Durante um ataque de DDoS, mesmo quando você o parar com sucesso em seu datacenter, o vínculo entre você e seu ISP ainda estará saturado e o tráfego será interrompido.
Nesse caso, qual é a melhor maneira de se comunicar com o ISP para bloquear os endereços IP de origem no nível do ISP? Certamente, deve haver uma maneira melhor do que enviá-los por e-mail ou chamá-los?
SEM chance. O DDOS não possui um pequeno número de IPs de Origem e você teria que distinguir tráfego real e falso. E não há infra-estrutura no nível do ISP para comunicar isso, incluindo o fornecimento de algum tipo de autenticação (para que não seja abusado).
Sua ÚNICA escolha é usar algo como o Cloudflare - proxies distribuídos que farão a verificação e mitigarão o dano. Esconda-se atrás de alguém strong o suficiente para aguentar a carga.
O primeiro D em D DoS significa distribuído .
À medida que é distribuído, uma vítima de DDoS provavelmente receberá conexões de centenas de milhares de endereços de origem diferentes, com ISPs diferentes. Não só isso, mas alguns ataques tornam muito difícil distinguir uma conexão de ataque de uma conexão legítima.
Para bloquear um DDoS na origem, você teria que:
liste apenas as conexões de ataque
obtenha o IP de origem
encontre o ISP para esse IP
encontre as informações de contato para esse ISP
peça-lhes para bloquear a ligação ao seu site
E repita centenas de milhares de vezes.
Você provavelmente não conseguirá encontrar informações de contato de um provedor de serviços de Internet e, mesmo que possa encontrar, é improvável que elas alterem qualquer coisa em suas redes para ajudá-lo. Eles provavelmente vão deixar você sofrer. É melhor então ignorar você do que arriscar quebrar algo em suas redes tentando ajudá-lo.
Buraco Negro Disparado Remoto - RTBH é um mecanismo para burlar os endereços de destino no roteador upstream no caso de um DDoS contra qualquer endereço IP servido pelo roteador. Isso também não irá salvá-lo, porque é um mecanismo projetado para proteger a infraestrutura de uma inundação, não da vítima da inundação.
RTBH com base na fonte tem eficácia muito limitada, porque você tem que separar códigos maliciosos do tráfego autêntico antes de enviar os IPs ofensivos, e seu ISP deve ter algum mecanismo para você enviar os IPs maliciosos. Se qualquer invasor descobrir que você tem o S-RTBH em vigor, ele poderá inundar seu site usando, por exemplo, o Google Tradutor, e seu ISP truncaria o Google.
Em muitos casos, você é resignado a um "Buraco negro acionado remotamente" (RTBH) ou a um "caminho nulo" . Isso efetivamente elimina todo o tráfego de entrada para o prefixo de destino o mais rápido possível para evitar a saturação dos links de recebimento de dados. É possível ter um alto-falante do BGP no seu lado falar com o seu ISP e acionar isso automaticamente sem interagir com uma pessoa no seu ISP.
No entanto, dependendo do que está sendo atingido e do quanto o seu provedor gosta, você pode resolver o problema sem prejudicar completamente seus hosts. Você deve determinar em que consiste o tráfego de ataque e se pode implementar ACLs simples para filtrar esse fluxo. Um ótimo exemplo disso é quando ataques de reflexão de DNS / SNMP / NTP / etc eram comuns há alguns anos, as regras para filtrar esses ataques eram muito simples ( drop udp 53 inbound , etc). Consegui falar com as minhas upstreams (na época da Telia e da Hurricane Electric) e fazer com que implementassem essas regras simples mais perto de seu núcleo, onde os canos eram muito maiores.
Normalmente, os ataques DDoS originam-se de um hacker no controle de uma botnet ou rede de máquinas zumbis. O atacante emitirá um comando para todos os bots, instruindo-os a fazer solicitações para um determinado recurso / URI. O grande número de solicitações sobrecarrega o servidor e o desativa.
O gênio dos ataques DDoS vem do fato de que o tráfego vem de IPs potencialmente legítimos de clientes reais.
Para não mencionar ataques DDoS suficientemente grandes podem empregar uma quantidade louca de diferentes endereços IP Em outras palavras, não há um IP para bloquear. Ou dois, ou três, ou até quatro .. Existem centenas ou milhares de IPs únicos.
O bloqueio de um grande número de endereços IP nem sempre é desejável. Ao bloquear um grande número de endereços IP devido a um DDoS grande, você pode estar bloqueando um grande número de usuários legítimos que podem compartilhar esses endereços IP como um efeito colateral indesejado (por exemplo, Tor, usuários proxy, universidades, usuários compartilhados, ISPs que usam NAT para salvar endereços IP públicos).
Para evitar ataques como este, considere o uso de um serviço teste de rede como Ixia, que inclui testes de segurança, infraestrutura de rede e teste de wifi