Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Информационная безопасность

Как протестировать DDoS-атаки через маршрутизатор?

На чтение 4 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. Критерии для выявления DoS/DDoS атак через маршрутизатор
  4. Ресурсы для дальнейшего изучения
  5. Заключение

Вопрос или проблема

Одному из моих клиентов сообщила их служба интернет-провайдеров, что произошла атака DoS, и они предоставили журналы маршрутизатора Juniper. По каким критериям в маршрутизаторах можно подтвердить, что атака DoS действительно произошла?

Есть ли какие-либо статьи или данные, которые могли бы прояснить, как обнаруживать атаки через маршрутизаторы? Журнал в основном говорит:

5 нояб. 12:24:42 RT_FLOW: RT_FLOW_SESSION_CLOSE: сессия закрыта:
209.95.32.62/20443->xx.xx.xx.xx/50544 Нет
209.95.32.62/20443->xx.xx.xx.xx/50544 Нет
Нет 17 1000 Trust Trust 336106 0(0) 0(0) 1 UNKNOWN UNKNOWN N/A(N/A) ge-2/0/21.0

Вы, вероятно, имеете в виду атаки DDoS (распределенный отказ в обслуживании), а не атаки DoS, которые технически могут быть лишь одним пакетом (например, Ping of Death).

Тем не менее, критерии, о которых вы спрашиваете, немного различаются от провайдера к провайдеру, но несколько вещей, которые легко отслеживаются этими устройствами, следующие:

1.) Резкое увеличение трафика, превышающего 10 000 пакетов в секунду, это хорошее правило.

2.) Большое количество пакетов, покидающих сеть клиента, с поддельными IP-адресами отправителей. Теоретически это должно блокироваться правилами выхода, но такое происходит.

3.) Большое количество преднамеренно вредоносного трафика. Атаки SYN Flood, атаки UDP Flood, атаки DNS Amplification, массовые запросы SNMP, отправляемые с «цельевого» хоста.

4.) Большие объемы преднамеренно фрагментированных пакетов.

Cisco, крупный производитель коммерческих маршрутизаторов, имеет документ, который также может дать вам больше понимания о том, что можно обнаружить.

http://www.cisco.com/web/about/security/intelligence/guide_ddos_defense.html

Википедия содержит очень полезную статью об атаках отказа в обслуживании, в которой также упоминается множество сетевого трафика, на который вам стоит обратить внимание.

https://en.wikipedia.org/wiki/Denial-of-service_attack

Наконец, следующая работа также может быть полезна:

http://mallikarjunainfosys.com/IEEE-PAPERS-2013-14/Bandwidth%20Distributed%20Denial%20of%20Service/Bandwidth%20Distributed%20Denial%20of%20Service.pdf

Ответ или решение

Для диагностики атак DoS (Denial of Service, отказ в обслуживании) или DDoS (Distributed Denial of Service, распределенный отказ в обслуживании) через маршрутизатор Juniper, важно обратить внимание на несколько критических показателей в логах устройства. Вот рекомендации, как можно подтвердить или выявить такие атаки:

Критерии для выявления DoS/DDoS атак через маршрутизатор

  1. Аномальные объемы трафика: Обратите внимание на резкие всплески трафика. Например, если ваш маршрутизатор показывает более 10,000 пакетов в секунду, это может указывать на атаку.

  2. Подделка IP-адресов: Проверяйте, если большое количество пакетов выходит из вашей сети с подделанными IP-адресами. Хотя это должно блокироваться с помощью правил эгресса, такие ситуации иногда происходят.

  3. Систематические типы атак:

    • SYN Flood: Увеличенное количество SYN-пакетов, отправленных на сервер, без соответствующих ACK-ответов.
    • UDP Flood: Атака, которая создает большое количество UDP-пакетов, настраивающих целевые порты.
    • DNS Amplification: Увеличение трафика за счет использования открытых DNS-рекурсоров.
    • Bulk SNMP запросы: Запросы, отправляемые на SNMP-протокол от "цельного" хоста.

  4. Маленькие или фрагментированные пакеты: Обратите внимание на большое количество специально фрагментированных пакетов, что также может указывать на атаку.

  5. Логи маршрутизатора: Анализируйте содержимое логов вашего маршрутизатора. В вашем примере с логами важно обратить внимание на параметры, такие как IP-адреса источника и назначения, типы протоколов, а также на количество открытых и закрытых сессий.

Ресурсы для дальнейшего изучения

  • Cisco DDoS Guide: Cisco DDoS Defense Guide – полезный материал от Cisco с рекомендациями по защите от DDoS-атак.

  • Wikipedia о DoS атаках: Wikipedia – Denial-of-service attack – страница, охватывающая широкий спектр атак и методов их выявления.

  • Научная статья: Bandwidth Distributed Denial of Service – другое исследование, которое может помочь вам понять, как функционируют DDoS-атаки и какие методы защиты можно использовать.

Заключение

Ваша задача заключается в анализе логов маршрутизатора, выявлении аномалий в трафике и подтверждении наличия или отсутствия атаки. При необходимости, используйте дополнительные инструменты мониторинга трафика на уровне сети. Если атаку подтвердить, стоит рассмотреть возможность взаимодействия с вашим интернет-провайдером для применения мер защиты и смягчения дальнейших атак.

denial-of-service router siem
Оцените материал
Добавить комментарий

Капча загружается...

© 2024 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности