web-dev-qa-db-ja.com

ISPでのDDoSブロックソースIP

データセンターでDDoS攻撃を停止しても、DDoS攻撃が発生すると、ISP間のリンクが飽和状態になり、トラフィックが停止します。

この場合、ISPレベルで送信元IPアドレスをブロックするためにISPと通信するための最良の方法は何ですか?確かに、それらに電子メールを送信したり電話をかけたりするよりも良い方法があるはずです。

firewallddosisp
4
Exocomp

[〜#〜] d [〜#〜]の最初の[〜#〜] d [〜# 〜]DoSは分散を意味します。

配布されると、DDoS被害者は、さまざまなISPを使用して、数十万のさまざまな送信元アドレスから接続を受信する可能性があります。それだけでなく、一部の攻撃では、攻撃接続と正当な接続を区別することが非常に困難になります。

ソースでDDoSをブロックするには、次のことを行う必要があります。

  • 攻撃している接続のみをリストする

  • ソースIPを取得する

  • そのIPのISPを見つける

  • そのISPの連絡先情報を見つける

  • あなたのサイトへの接続をブロックするように彼らに依頼してください

そして何十万回も繰り返します。

ISPの連絡先情報を見つけることができない可能性があり、見つけたとしても、彼らがあなたを助けるためにネットワーク上の何かを変更する可能性はほとんどありません。彼らはおそらくあなたを苦しめるでしょう。あなたを助けようとして彼らのネットワーク上で何かを壊す危険を冒すよりも、あなたを無視するのが最善です。

リモートトリガーブラックホール-RTBH は、ルーターが提供するIPアドレスに対してDDoSが発生した場合に、アップストリームルーターで宛先アドレスをブラックホール化するメカニズムです。これは、洪水の犠牲者ではなく、洪水からインフラストラクチャを保護するように設計されたメカニズムであるため、あなたを救うこともできません。

ソースベースのRTBH 有効性は非常に制限されています。問題のあるIPを送信する前に、悪意のあるトラフィックから悪意のあるトラフィックを分離する必要があり、ISPが悪意のあるIPを送信するためのメカニズムが必要です。攻撃者がS-RTBHを導入していることを知った場合、たとえばGoogle翻訳を使用してサイトを氾濫させ、ISPがGoogleをブラックホール化する可​​能性があります。

4
ThoriumBR

チャンスは無い。 DDOSには少数のソースIPがないため、実際のトラフィックと偽のトラフィックを区別する必要があります。そして、これを通信するためのISPレベルのインフラストラクチャはありません。これには、ある種の認証の提供も含まれます(したがって、悪用されることはありません)。

あなたの唯一の選択は、Cloudflareのようなものを使用することです-チェックを行い、損傷を軽減する分散プロキシ。荷物を運ぶのに十分強い人の後ろに隠れてください。

4
TomTom

通常、DDoS攻撃は、ボットネットまたはゾンビマシンのネットワークを制御しているハッカーから発生します。攻撃者はすべてのボットにコマンドを発行し、特定のリソース/ URIを要求するように指示します。多数のリクエストがサーバーを圧倒し、サーバーを停止します。

DDoS攻撃の天才は、トラフィックが実際の顧客の潜在的に正当なIPから来ているという事実から生じています。

言うまでもなく、DDoS攻撃は非常に多くの異なるIPアドレスを使用する可能性があります。つまり、ブロックするIPはありません。または2つ、3つ、または4つです。数百または数千の一意のIPがあります。

多数のIPアドレスをブロックすることが常に望ましいとは限りません。 DDoSが大きいために多数のIPアドレスをブロックすることで、望ましくない副作用としてそれらのIPアドレスを共有する可能性のある多数の正当なユーザー(Tor、プロキシユーザー、大学、共有世帯、=を使用するISPなど)をブロックできます。 NAT)。

このような攻撃を防ぐには、セキュリティテスト、ネットワークインフラストラクチャ、Wi-Fiテストを含むIxiaのような ネットワークテスト サービスの使用を検討してください。

0
Mika Wolf

多くの場合、あなたは「リモートトリガーブラックホール」(RTBH)または "null-route" に辞任しています。これにより、ダウンストリームリンクの飽和を防ぐために、すべての着信トラフィックができるだけ早く宛先プレフィックスにドロップされます。エンドでBGPスピーカーを使用してISPに話しかけ、ISPの人と対話せずにこれを自動的にトリガーすることができます。

ただし、何に当たるか、ISPがどれだけ気に入っているかに応じて、ホストを完全にブラックホールにすることなく問題を解決できる場合があります。攻撃トラフィックの構成要素、およびこのアップストリームをフィルタリングする単純なACLを実装できるかどうかを判断する必要があります。この良い例は、DNS/SNMP/NTP/etcリフレクション攻撃が数年前に一般的だったとき、これらの攻撃をフィルタリングするルールは非常に単純でした(drop udp 53 inboundなど)。私は自分の上流(当時はTeliaとHurricane Electric)と話し、パイプがはるかに大きいコアの近くでこれらの単純なルールを実装することができました。

0
John Marion