Mon expérience des attaques DoS et DDoS est basée sur le fait d'être ingénieur Cisco pour un FAI et plus tard en tant que Security Manager pour un très grand Global. Sur la base de cette expérience, j'ai constaté que pour traiter efficacement des attaques complexes et à grande échelle, il fallait un bon partenariat entre l'organisation attaquée et son FAI ou son partenaire d'atténuation DDoS (Oui, il y a maintenant des entreprises dédiées à cela, par essence, elles sont très grand FAI à part entière mais utilise son réseau mondial pour prendre en charge le trafic supplémentaire généré lors d'une attaque).
Voici quelques considérations si vous êtes confronté à une attaque qui est en dehors de votre tolérance de bande passante (aka consommation de bande passante ) et vous avez besoin d'aide pour y répondre.
Là où il n'y a pas de partenaire d'atténuation: Établissez une relation solide avec votre FAI. Identifiez les bonnes équipes et contacts dont vous aurez besoin en cas d'attaque.
Utilisez votre pare-feu (ou autre dispositif de journalisation) pour obtenir des preuves de l'attaque (IP source, protocole, longueur de paquet, etc.) comme ces informations peuvent être extrêmement précieuses pour le FAI lorsqu'il décide de la manière de réagir. Ce n'est pas amusant d'essayer de piéger le trafic sur un périphérique de routage Cisco à partir de la ligne de commande à trois heures du matin! Donc, toute aide est appréciée. :-)
Avec cela, votre approche probable sera de filtrer le trafic dans le cloud ISP. Si vous avez été en mesure de fournir suffisamment d'informations et que le trafic est tel, le FAI peut bien être en mesure de filtrer le trafic malveillant et de laisser le trafic réseau valide libre pour accéder à votre réseau. Cependant, si vous causez des problèmes de latence pour le FAI, il est susceptible de troubler tout votre itinéraire au niveau de sa passerelle BGP et vous disparaîtrez du réseau. Des filtres de routage supplémentaires entraînent une charge sur les passerelles, alors ne vous attendez pas à ce que votre FAI ajoute plusieurs filtres, car cela pourrait avoir un impact sur ses autres utilisateurs.
Utilisation d'un partenaire d'atténuation:
Je ne peux parler que de l'expérience d'un seul fournisseur pour cela, vous devrez donc faire vos devoirs pour décider si vous en avez besoin et, le cas échéant, qui serait le mieux placé pour fournir le service.
Le service était basé sur la publicité d'itinéraire BGP et la surveillance des attaques. Une fois qu'une attaque a été identifiée, le partenaire d'atténuation annonce que votre itinéraire passe par son réseau, où les routeurs principaux sont utilisés pour filtrer le trafic malveillant avant de le transmettre à l'organisation.
Mon rôle dans tout cela était de tester la mise en œuvre d'une approche en partenariat pour l'atténuation des attaques DDoS. Cela impliquait d'utiliser une équipe mondiale d'ingénieurs en sécurité pour générer suffisamment de trafic pour permettre un test valide. Nous testions à la fois la capacité d'identifier une attaque, puis de réagir efficacement. Sur cette base, nous avons été très impressionnés par leur approche globale et la solution a fonctionné.