¿Cómo pueden los proveedores de servicios en la nube saber que se están utilizando para lanzar un DoS?

En primer lugar, la suplantación de IP puede y debe ser detectada y bloqueada. Los firewalls del proveedor no deberían permitir paquetes que tengan una IP de origen diferente de los netblocks legítimos asignados al servidor, y generar una alerta ya que la falsificación de IP es un indicador bastante confiable de que algún idiota está tratando de usar el servidor para DoS o cosas nefastas similares (No se me ocurre ningún caso de uso legítimo para la falsificación de IP).

Para DoS de agotamiento de ancho de banda simple, si el método anterior no lo detectó, el proveedor puede intentar detectar indicadores comunes, como si los paquetes corresponden a alguna herramienta DoS o malware conocido, si los paquetes son similares (1 Gb / s de exactamente el mismo paquete UDP parece sospechoso, por ejemplo), y finalmente se pueden aplicar comparadores de patrones avanzados basados en redes neuronales que intentan buscar algo inusual como lo hacen los bancos para las tarjetas de crédito (un servidor que nunca envía mucho tráfico de repente envía 1Gb / s - > genera una alerta).

Para ataques de capa superior como HTTP, etc., no veo muchas soluciones, me temo. El primer tema es legal y ético. La comparación de la fuente / destino, el tamaño y la entropía de los paquetes (como se describió anteriormente) es una cosa y personalmente estaría bien con eso, por otro lado, tener un proxy que intentaría analizar cualquier paquete enviado y descomponerlo en un lista de encabezados HTTP, solicitudes de DNS, etc. es otra cosa y sería equivalente a escuchas telefónicas y además de ser potencialmente ilegal, apuesto a que a la mayoría de la gente no le gustará, incluso si se usa con fines legítimos (pero una vez que obtiene el potencial de analice y comprenda cualquier paquete, solo es cuestión de tiempo antes de que alguien decida registrar esos datos por cualquier motivo).

Suponiendo que las preocupaciones legales / éticas están fuera del camino, sería realmente difícil diferenciar entre paquetes legítimos y maliciosos. Hay algunas aplicaciones que pueden reducirse con solo unas pocas solicitudes al formulario de búsqueda con la consulta correcta. ¿Cómo dirá un sistema como este el uso legítimo de los formularios de búsqueda de los abusos maliciosos?

En mi opinión, los ataques de capa superior se manejan mejor en el receptor del ataque, ya que solo pueden distinguir una solicitud maliciosa de una legítima, y pueden implementar contramedidas por su cuenta, en lugar de ataques de agotamiento de ancho de banda donde la cooperación El proveedor de la red atacante es necesario, ya que a veces es imposible obtener un ancho de banda suficiente para soportar un ataque en una empresa mediana, dado que tiene una botnet lo suficientemente grande.

Pueden configurar fácilmente la supervisión de grandes cambios en el uso del ancho de banda a / desde una gran cantidad de hosts, pero es más probable que en este caso, si alguien es atacado, denuncien el abuso, momento en el cual el equivalente de Amazon csirt el equipo sabe que no es tráfico legítimo y puede jugar whackamole con las cuentas detrás de él.

En su mayor parte, el abuso ocurre, y la responsabilidad no está en estas compañías de prevenirlo en primer lugar, sino de responder adecuadamente cuando se informa, en el estado actual de juego. Responder de manera apropiada, aunque debería significar que se repite el ataque con el mismo M.O. No debería suceder.

Una forma muy común de detectar esto es usar un analizador de flujo de red para hacer análisis de tráfico. Sin duda estas grandes redes tienen esto en su lugar. Con netflow puede recopilar características específicas del tráfico entrante y saliente, incluidas las direcciones IP de origen y destino, el volumen de tráfico, el protocolo y la información específica del protocolo (por ejemplo, el puerto de origen y destino).

Un analizador de flujo de red tomará estos datos y los analizará, los cuales se pueden usar para detectar anomalías, incluida información como las direcciones IP de origen y destino (tanto en número de paquetes / seg como en bytes / seg), y la fuente principal y puertos de destino.

Muchos analizadores de flujo de red incluyen detección de anomalías y alertas de alerta basadas en estas características de tráfico. Así, por ejemplo, puede usarlos para señalar si hay una cantidad anormal de tráfico proveniente de UDP / 53 hacia una dirección IP específica, o si la cantidad total de tráfico de todas las IP en la red hacia una dirección específica está por encima de los límites establecidos . Las direcciones falsificadas también se pueden detectar de esta manera.