2 ¿IPs externas para evitar DDoS?

4

En mi red doméstica, actualmente tengo un Hitron cgnm-2250 que actúa como un combo de módem / enrutador con una opción de Transferencia de IP habilitada para un segundo enrutador conectado (ddwrt nighthawk x6 r8000). Ya tengo las 2 IP externas que se muestran para cada dispositivo, pero mi problema es que DDoS'ed esté desconectado.

Tengo mi computadora que conecto directamente a Hitron y mis consolas de juegos conectadas a mi Nighthawk. La gente está obteniendo la dirección IP externa asignada al enrutador Nighthawk y está haciendo DDoS a esa IP. La IP externa asignada al Hitron está a salvo de que se elimine el DDoS ya que los jugadores solo ven la IP del Nighthawk. Tengo la configuración de QoS en el nighthawk por lo que puede usar un máximo del 25% de mi ancho de banda total, esto es teóricamente para evitar que se use todo el ancho de banda cuando me están DDoSed.

Entonces, mi pregunta es ¿por qué estos ataques DDoS están destruyendo toda la red? ¿No deberían estos ataques solo afectar / reducir mi nighthawk porque el Hitron no debería manejar nada de ese tráfico? Teóricamente, debería tener incluso ancho de banda sobrante para que Hitron ejecute el flujo y otras aplicaciones. Mi objetivo final es que las consolas queden fuera de línea y que la computadora permanezca conectada.

¿Alguna solución a esto? Preferiría no usar una VPN para evitar estos ataques DDoS ya que mi velocidad recibe un gran golpe.

    
pregunta thematr1x 01.08.2015 - 22:11
fuente

2 respuestas

2

Su dispositivo Hitron sigue actuando como puerta de enlace. Esto significa que cualquier tráfico dirigido a su segundo dispositivo debe ser manejado por el Hitron. Cuando el dispositivo Hitron se está quedando sin recursos, todos los hosts que usan Hitron como puerta de enlace se ven afectados.

En primer lugar, no es muy efectivo solucionar este problema sin una puerta de enlace externa como VPN. Sin embargo, podría evaluar la posibilidad de obtener una conexión secundaria, separada físicamente. (En Alemania, por ejemplo, existe la opción de usar el cable de TV para Internet además de la línea telefónica) También puede pedir ayuda a su ISP.

    
respondido por el Noir 01.08.2015 - 23:31
fuente
2

Como se indicó, una IP secundaria a través de la misma puerta de enlace no ayudará. Este diagrama basado en texto muestra por qué:

{INTERNET} <---> [Hitron, the Gateway, 2xIP] <--IP Passthrough---(a)
   (a)---> [dd/wrt NightHawk, 2xIP] <---> Devices on the network

IP Passthrough solo funciona porque el dispositivo Hitron ve todo el tráfico primero, luego pasa a NightHawk a través de eso. Como tal IP secundaria no ayudará en este caso, ya que el dispositivo Hitron es su puerta de entrada a la red.

Los detalles específicos de un DDoS dependen del vector de ataque que se elija para el ataque. Parece que le preocupa la saturación del ancho de banda que consumiría todo el ancho de banda disponible de su red. Dicho DDoS está diseñado para sobrecargar la tubería y consumir todos los recursos de la red. Eso significa que si tienes un conducto que solo puede manejar 100 Mbps de tráfico y ataco a través de botnet / DDoS con 500 Gbps de tráfico, he consumido todos tus recursos. Incluso la QoS no solucionará ese problema, ya que una DDoS afectará y consumirá toda su red (desde Internet, al ISP y luego a su red), y en su configuración, lo primero que debe golpear es Hitron. . Elimina eso de la ecuación y toda tu red se desactiva, incluso si conectas NightHawk a la conexión entrante, porque eso también será el próximo éxito.

La única forma en que esto funcionaría es si el ISP puede "anular la ruta" de su dirección IP principal al comienzo de DDoS, o comenzar a filtrar el tráfico DDoS. Cuando eso se anula, su segunda IP puede funcionar, o ambas aún pueden funcionar con filtrado en su lugar al lado del ISP. Sin embargo, tenga en cuenta que si esa segunda IP está en la misma subred que la otra IP, es probable que se dirijan a esa subred también con una DDoS, si realmente quieren interrumpir la disponibilidad. Los ISP también pueden ofrecer filtro DDoS o mitigación, siempre que usted pague por el servicio.

La verdadera conmutación por error del tipo que está pensando con el segundo dispositivo que toma el control y no sigue teniendo DDoS'd es tener una segunda conexión a la red que se puede cambiar cuando la primera es 'bajo ataque'.

Esto, sin embargo, es solo la mitigación más básica, porque un actor de amenazas que lo persigue probablemente eventualmente descubrirá su otra conexión y la eliminará también, apuntando a ambas puertas de enlace de red simultáneamente .

Las DDoSes pueden ser difíciles de mitigar. La mejor opción es ponerse en contacto con el ISP y ver si pueden ayudar con el filtrado y la mitigación de DDoS; probablemente serán su mejor recurso para la mitigación de DDoS.

    
respondido por el Thomas Ward 02.08.2015 - 14:46
fuente

Lea otras preguntas en las etiquetas