it-swarm.dev

DDoS - Impossibile fermarsi?

È possibile - in teoria - fermarsi1 un attacco DDoS di qualsiasi dimensione? Molte persone affermano che è impossibile fermare gli attacchi DDoS e dirmi che non dovrei scherzare con le persone sbagliate su Internet.

Ma cosa succede se, tra 5 anni, tutti è in grado di noleggiare una botnet? Allora non dovremmo ripensare l'intera architettura di Internet?

1: per stop accetto anche di rimuovere gli effetti negativi ovvero mantenere attivo il servizio.

47
user2173629

Immagina un centro commerciale. Per definizione, chiunque può entrare nel centro commerciale e poi navigare nei negozi. È pubblico. I negozi sono in attesa di persone che arrivano, guardano i display, magari entrano e poi acquistano le cose.

Nel centro commerciale, c'è un negoziante, che vende, diciamo, computer. Chiamiamolo Jim. Vuole che le persone passino e vedano i computer e siano attratti dall'acquistarli. Jim è il bravo ragazzo nella nostra storia.

Lascia che ci sia Bob. Bob è un nichilista scontento che odia Jim. Bob farebbe di tutto per rendere Jim infelice, ad es. interrompere gli affari di Jim. Bob non ha molti amici, ma è intelligente, nel suo modo contorto. Un giorno Bob spende un po 'di soldi per far pubblicare un annuncio al giornale locale; l'annuncio afferma, in caratteri grandi e colori vivaci, che Jim gestisce una grande promozione in occasione del decimo compleanno del suo negozio: i primi cento clienti che entrano nel negozio riceveranno un iPad gratuito . Per coprire le sue tracce, Bob esegue i suoi rapporti con il giornale con lo pseudonimo di "bob" (che è il suo nome, ma scritto al contrario).

Il giorno dopo, ovviamente, il povero Jim viene sommerso da persone che vogliono un iPad gratuito. La folla ostruisce il negozio di Jim ma anche una parte sostanziale del centro commerciale, che si riempie di persone deluse che iniziano a capire che non esiste un iPad gratuito. La loro negatività li rende improbabili che acquistino altro, e in alcun modo non possono muoversi a causa della stampa della folla, quindi gli affari nel centro commerciale si fermano del tutto. Jim diventa altamente impopolare, con gli ex briganti di iPad, ma anche con i suoi colleghi negozianti. Bob ridacchia.

A questo punto, Jim contatta il direttore del centro commerciale Sarah. Sarah decide di gestire l'emergenza chiamando i pompieri. I pompieri arrivano con i loro elmetti luccicanti, camion lampeggianti, sirene urlanti e asce affilate e presto convincono la folla a disperdersi. Quindi, Sarah chiama la sua amica Gunther. Gunther è un figlio di immigrati tedeschi, un prodotto puro del melting pot americano, ma soprattutto è un agente dell'FBI, responsabile del problema. Gunther è intelligente, a modo suo contorto. Contatta il giornale ed è prima perplesso, ma poi ha una rivelazione intuitiva: ah-HA! "bob" è solo "Bob" scritto al contrario! Gunther procede prontamente all'arresto di Bob e lo fa incontrare il suo triste ma legale destino davanti al giudice della contea.

Infine, al fine di evitare ulteriori problemi con altri nichilisti che non sarebbero sufficientemente scoraggiati dalla visione del cadavere smembrato di Bob messo in mostra di fronte al centro commerciale, Sarah escogita una misura di mitigazione: assume Henry e Herbert, due muscoli dall'aspetto meschino giovani uomini e li pubblica alle voci del centro commerciale. Henry e Herbert sono responsabili del blocco dell'accesso nel caso in cui un gran numero di persone provasse ad entrare, oltre una determinata soglia. Se un proto-Bob colpisce di nuovo, ciò consentirà la gestione del problema all'esterno all'esterno , nel parcheggio, dove lo spazio non è carente e la folla controllo molto più facile.


Moralità: un DDoS non può essere prevenuto, ma le sue conseguenze possono essere mitigate mettendo misure proattive, e gli autori potrebbero essere scoraggiati attraverso la consueta esibizione di muscoli approvata storicamente dalle forze dell'ordine. Se le botnet diventano troppo facili da noleggiare, le conseguenze prevedibili includono un maggiore coinvolgimento della polizia, l'autenticazione proattiva degli utenti a livello di infrastruttura, la chiusura delle parti più infrequibili della rete (in particolare l'accesso a Internet per i paesi meno cooperativi) e una forte dose di scontento e tristezza per la perdita di un'età passata, più civile.

91
Tom Leek

Nonostante ciò che dicono gli altri, sì, puoi.

Molte grandi aziende hanno soluzioni molto efficaci e persino la recente battaglia di Spamhaus, che ha utilizzato DNS DDoS su una scala che non si era mai vista prima, è stata coperta rapidamente una volta che CloudFlare è stato inserito.

Le soluzioni che ho testato sono molto efficaci nel trasferire il traffico DDoS, anche quando si tratta di un mirror di traffico reale e valido. Per alcuni di questi test, il ritaglio era inferiore al millisecondo e non aveva quasi alcun effetto misurabile sul traffico legittimo.

Questi funzionano con protocolli di reindirizzamento dinamico e, in linea di principio, potrebbero funzionare ovunque. Il motivo per cui vengono utilizzati solo da grandi aziende è che costano molto.

Una soluzione ragionevole è per tutti gli ISP: flottare il traffico in uscita e condividere elenchi di filtri, questo potrebbe impedire del tutto gli attacchi DDoS. Richiederebbe solo agli utenti e alle aziende di richiederlo ai propri ISP e passare da chiunque non avesse fornito questo servizio. Alla fine qualsiasi ISP che non lo ha fornito sarebbe semplicemente nella lista nera.

19
Rory Alsop

No, non è possibile, in teoria o in pratica. Un attacco DDoS ben distribuito è indistinguibile dal traffico legittimo.

Considera gli effetti "slashdot" o "reddit" o "digg", in cui il traffico legittimo effettivo annulla i servizi di rete sul sito Web di destinazione. La semplice pubblicazione di un collegamento al sito Web di destinazione su slashdot è in molti casi un DDoS efficace.

18
Sparr

Bene, puoi ridimensionare l'infrastruttura per rendere più difficile per una botnet mantenere abbastanza traffico per disabilitare il servizio, ma alla fine, l'unico contatore se un DDoS sta usando traffico altrimenti legittimo per causare problemi, tutto ciò che puoi fare è aumentare la larghezza di banda essere più alti dei loro. Se riesci a identificare una fonte come canaglia, allora puoi provare a bloccare l'elaborazione del traffico dal tuo server (che ridurrà il carico della CPU e della memoria) ma dovrai comunque gestire il traffico che viene lanciato da Internet .

7
AJ Henderson

Esistono in linea di principio modi per fermare un DDOS:

  • Il modo più semplice è semplicemente lanciare più risorse. Buona fortuna cercando di smontare Amazon.com o google.com. Combina una voce DNS round robin con tonnellate di server cloud e diventa davvero difficile DDOS.

  • Non tutti possono permettersi tali immense risorse, ma è a questo che servono servizi come CloudFlare. Se diventi un loro cliente, forniscono le risorse (proxy, larghezza di banda) e, non appena ne hai bisogno, le assegnano. È come un'assicurazione, molte persone condividono l'investimento e se ne usufruisce quando necessario.

  • Traffico DDOS spesso è distinguibile dal traffico legittimo .:

    • Ad esempio, se arriva come richieste HTTP, è possibile bloccare temporaneamente la porta 80, ma i server HTTPS e di posta elettronica sarebbero comunque raggiungibili. Ovviamente questo significa un arresto parziale, ma meglio di una completa perdita di servizi.
    • Questo è solo sentito dire, ma mi è stato detto che ci sono switch specializzati che possono fare un'ispezione approfondita dei pacchetti con un'incredibile larghezza di banda, usando FPGA. Possono essere utilizzati per filtrare le richieste HTTP che non dispongono di un User-Agent appropriato o TCP pacchetti che sembrano sospetti.
  • Ultimo ma non meno importante, molto di più potrebbe essere fatto con la collaborazione del tuo ISP o dei provider di backbone. Se l'attacco è geograficamente concentrato, interrompi temporaneamente il routing dei dati da quella regione ai tuoi server. Presumo che questo tipo di strategie dovrà essere usato più ampiamente in futuro.

    (Nell'analogia di Tom Leek: Immagina che Bob abbia fatto la sua offerta gratuita per iPad solo a persone di colore/cinesi/caucasici/... Adesso assumi una guardia di sicurezza razzista. Fermerai la tempesta di clienti falsi, ma a un prezzo, vale a dire che farai arrabbiare alcuni clienti legittimi. (Inutile dire che per favore non farlo nella realtà.))

  • Solo per completezza, se sai chi ti sta attaccando, puoi vendicarti. O legalmente chiamando le autorità o rimborsandole con la propria moneta e attaccando i loro server (ma per favore non farlo!).

5
jdm

Ci sono cose che puoi fare ma non sarai mai protetto al 100%.

Mi è stato consigliato il firewall Fail2Ban per il mio sito su questo forum prima e questo mi ha aiutato. Fondamentalmente un fail2ban rileva attività simili x quantità di volte nei suoi file di registro che vieta quell'ip.

Anche il blocco di tutte le porte non utilizzate aiuta.

3
Jeff

Immagino che con un'architettura solo p2p potrebbe essere possibile ... Ma richiederebbe molti cambiamenti nel comportamento dei computer e comporterebbe lentezza per molti piccoli siti Web. È una buona domanda.

Quando si dispone di un'architettura di rete che consente la centralizzazione, consentirà sempre DDOS. Per essere in grado di prevenirli, è necessario che l'intera infrastruttura Internet diventi consapevole di DDOS, il che significa che tutte le richieste a un determinato IP verranno filtrate quando viene rilevato un collo di bottiglia. Sarebbe davvero costoso implementare tale funzionalità perché i router sono progettati per essere veloci e richiederebbe una "modalità di contenimento DDOS" che controllerebbe gli indirizzi di destinazione dei pacchetti, che sarebbe lento. Il sito web finirebbe per non rispondere o non raggiungibile, ma non si bloccherebbe.

Un altro modo sarebbe quello di consentire al sito Web di avere una sorta di sistema mirror/broadcast per ripetere il contenuto. Trasmissione significa che il contenuto viene ripetuto automaticamente dai router. Ma richiederebbe di non cambiare spesso, il che sarebbe un requisito grave, e non molti siti Web potrebbero permetterselo poiché è costoso.

Onestamente non considero DDOS come un attacco o un problema di sicurezza. Le botnet lo sono.

2
jokoon

Il modo più economico, più efficace e più semplice per bloccare un attacco DDoS:

Non appena il server riceve più richieste di quante ne possa gestire, si attiva una "Modalità protetta". In questa modalità, ogni indirizzo IP richiedente ottiene un sito HTML minimo, più piccolo è il migliore, costituito da un avviso di un attacco DDoS attivo e un prompt captcha:

Google Captcha Example

Gli indirizzi IP che inseriscono il captcha corretto vanno in una lista bianca che consente di navigare nel sito come al solito. Dopo che le richieste vengono nuovamente ridotte, la "Modalità protetta" si disattiva

1
vyrovcz

Adoro la risposta del centro commerciale. Quindi ecco qualche dettaglio in più. Cosa succede quando il centro commerciale è protetto ma il parcheggio inizia a riempirsi?

Innanzitutto, no, non è possibile fermare un attacco di qualsiasi dimensione con l'architettura attuale di Internet. Un ISP di grandi dimensioni ben finanziato, tuttavia, è possibile bloccare quelli piuttosto grandi.

Ma (più o meno) fintanto che l'attacco è più piccolo delle dimensioni delle connessioni in entrata dei tuoi ISP, possono fare un buon lavoro per far funzionare le cose. Ma hanno bisogno di una tecnologia sofisticata.

Le cose migliori con cui abbia mai avuto molto a che fare sono due fasi.

La prima fase identifica i possibili picchi di traffico causati dall'attività DDoS. Una società chiamata Arbor networks è specializzata in questo ( http://www.arbornetworks.com/ )

Quindi alla rete viene comandato di prendere tutto il traffico per la destinazione e di reindirizzarlo agli scrubber DDoS. Ogni scrubber può gestire una certa quantità di traffico e fa un buon lavoro nel raccogliere il traffico valido dal rumore.

Lo scrubber quindi inoltra il traffico valido sul sito originale.

1
JCx

C'è una ricerca sull'argomento e in teoria sembrano esserci modi per fermare gli attacchi DDOS.

Here è un discorso di Adrian Perrig su SCION , un prototipo funzionante per una nuova architettura di rete. Questo dovrebbe essere l'articolo sulla parte del sistema che esegue la mitigazione DDOS. Naturalmente fanno ipotesi sull'attacco di botnet e simili.

Come altri hanno notato, se il tuo aggressore è abbastanza potente da far sembrare l'attacco DDOS un traffico legittimo, sei essenzialmente nella stessa situazione come se non avessi abbastanza risorse per tutti i tuoi utenti. Pertanto, questo caso non può essere prevenuto.

0
Elias

Dipendente. Se un DDoS della dimensione di solo 1 byte su metà di Internet viene avviato sul resto, l'intera Internet sarà inattiva. Ma è quasi impossibile. L'attacco DDoS normale può essere assorbito ma non fermato. Nell'esempio sopra di Tom Leek, l'addetto alla sicurezza può gestire solo un numero così elevato di persone, se il mondo intero entra inondando, non possono fare nulla. Lo stesso vale per DDoS. Puoi pagare CloudFlare, Incapsula, ... per essere la guardia ma con una potenza sufficiente, un DDoS li abbatterà.

0
Giang Nguyen

La cosa principale che gli aggressori DDoS stanno sfruttando è un risorsa centralizzata che possono sopraffare con il traffico. Se si effettua l'applicazione in modo che sia altamente distribuita, gli attacchi DDoS non sono efficaci.

Esattamente questo è stato fatto con l'infrastruttura DNS e anycast. Google DNS, ad esempio, è 8.8.8.8, ma usano anycast, quindi le macchine reali che gestiscono le richieste a 8.8.8.8 sono sparse nei data center di tutto il mondo. Quindi anche gli attacchi DDoS diretti a 8.8.8.8 saranno suddivisi e distribuiti, il che non è l'obiettivo di un attacco DDoS. Per non dire che questo rende impossibile ma molto, molto meno efficace.

Sfortunatamente tutte le applicazioni non sono progettate per funzionare dietro un ip anycast. Ma l'approccio globale è la migliore difesa. Rendi l'app altamente distribuita e l'efficacia di DDoS diminuisce.

0
cipherwar

Una soluzione comune a livello di megacorporation: acquistare larghezza di banda/server sufficienti per ospitare sia utenti legittimi che DDoS allo stesso tempo.

Al di fuori dell'attrezzatura da lancio al problema. l'unica altra soluzione è la costante e diffusa vigilanza pubblica. Troppe persone sono sciatte con i loro computer e permettono loro di essere backdoored o mal controllate a distanza. Alcuni produttori di dispositivi sono anche sciatti con l'elettronica domestica abilitata a Internet, configurandoli male e rendendoli vulnerabili agli hack.

Regola generale: vietare le connessioni in entrata quando non le si utilizza. Se imposti il ​​tuo computer per bloccare tutte le connessioni in entrata, nessuno può controllarlo in remoto (tranne che per istanze estremamente degenerate di backdoor/"zombieware" che stabiliscono attivamente connessioni con i server da cui leggere i comandi).

Il più delle volte, l'utente medio del computer non dovrebbe avere bisogno di consentire le connessioni in entrata. Se è necessario, sbloccare solo le porte/i programmi specifici che richiedono connessioni in entrata, quindi bloccare nuovamente le connessioni in entrata al termine di tali porte/programmi.

I dispositivi IOT sono leggermente più difficili. Non puoi semplicemente farli bloccare tutte le connessioni in entrata perché sono progettate per essere controllate a distanza.

0
user1258361