¿Cómo lidiar con el agotamiento de ancho de banda UDP DDoS ataques?

Navega tus respuestas
5

Estoy creando un servicio, que utilizará UDP. Se ejecutará en Amazon AWS: en el servidor de seguridad que proporcionan, puedo bloquear todo, excepto el puerto UDP que ejecutará mi servicio.

Lo único que me preocupa es recibir un spam masivo de paquetes UDP de direcciones IP falsas aleatorias en ese puerto UDP en particular. Si un grupo de estas direcciones IP falsificadas sería limitado, entonces todas podrían incluirse en una lista negra en un firewall de terceros. Pero si cada paquete puede tener una dirección IP aleatoria de 32 bits, entonces no puedo pensar en una forma de reconocerlo desde un paquete legítimo.

¿Hay alguna manera de defenderse contra tal ataque?

    
pregunta John Lock 04.06.2016 - 01:36
fuente

2 respuestas

2

¿Estás absolutamente vinculado a UDP? TCP corrige los ataques de suplantación de IP.

IPSEC? Si cada paquete proviene de un dispositivo de confianza predeterminado, puede agregar el encabezado de autenticación para validarlo.

    
respondido por el CGretski 25.11.2017 - 01:26
fuente
1

El objetivo de los ataques DDoS es agotar algunos de sus recursos (ancho de banda, CPU, RAM, disco, ...). Suelen ser de dos tipos:

  • explote una vulnerabilidad en su servidor (o backend) que afecte un recurso con un pequeño esfuerzo (en cuanto a recursos) en el lado del atacante. Sloworis es un ejemplo. La solución suele ser una solución del proveedor.
  • explota el hecho de que tienes un ancho de banda limitado en comparación con el atacante. La solución, cuando funciona, es utilizar un intermediario (CloudFlare, Akamai, ...) que mágicamente limpie el tráfico antes de que llegue a usted. Mágicamente = solución propietaria que puede funcionar o no. En cualquier caso, cuando llegue ese aumento de tráfico, ya es demasiado tarde para protegerse: los paquetes deben tratarse en sentido ascendente.

En tu caso, este es probablemente el caso # 2.

Si tiene un DoS de una única IP, puede manejarlo a nivel de firewall reduciendo el tráfico. Sin embargo, este suele ser un ataque muy primitivo.

    
respondido por el WoJ 04.06.2016 - 11:46
fuente

Lea otras preguntas en las etiquetas

CSRF en la página de inicio de sesión ¿Se considerarían los mensajes de excepción genéricos como un riesgo de seguridad?