it-swarm.dev

Arresto di DDOS TCP SYN e attacchi di inondazione UDP

Vorrei sapere se è possibile interrompere un TCP SYN OR ICMP attacchi di inondazioni se questi attacchi vengono rilevati in tempo. Qual è il processo più accurato per filtrare questi indirizzi se l'unico modo è bloccare gli indirizzi IP della botnet.

7
maya-bf

È probabile che questi attacchi vengano fatti usando lo spoofing IP, la prima linea di difesa sta incoraggiando il tuo ISP ad adottare BCP38 per evitare lo spoofing IP.

Il problema con un attacco Denial of Service è che spesso devi impedire al traffico dannoso di raggiungerti in primo luogo. Non puoi fare molto a livello locale, ma puoi sempre optare per un servizio come CloudFare (che implementa anche BCP38) in quanto possono cancellare questo tipo di pacchetti prima che ti raggiungano.

2
Lucas Kauffman

SYN Flood può essere mitigato abilitando SYN Cookies . I cookie SYN impediscono a un utente malintenzionato di riempire le tue code SYN e rendono i tuoi servizi irraggiungibili all'utente legittimo.

Su Linux, queste sono alcune impostazioni che è possibile utilizzare per abilitare e configurare i cookie SYN in modo efficiente:

echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 2048 > /proc/sys/net/ipv4/tcp_max_syn_backlog
echo 3 > /proc/sys/net/ipv4/tcp_synack_retries

Per fare in modo che queste impostazioni vengano caricate automaticamente all'avvio, aggiungi quelle righe al file /etc/sysctl.conf:

net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_synack_retries = 3

È possibile proteggere anche una finestra di Windows, come descritto in questo articolo di Microsoft . Windows Vista e versioni successive hanno la protezione dagli attacchi SYN abilitata per impostazione predefinita.

A partire dall'alluvione UDP, purtroppo non c'è molto che puoi fare al riguardo. Tuttavia, in un alluvione ICMP/Ping, puoi configurare il tuo server per ignorare i ping, quindi un attacco sarà solo semi-efficace poiché il tuo server non consumerà larghezza di banda rispondendo alle migliaia di ping che riceve.

Puoi farlo eseguendo questa configurazione:

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

E naturalmente, aggiungi questa riga al file /etc/sysctl.conf:

net.ipv4.icmp_echo_ignore_all = 1

Ma alcuni sistemi di watchdog richiedono che ICMP Echo sia abilitato per funzionare. Alcuni server di noleggio richiedono di lasciare abilitato Echo ICMP per questo motivo. Ma puoi ancora usare iptables per disabilitare il ping solo in alcune interfacce.

Su Windows questo può essere fatto con il comando:

netsh firewall set icmpsetting 8 disable

Windows Firewall deve essere attivo.

13
Havenard

Come esempio di un grave attacco UDP, sono Senior Network Admin presso un'università in California, e un paio di giorni fa abbiamo avuto un grave attacco alluvione UDP da non meno di 553 host separati in tutto il mondo .. Sì davvero .. I è stato solo in grado di limitare i nostri (Large) pipe in entrata dal nostro provider e di filtrare parzialmente parte dell'ingresso e parte dell'UDP risultante in risposta. Questo è un vettore di attacco davvero brutto .. Stiamo ancora lavorando per trovare una risposta migliore suite di contromisure da distribuire quando ciò si ripete.

1
user35597