¿Qué tan similares son los bots con respecto a su solicitud HTTP GET?

5

Supongamos que una botnet está atacando un sitio web mediante la inundación HTTP GET. Para encontrar los bots, la única forma parece ser encontrar las similitudes de las solicitudes HTTP GET teniendo en cuenta los campos de URL y encabezado, ya que las solicitudes son enviadas por algún script. ¿Es esto cierto? El bot puede crear la URL para que contenga algún parámetro con campos aleatorios. Los encabezados son: HOST, Referer, User-Agent, Aceptar, ...

¿Esta idea de medida de similitud funciona?

    
pregunta Yasser 02.01.2013 - 11:22
fuente

3 respuestas

2

Sí, generalmente es así como se mitigaron los ataques DDoS de la aplicación.

Algunos servicios Anti-DDoS solo dependerán de la firma, pero los proveedores de DDoS Protection de alta calidad utilizarán una combinación de métodos de identificación basados en la firma y el comportamiento y los combinarán con los desafíos (ejecución de JS, cookies, etc.) para detectar y bloquear bots maliciosos. Tráfico y evitar falsos positivos.

Lo único que tengo que agregar aquí es que necesitarás usar un proxy, preferiblemente más de uno, si quieres que esto funcione correctamente.

Obviamente, el uso de su servidor principal para el filtrado obviamente no se recomienda, ya que el ataque DDoS agotará los recursos incluso antes (y durante) el proceso de filtrado.

    
respondido por el Igal Zeifman 03.01.2013 - 12:30
fuente
4

Si las solicitudes generadas por la botnet tienen un patrón distinguible del tráfico legítimo, puede escribir manualmente las reglas en el servidor de seguridad o servidor web para bloquear estas solicitudes. Un producto más avanzado podría descubrir esos patrones y bloquearlos automáticamente.

enlace es un módulo de Apache que ayuda a evitar la denegación de servicio al permitirle escribir reglas sobre el HTTP. encabezados y sobre la tasa en la que entran esas solicitudes.

La calidad de la herramienta de denegación de servicio, es decir, qué tan bien simula el tráfico legítimo, haría la detección más fácil o imposible.

    
respondido por el Cristian Dobre 02.01.2013 - 12:38
fuente
2

El ataque puede ser mitigado en varios niveles. Si el ataque proviene de miembros conocidos del bot, el firewall puede bloquearlos. Si el patrón de ataque es determinable, entonces podría ser bloqueado por los sistemas de prevención de intrusiones o por la propia aplicación. Tenga en cuenta que las IP determinadas por el IPS / aplicación pueden ser devueltas al firewall para agregar a los delincuentes a la lista de bloqueo. Si el patrón de ataque no es determinable y no se conocen las IP incorrectas, es posible que deba realizarse algún tipo de lista de tiempo para permitir algún subconjunto conocido del tráfico válido.

Tenga en cuenta que los ISP venden servicios de mitigación de ddos y utilizan técnicas más sofisticadas, además de las anteriores, ya que pueden observar el tráfico "ascendente" del servidor víctima y pueden comparar diferentes víctimas y bots para que sus "limpiadores" dedicados tengan más para trabajar. con. Entonces, un recurso es comprar uno de esos servicios. Es mejor hacer eso a priori: los cargos tienden a ser más altos cuando ya estás bajo ataque.

    
respondido por el Duncan 02.01.2013 - 13:30
fuente

Lea otras preguntas en las etiquetas