¿Por qué los ataques DDoS cuestan una fortuna para detenerlos?

Es porque si apaga un servidor, no puede usarlo para obtener ingresos. Imagine tener una tienda real: si la cierra durante el día, no puede vender nada y ofrecer sus servicios. Es tan simple como eso.

Para mejorar mi respuesta, cuesta mucho luchar porque es prácticamente imposible defenderse contra tales ataques, ya que el atacante puede usar una gran cantidad de máquinas para atacarte. Si puede defenderse de un ataque con 1000 computadoras, el atacante solo necesita agregar una más para ganar. Y como no hay límite en el número de máquinas que puede usar el atacante, básicamente nunca serás invulnerable :)

En conclusión, cerrar el servidor significa que no hay ingresos porque ya no puede ofrecer sus servicios, pero al mismo tiempo, mantenerlo es extremadamente caro (pero es mejor que cerrarlo).

Es así de simple: si el ataque DDoS causa que se cierre, ya sea por el daño que haga directamente o por su respuesta, entonces el atacante tiene éxito. Si un ataque tiene éxito, se realizará cada vez que el atacante quiera tener éxito.

La forma de reducir los ataques DDoS es asegurarse de que fallen . Si un ataque DDoS no destruye el sitio, no tiene sentido atacar.

Para prevenir ataques DDoS, necesitas poder sobrevivir a ellos.

  

En otras palabras, en lugar de gastar miles de dólares para tratar de mantener el servidor activo, ¿por qué no lo apaga (concede de los atacantes) y no gasta nada?

Porque entonces tendrás que cederte ante los atacantes cada vez que quieran algo.

Este es un escenario del mundo real desde el momento de los disturbios en Bosnia:

Usted opera un servicio de chat que está abierto a todos los interesados. También organiza eventos para varias empresas importantes, como chats con celebridades.

A algunos racistas de un país en particular cercano a los disturbios en Bosnia no les gustan ciertos canales que hablan un idioma asociado con una raza que no les gusta. Exigen que prohíban a los usuarios de ese país y cierran los canales de chat que hablan en ese idioma. Si no hace lo que le piden, lo harán en cada evento que realice en su servicio y causarán que pierda a sus principales clientes frente a sus competidores.

¿Qué haces? Y si cede a las amenazas, ¿cómo se lo explica a sus usuarios?

¿Quieres saber lo que realmente hicieron? Multiplicaron su capacidad de servidor por 10 y su ancho de banda de Internet por 20. Agregaron una persona DDoS de tiempo completo solo para monitorear y reaccionar a los ataques. Gastaron mucho dinero, pero pudieron emitir algunas palabras de resistencia a los racistas. Fue dinero bien gastado.

Otro aspecto del costo para una compañía, además de la pérdida de ingresos, es el costo de investigar, verificar y responder a tales ataques. Hay conversaciones con ISPs, combinando archivos de registro, reescribiendo las reglas del firewall, comunicándonos con los clientes, y luego postmortems.

Pero tenga en cuenta que una empresa no puede "detener" el ataque, solo puede sobrellevarlo. 'Detener' y atacar requerirían la cooperación del ISP y una acción coordinada.

** corrección como resultado de los comentarios **

Había dicho que el ISP tenía un alto costo para detener un ataque DDoS, pero estaba trabajando desde una experiencia anterior con los ISP. Dada la premisa de que un ISP puede detener un ataque con gran efectividad y bajo costo, parece que el único costo para una empresa es la pérdida de ingresos y la oportunidad de mercado de tener un activo no disponible, así como los costos de Respuesta a Incidentes.

Cerrar el servidor para detener la DDoS es como matar a un paciente para curar una enfermedad. Esto no es "detener" el ataque, en realidad está haciendo que tenga éxito al hacer el daño usted mismo.

Recuerde, el objetivo final de DDoS es apagar el servidor ...

Detener DDoS significa; manejar el ataque sin interrumpir las actividades regulares del sitio web.

Si cierras tu sitio web por cada ataque DDoS (o incluso por cada uno de los más importantes) estarás fuera del negocio en una semana, ya que los atacantes seguirán regresando, una y otra vez, hasta que pagues de configurar un perímetro defensivo.

También puede combatir los ataques DDoS bloqueando el tráfico antes que llega a su servidor. Esto puede ser una solución muy rentable. Esta es la idea en la que se basa cloudflare , pero hay otras soluciones similares, tanto comerciales como de uso personal.

El costo de un DDoS tiene que ver principalmente con la pérdida de ingresos, no con la solución del problema en sí.

Realmente no pretendo silenciar la respuesta, probablemente ya haya entendido todo esto, pero como una analogía, considere que tiene una tienda de ladrillo y mortero. Una mañana, su tienda se llena de clientes que no compran, con una multitud delante de la puerta que parece que la tienda no es accesible. Además, no solo la tienda no está disponible para "negocios reales", la multitud ha colocado un enorme letrero en la puerta de entrada que dice "CERRADO" .

Esto se vería realmente mal para los clientes que pasan y se irían a otra parte.