iT邦幫忙

0

DDoS 緩解方式 (實驗目的)

目前是重現 Entropy 與 PCA 的偵測方式於SDN的環境下。
想接著實現緩解的部份 ~~~
除了 下 match dst 為受害主機的IP 的 flow entry 於對應的 switch 外(會造成原本正常 host 也無法 進到 dst host),

想請問還有哪些方式 可以擋惡意流量(封包) 而正常流量還是可以繼續流動?

2 個回答

2
浩瀚星空
iT邦超人 1 級 ‧ 2020-10-19 14:41:40

只要你能解釋出來何謂惡意流量的。就可以下規則擋。
但真正的ddos。是無法判定它是真正的惡意流量。
「擋」雖可以擋。但也擋掉了你所謂的正常流量。

一般可以擋的,是cc跟dd攻擊。有一定的規則可以判斷其為惡意流量。
ddos喔。還是不要想靠所謂的擋了。

阿瑜 iT邦新手 4 級 ‧ 2020-10-19 14:45:18 檢舉

浩瀚星空
那 想請問當真的DDoS 發生時,通常都怎麼做緩解的 ?
是把部分流量導到其他服務主機嗎?

通常怎麼做緩解。大多數就是買大頻寬來處理居多。
或是開分流機器來應付處理。

大多數而言,想單靠自已機器來做設定擋是不可能的。
1~2g的小流量可能還ok。t級以上,我也只能攤手給它死了。
畢竟我沒那個成本買大流量的管線

不過有點你可以放心,一般t級以上的ddos。本身也是需要一些成本的。所以他們才會針對能拿到錢的為主。有很多唬的。

我也曾經就接過恐嚇信。我完全不想理他。
他說要做給我看。然後就一直不了了之。

2
mytiny
iT邦大師 1 級 ‧ 2020-10-19 15:36:07

樓主對目前DDoS攻擊觀念還是停留在傳統洪水攻擊
但其實DoS的S,是指Service服務
讓服務不能有作用的方式就非常多類型了

處理DDoS除了現今靠IoC(indicators of compromise)之外
最重要還是要能辨識網路行為模式
建立某種屬於自身系統的基準值
純靠SDN的提供,
實戰中是不能發揮真正作用的
因為在Combat的當下
沒有機會去補充SDN資料庫
直到服務被殲滅為止

記住,雖然實體線路有一定的頻寬
但是攻擊者擁有internet無限的資源
防守方的資源卻是有限的
可以看看在下這篇使用Fortigate的DoS功能
有提到基準threshold值
個人淺見供樓主隨意看看

看更多先前的回應...收起先前的回應...
阿瑜 iT邦新手 4 級 ‧ 2020-10-19 15:59:32 檢舉

mytiny

純靠SDN的提供,
實戰中是不能發揮真正作用的
因為在Combat的當下
沒有機會去補充SDN資料庫
直到服務被殲滅為止

假設今天在服務上線前,先做一般(預計)流量的分析,建立一種分類的機制,那這樣在上線後,有了辨別分類的機制,是否就會比較能讓服務不容易被殲滅?

但是也有可能發生 辨別成一樣(是正常流量)的情況,那如何處理 就有點難了...


有看 使用Fortigate的DoS功能
有個疑問是 打到一定的值 採用封鎖來源的方式
但 如果那個來源剛好是 正常用戶 ,這樣該怎麼辦?

raytracy iT邦大神 1 級 ‧ 2020-10-19 17:22:37 檢舉

這是沒辦法的事情, Anti-DDoS 都是殺敵七分, 傷己三分的結果, 沒有人可以精準到 100% 的判別, 一定會有誤判誤殺, 或是漏接誤放...

而且光說一個流量分析, 只是很籠統的名詞 , 你到底要分析哪些東西, 才能有效的辨認敵我?

是做特徵辨認? 還是行為分析? 前者可能有很多誤判, 後者需要調校容忍值, 兩者都無法達到 100% 辨識....

DDoS 有 Layer 3/4/7 層的技術差別, 你沒有說清楚針對的目標, 也很難選擇正確的應對技術...

阿瑜 iT邦新手 4 級 ‧ 2020-10-19 20:23:06 檢舉

raytracy

  • 流量分析 的部分 我想針對 目前可以收到的資訊
  1. src ip
  2. dst ip
  3. src port
  4. dst port
  5. TTL
  6. protocol
  7. flag
  8. payload
    進行分析

做 做特徵辨認? 的話 我目前想到 往機器學習方面
但 行為分析? 我就不太確定


做 layer 3/4 的 層的 DDoS

mytiny iT邦大師 1 級 ‧ 2020-10-19 21:29:30 檢舉

有個疑問是 打到一定的值 採用封鎖來源的方式
但 如果那個來源剛好是 正常用戶 ,這樣該怎麼辦?

建立基準threshold值是一個長期的過程
且需要多種設備的monitor
如果有AI的machine learnig蒐集彙整
並且配合機動調整基線會很有用(含容許範圍)
這些方法都是最近比較新的攻防概念

按此要理來說
樓主的正常客戶就不該有異常行為
如果異常,就要先考量是否已成為APT的跳板
在下會建議即刻封鎖為佳
因為這會比較符合近來駭客攻擊的手法
例如利用google cloud或Dropbox來攻擊
Google:中國駭客APT31利用GitHub與Dropbox發動攻擊
Google揭露2017年DDoS攻擊事件內幕

很不幸的,如在下所說
有利的情勢站在駭客這一邊
不在網管IT這一邊
在沒有足夠資源的情況下
只有靠人(力)時時觀察,謹慎小心
沒有人會比網管更了解自己的網路
靠別人終究不如靠自己
各位網管老大辛苦了

我要發表回答

立即登入回答