Mitigación DDoS simulada / Mitigación de amplificación de DNS [duplicado]

Navega tus respuestas
-3

Recientemente, mi servidor ha sido atacado varias veces, después de ver mi firewall, llegué a la conclusión de que las IPs son falsas. (Más de 10.000 IP se conectan a la vez)

Estoy ejecutando Win server 2012 x64 (no puedo ir a Linux porque algunos de mis programas requieren Windows)

El ataque suele ser de alrededor de 800MBps - 1GBps

Mi pregunta es, ¿hay alguna manera de prevenir un ataque DDoS / SSYN falsificado y / o encontrar la fuente de la que se originó el ataque? He investigado un poco y parece que no puedo encontrar nada al respecto.

Este es un paquete típico de una de las miles de IP que inundan mi servidor durante un ataque: 

10:45:21 An incoming packet(Blocked) Protocol: UDP, Source port: 36851, Destination port: 46662
EI  ×moÿõ º£!yàØ»ÄææOvO>MÔ„'^PðM„µS²zEÔÍì7âˆ(_Ž±¹ð4ñÆT~³sJ˜áÌ·'âz…ÞUæ÷z¯p
L_ùÌÆâY‰âó©pé€eáÅ£.#...Ò."...SSIP+D2U._sip_udpiscorg.ÆQ.....Ò.›... Qž¡QwÃ\iscorg.”À{«Ÿ_'D*¥l×ÚØ]ÙŒṮ~Éw.ÃÐÁaË1Ïè°öSµ*r±{û¤$
ŽüócÊ.§!BÏêؑׄ¨4Ÿ.‹Û×âeå’‰þ'ë/[–úÌ®‚CŸœWo@¨Ë2àäÜòl£d‡+.²þ´eðûAü%8vÈÞ=nsÆx....Ò. ø..........
Æx.....Ò.›... Qž¡QwÃ\iscorg.­™4U­¸ÁQ˜q’ü¬´¤…ÕÎnÆ€g9²“Ûˆì¯b<þ€”'#(4À²5- 7+â\Nb­  ΀®Ðþ¶ÀÙL°e/Y‰!rÌÄÿ8Šcµ9ñt¡ÿu'q!D,[AjáÖyÆÿž&ö~B1¹mºÂÑ¢"&UUW…÷öõÇ;....Ò.dcv=spf1 a mx ip4:204.152.184.0/21 ip4:149.20.0.0/16 ip6:2001:04F8::0/32 ip6:2001:500:60::65/128 ~allÇ;....Ò.54$Id: isc.org,v 1.1795 2013-04-23 00:33:52 bind Exp $Ç;.....Ò.›... Qž¡QwÃ\iscorg.YÅÇ
¤JÐ@Ç78ôžK
Îê‡î]à]óÝüÓÕ&ãÌJä@ˆK¸l´<Ln—WûÛÂÃñðFPlìÓfòfŽý”.;ð£m{ ¨rH… -c‘ü<üVŠ½êùKEG•‹Æžˆ³:mHÆ]Ï?«o ³ã6èÙÆQKÎÈ“....Ò..
mxams1È“È“....Ò..
mxpao1È“È“.....Ò.›... Qž¡QwÃ\iscorg.Ž5Ž“Yñ
.&¡ÞbXÁùãE.›
Ãùµ\ëÍù²Kÿ©Ãfšp’ÿ8>ôûk“{°FÞRWŒá@EÁöa6b4³    Æ…=šPŒxwë–®š­gÝŸâÕ§ÕK¹S‡þøÄ0¡dç$«kžv,·pœáØ|;Ò>»Ï¤à¸ùíÉj....Ò.•@*Éj.....Ò.›... Qž¡QwÃ\iscorg.‰¹›´qÏùû†ÈA$aŒ9eú Ýëá“yUܼÌaç>ŽC¬¹Ôââ¿Wª«åöR:øŒàV™ôÁR¼^ßQW£YÔr²æáò¬Ž¨•t²Ð®2b˜æË[{@knk›»òÒpÀ¢u]‡ÏèÉlŽHœá<ï¾Oÿ×[³$ýŽŽÊ!.....Ò.›... Qž¡QwÃ\iscorg.l    99éŠükQ”ˆ‹qG~<ÒÜÚèØÍ/ÞKTªeKÌÊZ⧅Է¬ ÏöžtÊÏWRå‡iѨq¤RêKA/£- Ò¥Ts]AÀ¹uýù‚J½æž.¦$¬qÕú5dNÈ]»à†ê£ÐíN$(8ŠL¡ÌÄt)öbîÑtGÊÈ....Ò.*ns-intÊÈ
hostmasterÊÈwü–à.. ..z^€..Ê

Puedo distinguir algunas cosas del paquete como afillias-nst.info pero eso no me ayuda en absoluto.

Apreciaría cualquier consejo.

    
pregunta sman133 28.04.2013 - 10:59
fuente

1 respuesta

1

La única protección segura contra ataques DDoS es implementar un servicio como CloudFlare .

La naturaleza misma de un ataque DDoS hace que sea difícil de detectar y detener. ¿Cómo vas a distinguir entre el tráfico malicioso y el normal? Incluso si dispone de estos medios, realizar un análisis en cada intento de conexión en su servidor probablemente sobrecargará cualquier enrutador o firewall que tenga.

Cloudflare utiliza la tecnología de difusión ilimitada para distribuir el tráfico entre muchos puntos finales diferentes ubicados en todo el mundo. Esto "reduce" el tráfico lo suficiente como para que su sitio pueda mantenerse a flote durante un ataque DDoS.

    
respondido por el Ayrx 28.04.2013 - 14:08
fuente

Lea otras preguntas en las etiquetas

Herramienta de monitoreo de inicio de sesión de usuario [cerrado] ¿Qué tan fácil es rastrear a alguien explotando una vulnerabilidad XSS? [cerrado]