar los paquetes IP / UDP que IP / TCP si desea una conexión TCP completa.

    
respondido por el camp0 01.11.2018 - 21:41
fuente
4

No creo que haya una respuesta absoluta aquí.

Varios dispositivos y aplicaciones de detección de DDoS funcionan de esta manera: realiza una medición de línea de base en bits / seg. y paquetes / seg. para determinar cuáles son los niveles normales para su configuración y cuánto fluctúan esos niveles. Lo ideal es que haga esta línea de base durante un período de tiempo más largo para tener en cuenta los patrones de día / noche y de día de la semana / fin de semana. Luego, puede elegir un nivel por encima del cual decide que los patrones de tráfico son sospechosos.

Otro enfoque podría ser probar varios niveles de paquetes por segundo de SYNS para determinar a qué nivel está sufriendo su red, aplicación o lo que sea que esté tratando de proteger, luego elige un nivel que sea seguro por debajo de esta cantidad de paquetes / seg.

    
respondido por el Teun Vink 01.11.2018 - 22:50
fuente
3

Creo que la tasa promedio en estos días (noviembre de 2018) es del orden de 3 Gbps (aunque los ataques a gran escala pueden llegar fácilmente a 100 Gbps). Una nota, las inundaciones de TCP SYN son un vector bastante poco común en estos días. Las inundaciones UDP son mucho más comunes.

    
respondido por el DarkMatter 01.11.2018 - 20:59
fuente

Lea otras preguntas en las etiquetas