¿Cómo detectar cuándo uno o más dispositivos en mi red local se han convertido en nodos de ataque DDOS?

1

Tengo una red doméstica, una gran familia, con alrededor de 20 dispositivos en un momento dado. Parece que cada año más o menos, algún dispositivo recibe un virus o se revela una falla de seguridad, y el dispositivo comienza a comportarse mal.

Normalmente, el dispositivo se comportará mal e intentará crear una contraseña para descifrar mis carpetas de red, etc.

Pero lo último que hemos experimentado este año es que el dispositivo afectado comenzará a enviar miles de solicitudes a algún sitio. Después, entro en una lista de prohibición de DDOS. Por ejemplo, en este momento no puedo acceder

Una respuesta a continuación me ha ayudado a entender que esto se debe a que Akamai Tecnhologies bloquea mi IP. Llamé a Akamai Tecnhologies y me confirmaron esto y me informaron que mi IP era sospechosa de "Web Scraping". Lo que significa que algún tipo de malware debe haber realizado toneladas de solicitudes web a sitios protegidos por Akamai Tecnhologies y, por lo tanto, se ha marcado como un atacante DDoS. No necesariamente un malware, podría haber sido un problema de software falso que causó estas solicitudes excesivas también. Me he contactado con ellos tratando de obtener los sitios exactos a los que accedió para poder seguir depurando.

Esto apesta porque mi ISP no me permite cambiar mi dirección IP, por lo que estoy bloqueado.

Tengo la función QoS de mi enrutador activada y no veo ningún comportamiento de red sospechoso en este momento. Pero eso podría cambiar en cualquier momento.

Así que ahora la pregunta:

¿Qué métodos existen para identificar esta situación para que pueda tomar medidas inmediatas?

Es decir, necesito una forma de recibir una alerta cuando mi red doméstica se haya convertido repentinamente en un nodo de ataque DDOS. Lo ideal sería que se conectara algo al enrutador para enviarme una notificación: "hey IP 192.168.1.x del dispositivo acaba de comenzar a hacer miles de solicitudes a los sitios, así que he bloqueado su acceso hasta que tomas medidas".

Hasta ahora, esto es lo que he hecho:

  • Consulte ¿Cómo puedo saber si mi computadora está siendo utilizada para un ataque DDoS basado en botnet?
  • Se modificaron todas las contraseñas, se configuró la autenticación 2factor en todos los sitios del administrador de contraseñas, etc.
  • Formateó todas las computadoras portátiles de Windows con copias nuevas de Windows, porque Windows tiene una mayor tendencia a tener virus.
  • Virus escaneado toda mi red.
  • Bloquee todo el tráfico TCP / UDP a cualquier dispositivo destinado a ser usado solo en la intranet local. Como mis cámaras de seguridad y tabletas Android que monitorean esas cámaras.
  • El software antivirus en cada dispositivo, asegúrese de que las actualizaciones de software estén actualizadas, etc.
  • Asegúrese de que nadie excepto yo tenga acceso de administrador a los dispositivos. Todas las cuentas de usuario en cada computadora están restringidas a lo que esa persona necesita.

ACTUALIZACIÓN:

Estoy usando un router netgear R9000. ¿Crees que hay algún servicio web REST / SOAP api que puedo usar para crear un programa simple que vigila los patrones de ataque DDoS?

    
pregunta Nicholas DiPiazza 19.09.2018 - 15:45
fuente

3 respuestas

3

Configure un Pihole para bloquear anuncios, sitios maliciosos y para registrar solicitudes de DNS. Cuando los números aumenten, sabrá dónde bloquear y quién está causando el problema.

Como se explica en la documentación de agujeros de pi (y documentación de video), configura su enrutador para usar la máquina de agujeros de pi como un servidor DNS. Ver este video, alrededor de 0:57 segundos: youtube.com/watch?v=vKWjx1AQYgs

Cualquier caja de Linux funcionará, no necesariamente una Raspberry Pi. Agregué listas de bloqueo para la lista de inmunizaciones de Microsoft Telemetry y Spybot.

enlace

    
respondido por el Andy Anderson 19.09.2018 - 19:45
fuente
0

Lo siento por decepcionarte (porque tu intención de ser un ciudadano responsable de Internet es muy recomendable), pero no hay una manera fácil de hacer lo que quieres hacer.

La más simple de las sugerencias sería escribir un correo electrónico a un proveedor de servicios de mitigación DDoS que le está negando el acceso y pedirle ayuda y aclaraciones. Un proveedor de mitigación de DDoS probablemente sepa qué tipo de malware debe esperar ver en su red fuera de la huella digital de la red que queda.

Parece que el proveedor en cuestión es Akamai Tecnhologies en su caso, porque tres de los cuatro nombres de dominio que ha proporcionado apuntan a direcciones IP de Akamai. El USPS probablemente compró e implementó algún equipo dedicado o es atendido por AT & T , en cualquier caso, Akamai sería más fácil para llegar.

Otros métodos son mucho más complicados. Sin embargo, una cosa que aparentemente se ha olvidado de hacer es verificar su enrutador de puerta de enlace externo (o simplemente volver a instalarlo y actualizarlo a la última versión de firmware). Los enrutadores SOHO son un objetivo común para el malware.

Además, puede que no sea tu culpa. Algunos servicios de mitigación DDoS implementan una técnica que podría describirse mejor como "red redlining ", es decir, evitar el acceso desde redes completas que parecen sospechoso, bloqueando ISP o países enteros (p. ej., China, si hablamos de un servicio de red con sede en los EE. UU.), etc. Para asegurarse de que esto no le afecta, pregunte a sus amigos y vecinos, intente averiguar si otros clientes de su ISP experimentan el mismo conjunto de problemas.

    
respondido por el ximaera 19.09.2018 - 17:30
fuente
-1

Hay varias formas de resolver esto. La detección / intercepción basada en la red puede ser un buen comienzo. P.ej. instalando un firewall que acelerará o bloqueará el tráfico sospechoso.

    
respondido por el Nicholas Leader 19.09.2018 - 17:13
fuente

Lea otras preguntas en las etiquetas