it-swarm.com.de

Stoppen von DDOS TCP SYN- und UDP-Flood-Angriffe

Ich würde gerne wissen, ob es möglich ist, einen TCP SYN OR ICMP Flood-Angriff, wenn diese Angriffe zu einem bestimmten Zeitpunkt erkannt werden) zu stoppen. Was ist der genaueste Prozess dazu? Filtern Sie diese Adressen, wenn die einzige Möglichkeit darin besteht, die IP-Adressen des Botnetzes zu blockieren.

7
maya-bf

Es besteht die Möglichkeit, dass diese Angriffe mithilfe von IP-Spoofing ausgeführt werden. Die erste Verteidigungslinie ermutigt Ihren ISP, BCP38 zu übernehmen, um IP-Spoofing zu vermeiden.

Das Problem bei einem Denial-of-Service-Angriff besteht darin, dass Sie häufig verhindern müssen, dass der böswillige Datenverkehr Sie überhaupt erreicht. Sie können lokal nicht viel tun, aber Sie können sich jederzeit für einen Dienst wie CloudFare (der auch BCP38 implementiert) entscheiden, da diese diese Art von Paketen bereinigen können, bevor sie Sie erreichen.

2
Lucas Kauffman

SYN Flood kann durch Aktivieren von SYN Cookies gemindert werden. SYN-Cookies verhindern, dass ein Angreifer Ihre SYN-Warteschlangen füllt und Ihre Dienste für den legitimen Benutzer nicht erreichbar sind.

Unter Linux sind dies einige Einstellungen, mit denen Sie SYN-Cookies effizient aktivieren und einrichten können:

echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 2048 > /proc/sys/net/ipv4/tcp_max_syn_backlog
echo 3 > /proc/sys/net/ipv4/tcp_synack_retries

Fügen Sie diese Zeilen zur Datei /etc/sysctl.conf Hinzu, damit diese Einstellungen beim Start automatisch geladen werden:

net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_synack_retries = 3

Es ist auch möglich, eine Windows-Box zu schützen, wie in dieser Artikel von Microsoft beschrieben. In Windows Vista und höher ist der SYN-Angriffsschutz standardmäßig aktiviert.

Aufgrund der UDP-Flut können Sie leider nicht viel dagegen tun. In einer ICMP/Ping-Flut können Sie Ihren Server jedoch so einrichten, dass Pings ignoriert werden, sodass ein Angriff nur zur Hälfte wirksam ist, da Ihr Server keine Bandbreite verbraucht, um die Tausenden von Pings zu beantworten, die er empfängt.

Sie können dies tun, indem Sie diese Konfiguration ausführen:

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

Und natürlich fügen Sie diese Zeile der Datei /etc/sysctl.conf Hinzu:

net.ipv4.icmp_echo_ignore_all = 1

Bei einigen Watchdog-Systemen muss jedoch ICMP Echo aktiviert sein, damit es funktioniert. Bei einigen Mietservern müssen Sie ICMP Echo aus diesem Grund aktiviert lassen. Sie können jedoch weiterhin iptables verwenden, um Ping nur in einigen Schnittstellen zu deaktivieren.

Unter Windows kann dies mit dem folgenden Befehl erfolgen:

netsh firewall set icmpsetting 8 disable

Die Windows-Firewall muss aktiv sein.

13
Havenard

Als Beispiel für einen schweren UDP-Angriff bin ich Senior Network Admin an einer Universität in Kalifornien. Vor ein paar Tagen hatten wir einen schweren UDP-Flutangriff von nicht weniger als 553 verschiedenen Hosts auf der ganzen Welt. Ja, wirklich war nur in der Lage, unsere (großen) eingehenden Pipes von unserem Provider zu drosseln und einige der eingehenden und einige der resultierenden antwortenden UDP teilweise zu filtern. Dies ist ein wirklich böser Angriffsvektor. Wir arbeiten immer noch daran, eine bessere Antwort zu finden Gegenmaßnahmen werden bereitgestellt, wenn dies erneut geschieht.

1
user35597