it-swarm.dev

Quali tecniche usano i firewall avanzati per proteggere da DoS / DDoS?

È difficile proteggere un server da attacchi Denial of Service , DoS/DDoS. I due semplici modi a cui riesco a pensare è usare un server con molte risorse (ad esempio CPU e memoria) e costruire l'applicazione server per scalare molto bene. Altri meccanismi di protezione sono probabilmente utilizzati dal firewall. Posso pensare agli indirizzi IP con lista nera, ma non so davvero come funzioni. E probabilmente ci sono altre tecniche che vengono utilizzate dal firewall per proteggere dagli attacchi DDoS.

Quali tecniche utilizzano i firewall avanzati per proteggere gli attacchi DoS/DDoS?

74
Jonas

Sono in realtà due attacchi diversi, sebbene simili.

Il DoS "regolare" si basa sul tentativo di arrestare in modo anomalo il server/firewall, attraverso un qualche tipo di bug o vulnerabilità. Per esempio. i ben noti attacchi SYN Flood . La protezione contro questi, sono ovviamente specifici per il difetto (ad esempio i cookie SYN) e la codifica/progettazione sicura in generale.

Tuttavia, DDoS tenta semplicemente di sopraffare il server/firewall inondandolo di masse di richieste apparentemente legittime.
Sinceramente, un singolo firewall non può davvero proteggere da questo, poiché non esiste un modo reale per contrassegnare i client "cattivi". È solo una questione di "best-effort", come la limitazione stessa, quindi non si arresta in modo anomalo, bilanciamento del carico e sistemi di failover, tentando di inserire nella lista nera gli IP (se non in base alla "cattiveria", quindi in base all'utilizzo) e, ovviamente, avvisando attivamente gli amministratori.
Quest'ultimo potrebbe essere il più importante, poiché nei casi di DDoS apparente (dico evidente, perché solo il normale utilizzo di picco potrebbe apparire come DDoS - storia vera) ci vuole davvero un essere umano per differenziare il contesto della situazione e capire se chiudere, fare il miglior sforzo, fornire un'altra scatola, ecc. (O utilizzare un contrattacco ... ssshhh !!)

39
AviD

La mia esperienza di attacchi DoS e DDoS si basa sull'essere un ingegnere Cisco per un ISP e successivamente come Security Manager per un Global molto grande. Sulla base di questa esperienza, ho scoperto che per affrontare efficacemente attacchi complessi e su larga scala richiede una buona collaborazione tra l'organizzazione sotto attacco e il loro partner di mitigazione ISP o DDoS (Sì, ora ci sono aziende dedicate a questo, in sostanza sono molto ISP di grandi dimensioni a sé stante, ma utilizza la propria rete globale per assorbire il traffico aggiuntivo generato durante un attacco).

Di seguito sono riportate alcune considerazioni se si fronteggia un attacco al di fuori della tolleranza della larghezza di banda (ovvero il consumo di larghezza di banda) e si ha bisogno di aiuto per rispondere.

Dove non esiste un partner per la mitigazione: Stabilire una relazione forte con il proprio ISP. Identifica le squadre e i contatti giusti di cui avrai bisogno in caso di attacco.

Usa il tuo firewall (o altro dispositivo di registrazione) per ottenere prove dell'attacco (IP di origine, protocollo, lunghezza del pacchetto, ecc.) Poiché queste informazioni possono essere estremamente preziose per l'ISP nel decidere come rispondere. Non è divertente provare a intrappolare il traffico su un dispositivo di routing Cisco dalla riga di comando alle tre del mattino! Quindi ogni aiuto è apprezzato. :-)

Con questo il tuo approccio probabile sarà quello di filtrare il traffico all'interno del cloud ISP. Se sei stato in grado di fornire informazioni sufficienti e il traffico è tale, l'ISP potrebbe essere in grado di filtrare il traffico dannoso e lasciare libero il traffico di rete valido per accedere alla tua rete. Tuttavia, se stai causando problemi di latenza per l'ISP, è probabile che questi possano bucare l'intero percorso sul loro gateway BGP e sparirai dalla rete. Filtri di routing aggiuntivi causano il carico sui gateway, quindi non aspettarti che il tuo ISP aggiunga più filtri in quanto ciò potrebbe avere un impatto sugli altri utenti.

tilizzando un partner di mitigazione:

Posso solo parlare dell'esperienza di un fornitore per questo, quindi dovrai fare i compiti per decidere se lo richiedi e, in tal caso, chi sarebbe nella posizione migliore per fornire.

Il servizio si basava sulla pubblicità del percorso BGP e sul monitoraggio degli attacchi. Una volta identificato un attacco, il partner di mitigazione pubblicizza il percorso per passare attraverso la propria rete, dove i router principali vengono utilizzati per filtrare il traffico dannoso prima di passare all'organizzazione.

Il mio ruolo in tutto ciò è stato quello di testare l'implementazione di un approccio associato alla mitigazione DDoS. Ciò ha comportato l'utilizzo di un team globale di ingegneri della sicurezza per generare traffico sufficiente per effettuare un test valido. Stavamo testando sia la capacità di identificare un attacco che di rispondere in modo efficace. Sulla base di questo, siamo rimasti molto colpiti dal loro approccio generale e la soluzione ha funzionato.

40
David Stubley

Un tipo di protezione contro DDOS non eseguito direttamente dai firewall è distribuire i contenuti della pagina in tutto il mondo in modo tale che tutte le richieste che provengono da un Paese vengano eseguite su un server locale e le richieste da un altro Paese , allo stesso URL o dominio, vengono eseguiti su altri server locali che distribuiscono il carico tra server locali e non sovraccaricano un server univoco. Un altro punto di questo sistema è che le richieste non viaggiano troppo lontano.

Questo è un lavoro per i DNS e l'infrastruttura è chiamata Content Delivery Network o CDN.

Le aziende come CloudFlare offrono questo tipo di servizi.

8
kinunt

Il DDOS viene di solito eseguito inviando una quantità schiacciante di pacchetti al server, in cui il server proverà freneticamente a elaborare, naturalmente. Una volta che un firewall ha notato un possibile DDOS, può essere configurato per inserire nella blacklist tutti i client con un livello abbastanza alto PPS (Pacchetti al secondo).

I filtri possono essere attivati ​​e disattivati ​​in qualsiasi momento, quindi se si verifica un DDOS è possibile attivare un filtro con un set di regole molto rigoroso.

5
Chris Dale

Mi piace rispondere alla prima parte della domanda che è " utilizzare un server con molte risorse (ad esempio CPU e memoria) per ridimensionare l'applicazione ". Si consiglia di eseguire il ridimensionamento dell'applicazione prima di eseguire il ridimensionamento del server. La creazione del profilo dell'applicazione può essere suddivisa nei seguenti passaggi:

  1. Test di caricamento: eseguire test di stress sull'applicazione tramite strumenti di test di carico come pylot.
  2. Ottimizzazione delle query: la seconda attività consiste nell'ottimizzare le query, ovvero query che possono funzionare in modo efficiente per database di piccole dimensioni ma non possono essere ingrandite per database di grandi dimensioni.
  3. Sharing dell'applicazione: distribuzione della maggior parte dei contenuti di accesso su disco più veloce.

C'è molto da aggiungere a questo elenco e una buona lettura è "Come ridimensionare un'applicazione web"

2
Ali Ahmad