Como sobreviver ao ataque DDOS anônimo? [duplicado]

A maioria dos mecanismos para identificar e mitigar ataques como ataques anônimos é bem conhecida, e a maioria dos produtos e serviços do Anti-DoS pode lidar com eles com altos índices de sucesso. No entanto, às vezes, organizações e empresas não têm políticas de proteção ajustadas ou atualizadas. Além disso, fiquei surpreso ao descobrir que muitos deles não têm proteção Anti-DoS, nem por produto nem por serviço.

Anônimo geralmente usa ferramentas bem conhecidas. Não há motivo para que SOC / NOC local ou SOC / NOC do provedor de serviços não consiga bloquear seus ataques. A questão é se a detecção e o bloqueio são precisos o suficiente sem falsos positivos de bloquear o tráfego legítimo também. Como conseqüência disso é um sucesso DoS / DDoS ...

Em geral, há três caminhos para lidar com ataques DDoS / DoS:

1. Ter recursos suficientes (largura de banda, servidores, etc.) - opção não realista, pois o volume de ataques pode exceder a largura de banda que você tem e o custo de ter um poder computacional ilimitado é enorme.
2. Serviços de Provedor de Serviços de Segurança 'Renting' - uma boa solução, depende dos recursos do provedor específico. No entanto, você deve observar que a maioria dos MSSP trabalha com centros de depuração no modo Fora do caminho. Isso significa que eles dependem, em muitos casos, de protocolos de análise de tráfego, como o NetFlow, para identificar os ataques. Embora essa opção funcione com DDoS ou ataque volumétrico grande, ela não pode identificar ataques baixos e lentos. Você pode superar essa limitação se estiver pronto para fazer a ligação você mesmo para o MSSP depois de detectar problemas com o tráfego. Outra limitação da abordagem dos "centros de lavagem" é que normalmente apenas uma direção do tráfego é inspecionada.
3. Ter sua própria solução Anti-DoS, instalada em linha. Embora às vezes seja mais cara, essa opção oferece a você a melhor segurança, já que a verificação tenta tentativas de força bruta e muitas outras ameaças de segurança podem ser tratadas por um dispositivo em linha. O dispositivo Inline é eficaz desde que o volume do ataque não exceda a largura de banda do seu pipe. Trabalhar no modo in-line garante a detecção de ataques baixos e lentos, e até intrusões, depende do equipamento que você deseja usar.

Como você pode ver, não há uma resposta clara para a pergunta, pois depende de muitos parâmetros, o orçamento é apenas um deles. A qualidade do serviço ou produto também é um aspecto significativo - - Pode gerar assinaturas em tempo real para uma mitigação precisa sem afetar o tráfego legítimo? reduzindo a taxa de falso-negativo? - Inclui módulos de aprendizagem comportamental e detecção? Ou usa apenas limites baseados em taxa? - Inclui opções de autenticação (para HTTP / DNS e outros protocolos)? novamente para reduzir as chances de falsos negativos. - Inclui um mecanismo de escalonamento de ação, uma opção de feedback fechado que pode usar automaticamente ações de mitigação mais agressivas com base no sucesso da ação de mitigação atual? - Qual é a taxa de mitigação que o serviço / produto pode oferecer, independentemente das taxas de tráfego legítimo? - O produto inclui um serviço de emergência 24 horas por dia, sete dias por semana? (a maioria dos MSSPs possui, nem todos os produtos)

Felicidades,

Não é verdade que anônimos sempre tenham sucesso. E não há nada de único sobre anônimo - ataques inteligentes e de alto volume.

(Espero que o anonimato não tenha como alvo dizer isso):

Do artigo da BBC: Ativistas pró-Wikileaks abandonam o ataque cibernético na Amazônia :

The group Anonymous had pledged to attack the site (Amazon) at 1600 GMT, but have since changed their plans, saying they did not have the "forces".

O problema é que não há nenhuma técnica que possa garantir que você manipule o DDOS. A única maneira é ter servidores e largura de banda que possam lidar com qualquer carga possível e que seja claramente cara.

Os serviços de limpeza de tráfego de empresas como Verisign, Prolexic e outros são a maneira mais eficaz de se proteger, a menos que você tenha dinheiro para gastar em uma solução de hardware como a Arbor ou a Rio Rey.

Depende muito do tipo de tráfego que você está veiculando, mas há várias maneiras de atenuar. (Vou assumir sites da Web.) Uma maneira relativamente simples e barata de resolver isso é colocar o Varnish (ou outro cache http) na frente de seus servidores da web. Isso reduzirá bastante o número de acessos de tráfego que atingem seus servidores da Web e de aplicativos. Além disso, usar um produto como o HAProxy como um balanceador de carga pode ajudar um pouco gerenciando a distribuição de seu tráfego HTTP para seus servidores.

Existem medidas preventivas de DDOS disponíveis, mas serão caras. Eu sei que se você estiver usando a Rackspace para hospedagem, eles têm uma oferta de produto chamada Preventier (que eu sei ser cara).

Também pode valer o seu tempo para alavancar a Akamai (ou CDN semelhante) para hospedar seu conteúdo, o que também resolverá esse problema, mas normalmente tem um alto custo em dólar.

Como em todas as coisas, uma análise de risco versus recompensa deve ser realizada, mas você deve ter em mente que além de sua disponibilidade de serviço, você também está essencialmente pagando pela reputação de sua marca.

NOTA: Eu digo barato para verniz e HAProxy porque, enquanto eles são livres / código aberto, ele tem um custo em horas de engenharia para implementar e suportar. Observe que isso é válido para qualquer solução, mas elas têm um custo de licenciamento zero.

Bem, é muito difícil. Esse é o objetivo do ddos. Você tem um milhão de PCs enviando solicitações para o seu site ao mesmo tempo. O que o firewall deve fazer?

O bit mais importante é manter o tráfego fora do seu sistema. Não sei onde você tem seus servidores, mas se manter seus servidores em seu escritório, você deve obter um firewall limitando no lugar do seu ISP. isso manteria o tráfego longe de seu cabo de entrada limitado.

Se o fator limitante for o servidor web, você pode configurar um computador linux antes do servidor web para fazer a filtragem com base no endereço IP de origem. Permitir que apenas um determinado número de IPs acesse o servidor Web de uma vez e, assim que a transferência terminar, bloqueie o IP e forneça o slot ao próximo solicitante. Desta forma, o seu servidor nunca excede a sua capacidade.

Usar o acelerador do Squid aqui seria de grande ajuda. Isso reduz o número simultâneo de conexões e processos e libera os recursos do servidor da Web mais rapidamente, além de armazenar em cache o conteúdo estático.

Você não pode se limitar a um grupo de invasores. A maioria dos grupos, incluindo o grupo Anônimo, usaria uma BotNet. Isso viria de uma grande variedade de IPs, então você não pode simplesmente proibir esse intervalo.

A única maneira de minimizar ( NÃO PARAR , já que isso é quase impossível) é manter sua segurança em primeiro lugar. Portanto, as atualizações são mantidas e o firewall é verificado quanto a vulnerabilidades. A segurança é um assunto muito especializado e não deve ser descartado. Você precisa estar iniciando no seu firewall e certificando-se de que todos os dispositivos / conexões estejam seguros. E também que os usuários são educados sobre segurança e não para obter Malware, etc. em seus PCs (Eles poderiam ser usados para DDOS outra pessoa)