¿Puede un ataque volumétrico DDoS ser mitigado por alguna defensa interna o la defensa siempre necesita estar en la nube? Si es así, entonces ¿por qué?
Depende un poco de lo que consideres "en casa". Usted no puede filtrar los ataques volumétricos una vez que estén en su red, ya que sus enlaces externos están saturados. Por lo tanto, el filtrado debe realizarse antes de que el tráfico llegue a su (s) enlace (s) externo (s), por ejemplo, por su (s) proveedor (es) ascendente (s) o por algún servicio de depuración dedicado. Esto puede ser un engaño (descartar todo el tráfico hacia el objetivo), o arrastrar (descartar el tráfico no deseado y dejar pasar el tráfico válido).
Si su red está ejecutando BGP, los desencadenantes para decidir hacerlo a menudo pueden provenir de su red, por ejemplo, mediante un agujero negro activado remotamente, que utiliza una sesión de BGP para indicar a un BGP en sentido ascendente que el tráfico a un determinado el objetivo debe ser descartado, o inyectando rutas BGP más específicas que desvíen el prefijo que contiene la dirección IP que está bajo ataque a través de un centro de depuración.
Si su red no está ejecutando BGP (pero utiliza un proveedor ascendente para esto), un proveedor ascendente puede proporcionar servicios de "blackholing" o "scrubbing", ya sea automatizado (basado en la detección de anomalías) a través de un portal del cliente o después de contactarlos.