¿Puede CloudFlare ser DDoS-ed y no puede ser el límite real de mitigación DDoS, los recursos financieros?

Trabajo para CloudFlare, así que quizás pueda aclarar cómo hacemos las cosas.

Fundamentalmente, CloudFlare utiliza un diseño de red Anycast; esto significa que el tráfico de red no tiene control sobre dónde se enruta y se enruta automáticamente al host más cercano disponible. Las computadoras comprometidas por las botnets se distribuyen típicamente en todo el mundo en diferentes regiones geográficas. Debido al uso de una red Anycast, aumentamos el área de superficie de nuestra red de tal manera que es más difícil que un ataque distribuido nos derribe. El tráfico no puede simplemente abrumar a un solo centro de datos, para poder ampliar esta protección ahora tenemos 86 centros de datos en todo el mundo y planeamos agregar más.

TambiénoperamosunapolíticadeinterconexiónabiertaenlaqueestamosdispuestosainterconectardirectamenteconlosISP( PeeringDB ). Al eliminar a los intermediarios, podemos tener el camino más corto desde la fuente del ataque hasta donde podemos filtrar el ataque. Hoy, tenemos la mayor participación individual en los intercambios de Internet a nivel mundial , de cualquier red. Al tener un camino directo desde el atacante al destino, podemos evitar que congestión colateral en nuestra red.

Sí, necesitamos una gran red para los ataques, necesitamos grandes tuberías para que la gente no pueda congestionarlos. Para eso, nuestra red es un 96% más grande que el ataque DDoS más grande que se haya registrado.

Esto es a pesar del hecho de que hemos visto un aumento enorme en los ataques . Hay algunas características interesantes sobre estos ataques; predominan los fines de semana (atacantes ocupados con otra cosa en el día laborable?), ocurren contra sitios web en gran medida benignos que indican que cualquiera puede ser el blanco de un ataque y también estos ataques tienen una capacidad masiva.

Casi todo nuestro manejo de ataques de Capa 3 ahora es autónomo, usamos una variedad de estrategias para protegernos contra ataques. Cuando los ataques llegan a nuestro Edge, hemos desarrollado estrategias para garantizar que podamos reducir el impacto de dicho tráfico malicioso; Solo buscamos transmitir tráfico seguro al origen.

En muchos sentidos, CloudFlare se ha convertido en el método de filtrado DDOS de último recurso; Para empresas y empresas tenemos protecciones avanzadas contra ataques de DDOS respaldados por un SLA completo , ofrecemos esto a una tarifa plana para garantizar que Los ataques DDOS no tienen éxito en llevar a la quiebra a sus víctimas. Para los sitios de interés público en riesgo, tenemos Project Galileo que ofrece esta tecnología de forma gratuita a los sitios web de interés público que lo necesitan.

Actualmente, uno de los mayores riesgos para Internet reside en los resolutores de DNS abiertos, que se pueden usar para ataques de amplificación de DNS mediante el secuestro de resolutores de DNS inseguros; Recomendaría encarecidamente consultar el Open Resolver Project para obtener más información. Finalmente, un artículo de hace aproximadamente 3 años en nuestro blog explica en detalle cómo DDOS ataque contra Spamhaus casi rompió internet.

Los ataques DDoS a gran escala generalmente se agregan al enrutador de acceso de un objetivo donde su impacto es más fuerte. Si los ataques DDoS de 500Gbps o los ataques DDoS de 1Tbps deben ser manejados por las defensas DDoS de los proveedores de la red de manera ideal. Aquí hay un artículo interesante sobre la profesionalización de los ataques y los proveedores de servicios / proveedores de servicios administrados. security.radware.com/WorkArea/DownloadAsset.aspx?id=798 "> sistemas de IDOS automatizados de DDOS .

Además,latecnologíaSDNtambiénsepuedeusarparaprotegercontra ataques DDoS grandes al automatizar sus procedimientos de enrutamiento y escalamiento de red.

Tienes razón al decir que la capacidad de detener los ataques de ddos es una función de las finanzas. El uso de Cloudflare de los DNS de difusión total devuelve respuestas DNS basadas en la geografía. Puede apagar los ataques mediante nxdominios de clientes que exhiban una conexión altamente explosiva o consultas de DNS.

Hay algunas formas de devolver consultas de DNS basadas en cercos geográficos. Una forma es incorporar los datos de geoip en enlace y responder según el origen de las consultas entrantes. La otra forma es usar anycast para descargar el procesamiento de la ruta a la capa de enrutamiento para determinar los límites geográficos. Con esto en su lugar, puede dividir grandes flujos de ddos según las regiones y hundirlos antes de que lleguen al sitio. Suponiendo que desees ddos cloud flare, deberías saturar sus enlaces, de todas partes, pero como se ha demostrado, tienen la capacidad de resistirlo.