Hace poco me quitaron mi 5510 en una DDoS de inundación SYN, lo importante que debes saber es qué tan grande será la DDoS .
Nuestro ASA 5510 alcanzó su límite en 140,000 paquetes por segundo. Aunque las especificaciones dicen 190,000 paquetes por segundo, otros factores pueden influir en la tasa real alcanzada. El 5505 puede manejar menos paquetes por segundo que el 5510. Los modelos más altos pueden manejar más.
Es posible que tengamos los recursos en el back-end para manejar tantas conexiones, pero como el firewall fue el cuello de botella, nunca pudimos averiguarlo.
Hay otros tipos de DDoS y otros cuellos de botella que puedes encontrar. Algunos de ellos implican mucho ancho de banda y menos paquetes. Algunos apuntan específicamente al ancho de banda entrante o saliente. Algunos hacen relativamente pocas solicitudes, pero como están atacando su aplicación en lugar de su red, bastan algunas solicitudes.
Si planeas identificar las direcciones IP y bloquearlas en tu firewall, querrás algunas cosas antes de que llegue el DDoS:
-
Acceso fuera de banda. Si eliminan tu red, no puedes SSH o RDP. Asegúrate de que haya otra forma de entrar. Esto puede incluir una segunda red interna, ya que el ataque puede haber desaparecido. la red interna.
-
Herramientas de análisis. Splunk y Graylog son dos opciones con versiones gratuitas. Las buenas herramientas SIEM son generalmente caras pero más adecuadas para la tarea. Su objetivo aquí es verificar que en realidad es un DDoS deliberado y encontrar el patrón que le permita extraer las direcciones IP. Asegúrese de que todos sus registros ya estén en estas herramientas y que esté familiarizado con su uso.
-
Actualizaciones de firewall con secuencias de comandos. Las redes de bots pueden ser grandes. SYN-floods puede tener direcciones IP falsificadas. Vimos más de 100,000 uniques en un período de diez minutos. Querrá un script que pueda tomar una lista de direcciones IP y agregarlas todas al firewall. También querrá estos en tablas para evitar que el firewall tenga que escanear las 100.000 entradas antes de permitir o denegar un paquete.
-
Relaciones públicas fuera de banda. Tenga una cuenta oficial de Twitter o una página de Facebook o lista de correo (sin depender de su red principal) a la que sus clientes se suscriban para que pueda informarles por qué está abajo.
-
Un plan de respaldo. Si sus suposiciones acerca de lo que podría necesitar son incorrectas o si simplemente no puede encontrar el patrón, hay servicios de protección DDoS disponibles que pueden hacerse cargo de ... a un precio. Asegúrese de saber cuál de estos elegiría y sabe cómo entregarles el control. También querrá evaluar el costo del tiempo de inactividad frente al costo de pagar por la protección. Dependiendo de su negocio, puede ser mejor simplemente aceptar el tiempo de inactividad.