Meilleure protection logicielle contre une attaque de spoofing SYN de bande passante

C'est une attaque DDoS connue. Le cas concerne une édition d'entreprise Windows Server 2008.

En cas de pointe d'attaque, la CPU du server atteint 60%, 50% de la memory est encore gratuite et la moitié de la carte réseau est utilisée, de manière théorisée. Le server dispose toujours de ressources suffisantes pour répondre à de nouvelles requests, mais il ne peut pas (requestr une erreur de temporisation pour de nouvelles requests légitimes)

Mes questions:

  1. Étant donné que les adresses IP source ne sont pas valides, est-il de toute façon de find l'adresse IP de l'attaquant?
  2. Comment éviter le Request Time-out alors qu'il y a encore suffisamment de ressources?
  3. La défense la plus connue pour une telle attaque (sauf le pare-feu matériel)?

3 Solutions collect form web for “Meilleure protection logicielle contre une attaque de spoofing SYN de bande passante”

Tout pirate informatique va falsifier la source en plus d'utiliser plusieurs machines différentes qui ne peuvent être sous son contrôle qu'en raison de sa propre security compromise. Le repérage inversé de l'adresse IP est presque toujours une incursion de fou, à less que vous n'ayez eu de côtelettes importantes comme pirate vous-même.

Je ne dispose pas d'une solution, mais la plupart des pare-feu logiciels devraient permettre de supprimer des types spécifiques de connections ou de connections. Parce que c'est toujours le logiciel qui s'occupe de ceci, en inspectant les packages entrants et en les faisant correspondre aux règles, cela ne supprime pas complètement la charge du server.

Ce qui m'amène à un dernier point: Pourquoi n'utilisez-vous pas un pare-feu matériel dans cette configuration? S'il s'agit d'un server qui touche l'internet public, il a besoin d'un pare-feu séparé. Période.

MISE À JOUR des possibilités supplémentaires: Selon le type d'accord que vous avez avec votre FAI, ils peuvent être prêts et / ou capables (pour un prix) d'effectuer une inspection par packages / façonnage du trafic et des tâches de pare-feu pour vous. Leurs systèmes sont probablement très capables de cela. Les problèmes seraient que vous ne verriez jamais si des packages légitimes étaient abandonnés. C'est comme le spam. Les meilleures attaques DDoS sont celles qui ressemblent le plus à un trafic légitime. Et si vous commencez à perdre des clients ou des contacts en raison de règles de pare-feu excessivement agressives dont vous n'obtenez pas le contrôle direct (c.-à-d. Règles sur votre FAI), cela pourrait nuire au DDoS.

Si vous ne pouvez absolument pas utiliser un pare-feu matériel, vous devez au less vous appeler.

Désolé, mais le logiciel n'est pas une solution ici. Vous aurez besoin de matériel – et cela pourrait ne pas suffire. Récemment, j'étais le webmaster du grand détaillant Internet. Nous avons eu des attaques contre nous et même si nous avions un matériel en place, ce n'était toujours pas suffisant pour arrêter l'inondation. Notre problème était qu'il remplissait notre pipe de bande passante. même si vous pouviez get le mauvais trafic du bien, beaucoup de fois c'est votre bande passante qui va être le goulet d'étranglement.

En outre, ce que Music2myear dit est absolument juste, doublement correct si c'est en effet une machine Windows.

Sur Linux, l'outil que vous searchz est les cookies SYN. Dans Windows, il ressemble à SynAttackProtect ( http://www.symantec.com/connect/articles/hardening-tcpip-stack-syn-attacks pour des informations détaillées). Il semble que l'équivalent de Windows comporte beaucoup de similitudes avec les cookies SYN, et la fonctionnalité est disponible depuis Win2k. Les options peuvent être différentes en 2k8, mais au less c'est un endroit pour commencer.

  • Limiter le nombre de connections d'users simultanées dans Windows Server 2008 Active Directory
  • Le certificat SSL cesse de fonctionner après le redémarrage du serveur sur IIS7, W2K8
  • Dois-je utiliser la fonctionnalité WSUS "deadline" sur les servers de production?
  • Windows Server 2008 R2 mortly lent dans ESX 3.0.2
  • Hyper-V, Linux. Puis-je installer l'intégration de souris et graphique?
  • Exchange 2010 + Sharepoint sur server unique
  • Comment puis-je activer le server MDAC en 2008?
  • Comment rouler le trafic via un tunnel VPN?
  • Processus de mise à jour Windows adapté à mon environnement
  • Montage de filesystems sur disque entier dans Windows 2008?
  • Problème de configuration de RAID 5 avec Windows Server 2008
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.