DDOS攻撃のしきい値
私はSYN Flood DDOS攻撃を理解してシミュレートしようとしています。私は警告を出すためにsnortを使用しています。テストのレートを制御できますが、実際の攻撃に対するトラフィックレートの適切な推定値を知りたいのですが。
現在、TCP SYN攻撃は一般的ではありません。DNS、memcache、その他のUDPサービスを介したUDP増幅攻撃に重点を置いています。一方、トラフィックレートを計算する場合は、IPヘッダー(20バイト)+パケットあたりTCPヘッダー(20/32)バイトの式を使用できるので、たとえば1 GBが必要な場合に送信する必要がある1秒あたりのパケット数。
考慮すべきもう1つの重要な側面は、「IPアドレスのスプーフィング」です。完全なTCP接続が必要な場合、攻撃のソースの検出を回避するために、IP/TCPよりもIP/UDPパケットを簡単にスプーフィングします。 。
ここに絶対的な答えがあるとは思いません。
多くのDDoS検出アプライアンスおよびアプリケーションはこのように動作します。ベースライン測定をビット/秒およびパケット/秒で行って、セットアップの通常のレベルとそれらのレベルの変動量を決定します。理想的には、このベースラインを長期間にわたって作成して、昼/夜および週末/週末のパターンを考慮します。次に、トラフィックパターンが疑わしいと判断するレベルを超えるレベルを選択できます。
別のアプローチとしては、SYNSの1秒あたりのパケットのさまざまなレベルをテストして、ネットワーク、アプリケーション、または保護しようとしているもののどのレベルで問題が発生しているかを判断し、このパケット量より安全に低いレベルを選択します。秒。
最近の平均レート(2018年11月)は3 Gbps程度であると思います(大規模な攻撃は簡単に100 Gbpsに達する可能性があります)。 TCP SYNフラッドは最近では非常に珍しいベクトルです。UDPフラッドははるかに一般的です。