Mitigar o ataque DDoS por roteamento nulo do IP do meu servidor?

3

Meus serviços foram atacados pelo que parece ser uma botnet de um grande número de computadores. Como todos os meus servidores têm IPs adicionais, e meu provedor de hospedagem me permite encaminhar nulo meus endereços IP para mitigar um ataque DDoS com um único clique no painel de controle da Web em seu site, preciso de explicações sobre quais são as etapas para mim para garantir que, enquanto o IP primário de um servidor é anulado, o servidor pode ser acessado através do outro IP? Esses são servidores Ubuntu.

  • Onde eu configuro os IPs adicionais no Ubuntu?

  • Preciso configurar os IPs adicionais como registros "A" no DNS?

  • Qualquer tempo de inatividade esperado quando há roteamento nulo e há mais alguma coisa que eu precise fazer?

Atenciosamente!

    
por Albert 09.06.2013 / 13:49

1 resposta

2

Se você anular a rota de um IP, obviamente, qualquer tráfego para esse IP se tornará irrecuperável. No entanto, isso não se estende a nenhum outro IP. Portanto, sim, mesmo se esse IP estiver na mesma interface que alguns outros IPs, se você estiver realmente roteando-o com nulo, somente esse IP será afetado. Essencialmente, o processo apenas publica uma rota como

192.0.2.14/32 via 0.0.0.0 metric 1

Portanto, você precisa garantir que seu serviço ainda possa ser acessado sem esse IP.

O DNS geralmente tem um tempo médio de convergência de pelo menos metade do TTL definido em seus registros. Conseqüentemente, se o TTL for longo, os servidores de nome e os clientes de armazenamento em cache podem lembrar e continuar a usar (ou distribuir, conforme o caso) o IP com roteamento nulo. Por esse motivo, você provavelmente experimentará pelo menos algum tempo de inatividade, mas respeitando apenas alguns hosts, e somente se esses hosts não tentarem imediatamente outros endereços IP se o escolhido pelo RR não os conectar a você.

Como seus outros endereços IP já não estão no DNS para seu nome de host, sim, você precisa colocá-los lá (como registros A) e, sim, você experimentará o tempo de inatividade à medida que a alteração se propaga.

Tenha em mente que, como mencionado nos comentários da sua pergunta, o invasor poderá então descobrir seu novo endereço e atacá-lo também (ou em vez disso).

    
por 26.06.2013 / 02:30