Во время DDoS-атаки, даже если вы успешно остановите ее в своем центре обработки данных, связь между вами и вашим интернет-провайдером все равно будет перегружена, а трафик остановится.
В этом случае, как лучше всего связаться с интернет-провайдером, чтобы заблокировать исходные IP-адреса на уровне интернет-провайдера. Разумеется, должен быть лучший способ, чем отправить им электронное письмо или позвонить им?
Первый D на DDoS означает распределен.
По мере распространения жертва DDoS, скорее всего, будет получать соединения с сотен тысяч разных исходных адресов с разными интернет-провайдерами. Более того, при некоторых атаках очень сложно отличить атакующее соединение от легитимного.
Чтобы заблокировать DDoS в источнике, вам необходимо:
перечислить только атакующие соединения
получить исходный IP
найти интернет-провайдера для этого IP
найти контактную информацию этого интернет-провайдера
попросите их заблокировать подключение к вашему сайту
И повторить сотни тысяч раз.
Скорее всего, вы не сможете найти контактную информацию провайдера, и даже если вы найдете, маловероятно, что он изменит что-либо в своей сети, чтобы помочь вам. Вероятно, они позволят тебе пострадать. Тогда лучше проигнорировать вас, чем рискнуть сломать что-то в их сетях, пытаясь вам помочь.
Черная дыра с дистанционным запуском - RTBH представляет собой механизм для адресов назначения «черных дыр» на восходящем маршрутизаторе в случае DDoS-атаки против любого IP-адреса, обслуживаемого маршрутизатором. Это тоже не спасет, потому что это механизм, предназначенный для защиты инфраструктуры от наводнения, а не жертвы наводнения.
Исходный RTBH имеют очень ограниченную эффективность, потому что вам необходимо отделить вредоносный трафик от аутентичного перед отправкой вредоносных IP-адресов, а у вашего интернет-провайдера должен быть какой-то механизм для отправки им вредоносных IP-адресов. Если какой-либо злоумышленник узнает, что у вас установлен S-RTBH, он может затопить ваш сайт, используя, например, Google Translate, и ваш интернет-провайдер закроет Google черную дыру.
Без шансов. DDOS не имеют небольшого количества исходных IP-адресов, и вам придется различать настоящий и поддельный трафик. И на уровне интернет-провайдера нет инфраструктуры, чтобы сообщить об этом, включая предоставление какой-либо аутентификации (поэтому ею не злоупотребляют).
Ваш ЕДИНСТВЕННЫЙ выбор - использовать что-то ПОДОБНОЕ Cloudflare - распространяемые прокси, которые будут выполнять проверку и уменьшать ущерб. Спрячьтесь за кем-то достаточно сильным, чтобы выдержать нагрузку.
Во многих случаях вы смирились с «удаленной черной дырой» (RTBH) или "нулевой маршрут". Это эффективно отбрасывает весь входящий трафик до префикса назначения как можно скорее, чтобы предотвратить насыщение нисходящих каналов. Можно, чтобы динамик BGP на вашем конце разговаривал с вашим интернет-провайдером и запускал его автоматически, не взаимодействуя с человеком у вашего интернет-провайдера.
Однако, в зависимости от того, с чем вы сталкиваетесь и насколько вы нравитесь вашему интернет-провайдеру, вы можете решить проблему, не подвергая свои хосты полному запрету. Вы должны определить, из чего состоит атакующий трафик, и можете ли вы реализовать простые ACL для фильтрации этого восходящего потока. Прекрасным примером этого является случай, когда несколько лет назад атаки отражения DNS / SNMP / NTP и т. Д. Были обычным явлением, правила фильтрации этих атак были очень простыми (drop udp 53 inbound, и т.д). Я смог поговорить со своими вышестоящими специалистами (в то время Telia и Hurricane Electric) и убедить их реализовать эти простые правила ближе к их ядру, где трубы были намного больше.
Обычно DDoS-атаки исходят от хакера, контролирующего ботнет или сеть зомби-машин. Злоумышленник отправит всем ботам команду, предписывающую им делать запросы для определенного ресурса / URI. Большое количество запросов перегружает сервер и останавливает его.
Гениальность DDoS-атак заключается в том, что трафик исходит с потенциально легитимных IP-адресов реальных клиентов.
Не говоря уже о достаточно крупных DDoS-атаках, которые могут использовать безумное количество различных IP-адресов. Другими словами, нет одного IP-адреса, который нужно заблокировать. Или два, или три, или даже четыре .. Уникальных IP-адресов сотни или тысячи.
Блокировка большого количества IP-адресов не всегда желательна. Блокируя большое количество IP-адресов из-за большого DDoS-атаки, вы можете заблокировать большое количество законных пользователей, которые могут использовать этот IP-адрес в качестве нежелательного побочного эффекта (например, Tor, пользователи прокси, университеты, общее домашнее хозяйство, интернет-провайдеры, использующие NAT. для сохранения публичных IP-адресов).
Чтобы предотвратить подобные атаки, рассмотрите возможность использования сетевое тестирование сервис, такой как Ixia, который включает тестирование безопасности, сетевой инфраструктуры и тестирование Wi-Fi