¿Cómo protegerme contra los servicios DDoS pagados?

Navega tus respuestas
11

Soy un usuario doméstico y me ataca regularmente un tipo que me odia.

Aquí está la historia de fondo: ese tipo usa resolutores de Skype (herramientas ofrecidas por los servicios DDoS pagados) para averiguar mi IP basada en mi ID de Skype. Lo hace porque tengo una IP dinámica, por lo que cada vez que me conecto a Skype y me conecto a Internet, descubre mi nueva IP mediante el sistema de resolución de Skype. Ahora sé que podría evitar esto creando un nuevo ID de Skype (lo que hice) o usando un servicio de proxy para Skype (que no siempre es conveniente), pero me pregunto cómo podría evitar los ataques si descubriera mi IP a través de otros significa.

Lo que sé con certeza es que está usando 2-3 servicios DDoS pagados, por lo que no está realizando el ataque desde su PC. Tengo 100 Mbps de capacidad de descarga y carga, mi CPU es un Core i7-920 (2.7 GHz de cuatro núcleos) y estoy usando el Firewall Personal de Jetico, y estoy en Windows 7 x64. Cuando me atacan, no se usa mucho ancho de banda, pero la CPU se estresa hasta un 50-60% y no puedo acceder a ningún recurso de Internet (la navegación no funciona, los clientes de chat se desconectan, etc.) el firewall hace todo lo posible para rechazar los ataques (como se puede ver en la siguiente captura de pantalla), no se bloquea ni se bloquea, pero no es suficiente. Mi conexión a Internet está puenteada, por lo que no está atacando un enrutador, todos los paquetes llegan directamente a mi sistema. De cualquier manera, no creo que un enrutador pueda hacerlo mejor.

Como puede ver, todos los paquetes son paquetes TCP de 40 bytes entrantes, enviados a través del puerto 1234 y en el puerto 80 de mi sistema (no tengo ningún servicio escuchando en ese puerto, e incluso si lo estuviera, no lo haría). No dejes que se acceda desde el exterior. Creo que las IP de origen son direcciones falsificadas ya que provienen de todo el mundo. Durante un ataque, obtengo millones de paquetes de este tipo y la única forma de detener el ataque es desconectarme de Internet y volver a conectarme (con una IP diferente).

Mi pregunta: ¿hay alguna manera de protegerme contra un ataque de este tipo sin tener que desconectarme de Internet y sufrir un mayor estrés de CPU?

    
pregunta IneedHelp 03.10.2012 - 07:17
fuente

3 respuestas

19

Tenga un enrutador o firewall dedicado para realizar el filtrado.

La razón por la que su CPU se está estresando es porque el firewall del software en su sistema está tratando de manejar muchos más paquetes que su sistema puede tolerar.

Tener un enrutador de hardware o un firewall para soltar paquetes antes de que lleguen a tu computadora debería hacer el truco. Por supuesto, existe un límite incluso para los enrutadores o cortafuegos dedicados. Así que realmente se reduce a la cantidad de recursos que el atacante está dispuesto a usar para DDoS.

Además de eso, realmente no hay nada más que puedas hacer para detener a un atacante, además de coordinar con tu ISP para bloquear los paquetes entrantes o informar el asunto a la policía.

    
respondido por el Ayrx 03.10.2012 - 07:32
fuente
7

En su configuración actual, lo primero que puede hacer es agregar una regla para eliminar este tráfico específico. No conozco el producto de firewall que está utilizando, así que YMMV.

  • la regla se basará en la capa 3 - propiedades de la capa 4, es decir, src port 1234 y dst port 80
    • La regla
  • se colocará encima del conjunto de reglas, lo que puede ayudar con la CPU
    • La regla
  • debe descartar silenciosamente el tráfico (no rechazar) por dos razones:
    • el envío de restablecimientos consume el ancho de banda y la CPU
    • el envío de restablecimientos confirma que su host está activo y solicita más

Para este escenario en particular, un conmutador pequeño y administrado con lista (s) de acceso puede hacer un trabajo brillante, es decir, algo así como una serie compacta sin ventilador Cisco 2960-C.

    
respondido por el lubas 04.10.2012 - 21:52
fuente
0

@LucasKauffman Lamento no estar de acuerdo, pero ningún servicio de mitigación de DDoS que conozco cuesta "unos pocos cientos de miles de dólares" ...

Un firewall de aplicación web compatible con PCI DDS inverso (hablando del mejor de su tipo) solo le costará unas cuantas docenas de dólares al mes e incluso una completa mitigación de DDoS en la red generalmente cuesta menos de 1.000 $ (a menos que lo intente) para evitar un ataque realmente intenso, pero incluso así serán unos pocos miles de dólares a lo sumo).

En este caso, creo que estamos ante una red DDoS pequeña, realizada por una (o más) redes de bots.

Los ataques pequeños pueden ser contrarrestados por un enrutador, como sugirió @Terry_Chia. (+1 btw) Pero los ataques DDoS más grandes aún te golpearán con fuerza.

Sería muy interesante y educativo aprender más sobre este caso.

@IneedHelp, ¿Cómo resolviste este problema?

    
respondido por el Igal Zeifman 17.10.2012 - 14:05
fuente

Lea otras preguntas en las etiquetas

¿Restricciones de PCI sobre el uso de un número de tarjeta de crédito (con hash) para identificar un cliente habitual? Linux o Windows: el problema de seguridad [duplicado]