Załóżmy, że prowadzisz sklep. Każdego dnia możesz zdobyć kilkuset klientów.

Pewnego dnia przychodzą dziesiątki tysięcy ludzi, którzy wchodzą do kasy, kupują drobiazg, a następnie wracają kolejka do powtórzenia.

Oczywiście tracisz interesy od autentycznych klientów, którzy muszą czekać w kolejce godzinami.

Teraz zatrudniasz ochroniarza przy wejściu, aby sprawdzić, czy ci klienci są zadowoleni pewne kryteria.

Jednak wciąż dziesiątki tysięcy ludzi chce się dostać. Jedyna różnica polega na tym, że teraz każdy musi przejść przez ochronę.

Zauważasz, że z punktu widzenia autentycznego klienta nadal czekasz godzinami w kolejce, tylko że teraz wystarczy przejść przez zabezpieczenia!

TL; DR Wiele źródłowych adresów IP sprawia, że ​​tak trudno jest się przed nimi bronić.

Aby uzyskać dłuższą odpowiedź, przyjrzyjmy się nazwie. Atak D DoS. To pierwsze D oznacza rozproszone. Innymi słowy, nie ma jednego adresu IP do zablokowania. Albo dwa, trzy, a nawet cztery… Istnieją setki lub tysiące unikalnych adresów IP.

Zwykle ataki DDoS są przeprowadzane przez hakera kontrolującego botnet lub sieć maszyn zombie. Atakujący wyda polecenie wszystkim botom, instruując je, aby żądały określonego zasobu / identyfikatora URI. Duża liczba żądań przytłacza serwer i wyłącza go.

Oprócz doskonałej odpowiedzi @ Hollowproc, rzeczywiste „adresy” używane jako źródła są często sfałszowane w takich atakach. Atakujący host może podszywać się pod dowolną liczbę innych adresów IP, zwłaszcza w przypadku ataku opartego na protokole UDP, na przykład w przypadku ataku na dostawców DNS.

Istnieje rozwiązanie tego problemu o nazwie BCP 38 lub Network Ingress Filtering. Jeśli cały świat się zjednoczy, wypije kokę i wdroży mechanizmy kontrolne w celu blokowania fałszywych adresów, z których wchodzą do sieci, te ataki nie mogą już fałszować ruchu. Sami ludzie z Dyn wspominają o tym jako o przydatnej obronie.

Zauważ, że wdrożenie obrony w wielu punktach źródłowych ma tę zaletę, że jest skalowalne; wymagania dotyczące poszczególnych bloków nie są uciążliwe pod względem wielkości. Są jednak uciążliwe, ponieważ więcej ludzi musi postępować właściwie z czymś, co nie ma na nich bezpośredniego i negatywnego wpływu ... natura ludzka od ponad dziesięciu lat uniemożliwia osiągnięcie masy krytycznej tego rozwiązania.

Jest możliwe , że rosnący wpływ ataków DDoS zachęci do szerszego stosowania Network Ingress Filtering ... Internet traktuje szkody jako cenzurę i trasy wokół niej :)

Problem z DDoS składa się z dwóch części:

1) Ponieważ botów jest tak wiele, nie muszą one ograniczać żądań tak wysoko, jak pojedynczy bot, a zatem nie są tak łatwe do rozpoznania jako boty.

2) Wszystko, co widzisz, to adresy IP (i User-Agent w zależności od tego, jak filtrujesz ruch botów). Każdy adres IP może być botem DDoS, a każdy adres IP może być uprawnionym gościem. Niektóre adresy IP będą miały zarówno bota DDoS, jak i legalnego gościa. Co robisz?

Załóżmy, że Twoja witryna może obsłużyć 1000 żądań / s, a użytkownik nigdy nie zgłasza więcej niż 10 żądań / s. Jeden bot przy 100 req / s jest łatwy do zablokowania, dziesięć botów przy 100 req / s można łatwo zablokować. Ale 200 botów przy 5 żądaniach / s jest trudnych do zablokowania, ponieważ zachowują się prawidłowo.

200 botów przy 100 żądaniach / s też jest trudnych do zablokowania, ponieważ nie mogą one nawet wykonać więcej niż 5 żądań / s, co sprawia wrażenie, że zachowują się prawidłowo. Ta sytuacja jest znacznie gorsza niż 200 botów przy naprawdę 5 żądaniach / s, ponieważ odwiedzający ma teraz 10 na 10010 żądań próbujących wcisnąć się w połączenie, zamiast łatwiejszego do zarządzania 10 spośród 1010, które pomyślnie docierają do serwera.

1000 botów przy 100 żądaniach na sekundę sprawiłoby, że połączenie z witryną byłoby w ogóle niemożliwe dla każdego prawdziwego użytkownika. Atak tej wielkości spowoduje kłopoty również w innych miejscach.

Silna obrona Twojej witryny jest silną bronią dla atakującego:

Jeśli Twoja witryna blokuje adresy IP (lub nawet określone przeglądarki na adresach IP), jeśli będą się źle zachowywać, ktoś może zdecydować aby nadużyć swojej obrony, aby spowodować atak DoS po stronie klienta.

Przykład: Mallory tworzy stronę internetową zawierającą sto "obrazów" z margin-left: -1000em; szerokość: 1px; height: 1px; i wszystkie te obrazy to niektóre „wrażliwe” adresy URL w Twojej witrynie. Kiedy gość odwiedza stronę Mallory, wyśle ​​100 obraźliwych żądań na twój serwer i dlatego zostanie zablokowany.

Tak więc uzyskanie bardziej agresywnej obrony przed atakami (D) DoS spowoduje również kolejną lukę w zabezpieczeniach.

„Inteligentna” obrona, taka jak CAPTCHA (aby dać odwiedzającym szansę udowodnienia, że ​​są również gośćmi a nie tylko złośliwe boty) będzie miało również efekt uboczny w postaci faktycznego wymagania zasobów serwera.

Przesyłanie obrazów, gdy połączenie jest zatkane, nie wydaje się dobrym pomysłem. Nie pamięta też ogromnej liczby sesji CAPTCHA, CAPTCHA, na które nie ma odpowiedzi, częściowo dlatego, że obrazy nie mogły zostać wysłane, częściowo dlatego, że większość odwiedzających to nie ludzie.

I dalej dynamiczna witryna (wysoce lub niekomunikowana), gasziłbyś ogień benzyną.

Załóżmy, że hostujesz jakąś usługę, której głównym celem jest obsługa określonej lokalizacji geograficznej, i załóżmy, że zrobiłeś to za pomocą pewnych reguł dostępu opartych na adresach IP.

UDP

Jeśli w tym kontekście bierze się pod uwagę UDP, każdy, kto zna narzędzie do tworzenia pakietów (np. scapy), może sfałszować legalne adresy IP, do których ma dostęp, a jeśli zdecydujesz się na blokowanie podejście, zablokujesz uprawnionym użytkownikom dostęp do usługi.

TCP Podobnie sfałszowany TCP (np. powódź synchroniczna) Ataki DDoS mogą sprawić, że prawdziwy użytkownik ucierpi, jeśli aktywna czarna lista podejście jest przestrzegane.

Aby radzić sobie z DDoS, lepiej jest zastosować staranne filtrowanie, używając urządzeń wystarczająco inteligentnych, aby odróżnić prawdziwy i atakujący ruch za pomocą DPI lub innych algorytmów.

CDN, NAT, PROXY

Jeśli użytkownicy stoją za CDN lub czymś podobnym, zablokowanie jednego użytkownika może spowodować, że cała grupa za proxy ucierpi.

Co więcej, „ czy to na podstawie adresów IP, treści wiadomości, czy czegoś innego ”, jak wspomniałeś, aby routery były w stanie filtrować na podstawie zawartości, co utrudniłoby ich routing. Ale tak, nadal są routery, które to robią (np. NBAR) i wszystko, co można zastosować w jego siedzibie.

A blokowanie powinno odbywać się na bardziej szczegółowych podstawach.

Nie jest łatwo odróżnić normalny ruch od ruchu DDoS.

DDoS można wytłumaczyć prostymi słowami: -
Jako człowiek mogę rozmawiać (prowadzić pogawędkę) tylko z jedną osobą na raz i jeśli 10 osób mówi do mnie w tym samym czasie, wtedy nie będę w stanie odpowiedzieć na żadne z nich i będę w stanie niedostępny dla wszystkich z nich.

Atakujący zazwyczaj generują atak DDoS z zainfekowane maszyny (znane również jako ** bot). Może się zdarzyć, że w momencie pisania odpowiedzi na Twoje pytanie moja maszyna może być zaangażowana w atak DDoS na jakiś cel (jeśli moja maszyna jest zagrożona, chociaż szansa na to jest bardzo mniejsza).

Jak wyjaśniono, nie ma dostępnego czarno-białego rozwiązania do kontrolowania (lub blokowania) ataku DDoS.

Jak wyjaśnił @gowenfawr, jeśli wzorzec ataku DDos to udp, to implementacja URF na poziomie dostawcy usług internetowych w Internecie może pomóc w blokowaniu fałszywego ruchu, a tym samym pomóc w kontrolowaniu ataku DDos.

Inni udzielili świetnych odpowiedzi dotyczących technicznych wyzwań związanych z ograniczaniem skutków DDoS, jednak moja odpowiedź tutaj skupi się na tym, co się stanie, gdy już zbudujesz możliwość filtrowania DDoS poprzez blokowanie dużej liczby adresów IP w Twojej witrynie.

Blokowanie dużej liczby adresów IP nie zawsze jest pożądane. Blokując dużą liczbę adresów IP z powodu dużego DDoS, możesz blokować dużą liczbę legalnych użytkowników, którzy mogą udostępniać ten adres IP jako niepożądany efekt uboczny (np. Tor, użytkownicy proxy, uniwersytety, wspólne gospodarstwo domowe, dostawcy usług internetowych, którzy używają NAT aby zapisać publiczne adresy IP).

Może to nie stanowić większego problemu w przypadku małych witryn osobistych, ale w przypadku wielu witryn, w których użytkownicy mają uzasadnioną potrzebę poważnej anonimowości, np. witryny obsługujące działaczy politycznych, osoby LGBT, usługi dla kobiet w opresyjnych krajach, znęcaniu się w domu itp. Proste blokowanie adresów IP jest w istocie podstępem atakującego na tych stronach. Odmawiając usług anonimowym użytkownikom dostępu do Twojej usługi, możesz uniemożliwić swoim najbardziej narażonym, legalnym użytkownikom bezpieczny dostęp do Twojej witryny, a to pozwoli osiągnąć cel atakującego tak samo dobrze, jak oryginalne DDoS.

Nie ma prostego ani pojedynczego rozwiązania ataków DDOS, ponieważ można je wykonywać na wiele różnych sposobów. Natura technologii stojącej za Internetem nie nadaje się do niczego innego, jak tylko do otwartości. Istnieje wiele poprawek i obejść, aby spróbować wzmocnić bezpieczeństwo i złagodzić wiele problemów. Z drugiej strony ochrona witryny lub sieci przed atakiem jest o wiele trudniejsza niż atak. To tylko dzisiejszy stan bezpieczeństwa.

W przypadku ataku na poziomie sieci (podobnie jak ostatnio w przypadku DNS w przypadku Dyn) pomocne byłoby wspomniane wcześniej filtrowanie dostępu do sieci. To przynajmniej pomaga w rozwiązaniu problemu z podszywaniem się.

Jednak bardziej palącą kwestią związaną z tego typu atakiem jest skala. Biorąc pod uwagę, że liczba zainfekowanych systemów w botnecie w celu przeprowadzenia dużego ataku sięgająca dziesiątek tysięcy, jeśli nie setek tysięcy systemów, blokowanie oparte na adresach IP nie jest uzasadnione. Czy daleko w łańcuchu sieci będziesz musiał blokować, aby przetrwać, jeśli to zrobisz? Twierdzono, że atak DDOS Krebsa miał zasięg 600 Gb / s. Czy Ty lub Twój dostawca sobie z tym poradzicie (lub nawet bardziej typowe z mojego doświadczenia 10-120 Gb / s) Niezależnie od tego, w tym momencie po prostu gracie w „kretka”, ponieważ po zablokowaniu atakujący prawdopodobnie przełączy się na inny zestaw wyzyskiwanych maszyn z różnymi adresami IP.

Jeśli zdecydujesz się zagrać w grę reputacji IP <cough> CloudFlare<cough>, możesz robić głupie rzeczy, takie jak blokowanie dużych dostawców, np. Pokemon Go porzuca większość / cały ruch z Belgii. Ponownie, jest to po prostu walka z kretem i nie jest dobrym rozwiązaniem.

Porozmawiajmy wyżej na stosie. Ataki na usługi internetowe, takie jak wypychanie lub skrobanie danych uwierzytelniających, często wyglądają jak legalny ruch. Dzieciaki ze skryptów z ligi juniorów będą miały nietypową sygnaturę przeglądarki, której możesz szukać, ale rzeczy takie jak Sentry MBA lub nawet PhantomJS naśladują odpowiednie przeglądarki, które pokonają ten uproszczony druk palca nagłówka HTTP / identyfikatora przeglądarki. Lepsi napastnicy będą nawet symulować prawidłowe użycie myszy i klawiatury, dodatkowo ukrywając ich zautomatyzowany charakter.

Captcha są drogie zarówno z punktu widzenia implementacji (albo zasobów na serwerach, albo outsourcingu $$). Proste można pokonać rozsądnymi algorytmami wykrywania obrazu. Bardziej złożone captcha zaczynają wkurzać użytkowników i mogą powodować problemy z dostępnością dla niedowidzących. Istnieją również systemy, które skutecznie pokonują captcha za pomocą mechanicznego turka, bezpośrednio (hordy ludzi płacących grosze na captcha) lub pośrednio (na captcha z Twojej witryny odpowiada niczego nie podejrzewający użytkownik z innej witryny).

W każdym razie, ponieważ ataki są wielotorowe, potrzebujesz wielotorowego podejścia do obrony. Duzi operatorzy przeszli nawet do ofensywy, ponieważ Microsoft współpracował z FBI w celu przejęcia i zamknięcia botnetów. Niestety, IoT właśnie otworzył cały nowy zestaw systemów, które po wyjęciu z pudełka są otwarte do eksploatacji.

Geniusz ataków DDoS wynika z faktu, że ruch pochodzi z potencjalnie UZNANYCH adresów IP prawdziwych klientów.

Załóżmy, że normalna osoba mieszkająca w USA mogłaby przejąć swój router i wykorzystać go do DDoS. Firma ofiara całkowicie zablokowała adres IP, teraz ta osoba nie może w ogóle połączyć się z usługą internetową firmy, ponieważ firma całkowicie zablokowała adres IP, odcinając potencjalnie ważny adres IP przed ponownym dostępem do swoich serwerów.

był prostym przykładem, ale wyobraź sobie uniwersytet, który ma kilka adresów IP NAT do przeglądania sieci, a firma zablokowała niektóre z tych adresów IP NAT podczas łagodzenia skutków DDoS. Teraz dziesiątki tysięcy ludzi w tym kampusie może utracić łączność z serwerami tej firmy, co jest katastrofalne dla biznesu.

Nie wspominając o wystarczająco dużych atakach DDoS, które mogą wykorzystywać szaloną liczbę różnych adresów IP.

Prawdziwa historia

Sprzedawaliśmy mały system kamer. Był autorstwa znanej marki, a aparat nie był spektakularny, ale nadal kosztował przyzwoitą kwotę. Pewnego dnia ktoś zadzwonił do nas w sprawie obciążenia ich karty kredytowej. Okazało się, że ktoś go zdobył i kupił jeden z tych aparatów i wysłał go do kogoś, kto prawdopodobnie gromadzi je i albo bezpośrednio ogradza, albo wysyła masowo do frausterów.

Jako przedsiębiorczy administrator, ja wkopałem się w dzienniki, aby dowiedzieć się, skąd pochodzi oszustwo. Znalazłem jeden z afrykańskiego adresu IP, ale pozostałe podejrzane zamówienia miały amerykańskie adresy IP. W rzeczywistości wszystkie były przekazywane przez zhakowane serwery w tym samym centrum danych, w którym znajdowały się nasze serwery internetowe. Poza zgłoszeniem tego do hosta nie było nic do zrobienia. Ktokolwiek to zrobił, pociągał za sznurki przez skompromitowane maszyny. Po prostu nie ma sposobu, aby ustrzec się przed tego rodzaju rzeczami, patrząc na samo źródło sieciowe. Nigdy nie wiadomo, gdzie i kiedy ktoś zostanie przejęty, a jego adres IP zamieni się w broń.

Niedawny atak na Dyn pokazał , jak głupie jest to teraz

Botnet złożony z urządzeń takich jak domowe routery Wi-Fi i kamery wideo z protokołem internetowym, wysyła ogromną liczbę żądań do usługi DNS firmy Dyn. Żądania te wyglądają na uzasadnione, więc systemom Dyn trudno jest wykluczyć je z normalnych żądań wyszukiwania nazwy domeny.

I

Są to trudne ataki przestać, ponieważ często są one przekazywane przez rekurencyjnych dostawców. Nie można ich buforować z powodu losowego prefiksu. Zaczęliśmy widzieć przypadkowe ataki prefiksowe, takie jak te trzy lata temu i pozostają one bardzo powszechnym atakiem. Jeśli używane są urządzenia IoT, to wyjaśniałoby rozmiar i skalę [i jak atak] wpłynąłby: ktoś wielkości Dyn.

Wraz ze startem protokołu IPv6 wkrótce możesz mieć miliardy urządzeń, z których każde będzie miało własny adres IP. Zakres jest zbyt duży, aby skutecznie filtrować.

Protokół, który pozwala „komuś” powiedzieć infrastrukturze internetowej / elementom szkieletowym, aby przestał przyjmować / przekazywać ruch z określonych adresów, oznacza po prostu, że ten „ktoś” nie musiałby nawet stosować technik DDOS, aby wyprowadzić kogokolwiek z sieci. Bez „centralnej władzy, która nie istnieje”, trudno byłoby zgodzić się, komu można powierzyć taką władzę.