DDoS en curso: ¿Cuál es el siguiente paso después de poder manejarlo?

0

Nuestros sitios web han sido el objetivo de un aumento de DDoS, la razón es desconocida. En este momento, hemos tomado suficientes precauciones para identificar y filtrar de manera confiable las solicitudes problemáticas (aproximadamente 1 millón / día en su punto máximo, antes de que dejemos de contar). Pero como hubo otros esfuerzos para interrumpir nuestro servicio en intervalos recurrentes en el pasado y los ataques parecen estar relacionados, me pregunto qué otra cosa podríamos hacer.

Las IP son obviamente solo una red de bots en los dispositivos de los consumidores (conexiones DSL en todo el mundo, no en los nodos TOR), por lo que incluso si empezáramos a enviar correos electrónicos de abuso, realmente no haría una diferencia, ya que las IP son cambiando frecuentemente Al atacante tampoco parece importarle realmente que el ataque ya no genere ningún tipo de deterioro en nuestro servicio, pero ya lleva más de una semana.

¿Cuál debería ser nuestro próximo paso, mientras el ataque aún está en curso, pero no nos está haciendo daño? ¿Recopila las direcciones IP e informa sobre ellas? Manejar las solicitudes problemáticas de una manera especial para reducir el daño de la botnet a otros? ¿Algo para identificar quién está detrás de esto o por qué se ataca el sitio?

En otras palabras, en este momento podemos recopilar información. Si la próxima ola es mejor, es posible que no podamos hacerlo de una manera tan confiable. ¿Podemos hacer algo ahora?

    
pregunta Martin 13.12.2014 - 00:53
fuente

1 respuesta

1

Informar de las direcciones IP dará poco, además, nada. En muchos casos, es probable que las direcciones que están en peligro se vean comprometidas o infectadas con malware. Su objetivo debe ser enfocar su tiempo, recursos en minimizar o deshacerse de las capacidades de ser DoS'd, este es un tiempo mejor gastado. La pregunta es, ¿cómo detener / minimizar los ataques de DoS?

Mis sugerencias: familiarícese con RFC 4732 . ¿Qué tipo de DoS estás sufriendo? ¿Agotamiento de recursos en el lado de la red? ¿Lado de la aplicación (por ejemplo, alguien que solicita cientos de miles de páginas web)? Luego enfócate en arreglar ese lado de la ecuación.

Desde el lado de la red, puede trabajar con su proveedor para implementar BCP38 (RFC 2827 ), y haga que su ISP trabaje con su proveedor ascendente para que ellos también implementen algunos cambios. Sin embargo, esto está fuera de su control. (el cambio real) y usted está a merced de su proveedor y su proveedor para que realmente haga todo lo posible.

Desde el lado de la aplicación (digamos que su servidor HTTP está siendo atacado), podría mover HTTP a algo como Cloudflare pero si < strong> THEY ve a hacer, también tú. Hay muchos enfoques diferentes para abordar este problema, por ejemplo, equilibrio de carga utilizando diferentes instancias de Amazon AWS, proveedores de CDN, todo depende de la cantidad de tiempo y recursos que se le asignen. En cuanto a la notificación de IP, es como llamar a NO las autoridades locales, sino a una compañía local de guardias de seguridad aleatorios, y decir: "Acabo de ver 1,000 autos sospechosos manejando". Puedo asegurarte que poco se hará.

    
respondido por el munkeyoto 13.12.2014 - 14:10
fuente

Lea otras preguntas en las etiquetas