In letzten Jahren wurden wir Zeugen konstanten DDoS-ing Angriffe über das Netz, die meisten vor kurzem begonnen Angreifern, bei normalen Internetnutzer abzielen.

Einer der DDoS-Attacke Typen Flutung von eingehenden UDP-Port 53, für die DNS-Auflösung verwendet. Persönlich hatte ich Probleme mit dieser Art von Überschwemmungen vor 2 Jahren, als einer meiner Kunden über seinen langsamen Internet-Geschwindigkeiten und konstanter Link Abbrecher beschwert. Persönlich habe ich auch diese Art von Angriff erlebt in meinem Heim-Router, und ich kann sagen, dass es verheerend sein, um nicht-qualifizierte Computer-Benutzer ist.

Welche Angreifern zu tun ist ziemlich einfach und Opfern Ressourcen bekommen sehr schnell gegessen, so dass die Opfer in der Totzone ohne Anhaltspunkt, was geschieht.

In Anbetracht der Zahl der „qualifizierten“ Techniker, die im inländischen ISPs zu arbeiten, oder wir könnten nicht-qualifizierte Techniker sagen (für euch, die nicht Sarkasmus zu erkennen :)war), wird dieser zu einem Alltagsproblem für regelmäßige Internet-Nutzer.

Menschen oft ihre ISPs Helpdesk anrufen, um zu sehen, was mit ihrer Internet-Verbindung ist, und Helpdesk-Angestellten oft nicht sehen, nichts falsch, wieder verlassen Opfer in der Totzone ohne Hilfe auch immer. Warum ist das so ? Da Angreifer überschwemmen eingehenden Port 53 mit UDP-Anfragen, und als Ergebnis haben wir un-gewöhnliche Upload Verwendung Opfer Router Upload-Datenstrom, oft Rendering jede Upload von Opfern LAN zu WAN ausgefallen, oder nur sehr verzögert.

Wir können uns selbst gegen diese Art von Angriff durch einfaches Drehen um Angreifer Waffe gegen ihn zu verteidigen und die Nutzung dieser besonderen Angriffsvektor „Signatur“, um abzulenken und Drop rouge Verkehr.

Wir wissen, dass einige Dinge: 1.) Angriff auf unsere Eingangsanschluss 53 mit dem Ziel, 2.) sie UDP, verbindungsloses Protokoll für diese Art von Angriff zu verwenden. , 3.) Sehr oft angreifen Ausgangspunkt sind aus Ländern, die wir als „schwarze Löcher des Internets“ (China, Kuba, Iran, Libyen, Nordkorea, Syrien, Russland), ist 4.) Angriff verursacht Upload hog auf die Opfer-Router

Wir konnten uns selbst durch schwarze Liste alle eingehenden Datenverkehr, der von Black Hole Länderliste kommen wird, indem einfach eine Firewall-Regel, um unsere Router, Fallenlassen wird eingehenden Datenverkehr von Angreifern zu verteidigen. Viele Menschen sind immer noch diskutieren, wenn wir sollten ablehnen oder Drop-Regel für Verteidigung, ich persönlich denke, Tropfen ist besser als zurückzuweisen, als Ausschuß werden einige nützliche Informationen über die Opfer Firewall bieten, während Drop einfach fallen alle eingehenden Daten und geben nur ein Informations an den Angreifer, der ist: Zeitüberschreitung der Anforderung.

In Anbetracht der Größe der IP-Bereiche und Eintrags müssten wir in unserer Firewall für jeden einzelnen Land einreisen, auch unter Berücksichtigung der Tatsache, dass Angreifer seinen Verkehr über eine andere IP, die nicht auf unserer schwarzen Liste aufgeführt ist umzuleiten würde uns ohne Verteidigung machen wieder, Ich bin mit einem kleinen Satz von Firewall-Regeln, so können wir es „selbstlernende Firewall“ Regelwerk nennen.

MikroTik Routerboard-logo-

Ich bin meist mit Mikrotik Router, so werde ich eine Reihe von Regeln für die Routerbetriebssystem zu schaffen, aber man kann sehen, was ich hier habe in und erstellen Sie Ihre eigenen Regeln für Ihre Firewall, oder vielleicht vorgesehenen Regeln bearbeiten und erstellen besseren.

/ IP-Firewall-Adressliste
hinzufügen Adresse = 10.10.42.0 / 24 comment = Local_network list = local-Netzwerk

/ IP-Firewall-Filter
hinzufügen, action = akzeptieren Kette = Eingang src-adresse-list = local-Netzwerk
hinzufügen, action = Tropfenkette = Eingang src-adresse-list = bruteforcers
hinzuzufügen action = Add-src-zu-Adresse-Liste Adressbuch-list = bruteforcers Adressbuch-list-timeout = 1w3d Kette = Eingang dst-port = 53 Protokoll = UDP-src-adresse-list =! local-Netzwerk

Zuerst haben wir unsere Whitelist-Netzwerkliste zum lokalen Netzwerk IP-Bereich, 10.10.42.0/24

Dann fügen wir Firewall-Regel, die alle Eingaben aus unserem lokalen Netzwerk zu akzeptieren ist anzunehmen, ohne diese Regel Firewall würde unsere lokalen IP-Adressen, die mit unseren Haupt-Router zu kommunizieren versuchen, in die Liste „bruteforcers“ hinzuzufügen, so dass uns die keinen Zugang zu den Router selbst.

Danach wird überprüft, ob Firewall eingehenden Datenursprungspunkt liegt auf „bruteforcers“ Liste, wenn es nicht dann fallen Regel wird nicht angewendet, wenn eingehende Daten von der Quelle, die auf „bruteforces“ Adressliste aufgeführt wird kommen, dann fallen Regel angewendet werden kann.

Letzte Regel ist für das Hinzufügen von rouge IPs auf die „bruteforcers“ Adressliste.

So vereinfacht, ist hier, wie diese Firewall arbeitet:

Ooh, eingehende Daten, lässt passen es an meine Regeln und sehen, ob ich etwas zu tun … Oooh, werden die Daten von meinem lokalen Subnetz Incoming, ich werde es akzeptieren, und ich sollte es durch übergeben. Ich brauche nicht, jede passende danach anwenden, wird meinen Job gemacht.

Ooh, neue ankommende Daten, lässt passen es an meine Regeln, hmm Daten nicht von meinem lokalen Subnetz Ursprung, okay wir sehen, eine weitere Regel ist die Datenursprungspunkt auf meiner Liste „bruteforcers“? Hmm, nein, es ist nicht, okay wir sehen, eine weitere Regel, wenn die Daten mit dem Ziel, meine Eingabe-Port 53, es ist nicht von meinem lokalen Netzwerk IP-Bereich stammen, und seine Art ist UDP sollte ich es auf „bruteforcers“ Adresse Liste.

Also, was es tut, ist zu erfassen, wenn jemand versucht, mit uns über den UDP-Port 53 Nachricht einige Daten, wenn Ausgangspunkt ist nicht unsere lokalen Netzwerkbereich, wird es ihnen dynamische Liste namens „bruteforces“ mit Liste Timeout auf 1 Woche eingestellt hinzufügen und 3 Tage.

Das sollte keine ankommenden Daten von rouge IP-s fallen, und schützen uns gegen diese Art von Angriff. Wie effektiv es ist? In nur 2 Tagen bis Zeit versammelten Firewall 5168 rouge IPs, und fiel über 3800MB der eingehenden Datenverkehr. Ich bin ständig bemüht, mein ISP mit diesen Informationen zu kontaktieren, so dass sie ihre Haupt-Gateway-Firewall bearbeiten und einen besseren Schutz für ihre Kunden konnte, aber wie es scheint sie mir zu ignorieren, so dass Tausende von Benutzern ungeschützte gegen diese Art von Angriff.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

000webhost logo