En el ataque DDoS, la mayoría del tráfico (en la mayoría de los casos) es de UDP, que es un protocolo sin conexión. Medios sin conexión, cualquier persona puede falsificar la dirección IP de cualquier otra persona y puede enviarle un paquete.
Por ejemplo, puedo enviar un paquete UDP a su servidor con una IP de origen de google.com (o desde cualquier otra IP).
En caso de que esté recibiendo una sesión / tráfico de TCP en su servidor (tráfico que está considerando como tráfico malicioso), entonces puede recopilar los registros completos con las marcas de tiempo adecuadas y puede enviarlos al ISP. br>
Yo trabajo para uno de los grandes ISP en mi región y generalmente usamos para recibir gran cantidad de tráfico no deseado de todo el mundo e informamos lo mismo al creador.
La notificación de tráfico de abuso se realiza de la manera mencionada a continuación -
Recopile los registros del tráfico malicioso y envíelos al equipo de manejo de abusos de la dirección IP del originador correspondiente. Puede encontrar fácilmente los detalles del equipo de manejo de abuso en la sección Equipo de respuesta a incidentes de la información de WHOIS de la dirección IP de origen.
En cuanto a su preocupación de tener muchas direcciones IP como originador del tráfico malicioso, hay muchas herramientas de código abierto disponibles que pueden analizar los registros, hacer el whois y enviar un correo al originador. Y escribir un código para esto tampoco es una gran tarea; También se puede hacer internamente.
Ahora viene la última parte de su consulta, sobre el lugar de la lista negra donde puede enviar estas direcciones IP; No hay tal lugar, si hablamos en un lenguaje sencillo de vainilla. Pero lo que puede hacer es pedirle a su proveedor de Upstream que bloquee el tráfico de esas direcciones IP hacia su red (si desea bloquear esas direcciones IP para su red). También puede haber efectos secundarios de este enfoque. así que por favor piense antes de bloquear las direcciones completamente.
Además, puede colaborar con las empresas de seguridad de TI para analizar más a fondo el tráfico.
Espero que esto explique las cosas!