תחת מתקפה

[Booster Caputa]

תחת מתקפה

2 שרתים שלנו שחשופים החוצה (מתוך 15) מקבלים החל מאתמול אין ספור בקשות UDP בפורט 53

שרת אחד הוא שרת DNS פנימי שלנו (ביטלתי את השירות לעת עתה), שרת שני הוא שרת WEB בלבד (סגרתי אותו לעת עתה)

מצורפים לוגים

מה אתם מציעים לעשות?

 

[ירון316]

מה בדיוק עושים השרתים?

למה שרת DNS פנימי חשוף לעולם?
למה בשרת ה-WEB פתוח בכלל פורט 53? סגור אותו ותשאיר 80\443

 

[Booster Caputa]

החלפתי צבע

שירות ה-DNS על השרת הנ"ל לא פתוח לעולם - זה ה-Implied Rule שנתן לפקטה לעבור (כרגע ביטלתי ואף פאקטה לא עוברת; אבל עדיין הבעיה כמובן לא נעלמת).

השרת עצמו - מספק שירותי LDAP לעולם בלבד (DNS לפנימי בלבד)
שרת ה-WEB הוא שרת WEB וכרגע פורט 53 נחסם

מה עוד אתם מציעים לעשות?

 

[ירון316]

זה הכל

מתקפה על כתובות IP זה עניין מקובל, כל עוד אתה חוסם הפורטים. בדיוק בשביל זה יש לך פיירוול יפה כזה

 

[Booster Caputa]

או קי, כיוון חשיבה מעניין

מה עם פעולות פרואקטיביות יותר?

יש שירות אנטי DDOS (נשמע כמו סופר Wifi של בזק) של ספק התמסורת - האם כדאי?

 

[דלית - delete]

כדאי זה עניין כלכלי

כמה עולה השירות מהספק לעומת עלות הנזק אם לא תספקו שירות ללקוחות.
אם א' נמוך מב' - כדאי.
כמובן שהתחשיב הוא לאורך זמן, כי אתם הולכים לשלם על השירות פר תקופה.

נסה להעריך את נק' הסף - כמה זמן הפסקת שירות ללקוחות יעלה לחברה אותו דבר כמו תשלום שנתי לספק (תשלום שנתי זה ניחוש פרוע. תוכל לבחור כל פרק זמן אחר שנראה לך סביר).

 

[Booster Caputa]

אגב, יש Accepted בגלל ה-Implied Rule הבא:

הבעיה היא שאם אני מבטל אותו, ישנם שירותים אחרים שלא פועלים.

 

[Booster Caputa]

ומה יקרה אם התוקף יכפיל את הכמות פי עשרה?

במקרה כזה הפיירוול שלי אמור להתרסק מעומס על ה-CPU.

האם אני צריך לחיות עם זה למרות שאני חוסם את התקשורת?

עוד דבר, האם במקרה כזה לא כדאי לעשות Reject במקום Drop? ע"מ שהבוט התוקף יקבל תשובה שלילית ויידע שהוא "מבזבז" את זמנו.

 

[kitt]

הבוט לא בודק מה אתה עונה לו. זה כל הרעיון של

התקפת DDOS היא התפה מפגרת לחלוטין מבחינה טכנית שכל מה שהיא מנסה לגרום לו זה להפיל לך את האפשרות לתת שירות ללקוח לגיטימי.

 

[ירון316]

חלילה להתרסק

המכונות האלה בנויות לשרוד בדיוק דברים כאלה.