DDoS-停止することは不可能ですか？

Question

理論的には停止することは可能ですか¹ 任意のサイズのDDoS攻撃？多くの人々は、DDoS攻撃を阻止することは不可能であると主張し、私はインターネット上の間違った人々をいじる必要がないと私に言っています。

しかし、もし5年くらいでeveryoneがボットネットをレンタルできるとしたら？では、インターネットアーキテクチャ全体を考え直すべきではないでしょうか。

^{1：停止することで、サービスの実行を維持する、つまり悪影響を取り除くことも受け入れます。}

Tom Leek · Answer

ショッピングモールを想像してみてください。定義により、誰でもモールに入ることができ、その後ショップを閲覧できます。公開されています。お店は、人々が来て期待している（---）ディスプレイを見て、多分入って、それから物を買う。

商店街には、例えばコンピューターを売る店主がいる。彼をジムと呼びましょう。彼は人々にコンピュータを見て来てもらい、それらを購入するように誘惑されたいと思っています。私たちの話では、ジムはナイスガイです。

ボブがいるとしましょう。ボブはジムを嫌う不機嫌なニヒリストです。ボブは、ジムを不幸にするために多大な努力をします。ジムのビジネスを混乱させる。ボブには友達はあまりいないが、彼は自分のねじれたやり方で頭が良い。ある日、ボブは地元の新聞に広告を掲載させるためにいくらかのお金を使います。広告には、大きなフォントと鮮やかな色で、ジムが彼の店の10歳の誕生日のときに素晴らしいプロモーションを実行していると述べています：店に入った最初の100人の顧客は無料のiPad。ボブは自分のトラックをカバーするために、「ボブ」（彼の名前ですが、逆に綴られています）という仮名で新聞との取引を行います。

もちろん翌日、貧しいジムは無料のiPadを欲しがる人々によって水没している。群衆はジムの店を詰まらせるだけでなく、モールのかなりの部分も混雑させ、それは無料のiPadのようなものがないことを理解し始める失望した人々でいっぱいになります。彼らのネガティブさは彼らが他に何も買う可能性を低くし、群衆の圧迫のために彼らはどんな方法でも動くことができないので、モールでのビジネスは完全に止まります。ジムは、元iPadクレーバーだけでなく、彼の店主の同僚によっても非常に不人気になります。ボブ・スニガーズ。

この時点で、ジムはモールのマネージャーであるサラに連絡します。サラは消防士を呼ぶことによって緊急事態を処理することを決定します。消防士は輝くヘルメット、点滅するトラック、叫ぶサイレンと鋭い斧を持ってやってきて、すぐに群衆を分散させるように説得します。次に、サラは友人のガンサーに電話をかけます。ギュンターは、ドイツの移民の息子であり、米国のるつぼの純粋な産物ですが、より重要なのは、問題を担当するFBIエージェントです。ギュンターは彼自身のねじれた方法で、スマートです。彼は新聞に連絡して、最初は困惑しますが、直感的な啓示があります。「ボブ」は「ボブ」を逆に綴っただけです！ギュンターは即座にボブを逮捕し、郡裁判官の前で彼の厳しいが法的な運命に会うように彼を送ります。

最後に、モールの前に展示されたボブの解体された死体のビジョンに十分に抑止されない他のニヒリストとのさらなる問題を回避するために、サラは緩和策を考案します：彼女はヘンリーとハーバート、平均的な外見の筋肉質の2人を雇います若い男性、そしてそれらをモールのエントリに投稿します。 HenryとHerbertは、所定のしきい値を超えて多数の人が侵入しようとした場合にアクセスをブロックする責任があります。プロトボブが再びストライキした場合、これにより、スペースが不足しておらず、群集の制御がはるかに容易になる駐車場の外側での問題の管理が可能になります。

Morality： DDoSを防ぐことはできませんが、その結果は事前対策を講じることにより軽減できます。また、法執行機関からの通常の歴史的に承認された筋肉の表示により、加害者を阻止できます。ボットネットのレンタルが簡単になりすぎた場合、予測可能な結果には、警察の関与の増加、インフラストラクチャレベルでのユーザーの事前認証、ネットワークの最も信頼できない部分の遮断（特に協力度の低い国ではインターネットアクセス）、過去の、より文明化された時代を失ったときの不満と悲しみ。

Rory Alsop · Answer

他の人が言っていることにもかかわらず、そうです。

多くの主要企業は非常に効果的なソリューションを備えており、これまでにない規模でDNS DDoSを使用した最近のSpamhausの戦いでさえ、CloudFlareが導入されるとすぐにカバーされました。

私がテストしたソリューションは、実際の有効なトラフィックのミラーであっても、DDoSトラフィックの転送に非常に効果的です。これらのテストの一部では、カットオーバーはミリ秒未満であり、正当なトラフィックに測定可能な影響はほとんどありませんでした。

これらは動的再ルーティングプロトコルによって機能し、原則としてどこでも機能します。彼らが大企業でのみ使用されている理由は、それらが高価であるためです。

賢明な修正は、すべてのISPが発信トラフィックをフリートし、フィルターリストを共有することです。これにより、DDoS攻撃を完全に防ぐことができます。ユーザーと企業がISPに要求し、このサービスを提供していない人から移動することを要求するだけです。最終的には、それを提供しなかったすべてのISPがブラックリストに登録されます。

Sparr · Answer

いいえ、それは理論的にも実践的にも不可能です。十分に分散されたDDoS攻撃は、正当なトラフィックと区別がつきません。

「slashdot」、「reddit」、または「digg」の影響を検討してください。実際の正当なトラフィックは、ターゲットWebサイトのネットワークサービスを停止します。スラッシュドットのターゲットWebサイトへのリンクを投稿するだけで、多くの場合、効果的なDDoSになります。

AJ Henderson · Answer

まあ、インフラストラクチャを拡張して、ボットネットがサービスを無効にするのに十分なトラフィックを維持するのをより困難にすることができますが、最終的に、DDoSが問題の原因となる正当なトラフィックを使用している場合の唯一のカウンターは、帯域幅を増やすことだけです。彼らのものより高くなるために。送信元を不正であると識別できる場合は、サーバーによるトラフィックの処理をブロックして（CPUとメモリの負荷を軽減する）ことができますが、インターネットが配信しようとしているトラフィックに対処する必要があります。。

jdm · Answer

原則として、DDOSを停止する方法があります。

最も簡単な方法は、より多くのリソースを投入することです。 Amazon.comまたはgoogle.comを削除しようとする幸運。ラウンドロビンDNSエントリを大量のクラウドサーバーと組み合わせると、DDOSが非常に難しくなります。
誰もがこのような莫大なリソースを購入できるわけではありませんが、それがCloudFlareのようなサービスの目的です。あなたが顧客になると、彼らはリソース（プロキシ、帯域幅）を提供し、必要に応じてすぐに割り当てます。それは保険のようなもので、多くの人々が投資を共有し、必要なときにそれから利益を得ることができます。
DDOSトラフィックはしばしばis正当なトラフィックと区別できます。：
- たとえば、HTTPリクエストとして受信された場合、ポート80を一時的にブロックできますが、HTTPSおよび電子メールサーバーには引き続きアクセスできます。もちろん、これは部分的なシャットダウンを意味しますが、サービスの完全な喪失よりはましです。
- これは単なる噂話ですが、FPGAを使用して信じられないほどの帯域幅で詳細なパケット検査を実行できる特殊なスイッチがあると聞いています。これらは、適切なユーザーエージェントを持たないHTTPリクエスト、またはTCP疑わしいと思われるパケットをフィルタリングするために使用できます。
最後に重要なことですが、ISPまたはバックボーンプロバイダーの協力を得て、さらに多くのcouldを実行できます。攻撃が地理的に集中している場合は、そのリージョンからサーバーへのデータのルーティングを一時的に停止します。このような戦略は、今後もっと広く使われる必要があると思います。

（Tom Leekの例えで：Imagine Bobが無料のiPadオファーを黒人/中国人/白人/ ...人のみに提供しました。今度は人種差別的な警備員を雇ってください。偽の顧客の急増を止めます一部の正当な顧客を怒らせます（言うまでもなく、実際にはそうしないでください）。
完全を期すために、だれがあなたを攻撃しているか知っている場合は、報復することができます。法的には当局に電話をかけるか、または彼らに自分のコインで返済し、サーバーを攻撃します（ただし、禁止します！）。

Jeff · Answer

できることはありますが、100％保護されることはありません。

私は以前、このフォーラムの私のサイトにFail2Banファイアウォールを推奨されていましたが、それは役に立ちました。基本的に、1つのfail2banは、そのipファイルを禁止するログファイルでx回同じようなアクティビティを検出します。

未使用のポートをすべてブロックすることも役立ちます。

jokoon · Answer

P2pのみのアーキテクチャではそれが可能かもしれないと思います...しかし、それはコンピュータの動作に多くの変更を必要とし、多くの小さなウェブサイトの低迷を伴います。いい質問ですね。

集中化を可能にするネットワークアーキテクチャがある場合、DDOSは常に許可されます。これらを防ぐには、インターネットインフラストラクチャ全体をDDOSに対応させる必要があります。つまり、ボトルネックが検出されると、特定のIPへのすべての要求が除外されます。ルーターは高速になるように設計されているため、このような機能を実装するには非常に費用がかかり、パケットのターゲットアドレスをチェックする "DDOS封じ込めモード"が必要となるため、低速になります。それでもWebサイトは応答しないか到達不能になりますが、クラッシュすることはありません。

別の方法は、コンテンツを繰り返すために、Webサイトにある種のミラー/ブロードキャストシステムを持たせることです。ブロードキャストとは、コンテンツがルーターによって自動的に繰り返されることを意味します。しかし、頻繁に変更しないことが要求されます。これは厳しい要件であり、高価であるため、多くのWebサイトがそれを提供することはできませんでした。

正直なところ、私はDDOSを攻撃やセキュリティの問題のように考えていません。ボットネットはそうです。

vyrovcz · Answer

DDoS攻撃をブロックする最も安く、最も効果的で最も簡単な方法：

サーバーが処理できる以上のリクエストを受信するとすぐに、「セキュアモード」がオンになります。このモードでは、リクエストするすべてのIPアドレスが最小限のHTMLサイトを取得します。小さいほど、ライブのDDoS攻撃とキャプチャプロンプトの警告で構成されます。

Google Captcha Example

正しいキャプチャを入力したIPアドレスは、通常どおりサイトを閲覧できるホワイトリストに移動します。リクエストが再び低くなると、「セキュアモード」がオフになります

JCx · Answer

ショッピングモールの回答が大好きです。だからここにいくつかの詳細があります。モールは保護されているが駐車場が満杯になったらどうなりますか？

まず、いいえ、現在のインターネットアーキテクチャでは、anyサイズの攻撃を阻止することはできません。資金が豊富な大規模ISPでも、かなり大きなISPを停止できます。

しかし、（おおまかに）攻撃がISPのインバウンド接続のサイズよりも小さい限り、物事を継続して実行するのに適しています。しかし、彼らはいくつかの豪華な技術を必要としています。

私がこれまで関わってきた最高のものには2つの段階があります。

最初の段階では、DDoSアクティビティによって引き起こされる可能性のあるトラフィックのピークを特定します。これに特化したArborネットワークと呼ばれる会社（ http://www.arbornetworks.com/ ）

次に、ネットワークは、宛先へのすべてのトラフィックを取得し、それをDDoSスクラバーに再ルーティングするように命令されます。各スクラバーは一定量のトラフィックを処理でき、ノイズから有効なトラフィックを選択するのに優れています。

次に、スクラバーは有効なトラフィックを元のサイトに転送します。

Elias · Answer

このトピックに関する研究があり、理論的にはDDOS攻撃を阻止する方法があるようです。

ここは、新しいネットワークアーキテクチャの実用的なプロトタイプである [〜＃〜] scion [〜＃〜] に関するAdrian Perrigからの講演です。これは、システムのDDOS緩和を行う部分に関する記事である必要があります。もちろん、ボットネットなどへの攻撃を想定しています。

他の人が指摘したように、攻撃者がDDOS攻撃を正当なトラフィックのように見せるほど強力である場合、すべてのユーザーに対して十分なリソースがない場合と基本的に同じ状況にあります。そのため、このケースを防ぐことはできません。

Giang Nguyen · Answer

依存します。インターネットの半分を超える1バイトのサイズのDDoSが残りの部分で起動されると、インターネット全体がダウンします。しかし、それはほとんど不可能です。通常のDDoS攻撃は吸収できますが、阻止することはできません。トムリークによる上記の例では、セキュリティ担当者は非常に多くの人々しか処理できません。 DDoSについても同様です。 CloudFlare、Incapsula、...をガードとして支払うことができますが、十分なパワーがあれば、DDoSはそれらを停止します。

cipherwar · Answer

DDoS攻撃者が利用している主なものはcentralized resourceであり、トラフィックで圧倒されます。高度に分散するようにアプリケーションを作成した場合、DDoS攻撃は効果的ではありません。

まさにこれはDNSインフラストラクチャとエニーキャストで行われました。たとえば、Google DNSは8.8.8.8ですが、エニーキャストを使用しているため、8.8.8.8へのリクエストを処理する実際のマシンは、世界中のデータセンターに分散しています。したがって、8.8.8.8に向けられたDDoS攻撃も分割されて分散されますが、これはDDoS攻撃の目的ではありません。これが不可能を可能にすることは言うまでもありませんが、はるかに効果が低くなります。

残念ながら、すべてのアプリケーションはエニーキャストIPの背後で実行するように設計されていません。しかし、全体的なアプローチが最善の防御策です。アプリを高度に分散させると、DDoSの効果が低下します。

user1258361 · Answer

大企業レベルでの一般的なソリューション：正当なユーザーとDDoSの両方に同時に対応できる十分な帯域幅/サーバーを購入します。

問題で機器を投げる以外。他の唯一の解決策は、一定の広範囲にわたる公衆警戒です。あまりにも多くの人々が自分のコンピューターをずさんで、バックドアや悪意を持ってリモートコントロールされることを許しています。一部のデバイスメーカーは、インターネット対応の家電製品を使ってずさんで、設定が不十分で、ハッキングに対して脆弱なままになっています。

一般的な経験則：使用していないときは着信接続を禁止します。すべての着信接続をブロックするようにコンピューターを設定した場合、誰もそれをリモート制御できません（コマンドを読み取るサーバーとの接続をアクティブに確立するバックドア/「ゾンビウェア」の極端に退化したインスタンスを除く）。

ほとんどの場合、平均的なコンピュータユーザーは着信接続を許可する必要はありません。必要な場合は、着信接続を必要とする特定のポート/プログラムのみをブロック解除し、それらのポート/プログラムを使い終わったら着信接続を再度ブロックします。

IOTデバイスは少し難しいです。リモート制御できるように設計されているため、すべての着信接続をブロックすることはできません。