DDoS. Somos tão indefesos? [duplicado]

11

Com recentes incidentes de DDoS relacionados a wikileaks, não posso deixar de sentir que praticamente todos os sites on-line são muito vulneráveis a esses ataques. Visa, MasterCard (para citar alguns) foram desativados por causa disso.

Então, minhas perguntas são:

  1. O DDoS é uma forma de ataque tão poderosa?
  2. O que uma empresa pode fazer para lidar com essa situação?

EDITAR: Eu acho que eu poderia ter formulado minha pergunta também "de maneira não trivial". Eu sei o que é um DDoS (da Wikipedia e outros sites).

Minha verdadeira pergunta é: Por que essas grandes empresas NÃO estão aplicando técnicas anti-DDOS? Não me diga que o Paypal e a MasterCard não têm medo do serviço ou dos ataques. Eu olhei sobre o custo de algumas dessas soluções, mas elas não parecem tão caras em comparação com quanto Paypal ou VISA faz um ano. A verdadeira questão é por que eles estão tão despreparados? (Ou a escala do DDoS é muito maior do que a esperada?)

    
por disappearedng 09.12.2010 / 02:51

6 respostas

6

Existe uma pergunta semelhante aqui :

The challenge with this question is that it asks for a solution to a fundamentally unsolveable problem. There's no tool or practice you can adopt that is going to protect you from a moderately competant attacker who is determined to take down your service.

mod_evasive is about as good a solution as you're going to get to this problem in the short term. It implements "best practices" throttling of requests, and will prevent your system from being taken down by a 5 line Perl script.

In the longer term, when your application becomes successful, you'll inevitably wind up deploying a load balancer in front of it. The mainstream commercial load balancers (like F5's Big-IP) all implement "DOS protection" throttling, so you can turn that feature on when you upgrade. But don't upgrade just to get that feature.

The problem with solving modern DDOS attacks is that they are launched from numerous unrelated unpoints (often, from huge botnets). Web application firewalls like Citrix/NetScaler, Imperva, and F5 will do a decent job with the canned attacks, but skilled analysts (preferably from your own team) are going to be needed to stop "real" attackers who know your name; you do that job by analyzing the attack traffic, finding characteristics in it particular to the attacker, and filtering it.

I think you're on the right track with free "plug-and-play" defenses for this, especially with a new application.

@tqbf

    
por 09.12.2010 / 02:55
4

Eles são. A coisa sobre DDoS é que seu poder é inversamente proporcional às estratégias de disponibilidade e redundância do defensor. O problema principal não é que o DDoS não possa ser mitigado; é que grande parte da web depende de arquitetura centralizada, redundância deficiente e cascata pontos únicos de falha .

Os protocolos originais da Internet foram projetados tendo em mente a disponibilidade e a redundância, fornecendo muito mais tolerância a falhas em detrimento da confiança ou da sincronização. Veja como o DNS, BGP SMTP, e O NNTP foi originalmente projetado para ilustrações perfeitas.

Voltando à web, os principais problemas com ataques DDoS são garantir que o DNS permaneça disponível sob carga pesada, garantindo que a redundância do servidor seja suficiente para lidar com o estresse na capacidade máxima e garantindo que conexões individuais não recebam uma quantidade desproporcionalmente alta de sistema recursos em relação aos outros.

Assim, a atenuação se torna uma questão de redirecionar ou ocultar o tráfego, espalhando o impacto sobre o máximo possível de hardware, fornecendo espelhos não programáticos e outros mecanismos de garantia de serviço relativos à sua comunidade de usuários. Muito disso é inserido no conceito de serviços altamente disponíveis e modelagem de ameaças, para qualquer pessoa interessada no campo.

Vou encerrar apontando que ainda há mais respostas no Server Fault, para qualquer pessoa interessada na perspectiva de TI deste problema.

    
por 09.12.2010 / 05:09
2

Por favor, vá para IT Security Stack Exchange para uma boa discussão sobre isso e maneiras válidas de fazer isso. Existem parceiros de mitigação de DDoS que são muito bons nisso - fiz testes para validar um para um banco global e a mitigação de DDoS foi interrompida em segundos após o início do ataque e permitiu Business as Usual durante todo o ataque, que corremos em um carga elevada. A resposta que David dá é exatamente como funcionou nessa instância.

    
por 10.12.2010 / 15:05
1

Sim, o DDoS é provavelmente o ataque mais poderoso força bruta . Você não pode realmente fazer nada sobre isso, pois qualquer servidor irá quebrar em algum momento. Você pode tentar contorná-lo, fornecer serviços diferentes a partir de servidores diferentes, obtendo assim apenas parcialmente atingidos. Um dos principais problemas com o DDoS é o primeiro "D": Distributed. Em quase todos os casos, uma botnet enorme é usada, então você não pode simplesmente sair e banir os IPs, pois isso fará com que clientes legítimos sejam bloqueados para fora do serviço, já que um botnet usa computadores ultrapassados para atingir seus danos.

Você pode lidar com isso empregando medidas, como balanceadores de carga, firewalls e outros, mas nunca conseguirá evitá-lo completamente.

    
por 09.12.2010 / 02:57
1

A resposta da pergunta depende do número de invasores botnets . Talvez façamos parte dessa cadeia de botnets, quem sabe. Você acha que as pessoas pagam pelo software em todo o mundo? você deveria estar brincando comigo .. basta procurar por qualquer software em torrents, o que você baixou vem com rootkits que se escondem, mesmo que Os sistemas antivírus mais poderosos são usados. Se rootkits são usados, os atacantes podem controlar o computador das vítimas como um bot. Às vezes você não precisa de rootkits, qualquer software pré-instalado pode fazer o mesmo trabalho. Os invasores lucram vendendo esses botnets para fins diferentes (por exemplo, enviando spams).

A comunidade de pesquisa inventa algumas técnicas para impedir a atividade maliciosa ou impedir que os hosts façam parte da botnet (antes da fase de infecção), no entanto, essa é uma corrida armamentista interminável entre hackers e defensores. Tenha em mente que a Internet é um sistema aberto, então ainda não há uma solução final. Provavelmente nunca haverá, esta é a resposta da pesquisa nunca pára.

A Cisco tem algumas técnicas de atenuação, verifique aqui

    
por 09.12.2010 / 04:21
0

Eu diria que é um ataque muito poderoso se você tiver bots suficientes para solicitar o site. Você pode contorná-lo parcialmente com balanceamento de carga, firewall e outras defesas. No entanto, bots suficientes também prejudicam as melhores defesas.

A questão principal, eu diria é que um 'DOS' é sempre executado contra um nome DNS, não um endereço IP. Assim, se o hoster vai trocar de servidores ou algo assim, o nome do dns estará sob ataque mesmo sob o novo servidor, sem escape ...

    
por 09.12.2010 / 03:00

Tags