¿Cuánto cuesta proteger su sitio web contra DDOS, por nivel?

Navega tus respuestas
2

Enviado a Quora

Hoy en día varios institutos financieros en Israel (bancos, bolsa de valores) fueron DDOSed . Decidieron bloquear todas las direcciones IP extranjeras como medida de primeros auxilios.

Aunque estoy de acuerdo en que posiblemente fue lo mejor que se podía hacer como medida de primeros auxilios, realmente me sorprendió que fuera necesario. ¿Los bancos y los grandes institutos como la Bolsa de Valores de Tel Aviv no tienen la protección DDOS "lo suficientemente seria"?

¿Cuánto costaría implementar la protección contra los ataques DDOS? Sé que hay varios rangos de posibles ataques de DDOS, desde ataques de SYN a la versión más seria de DDOS de nivel de aplicación. Estoy interesado en cuánto costaría la protección contra cada uno de estos (solo trato de entender por qué no se implementó con mucha antelación en este caso).

    
pregunta ripper234 16.01.2012 - 22:46
fuente

2 respuestas

4

La protección contra DDOS es, en general, prácticamente imposible. El funcionamiento normal de un servidor es manejar clientes, haciendo algunos cálculos cuando se recibe una solicitud. Un DDOS es ... solo eso. La diferencia entre la situación normal y un DDOS es que los "clientes", en este último caso, no están interesados en el resultado devuelto por el servidor, ya que los clientes son zombis sin sentido. "Estar interesado" no es un concepto que vive en el mundo abstracto de la computación.

Así que las estrategias para lidiar con DDOS son una combinación de:

  • Intentar detectar zombies basados en "patrones de uso" (suponiendo que un zombie involucrado en un DDOS se comporte de una manera que sea distintivamente diferente de un "usuario normal", esto implica mucha fe en la humanidad).
  • Hacer que los clientes inviertan algo de esfuerzo computacional, de manera que el servidor pueda verificar que el trabajo se ha realizado, con mucho menos esfuerzo.

La primera estrategia es una búsqueda y ocultación psicológica entre atacantes y defensores, y podemos esperar más o menos el mismo tipo de éxito que para el antispam, es decir, bueno contra atacantes aficionados, malo contra atacantes determinados. La segunda estrategia es un tema de investigación en curso, pero no hay nada ampliamente implementado en el software existente. Ese es un problema con los servidores web: no pueden pedir nada que los navegadores web existentes aún no sepan cómo hacerlo.

    
respondido por el Thomas Pornin 16.01.2012 - 23:11
fuente
2

El costo variará, pero llevar a cabo una mitigación efectiva de DDoS no es una gran inversión. Como se explica en la respuesta de David en la pregunta a la que ha vinculado varios proveedores no ofrecen este servicio, que es una asociación entre la organización y el socio de mitigación o ISP.

Dado que el servicio utiliza rutas alternativas, el cambio rápido de las tablas de ruta y los múltiples puntos de presencia es más costoso que una sola conexión, pero no mucho más costoso que otros paquetes de resiliencia.

La mitigación DoS estándar es aún más fácil, ya que la mayoría de los enrutadores / conmutadores / cortafuegos modernos brindan protección contra SYNFloods, etc.

    
respondido por el Rory Alsop 17.01.2012 - 10:50
fuente

Lea otras preguntas en las etiquetas

¿Cómo evitar que los datos privados se divulguen a una audiencia no deseada a través de Internet? ¿Mi ISP me está pirateando? [cerrado]