Nuestros sitios web han sido el objetivo de un aumento de DDoS, la razón es desconocida. En este momento, hemos tomado suficientes precauciones para identificar y filtrar de manera confiable las solicitudes problemáticas (aproximadamente 1 millón / día en su punto máximo, antes de que dejemos de contar). Pero como hubo otros esfuerzos para interrumpir nuestro servicio en intervalos recurrentes en el pasado y los ataques parecen estar relacionados, me pregunto qué otra cosa podríamos hacer.
Las IP son obviamente solo una red de bots en los dispositivos de los consumidores (conexiones DSL en todo el mundo, no en los nodos TOR), por lo que incluso si empezáramos a enviar correos electrónicos de abuso, realmente no haría una diferencia, ya que las IP son cambiando frecuentemente Al atacante tampoco parece importarle realmente que el ataque ya no genere ningún tipo de deterioro en nuestro servicio, pero ya lleva más de una semana.
¿Cuál debería ser nuestro próximo paso, mientras el ataque aún está en curso, pero no nos está haciendo daño? ¿Recopila las direcciones IP e informa sobre ellas? Manejar las solicitudes problemáticas de una manera especial para reducir el daño de la botnet a otros? ¿Algo para identificar quién está detrás de esto o por qué se ataca el sitio?
En otras palabras, en este momento podemos recopilar información. Si la próxima ola es mejor, es posible que no podamos hacerlo de una manera tan confiable. ¿Podemos hacer algo ahora?