Soru Anonim DDOS saldırısından nasıl kurtulur? [çift]


Bu sorunun zaten bir cevabı var:

Anonim grup bir web sitesini hedef aldığında her zaman onu devralabilirler. Hatta büyük şirketler / hükümetler için bile profesyonel.

DDOS koruma teknikleri ile normal DDOS saldırısı ile ilgili (temel teori) okurum.

Fakat Anonim grup saldırıları durumunda bu teknikler neden başarısız oluyor?

Gerçekten iyi organize edilmiş bir DDOS saldırısıyla hayatta kalma konusunda başarı hikayeleri var mı?


4
2017-11-08 16:36


Menşei




Cevaplar:


Anonim saldırılar gibi saldırıları tespit etmek ve hafifletmek için çoğu mekanizma iyi bilinir ve çoğu Anti-DoS ürün ve hizmetleri yüksek başarı oranları ile bunlarla başa çıkabilir. Bununla birlikte, bazen kuruluşlar ve işletmelerin ayarlanmış veya güncellenmiş koruma politikaları yoktur. Dahası, çoğunun ne Anti-DoS koruması ne de ürün ya da hizmet tarafından bulunmadığını keşfetmekten çok şaşırdım.

Anonim genellikle iyi bilinen araçları kullanır. Yerel bir SOC / NOC veya servis sağlayıcının SOC / NOC'nin saldırılarını engelleyememesinin bir nedeni yoktur. Soru, yanlış trafiğin engellenmesinin yanlış pozitifleri olmaksızın algılama ve engellemenin yeterince doğru olup olmadığıdır. Bunun sonucu olarak başarılı bir DoS / DDoS ...

Genelde DDoS / DoS saldırılarıyla uğraşmanın üç yolu vardır:

  1. Yeterli kaynağa (bant genişliği, sunucular, vb.) Sahip olmak - saldırı hacmi gibi gerçekçi bir seçenek değil, sahip olduğunuz bant genişliğini aşabilir ve sınırsız hesaplama gücüne sahip olmanın maliyeti çok büyüktür.
  2. 'Kiralamak' Güvenlik Hizmet Sağlayıcı hizmetleri - iyi bir çözüm, belirli tedarikçilerin yeteneklerine bağlıdır. Ancak, çoğu MSSP'nin Yol Dışı modunda ovalama merkezleri ile çalıştığını unutmayın. Bu, saldırıları tanımlamak için NetFlow gibi trafik analizi protokollerinde birçok durumda kullanılmaları anlamına gelir. Bu seçenek DDoS veya büyük hacimsel saldırı ile büyürken, düşük ve yavaş saldırıları tespit edemez. Trafiğin kendinizle ilgili sorunları tespit ettikten sonra, MSSP'ye çağrı yapmaya hazırsanız, bu sınırlamayı aşabilirsiniz. "Ovma merkezleri" yaklaşımının bir başka sınırlaması, genellikle trafiğin sadece bir yönünün denetlenmesidir.
  3. Kendi Anti-DoS çözümünüze sahip, inline kurulu. Bazen daha pahalı olmasına rağmen, bu seçenek tarama girişimleri kaba kuvvet girişimleri ve birçok diğer güvenlik tehditleri bir inline cihaz tarafından ele alınabilir gibi en iyi güvenliği sağlayacaktır. Satır içi aygıt, saldırının hacmi, bant bant genişliğinizi aşmadığı sürece etkilidir. Inline modunda çalışmak, düşük ve yavaş saldırının ve hatta izinsiz girişlerin tespit edilmesini garanti eder, kullanmak istediğiniz ekipmana bağlıdır.

Gördüğünüz gibi, birçok parametreye bağlı olduğu için, bu soruya net bir cevap yoktur, bütçe sadece bunlardan biridir. Hizmetin veya ürünün kalitesi de önemli bir özelliktir - - Meşru trafiği etkilemeden doğru etki azaltma için 'gerçek zamanlı' imzalar oluşturabilir mi? yanlış negatif oranı azaltarak? - Davranışsal öğrenme ve algılama modülleri içerir mi? veya Yalnızca oran tabanlı eşikler kullanıyor mu? - Kimlik doğrulama seçenekleri (HTTP / DNS ve diğer protokoller için) içerir mi? Yine yanlış negatif şansı azaltmak için. - Halihazırdaki etki azaltma eyleminin başarısına dayanarak daha agresif etki azaltma eylemlerini otomatik olarak kullanabilen bir eylem yükseltme mekanizması, kapalı bir geri bildirim seçeneği içeriyor mu? - Meşru trafik oranlarından bağımsız olarak, hizmet / ürünün sunabileceği azaltma oranı nedir? - Ürün 7/24 acil servis içerir mi? (çoğu MSSP var, tüm ürünlere sahip değil)

Alkış,


5
2017-11-14 10:27



iyi detaylar cevap, teşekkürler :) - Yousf


Anonim her zaman başarılı olduğu doğru değil. Ve anonim hakkında eşsiz bir şey yok - sadece zeki ve yüksek hacimli saldırılar.

(Umarım anonim bunu söylemesi için beni hedeflemez :)

BBC makalesinden: Pro-Wikileaks aktivistleri Amazon siber saldırısını terk etti:

Anonymous grubu 1600 GMT'de siteye (Amazon) saldırmaya söz vermişti ancak   O zamandan beri planlarını değiştirdi, "güçlere" sahip olmadıklarını söyledi.

Sorun şu ki, DDOS'la ilgileneceğinizden emin olacak bir teknik yok. Tek yol, herhangi bir olası yükü kaldırabilecek sunuculara ve bant genişliğine sahip olmaktır ve bu da oldukça pahalıdır.


6
2017-11-08 16:47





Verisign, Prolexic ve diğerleri gibi şirketlerden gelen Trafik Düzeltme hizmetleri, Arbor veya Rio Rey gibi bir donanım çözümü için harcadığınız paraya sahip olmadığınız sürece kendinizi korumanın en etkili yoludur.


1
2017-11-08 16:56





Bu, sunduğunuz trafiğin türüne büyük ölçüde bağlıdır, ancak azaltmanın birkaç yolu vardır. (Web sitelerini ele alacağım.) Bunu çözmenin nispeten basit ve ucuz bir yolu, web sunucularınızın önüne Varnish (veya başka bir http önbellek) koymaktır. Bu, web sitenize ve uygulama sunucularınıza büyük miktarda trafik akışı sayısını azaltacaktır. Ayrıca, yük dengeleyici olarak HAProxy gibi bir ürün kullanmak, http trafiğinizin sunucularınıza dağıtımını yöneterek biraz yardımcı olabilir.

DDOS-önleyici tedbirler mevcut, ancak pahalı olacak. Rackspace'ı hosting için kullanıyorsanız, Preventier (pahalı olduğunu bildiğim) adlı bir ürün teklifinin olduğunu biliyorum.

Ayrıca, bu sorunu çözecek olan içeriğinizi barındırmak için Akamai (ya da benzeri CDN) kullanmak için zaman ayırmaya da değer olabilir, ancak genellikle yüksek bir dolar maliyeti vardır.

Her şeyde olduğu gibi, ödül riskine karşı bir risk oluşturulmalıdır, ancak servisinizin kullanılabilirliğinin ötesinde, markanızın itibarını da ödemeniz gerekir.

NOT: Vernik ve HAProksi için ucuz dedim çünkü Serbest / Açık Kaynak iken, uygulama ve destek için mühendis saatlerinde bir maliyet var. Bunun herhangi bir çözüm için geçerli olduğunu unutmayın, ancak bunların sıfır dolarlık bir lisanslama maliyeti vardır.


1
2017-11-08 18:00



iyi görünüyor ki, saldırının kendisinden daha pahalıya mal olacağı düşünülüyor. Muhtemelen aklımı değiştirene kadar sunucuyu kapatıyorum. - Yousf
Bu nadir değil, ne yazık ki, ancak sitelerinizi zaten Vernik arkasına çalıştırmanızı tavsiye ederim. Önbelleğe alma iyidir. - gWaldo


Eh, çok zor. Bu ddosun bütün noktası. Web sitenize aynı anda istek gönderen bir milyon PC bilgisayarınız var. Güvenlik duvarı ne yapmalı?

En önemlisi, trafiği sisteminizden uzak tutacaktır. Sunucularınızı nerede bulduğunuz, ancak sunucularınızı ofisinizde tutuyorsanız, İSS'nizin yerine sınırlayıcı bir güvenlik duvarı almalısınız. Bu trafiği sınırlı gelen kablodan uzak tutacaktır.

Sınırlama faktörü web sunucusuysa, web sunucusundan önce kaynak IP adresine göre filtreleme yapmak için bir linux bilgisayarı ayarlayabilirsiniz. Sadece belirli sayıda IP'nin web sunucusuna bir defada erişmesine izin verilir ve aktarım IP üzerinden engellendiğinde ve bir sonraki istekte bulunan yuvaya verilir. Bu şekilde sunucunuz kapasitesini asla aşmaz.

Kalamar hızlandırıcısını kullanarak çok yardımcı olabilirsiniz. Bu, eşzamanlı bağlantı ve işlem sayısını azaltır ve statik içeriği önbelleğe almanın yanı sıra web sunucusu kaynaklarını daha hızlı bir şekilde serbest bırakır.


0
2017-11-08 17:06





Kendinizi bir grup saldırganla sınırlayamazsınız. Anonim grup dahil çoğu grup bir BotNet kullanır. Bu geniş bir IP aralığından gelir, bu yüzden bu aralığı yasaklayamazsınız.

Minimize etmenin tek yoluDURMAYIN Güvenilmeze yakın olduğu için) güvenliğinizi korumaktır. Güncellemeler korunur, güvenlik duvarınız güvenlik açıkları için kontrol edilir. Güvenlik çok özel bir konu ve görevden alınmamalı. Güvenlik duvarınızdan başlamanız ve her aygıtın / bağlantının güvenli olduğundan emin olmanız gerekir. Ayrıca, kullanıcıların güvenlik konusunda eğitildikleri ve PC'lerinde Malware vb. Almamaları (DDOS'ta başka birine de kullanılabilir)


-3
2017-11-08 16:47



Güvenlik DDOS ile çok şey olduğunu düşünmüyorum. Güvenli bir sistem, trafikte devasa bir trafik duvarı ile pek yardımcı olmaz. - TheLQ