web-dev-qa-db-ja.com

有料のDDoSサービスから身を守るには?

私は国内ユーザーであり、私を嫌う男から定期的に攻撃されています。

背景は次のとおりです。その男は、Skypeリゾルバー(有料のDDoSサービスによって提供されるツール)を使用して、Skype IDに基づいて私のIPを見つけます。私が動的IPを持っているので彼はそうします、そして私がオンラインに行ってSkypeにサインインするときはいつでも、彼はSkypeリゾルバーを使用して私の新しいIPを発見します。これで、新しいSkype ID(作成したもの)を作成したり、Skypeのプロキシサービスを使用したりすると(これは常に便利とは限りません)、これを回避できることはわかっていますが、他の人から私のIPを発見した場合、どのようにして攻撃を防ぐことができるのでしょうか。手段。

私が確かに知っているのは、彼が2〜3の有料DDoSサービスを使用しているため、彼のPCから攻撃を行っていないということです。 100 Mbpsのダウンロードおよびアップロード機能があり、CPUはCore i7-920(2.7 GHzクアッドコア)で、Jetico Personal Firewallを使用しています。また、Window 7 x64を使用しています。攻撃を受けた場合、帯域幅の使用はそれほど多くありませんが、CPUに最大50〜60%のストレスがかかり、インターネットリソースにアクセスできません(閲覧が機能しない、チャットクライアントがオフラインになるなど)。ファイアウォールは攻撃を拒否するために最善を尽くします(以下のスクリーンショットで確認できるように)。クラッシュしたりハングしたりすることはありませんが、それだけでは不十分です。私のインターネット接続はブリッジされているので、彼はルーターを攻撃していません。すべてのパケットが直接システムに到達します。いずれにせよ、ルーターの方がうまくいくとは思いません。

enter image description here

ご覧のように、すべてのパケットは40バイト着信ですTCPパケット、ポート1234を介して送信され、システムのポート80にヒットします(そのポートでリッスンしているサービスはありません。外部からのアクセスは許可しませんでした。送信元IPは世界中から送信されてくるので、なりすましアドレスであると思います。攻撃中に、そのようなパケットを何百万も取得し、それを阻止する唯一の方法は攻撃は、インターネットから切断して再接続することです(別のIPを使用)。

私の質問:インターネットから切断してCPUに大きなストレスをかけることなく、このような攻撃から身を守る方法はありますか?

11
IneedHelp

フィルタリングを行う専用ルーターまたはファイアウォールを用意します。

CPUに負荷がかかっている理由は、システムのソフトウェアファイアウォールが、システムが許容できるより多くのパケットを処理しようとしているためです。

ハードウェアルーターまたはファイアウォールがコンピューターに到達する前にパケットをドロップすることで、うまくいくはずです。もちろん、IS専用のルーターやファイアウォールにも制限があります。そのため、実際には、攻撃者がDDoSに使用するリソースの量に依存します。

その上、ISPと調整して着信パケットをブロックしたり、法執行機関に問題を報告したりする以外に、攻撃者を阻止するためにできることは他にありません。

19
user10211

現在の設定で最初にできることは、この特定のトラフィックをドロップするルールを追加することです。使用しているファイアウォール製品がわからないので、YMMVです。

  • ルールは、レイヤー3-レイヤー4のプロパティ、つまりsrcポート1234とdstポート80に基づく
  • ルールはルールセットの上に配置されます-これはCPUに役立ちます
  • ルールは、次の2つの理由により、トラフィックを黙って(拒否せずに)ドロップします。
    • リセットを送信すると、帯域幅とCPUが消費されます
    • リセットを送信すると、ホストがアクティブであることを確認し、さらに要求します

この特定のシナリオの場合-アクセスリストを備えた小さな管理されたスイッチは、Cisco 2960-Cファンレスでコンパクトなシリーズなど、素晴らしい仕事をする可能性があります。

7
lubas

@LucasKauffman同意できませんが、DDoS軽減サービスはありません。コストは "数十万ドル"です。

リバースプロキシPCI DDS準拠のWebアプリケーションファイアウォール(その種類の最高のものについて話している)は、月に数十ドルを取り戻すだけであり、本格的なネットワークDDoSの軽減でさえ、通常1,000ドル未満の費用がかかります(本当に激しい攻撃ですが、それでもせいぜい数千ドルです。

この場合、私たちは1つ(または複数)のボットネットによって実行される小さなネットワークDDoSを見ていると思います。

@Terry_Chiaが提案するように、小さな攻撃はルーターで対抗できます。 (+1 btw)しかし、より大きなDDoS攻撃は依然としてあなたを強く襲います。

このケースについてもっと学ぶことは非常に興味深く、教育的でしょう。

@IneedHelp、この問題をどのように解決しましたか?

0
Igal Zeifman