ルーターを介してDOS攻撃をテストする方法は?
私のクライアントの1人は、ISPから、DoS攻撃が発生したと言われ、ジュニパールーターのログを提供しました。 DoS攻撃が発生/発生していることを確認できるルーターの基準は何ですか?
ルーターを介した攻撃の発見に光を当てる記事やデータはありますか?ログは基本的に言う:
Nov 5 12:24:42 RT_FLOW: RT_FLOW_SESSION_CLOSE: session closed unset: 209.95.32.62/20443->xx.xx.xx.xx/50544 None 209.95.32.62/20443->xx.xx.xx.xx/50544 None None 17 1000 Trust Trust 336106 0(0) 0(0) 1 UNKNOWN UNKNOWN N/A(N/A) ge-2/0/21.0
技術的には単一のパケットである可能性があるDoS攻撃(Ping of Deathを考えてください)ではなく、DDoS攻撃(分散型サービス拒否)を含めることを意味している可能性があります。
それでも、あなたが尋ねている基準はプロバイダーごとにわずかに異なりますが、これらのデバイスによって簡単に追跡できるいくつかのことは次のとおりです。
1.)システムが突然大量のトラフィックを生成するのを見ると、1秒あたり10,000パケットを超えるのが経験則です。
2.)送信元IPアドレスが偽造された顧客ネットワークを離れる多数のパケットを確認する。理論的には、これは出力ルールによってブロックされますが、実際に発生します。
3.)意図的に悪意のある大量のトラフィック。 SYNフラッド攻撃、UDPフラッド攻撃、DNS増幅攻撃、「ターゲット」ホストから送信されたバルクSNMP要求。
4.)意図的に断片化された大量のパケット。
大規模な商用ルーティングメーカーであるCiscoには、何を検出できるかについての洞察を深めることができるドキュメントがあります。
http://www.Cisco.com/web/about/security/intelligence/guide_ddos_defense.html
ウィキペディアには、サービス拒否攻撃に関する非常に便利なエントリがあり、検索したいネットワークトラフィックの多くについても言及しています。
https://en.wikipedia.org/wiki/Denial-of-service_attack
最後に、次の論文も役立つかもしれません