web-dev-qa-db-ja.com

UDP帯域幅枯渇DDoS攻撃への対処方法

UDPを使用するサービスを構築しています。それはAmazon AWSで実行されます-彼らが提供するファイアウォールでは、サービスが実行する1つのUDPポートを除いてすべてをブロックできます。

私が心配している唯一のことは、その特定のUDPポートのランダムなスプーフィングされたIPアドレスから大量のUDPパケットのスパムを受信することです。これらのスプーフィングされたIPアドレスのプールが制限される場合、それらすべてがサードパーティのファイアウォールでブラックリストに登録される可能性があります。しかし、すべてのパケットがランダムな32ビットIPアドレスを持つことができる場合、正当なパケットからそれを認識する方法を考えることができません。

そのような攻撃を防ぐ方法さえありますか?

networkattacksddoscloud-computingudp
5
John Lock

あなたは絶対にUDPに縛られていますか? TCP IPスプーフィング攻撃を修正します。

IPSEC?すべてのパケットが所定の信頼できるデバイスからのものである場合は、認証ヘッダーを追加して検証できます。

2
CGretski

DDoS攻撃の目標は、リソース(帯域幅、CPU、RAM、ディスクなど)の一部を使い果たすことです。それらは通常2種類あります:

  • サーバー(またはバックエンド)の脆弱性を悪用し、攻撃者側の小さな労力(リソースの賢明な変更)でリソースに影響を与えます。 Sloworis はそのような例です。通常、解決策はベンダーからの修正です。
  • 攻撃者と比較して帯域幅が限られているという事実を悪用します。解決策は、それが機能する場合、トラフィックが到達する前に魔法のように中間体(CloudFlare、Akamaiなど)を使用することです。魔法のように=動作するかどうかにかかわらず、独自のソリューション。いずれにせよ、そのようなトラフィックの急増があなたに届いたとしても、自分を守るには遅すぎます-パケットはあなたから上流で処理されなければなりません。

あなたの場合、これはおそらくケース#2です。

単一のIPからのDoSがある場合、そのトラフィックをドロップすることでファイアウォールレベルで処理できます。ただし、これは通常非常に原始的な攻撃です。

1
WoJ