Domanda:
Quali tecniche utilizzano i firewall avanzati per proteggersi da DoS / DDoS?
Jonas
2010-11-12 06:28:56 UTC
view on stackexchange narkive permalink

È difficile proteggere un server da attacchi Denial of Service, DoS / DDoS. I due semplici modi a cui riesco a pensare sono utilizzare un server con molte risorse (ad esempio CPU e memoria) e costruire l'applicazione server per scalare molto bene. Altri meccanismi di protezione sono probabilmente utilizzati dal firewall. Mi viene in mente la blacklist degli indirizzi IP, ma non so davvero come funziona. E probabilmente esistono altre tecniche utilizzate dal firewall per proteggersi dagli attacchi DDoS.

Quali tecniche utilizzano i firewall avanzati per proteggere dagli attacchi DoS / DDoS?

Correlato: http://serverfault.com/q/531941/87017
Non credo che questa possa essere una risposta, ma per riferimento futuro, molte piccole aziende che non eseguono servizi critici su quello che viene attaccato, semplicemente le chiudono, mentre preparano una soluzione al problema. È successo in Eve Online, ad esempio, lo scorso anno.
Cinque risposte:
#1
+40
David Stubley
2010-11-24 19:15:12 UTC
view on stackexchange narkive permalink

La mia esperienza con gli attacchi DoS e DDoS si basa sull'essere un ingegnere Cisco per un ISP e in seguito come Security Manager per una grande azienda globale. Sulla base di questa esperienza, ho scoperto che per affrontare efficacemente attacchi complessi e su larga scala è necessaria una buona partnership tra l'organizzazione sotto attacco e il proprio ISP o partner di mitigazione DDoS (Sì, ora ci sono aziende dedicate a questo, in sostanza sono molto grandi ISP a pieno titolo, ma utilizzano la loro rete globale per assumere il traffico aggiuntivo generato durante un attacco).

Di seguito sono riportate alcune considerazioni se affronti un attacco che è al di fuori della tua tolleranza di larghezza di banda (noto anche come consumo di larghezza di banda ) e hai bisogno di aiuto per rispondere.

Dove non esiste alcun partner per la mitigazione: stabilisci una forte relazione con il tuo ISP. Identifica i team e i contatti giusti di cui avrai bisogno in caso di attacco.

Usa il tuo firewall (o altro dispositivo di registrazione) per ottenere prove dell'attacco (IP sorgente, protocollo, lunghezza del pacchetto, ecc.) Come queste informazioni possono essere estremamente preziose per l'ISP nel decidere come rispondere. Non è divertente cercare di intercettare il traffico su un dispositivo di routing Cisco dalla riga di comando alle tre del mattino! Quindi qualsiasi aiuto è apprezzato. :-)

Con questo il tuo approccio probabile sarà quello di filtrare il traffico all'interno del cloud dell'ISP. Se sei stato in grado di fornire informazioni sufficienti e il traffico è tale, l'ISP potrebbe essere in grado di filtrare il traffico dannoso e lasciare il traffico di rete valido libero di accedere alla tua rete. Tuttavia, se stai causando problemi di latenza per l'ISP, è probabile che interrompano l'intero percorso al loro gateway BGP e scomparirai dalla rete. I filtri di routing aggiuntivi causano un carico sui gateway, quindi non aspettarti che il tuo ISP aggiunga più filtri in quanto ciò potrebbe avere un impatto sugli altri utenti.

Utilizzo di un partner di mitigazione:

Posso solo parlare dell'esperienza di un fornitore per questo, quindi dovrai fare i compiti per decidere se lo richiedi e, in tal caso, chi sarebbe nella posizione migliore per fornirlo.

Il servizio era basato sulla pubblicità del percorso BGP e sul monitoraggio degli attacchi. Una volta identificato un attacco, il partner di mitigazione pubblicizza il tuo percorso per passare attraverso la propria rete, dove i router principali vengono utilizzati per filtrare il traffico dannoso prima di trasmetterlo all'organizzazione.

Il mio ruolo in tutto questo era testare l'implementazione di un approccio collaborativo alla mitigazione degli attacchi DDoS. Ciò ha comportato l'utilizzo di un team globale di ingegneri della sicurezza per generare abbastanza traffico da rendere valido un test. Stavamo testando sia la capacità di identificare un attacco che di rispondere in modo efficace. Sulla base di ciò, siamo rimasti molto colpiti dal loro approccio generale e la soluzione ha funzionato.

Interessante, non conoscevo questo concetto. Sebbene la domanda originale fosse puramente tecnica su quali meccanismi abbiano i * firewall *, questo può sicuramente essere importante per un'organizzazione che è alla ricerca di soluzioni.
Sebbene firewall / IPS offrano una buona difesa contro DoS / DDoS basata su exploit, un potente flood inonderà comunque il tuo pipe anche se hai una regola firewall davvero buona e robusta. Purtroppo, l'unico modo per evitare che questo genere di cose accada è collaborare con un fornitore di mitigazione. (o dispositivo, ce n'è uno là fuori che afferma di fermare DDoS, ma devo ancora vederlo effettivamente in uso, solo nelle demo) La mia organizzazione è nel mezzo di una partnership di mitigazione.
C'è qualcosa chiamato invecchiamento aggressivo su alcuni firewall con stato.Possiamo configurare il firewall per eliminare le sessioni inattive (sul firewall) a una velocità più veloce e quindi configurare il firewall per inviare un primo pacchetto al server quando la sessione scade il firewall.Non è una buona soluzione: D ma i tecnici dell'assistenza impiegano soluzioni non ottimali nei momenti di panico :). La soluzione funziona quando l'attacco DDOS mira a creare sessioni tcp sul server per massimizzare la memoria e presuppone che non ci saranno pacchetti inviati al server da host dannosi dopo la creazione della sessione.
#2
+39
AviD
2010-11-12 06:39:17 UTC
view on stackexchange narkive permalink

Questi sono davvero due attacchi diversi, anche se simili.

DoS "normale" si basa sul tentativo di mandare in crash il server / firewall, a causa di qualche tipo di bug o vulnerabilità. Per esempio. i ben noti attacchi SYN Flood. La protezione contro questi, è ovviamente specifica per il difetto (ad esempio i cookie SYN) e la codifica / progettazione sicura in generale.

Tuttavia, DDoS tenta semplicemente di sopraffare il server / firewall inondandolo con masse di richieste apparentemente legittime.
Sinceramente, un singolo firewall non può davvero proteggersi da questo, poiché non esiste un vero modo per contrassegnare i clienti "cattivi". È solo una questione di "best-effort", come il throttling stesso in modo da non andare in crash, load balancer e sistemi di failover, tentativi di inserire nella blacklist IP (se non secondo "badness", allora ) e, naturalmente, notificando attivamente gli amministratori.
Quest'ultimo potrebbe essere il più importante, poiché nei casi di DDoS apparente (dico apparente, perché solo un picco di utilizzo regolare potrebbe sembrare DDoS - storia vera) ci vuole davvero un essere umano per differenziare il contesto della situazione e capire se spegnere, fare il massimo sforzo, rifornire un'altra scatola, ecc (o impiegare il contrattacco ... ssshhh !!)

Contrattacco ... ma come si attacca qualcuno che non riusciamo a identificare con certezza?
IIRC, il pentagono [ha cercato diversi modi per contrattaccare] (http://www.securityweek.com/pentagon-boosts-spending-fight-cyber-attacks) un DDoS per il loro progetto XD3.Uno di quei contrattacchi a cui stavano pensando erano i razzi.Quindi ... chi ha bisogno di precisione, quando hai raggio di esplosione?:)
#3
+8
kinunt
2013-03-15 14:17:44 UTC
view on stackexchange narkive permalink

Un tipo di protezione contro DDOS non eseguito direttamente dai firewall è distribuire i contenuti della pagina in tutto il mondo in modo che tutte le richieste provenienti da un paese vengano eseguite contro un server locale e le richieste da un altro paese, allo stesso URL o dominio, vengono eseguiti su altri server locali distribuendo il carico tra server locali e non sovraccaricando un server univoco. Un altro punto di questo sistema è che le richieste non viaggiano troppo lontano.

Questo è un lavoro per i DNS e l'infrastruttura si chiama Content Delivery Network o CDN .

Aziende come CloudFlare offre questo tipo di servizi.

Posso consigliare anche CloudFlare.
#4
+5
Chris Dale
2010-11-23 23:31:27 UTC
view on stackexchange narkive permalink

Il DDOS di solito viene eseguito inviando una quantità enorme di pacchetti al server, in cui il server cercherà freneticamente di elaborare, naturalmente. Una volta che un firewall rileva un possibile DDOS, può essere configurato per inserire nella blacklist tutti i client con un PPS (pacchetti al secondo) sufficientemente elevato.

I filtri possono essere attivati ​​e disattivati ​​in qualsiasi momento, in modo che se si verifica un DDOS è possibile attivare un filtro con un set di regole molto rigido.

#5
+2
Ali Ahmad
2013-03-15 11:19:34 UTC
view on stackexchange narkive permalink

Mi piace rispondere alla prima parte della domanda che è " usa un server con molte risorse (ad esempio CPU e memoria) per aumentare l'applicazione ". Si consiglia di eseguire il ridimensionamento dell'applicazione prima di eseguire il ridimensionamento del server. La profilazione dell'applicazione può essere suddivisa nei seguenti passaggi:

  1. Test di caricamento: eseguire test di stress sull'applicazione tramite strumenti di test di carico come pylot.
  2. Ottimizzazione della query: seconda attività è l'ottimizzazione della query, ovvero una query che può funzionare in modo efficiente per database di piccole dimensioni ma non è scalabile per database di grandi dimensioni.
  3. Sharding dell'applicazione: distribuzione della maggior parte dei contenuti di accesso su un disco più veloce.

C'è molto da aggiungere a questo elenco e una buona lettura è "Come ridimensionare un'applicazione web"



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 2.0 con cui è distribuito.
Loading...