Ochrana před D/DoS s rotujícími proxy servery

[hknmtt]

Neviem ako funguju botnety a je problem najst nejake solidne informacie. Ale v principe ak chcem ochranit nejaky server pred D/DOS utokom, tak ho dam za niekolko proxy serverov ktore funguju ba naze geo dns, takze uzivatel sa spaja so serverom cez proxy ktora je k nemu najblizsie, v principe ako CDN.

Ak by prisiel utok, tak v pripade ze je IP-lokalizovany(utok ide z jedneho datoveho centra), moze odstavit iba jednu-dve proxiny a zvysok ide dalej. Ak je to globalny utok, tak vsetky proxy servery su pod natlakom totozne.

Teraz k veci, zaujimalo by ma ci boti kesuju DNS preklady na ip adresy? Ja myslim ze nie. V principe by teda v pripade utoku stacilo vypnut vytazenu proxy, spustit novu na novej ip adrese, aktualizovat geo dns zaznam a normalne fungovat.

Bezny uzivatel bude vzdy chodit cez domenu, takze v pripade zameny serveru si spravi dns dopyt a ide na novu adresu.

Bot ale na druhej strane utoci na adresu a nie domenu, takze on si nebude aktualizovat neplatnu ip a bude sa stale snazit utocit na startu ip, ak ten co to riadi to aktivne nesleduje a neaktulizuje konfiguraciu pre tento botnet.

Samozrejme takto rotovat servery nie je finalne riesenie, ale ak to clovek sleduje tak teoreticky moze takto rotovat ip adresy do nekonecna a byt vzdy o jeden krok napred a predist tak DOS. A ak sa to automatizuje tak prakticky by to mohlo fungovat ako velmi solidna ochrana. Jasne ze utok na nizsej OSI vrstve je o inom ale to riesia na HW urovni datove centra takze to ide mimo mna kompletne.

Je tento predpoklad spravny alebo ani nie? Ak by boti napriklad dostavali chybu spojenia, mozu si spravit znovu dns resolve a ziskat novu ip a v utoku pokracovat, co by cely princip zabilo. Na druhu stranu stara ip moze ostat aktivna a spravi sa z nej len honeytrap.

[Reklama]

[_Tomáš_]

hele, to fungovat dobře nebude.

Je to různé, někteří boti jsou blbé scripty, které prostě volají adresu, ale asi nejčastěji aktualizace DNS záznamů pomůže odvrátit provoz, který běží na IP adresu a nejspíš jí mají boti u sebe napevno, pak nějakou dobu trvá než si to aktualizují, někdy hodiny, někdy dny, někdy vůbec.

DNS odpovědi ti na cestě kešují snad všichni a málokdo dodržuje RFC a TTL, takže při rotování se ti návštěvníci nemohou připojit i násobky TTL času.

Tohle co popisuješ funguje dobře v prostředí, kde máš všechny prvky plně pod kontrolou (od DNS po klienty) a znám projekty, kde jsme vysokou dostupnost a load balancování právě řešili přes dynamickou rekonfiguraci interních DNS, ale opět jen pro interní provoz.

Tvůj systém bude nedetermistický, těžko monitorovalný, pro uživatele nespolehlivý, plný false negativ chyb a DoS stejně neodoláš, stačí, když tam budeš mít nějaké náročnou akci a umí tě položit pár lokálních dotazů.

[MrWhite69]

zaujimalo by ma ci boti kesuju DNS preklady na ip adresy? Ja myslim ze nie.

Odkud tvuj predpoklad vychazi? DDOS je plno typu. Ty asi myslis DDOS na urovni zahlceni site.
Ale v dnesni dobe je DDOS klidne i na Layer7. Vypada jako normalni user traffic. Jen je toho trafficu opravdu hodne a server ti to proste nestiha.
Chodi ti to klidne z nekolika mil. IP adres, nekolik mil. HTTP requestu za sekundu.

Navic utocnik co ovlada botnet, nebo kdyz je to komunitni DDOS pomoci aplikace, viz. ten DDOS od deticek z RuSSka minuly rok. Tak na tvoji obranu reaguji rychle, klidne i v radu sekund.

Cloudflare documentation by mel byt nejake popisy, pokud te to zajima. Ale vsechno je na netu. Nahostuj si na LANu svuj server a pomoci nastroju si ho zkousej DDOSovat, zkus si napsat neco svojeho.

[hknmtt]

> zaujimalo by ma ci boti kesuju DNS preklady na ip adresy? Ja myslim ze nie.

samozrejme som mal na mysli "ano"    teda ze kesuju. spravia jeden dns resolve request a potom pracuju len s ip adresou, tak ako bezny klient. v principe je teda tato tema prave o tom ze kedy boti urobia znovu dns resolve request ak sa nevedia pripojit. pochybujem ze robia dns resolve za kazdym neuspesnym pokusom o pripojenie. takze prave v tom oneskoreni je ta prilezitost ktoru tu riesim. a to oneskorenie moze byt trvale, ak neaktualizuju vobec, ako som pisal. dostanu proste ciel a bombarduju to hlava nehlava.

[MrWhite69]

> zaujimalo by ma ci boti kesuju DNS preklady na ip adresy? Ja myslim ze nie.

samozrejme som mal na mysli "ano"    teda ze kesuju. spravia jeden dns resolve request a potom pracuju len s ip adresou, tak ako bezny klient. v principe je teda tato tema prave o tom ze kedy boti urobia znovu dns resolve request ak sa nevedia pripojit. pochybujem ze robia dns resolve za kazdym neuspesnym pokusom o pripojenie. takze prave v tom oneskoreni je ta prilezitost ktoru tu riesim. a to oneskorenie moze byt trvale, ak neaktualizuju vobec, ako som pisal. dostanu proste ciel a bombarduju to hlava nehlava.

Ok, kdyz se teda bavis o L3/L4 DDoS, ikdyz si to tedy nikde nespecifikoval. Nespecializuju se na DDOS, ale nefunguje to vetsinou tak, ze kazdy bot dostava cil z C2 serveru? Tzn. klidne to muze byt tak, ze ani jeden bot nevola DNS, ale majitel botnetu na to ma infrastrukturu jinde. Tudiz mu nebrani kazdych n sekund delat DNS request jinde a jenom prez C2 posilat botum cil.

Protoze rekneme mas botnet po celem svete, kdyby kazdy bot delal DNS request sam. Tak kazdy dostane IP adresu nejblizsiho serveru k nemu. CDN atd. ze? Nedava smysl aby si takle rozdrobil silu botnetu.

A reakcni cas C2 serveru na zmenu tveho DNS zaznamu, bude treba 5 sekund.
Proste prijde mi tvoje predstava hodne naivni.

[Reklama]

[MrWhite69]

Neviem ako funguju botnety a je problem najst nejake solidne informacie.

Jako na internetu je tuna informaci, nechapu co nedokazes najit.

https://www.cloudflare.com/learning/ddos/what-is-a-ddos-attack/

Deticky/nackove z RuSSka.
https://blog.sekoia.io/noname05716-ddosia-project-2024-updates-and-behavioural-shifts