¿Qué técnicas usan los firewalls avanzados para proteger contra DoS / DDoS nuevamente?

Esos son realmente dos ataques diferentes, aunque similares.

El DoS "regular" se basa en intentar bloquear el servidor / firewall, a través de algún tipo de error o vulnerabilidad. P.ej. los conocidos SYN Flood . La protección contra estos, por supuesto, es específica de la falla (por ejemplo, las cookies SYN), y la codificación / diseño seguro en general.

Sin embargo, DDoS simplemente intenta abrumar al servidor / firewall inundándolo con una gran cantidad de solicitudes aparentemente legítimas.
A decir verdad, un solo servidor de seguridad no puede realmente protegerse contra esto, ya que no hay una manera real de marcar a los clientes "malos". Es solo una cuestión de "mejor esfuerzo", como la aceleración propiamente dicha para que no se bloquee, los balanceadores de carga y los sistemas de conmutación por error, intentando hacer una lista negra de IPs (si no están de acuerdo con la "maldad", luego según el uso ), y por supuesto, notificando activamente a los administradores.
Este último podría ser el más importante, ya que en los casos de DDoS aparentes (digo que aparente, porque el uso máximo habitual podría parecer como DDoS - historia real) realmente se necesita un ser humano para diferenciar el contexto de situación, y averiguar si cerrar, mejor esfuerzo, aprovisionar otra caja, etc. (o emplear contraataque ... ssshhh !!)

Mi experiencia con los ataques DoS y DDoS se basa en ser un ingeniero de Cisco para un ISP y luego como un Security Manager para un Global muy grande. Basándome en esta experiencia, he descubierto que para tratar con ataques a gran escala y complejos se requiere una buena asociación entre la organización atacada y su ISP o socio de mitigación DDoS (Sí, ahora hay empresas dedicadas a esto, en esencia, son muy Los ISP grandes por derecho propio, pero utilizan su red global para asumir el tráfico adicional generado durante un ataque).

A continuación, se incluyen algunas consideraciones si enfrenta un ataque que está fuera de su tolerancia de ancho de banda (también conocido como consumo de ancho de banda) y necesita ayuda para responder.

Donde no existe un socio de mitigación: Establecer una relación fuerte con su ISP. Identifique los equipos y contactos adecuados que necesitará si hay un ataque.

Use su firewall (u otro dispositivo de registro) para obtener evidencia del ataque (IP de origen, protocolo, longitud del paquete, etc.) ya que esta información puede ser muy valiosa para el ISP a la hora de decidir cómo responder. ¡No es divertido intentar atrapar tráfico en un dispositivo de enrutamiento de Cisco desde la línea de comandos a las tres de la mañana! Asi que se agradece cualquier ayuda. :-)

Con esto, su enfoque probable será filtrar el tráfico dentro de la nube del ISP. Si ha podido proporcionar suficiente información y el tráfico es tal, entonces el ISP puede filtrar el tráfico malicioso y dejar libre el tráfico válido de la red para acceder a su red. Sin embargo, si está causando problemas de latencia para el ISP, es probable que se conviertan en un agujero en toda su ruta en su puerta de enlace BGP y desaparecerá de la red. Los filtros de enrutamiento adicionales causan una carga en las puertas de enlace, así que no espere que su ISP agregue múltiples filtros ya que esto puede afectar a sus otros usuarios.

Utilizando un socio de mitigación:

Solo puedo hablar de la experiencia de un proveedor para esto, por lo que tendrá que hacer su tarea para decidir si lo necesita y, de ser así, quién estaría en mejores condiciones de proporcionar.

El servicio se basó en la publicidad de rutas y el monitoreo de ataques de BGP. Una vez que se identificó un ataque, el socio de mitigación anuncia su ruta para pasar a través de su red, donde los enrutadores centrales se utilizan para filtrar el tráfico malicioso antes de pasar a la organización.

Mi rol en todo esto fue probar la implementación de un enfoque asociado para la mitigación DDoS. Esto implicó utilizar un equipo global de ingenieros de seguridad para generar suficiente tráfico para realizar una prueba válida. Estábamos probando tanto la capacidad de identificar un ataque como para responder con eficacia. Sobre esta base, quedamos muy impresionados con su enfoque general y la solución funcionó.

Un tipo de protección contra DDOS no realizada directamente por firewalls es distribuir el contenido de la página en todo el mundo de manera que todas las solicitudes provenientes de un país se realicen contra un servidor local y las solicitudes desde otro país, a la misma URL o dominio, se realizan contra otros servidores locales que distribuyen la carga entre servidores locales y no sobrecargan un servidor único. Otro punto de este sistema es que las solicitudes no viajan demasiado lejos.

Este es un trabajo para DNS y la infraestructura se llama Red de entrega de contenido o CDN .

Las empresas como CloudFlare ofrecen este tipo de servicios.

Por lo general, DDOS se realiza mediante el envío de una cantidad abrumadora de paquetes al servidor, en el que el servidor intentará procesarlo frenéticamente, naturalmente. Una vez que un firewall detecta un posible DDOS, se puede configurar para incluir en la lista negra a los clientes con PPS (Paquetes por segundo) lo suficientemente altos.

Los filtros pueden activarse y desactivarse en cualquier momento, de modo que si experimenta un DDOS, puede activar un filtro con un conjunto de reglas muy estricto.

Me gusta responder a la primera parte de la pregunta que es " usar un servidor con muchos recursos (por ejemplo, CPU y memoria) para ampliar la aplicación ". Se recomienda realizar la escala de la aplicación antes de realizar la escala del servidor. El perfil de la aplicación se puede dividir en los siguientes pasos:

1. Pruebas de carga: realice pruebas de estrés en su aplicación a través de herramientas de pruebas de carga como pylot.
2. Optimización de consultas: la segunda tarea es optimizar la consulta, es decir, la consulta que puede funcionar de manera eficiente para bases de datos pequeñas, pero no se puede ampliar para bases de datos grandes.
3. Aplicación de fragmentación: implementando la mayoría del contenido de acceso en un disco más rápido.

Hay mucho para agregar a esta lista y una buena lectura es " Cómo escalar una aplicación web "