Supponiamo che tu gestisca un negozio. Ogni giorno potresti avere qualche centinaio di clienti.

Un giorno, arrivano decine di migliaia di persone che entrano in fila per il check-out, comprano un ninnolo e poi rientrano subito linea da ripetere.

Ovviamente stai perdendo affari da clienti autentici che devono aspettare ore in fila.

Ora, assumi una guardia di sicurezza all'ingresso per verificare che questi clienti soddisfino alcuni criteri.

Tuttavia, ci sono ancora decine di migliaia di persone che vogliono entrare. L'unica differenza è che ora tutti devono passare attraverso la sicurezza.

Noti che, dal punto di vista del cliente autentico, aspetti ancora ore in fila, solo che ora è solo per superare i controlli di sicurezza!

TL; DR Gli IP di origine multipla sono ciò che li rende così difficili da difendere.

Per la risposta più lunga guardiamo il nome. D attacco DoS. Quella prima D sta per distribuito. In altre parole, non esiste un IP da bloccare. O due, o tre, o anche quattro .. Ci sono centinaia o migliaia di IP unici.

Di solito gli attacchi DDoS provengono da un hacker che controlla una botnet o una rete di macchine zombie. L'aggressore invierà un comando a tutti i bot istruendoli a effettuare richieste per una particolare risorsa / URI. Il gran numero di richieste travolge il server e lo interrompe.

Oltre all'eccellente risposta di @ Hollowproc, gli attuali "indirizzi" usati come sorgenti vengono spesso falsificati in un attacco come questo. Un host che attacca può fingere di essere un numero qualsiasi di altri IP, specialmente in un attacco basato su UDP come quello utilizzato contro i provider DNS.

Esiste una soluzione per questo chiamata BCP 38 o Filtro in ingresso di rete. Se tutto il mondo si fosse riunito, avesse preso una coca e avesse implementato controlli per bloccare gli indirizzi contraffatti in cui entrano nella rete, questi attacchi non potrebbero più falsificare il traffico. Le stesse persone di Dyn lo menzionano come una difesa utile.

Nota che l'implementazione di una difesa in molti punti sorgente ha il vantaggio di essere scalabile; i requisiti dei singoli blocchi non sono onerosi in termini di dimensioni. Tuttavia, sono onerosi in quanto più persone devono fare la cosa giusta per qualcosa che non ha un impatto diretto e negativo su di loro ... la natura umana ha, per oltre un decennio, impedito a questa soluzione di raggiungere la massa critica.

È possibile che il crescente impatto degli attacchi DDoS stimoli una maggiore adozione del Network Ingress Filtering ... Internet tratta i danni come censura e li aggira :)

Il problema con un DDoS è diviso in due parti:

1) Poiché i bot sono così tanti, non devono avere una limitazione delle richieste pari a quella di un singolo bot e quindi non sono così facili da riconoscere come bot.

2) Tutto ciò che vedi sono gli indirizzi IP (e User-Agent a seconda di come filtri il traffico dei bot). Qualsiasi indirizzo IP potrebbe essere un bot DDoS e qualsiasi indirizzo IP potrebbe essere un visitatore legittimo. Alcuni indirizzi IP avranno sia un bot DDoS che un visitatore legittimo. Cosa fai?

Supponiamo che il tuo sito possa gestire 1000 req / se un visitatore non fa mai più di 10 req / s. Un bot a 100 req / s è facile da bloccare, dieci bot a 100 req / s sono facili da bloccare. Ma 200 bot a 5 req / s sono difficili da bloccare, perché si comportano correttamente.

Anche 200 bot a 100 req / s sono difficili da bloccare, perché non possono nemmeno fare più di 5 req / s, facendo sembrare che si comportino correttamente. Questa situazione è di gran lunga peggiore di 200 bot a 5 req / s reali, perché un visitatore ora è 10 su 10010 richieste che cercano di entrare nella connessione piuttosto che i 10 più gestibili tra 1010 che stanno raggiungendo con successo il server.

1000 bot a 100 req / s renderebbe improbabile per ogni visitatore reale connettersi al sito. E un attacco di questa portata causerà problemi anche altrove.

Una forte difesa per il tuo sito è un'arma potente per un aggressore:

Se il tuo sito blocca gli indirizzi IP (o anche browser specifici sugli IP) se si comportano male, qualcuno potrebbe decidere abusare della tua difesa per provocare un attacco DoS sul lato client.

Esempio: Mallory crea una pagina web che ha un centinaio di "immagini" con margin-left: -1000em; larghezza: 1px; altezza: 1px; e tutte quelle immagini sono alcuni URL "sensibili" del tuo sito. Quando un visitatore visita la pagina di Mallory, invierà 100 richieste abusive al tuo server e verrà quindi bloccato.

Quindi ottenere una difesa più aggressiva contro gli attacchi (D) DoS causerà anche un'altra vulnerabilità.

Una difesa "intelligente" come i CAPTCHA (per dare ai visitatori la possibilità di dimostrare che sono anche visitatori e non solo bot dannosi) avrà anche l'effetto collaterale di richiedere effettivamente le risorse del server.

Caricare immagini quando la connessione è intasata non sembra una buona idea. Né ricorda un numero enorme di sessioni per i CAPTCHA, CAPTCHA a cui non verrà data risposta, in parte perché le immagini non sono state inviate, in parte perché la maggior parte dei visitatori non è umana.

un sito dinamico (altamente o non memorizzato nella cache), dovresti combattere il fuoco con la benzina.

Supponiamo che tu stia ospitando un servizio di qualche tipo, il cui scopo principale è servire una particolare posizione geografica, e supponiamo che tu lo abbia fatto con alcune regole di accesso basate su indirizzi IP.

UDP

Ora, se UDP viene preso in quel contesto, chiunque abbia una conoscenza di uno strumento di creazione di pacchetti (ad es. scapy) può falsificare l'IP legittimo a cui è consentito l'accesso e se si opta per il blocco approccio, impedirai agli utenti legittimi di accedere al servizio.

TCP Gli attacchi DDoS TCP similmente falsificati (ad esempio syn flood) possono far soffrire un utente autentico se la lista nera attiva viene seguito l'approccio.

Quindi per affrontare gli attacchi DDoS è meglio applicare un filtro accurato, utilizzando dispositivi abbastanza intelligenti da distinguere tra traffico autentico e traffico di attacco tramite DPI o altri algoritmi.

CDN, NAT, PROXY

Se gli utenti si trovano dietro un CDN o qualcosa del genere, il blocco di un utente potrebbe far soffrire l'intero gruppo dietro il proxy.

Inoltre, " tramite indirizzi IP o contenuto di messaggi o qualcos'altro " come hai menzionato, affinché i router siano in grado di filtrare in base al contenuto, ciò ostacolerebbe le sue prestazioni di routing. Ma sì, ci sono ancora router per farlo (ad esempio NBAR) e tutto ciò che si può applicare all'interno dei suoi locali.

E il blocco dovrebbe essere su una base più specifica.

Non è facile distinguere tra traffico normale e traffico DDoS.

DDoS può essere spiegato in parole semplici come -
Come essere umano, posso discutere (fare due chiacchiere) cose con una sola persona alla volta e se parlano 10 persone contemporaneamente, quindi non sarò in grado di rispondere a nessuna di esse e sarò nello stato non disponibile per tutte.

Gli aggressori di solito generano l'attacco DDoS da macchine compromesse (noto anche come ** bot). È possibile che al momento in cui scrivo la risposta alla tua domanda, la mia macchina possa coinvolgere un attacco ddos ​​verso qualche destinazione (se la mia macchina è compromessa, anche se la possibilità che sia è molto inferiore).

Come spiegato, non esiste una soluzione in bianco e nero disponibile per controllare (o bloccare) l'attacco ddos.

Come spiegato da @gowenfawr, se il pattern di attacco ddos ​​è udp, l'implementazione di URF a livello di ISP su Internet può aiutare a bloccare il traffico contraffatto e quindi aiutare a controllare l'attacco ddos. / p>

Altri hanno dato ottime risposte riguardo alle sfide tecniche relative alla mitigazione degli attacchi DDoS, la mia risposta qui però si concentrerà su ciò che accade una volta che avrai costruito la capacità di filtrare gli attacchi DDoS bloccando un gran numero di indirizzi IP sul tuo sito.

Il blocco di un numero elevato di indirizzi IP non è sempre desiderabile. Bloccando un gran numero di indirizzi IP a causa di un grande DDoS, potresti bloccare un gran numero di utenti legittimi che potrebbero condividere quegli indirizzi IP come un effetto collaterale indesiderato (ad esempio Tor, utenti proxy, università, famiglia condivisa, ISP che utilizzano NAT per salvare indirizzi IP pubblici).

Questo potrebbe non essere un grosso problema per i piccoli siti personali, ma per una serie di siti in cui gli utenti hanno legittimo bisogno di un serio anonimato, ad esempio siti che si rivolgono ad attivisti politici, LGBT, servizi femminili in oppressivi paesi, abusi domestici, ecc. Il semplice blocco dell'IP ricade essenzialmente nello stratagemma dell'aggressore per questi siti. Negando il servizio agli utenti anonimizzati di accedere al tuo servizio, potresti impedire ai tuoi utenti legittimi più vulnerabili di accedere in sicurezza al tuo sito e ciò raggiunge l'obiettivo dell'aggressore così come il DDoS originale.

Non esiste una soluzione semplice o unica per gli attacchi DDOS, perché possono essere eseguiti in molti modi diversi. La natura della tecnologia alla base di Internet non si presta a nient'altro che ad essere spalancata. Ci sono molte patch e soluzioni per cercare di rafforzare la sicurezza e mitigare molti problemi. Nel complesso, è molto più difficile proteggere un sito o una rete da un attacco che non attaccare. Questo è solo lo stato della sicurezza oggi.

Per gli attacchi a livello di rete (come ancora il DNS più recentemente per Dyn), il filtro di rete in ingresso come menzionato prima, sarebbe stato utile. Questo almeno aiuta con il problema dello spoofing.

Un problema più urgente con questo tipo di attacco, tuttavia, è la scala. Con il numero di sistemi infetti in una botnet per un attacco considerevole che raggiunge decine di migliaia, se non centinaia di migliaia di sistemi, il blocco basato su IP non è ragionevole. Se sei in cima alla catena di rete, dovrai bloccare per sopravvivere se effettui il blocco? L'attacco Krebs DDOS è stato affermato di essere nella gamma di 600 Gbs. Puoi tu o il tuo provider gestirlo (o anche solo un più tipico nella mia esperienza 10-120 Gbs) Indipendentemente da ciò, stai solo giocando a whack-a-mole a quel punto, poiché una volta bloccato il tuo attaccante probabilmente passerà a un altro set di macchine sfruttate con IP diversi.

Se decidi di giocare al gioco di reputazione IP <cough> CloudFlare<cough>, puoi fare cose stupide come finire per bloccare i grandi provider, ad es. Pokemon Go ha generato la maggior parte / tutto il traffico dal Belgio. Di nuovo, questo è solo un colpo di talpa e non una soluzione praticabile.

Parliamo più in alto nello stack. Gli attacchi ai servizi Web, come il credential stuffing o lo scraping, spesso sembreranno traffico legittimo. Gli script kiddies della Junior League avranno una firma del browser fuori dal comune che potresti cercare, ma cose come Sentry MBA o persino PhantomJS imiteranno browser appropriati che sconfiggeranno questa semplicistica stampa di intestazione HTTP / ID browser. I migliori attaccanti simuleranno persino l'uso corretto di mouse e tastiera, oscurando ulteriormente la loro natura automatizzata.

I captcha sono costosi sia dal punto di vista dell'implementazione (risorse sui tuoi server o outsourcing $$). Quelli semplici possono essere sconfitti con algoritmi di rilevamento delle immagini ragionevoli. Captcha più complessi iniziano a far incazzare gli utenti e possono causare problemi di accessibilità per gli utenti con problemi di vista. Esistono anche sistemi che sconfiggono efficacemente i captcha tramite il turk meccanico direttamente (orde di persone hanno pagato pochi centesimi per il captcha) o indirettamente (captcha dal tuo sito a cui risponde un utente ignaro su un altro sito).

Comunque, poiché gli attacchi sono su più fronti, è necessario un approccio alla difesa su più fronti. I grandi operatori sono persino passati all'offensiva, poiché Microsoft ha collaborato con l'FBI per rilevare e chiudere le botnet. Sfortunatamente, l'IoT ha appena aperto una nuova serie di sistemi che escono dagli schemi aperti per lo sfruttamento.

La genialità degli attacchi DDoS deriva dal fatto che il traffico proviene da IP potenzialmente LEGITTIMI di clienti reali.

Supponiamo che una persona normale che vive negli Stati Uniti possa avere il suo router compromesso e utilizzarlo per DDoS. L'azienda vittima ha bloccato completamente l'indirizzo IP, ora quella persona non può più connettersi al servizio web dell'azienda perché l'azienda ha bloccato completamente l'IP, impedendo a un IP potenzialmente valido di accedere nuovamente ai propri server.

Questo era un semplice esempio, ma immagina un'università con alcuni IP NAT per la navigazione web e un'azienda ha bloccato alcuni di questi IP NAT durante una mitigazione DDoS. Ora decine di migliaia di persone in quel campus potrebbero perdere la connettività ai server di quella società, il che è catastrofico per le aziende.

Per non parlare degli attacchi DDoS abbastanza grandi possono impiegare una quantità folle di indirizzi IP diversi.

Storia vera qui

Vendevamo un piccolo sistema di fotocamere. Era di un grande marchio e la fotocamera non era spettacolare, ma costava comunque una discreta quantità. Un giorno, qualcuno ci ha chiamato per un addebito sulla sua carta di credito. Si è scoperto che qualcuno l'aveva presa e aveva l'abitudine di acquistare una di queste fotocamere e l'aveva spedita a qualcuno che probabilmente le aggregava e le recintasse direttamente o le spediva alla rinfusa.

In quanto amministratore intraprendente, io scavato nei registri per capire da dove provenisse la frode. Ne ho trovato uno da un IP africano, ma il resto degli ordini sospetti avevano tutti IP americani. In effetti, venivano tutti sottoposti a proxy tramite server compromessi nello stesso data center in cui si trovavano i nostri server web. Oltre a segnalarlo all'host, non c'era niente da fare. Chiunque abbia fatto questo stava tirando le fila tramite macchine compromesse. Non c'è modo di proteggersi da questo genere di cose guardando la sorgente di rete stessa. Non sai mai dove o quando qualcuno verrà compromesso e il loro IP si trasformerà in un'arma.

Il recente attacco a Dyn ha mostrato quanto sia stupido e semplice adesso

La botnet, composta da dispositivi come i router Wi-Fi domestici e videocamere con protocollo Internet, sta inviando un numero enorme di richieste al servizio DNS di Dyn. Queste richieste sembrano legittime, quindi è difficile per i sistemi di Dyn escluderle dalle normali richieste di ricerca del nome di dominio.

E

Sono attacchi duri da fermati perché spesso vengono canalizzati attraverso provider ricorsivi. Non sono memorizzabili nella cache a causa del prefisso casuale. Abbiamo iniziato a vedere attacchi con prefissi casuali come questi tre anni fa e rimangono un attacco molto comune. Se vengono utilizzati dispositivi IoT, ciò spiegherebbe le dimensioni e la scala [e come l'attacco] influenzerebbe: qualcuno delle dimensioni di Dyn.

Con il decollo di IPv6, presto potresti avere miliardi di dispositivi, ciascuno con il proprio IP, con cui lavorare. L'ambito è troppo ampio per filtrare in modo efficace.

Un protocollo che consente a "qualcuno" che dice alle parti dell'infrastruttura / dorsale di Internet di smettere di accettare / inoltrare il traffico da determinati indirizzi significa semplicemente che questo "qualcuno" non avrebbe nemmeno bisogno di utilizzare tecniche DDOS per mettere fuori linea chiunque desideri. Senza una "autorità centrale che non esiste", sarebbe difficile stabilire a chi affidare quel tipo di potere.