Como você diminui a participação de clientes de rede local no DDOS?

1

A maioria das referências que li sobre mitigação de DDOS envolvem roteadores de borda.

No entanto, existe alguma coisa que você possa fazer para mitigar seus clientes de rede local de participar de forma não esclarecida de um DDOS?

Como bloquear pacotes de transmissão? Isso presume que você não tem aplicativos de clientes que usam legitimamente pacotes de transmissão.

Ou usando um servidor DNS que pode bloquear a resolução do host para o tráfego de saída usando listas de bloqueio público?

    
por Castaglia 03.04.2017 / 14:20

5 respostas

1

Geralmente, os roteadores de borda (AFAIK) são usados como uma solução para proteger os ataques DDOS de entrada .

Para impedir que os clientes internos "participando inadvertidamente" em um ataque de saída , eu consideraria as formas pelas quais um DDOS pode "envolver" seus clientes.

Por exemplo, buracos no WordPress são frequentemente usados; por isso, se seus clientes são servidores Web que executam o WordPress, mantenha-os atualizados (e / ou um WAF na frente deles). Certifique-se de que suas políticas de segurança sejam sensatas, mantidas e aplicadas - vi muitas caixas comprometidas e silenciosamente usadas como partes de ataques DDOS. O monitoramento da integridade de arquivos é sensível e regular (melhor automatizado!) Monitoramento de contas de usuário do sistema, etc.

Se seus clientes são desktops / laptops, então as regras de firewall antivírus e sane (locais) são um começo óbvio, além de bloquear qualquer coisa insano em sua camada de comutação central ( Frequentemente, a transmissão é necessária para uma grande variedade de coisas e provavelmente parte de um DDOS - elas geralmente são direcionadas ["uni" cast], mas sua rede realmente precisa passar tráfego UDP > porta 1000? Ou pacotes ICMP com um carga útil grande ou a uma taxa > 10 por segundo por porta?) ajudará.

O treinamento e a restrição do usuário também são sensatos - quem acessou esses dispositivos? Eles podem instalar o que quiserem de onde quiserem?

Finalmente, apenas um pequeno monitoramento sensato da taxa de transferência da rede. Nós usamos o Zabbix, mas há muitas opções por aí. Eu peguei mais de uma tentativa de DDOS de saída devido a um súbito pico inexplicável na E / S da rede ... Um pouco de cuidado ao configurar alertas quando as coisas saem do que você considera "normal" por um período prolongado de tempo é raramente uma má ideia.

    
por 03.04.2017 / 14:37
1

Esta não é exatamente uma resposta para sua pergunta, mas eu indico os erros em suas soluções em sua pergunta.

O DDoS não envolve pacotes de transmissão, já que existe apenas um alvo para o ataque deles.

O bloqueio da resolução do host do servidor DNS também é inútil, os ataques DDoS também podem usar endereços IP.

Além disso, ataques DDoS são feitos contra serviços conhecidos, então você teria que bloquear o domínio desse serviço de ser resolvido no servidor DNS, o que bloquearia usando esse serviço.

Além disso, você não pode saber de antemão qual domínio será um alvo DDoS. Portanto, você precisaria bloquear a resolução de todos os domínios.

    
por 03.04.2017 / 14:31
0

Verifique se o seu computador está atualizado e usando um antivírus.

A maioria dos ataques de botnets vem do vírus / malware instalado que o usuário remoto controla para iniciar um ataque, portanto, o usuário final quase nunca sabe que está participando de um ataque.

    
por 03.04.2017 / 14:42
0

Primeiramente, certifique-se de não permitir que pacotes com endereços de origem falsos deixem sua rede. Se o invasor puder enviar pacotes falsificados, eles poderão cobrir melhor suas trilhas e executar ataques "refletidos".

    
por 03.04.2017 / 14:49
0

O método usual para impedir que seus clientes de LAN se comportem mal é negar a eles o acesso irrestrito e direto à Internet.

Você fornece substitutos locais para o acesso comum aos serviços online (ou seja, fornece ao DNS um servidor de nomes em cache, uma fonte de tempo local NTP, um retransmissor etc. etc.) que você pode monitorar e configurar com razoável por usuário) políticas de uso. Fornece acesso à Internet maior somente por meio de um servidor proxy HTTP e requer autenticação para isso.

Se o acesso direto à Internet ainda for necessário, coloque na lista de permissões somente conexões específicas.

    
por 03.04.2017 / 15:00

Tags