Tática para bloquear um ataque de spoofing UDP

2

Os pacotes têm uma margem de 200.000 ~ 800.000 por segundo e UDP spoofed (0 bytes / 46bytes)

Eu tenho um Linux Linux 6 e Windows Server 2003 que está tendo um hit.

Idéia atual: - Configurar um servidor proxy na frente para filtrar o ataque. HAProxy funcionaria? Eu preciso de uma caixa BSD com PF? O que preciso procurar para filtrar? Eu preciso que a porta seja atingida, mas deve haver uma maneira de filtrar e bloquear pacotes ruins?

    
por Tiffany Walker 10.05.2012 / 17:41

1 resposta

2

Como você está dizendo que "precisa da porta", presumo que você esteja oferecendo algum tipo de serviço público na porta UDP atacada pelo DoS. Usando o HAProxy não iria ajudá-lo como HAProxy

  1. não suporta o transporte UDP
  2. mesmo que isso acontecesse, não lhe daria os meios para diferenciar pacotes "ruins" dos "bons" - ou seja, não funcionaria como um filtro

As opções disponíveis dependem das características dos pacotes "ruins".

Se você pudesse identificá-los com base nas informações de cabeçalho (endereço de origem / destino IP, origem UDP / porta de destino), sua melhor opção seria pedir ao seu ISP para filtrar pacotes correspondentes aos critérios apropriados.

Se você precisar de inspeção de conteúdo ou estado, provavelmente o ISP não será capaz de ajudar (embora não seja difícil perguntar), mas precisará configurar um roteador de filtragem de pacotes capaz de filtrar pelos critérios definidos. . O pf / BSD, assim como o netfilter / Linux, provavelmente seriam capazes de fazer o trabalho.

    
por 10.05.2012 / 18:00