Al detectar un ataque DDoS, ¿simplemente lo bloquea con su firewall o lo reporta a los proveedores de origen?

8

Estamos recibiendo una gran carga de conexiones, más de 10 millones por día, en varios puertos (80, 443, 8080, 8888 y 4072).

Esto ha estado ocurriendo durante 4 días y no parece que esté bajando.

El 99.9% de estos están bloqueados en nuestro firewall, algunos van a Apache. Es difícil decir cuánto de nuestro sistema utiliza, yo diría que menos del 3%.

Ahora, parece que el ataque no se detendrá por sí mismo en el corto plazo. Una vez que protegió su sistema, ¿generalmente se comunica con los ISP que "participan" en el ataque para pedirles que detengan a los infractores?

El ataque abarca más de 2,000 direcciones IP de muchos proveedores diferentes. Por lo tanto, parece una tarea bastante difícil trabajar en un número tan grande de personas, especialmente porque generalmente sospechan de usted en lugar de los atacantes / delincuentes ... hacker.)

¿Habría un lugar en la lista negra donde pudiera proporcionar todas las direcciones IP ofensivas?

    
pregunta Alexis Wilke 19.10.2016 - 22:10
fuente

3 respuestas

4

No solo es así, siempre debe informar sobre incidentes de este tipo para abusar de las identificaciones de correo de la infraestructura en cuestión.

Muchas veces las máquinas involucradas en DDoS no son conocidas por el propietario de la máquina, como por ejemplo: -
1. la persona alojó el servidor DNS y, sin saberlo, lo dejó abierto para todo el mundo (tipo de resolución de resolución abierta).
2. La máquina está bajo el control de RAT o TROYAN

Informar sobre estos incidentes nos ayudará a todos a reducir el impacto de DDoS, que ha aumentado a 1 Tbps en el pasado reciente.

Además, también puedes contribuir a los repositorios centralizados.

    
respondido por el 8zero2.ops 20.10.2016 - 03:52
fuente
4

En el ataque DDoS, la mayoría del tráfico (en la mayoría de los casos) es de UDP, que es un protocolo sin conexión. Medios sin conexión, cualquier persona puede falsificar la dirección IP de cualquier otra persona y puede enviarle un paquete.

Por ejemplo, puedo enviar un paquete UDP a su servidor con una IP de origen de google.com (o desde cualquier otra IP).

En caso de que esté recibiendo una sesión / tráfico de TCP en su servidor (tráfico que está considerando como tráfico malicioso), entonces puede recopilar los registros completos con las marcas de tiempo adecuadas y puede enviarlos al ISP. br>

Yo trabajo para uno de los grandes ISP en mi región y generalmente usamos para recibir gran cantidad de tráfico no deseado de todo el mundo e informamos lo mismo al creador.

La notificación de tráfico de abuso se realiza de la manera mencionada a continuación -
Recopile los registros del tráfico malicioso y envíelos al equipo de manejo de abusos de la dirección IP del originador correspondiente. Puede encontrar fácilmente los detalles del equipo de manejo de abuso en la sección Equipo de respuesta a incidentes de la información de WHOIS de la dirección IP de origen.

En cuanto a su preocupación de tener muchas direcciones IP como originador del tráfico malicioso, hay muchas herramientas de código abierto disponibles que pueden analizar los registros, hacer el whois y enviar un correo al originador. Y escribir un código para esto tampoco es una gran tarea; También se puede hacer internamente.

Ahora viene la última parte de su consulta, sobre el lugar de la lista negra donde puede enviar estas direcciones IP; No hay tal lugar, si hablamos en un lenguaje sencillo de vainilla. Pero lo que puede hacer es pedirle a su proveedor de Upstream que bloquee el tráfico de esas direcciones IP hacia su red (si desea bloquear esas direcciones IP para su red). También puede haber efectos secundarios de este enfoque. así que por favor piense antes de bloquear las direcciones completamente.
Además, puede colaborar con las empresas de seguridad de TI para analizar más a fondo el tráfico.

Espero que esto explique las cosas!

    
respondido por el Gaurav Kansal 21.10.2016 - 10:56
fuente
-5

Informarlo es bastante inútil. Los "delincuentes" son muy probablemente parte de una red de bots, por lo que ni siquiera saben que son parte del ataque.

En muchas jurisdicciones, las leyes de privacidad prohíben a los ISP incluso ver el tráfico de sus clientes sin una orden de registro, por lo que no pueden confirmar su acusación. Y además, tienen mejores cosas que hacer que alienar a sus clientes que pagan por ti.

    
respondido por el Philipp 19.10.2016 - 23:21
fuente

Lea otras preguntas en las etiquetas