¿Hay alguna forma en que pueda detener un ataque DDoS (o cualquier medida que pueda tomar), si los paquetes enviados por el atacante se parecen al tráfico normal?
Obtuve la pregunta en una entrevista (¿cómo bloquearía un ataque DDoS si el tráfico malicioso se parece al tráfico normal?) y no sabía cómo responder.
¡Muchas gracias!
En la mayoría de los casos, es muy difícil mitigar los ataques DDoS por tu cuenta. La mayoría de los bancos y grandes compañías contratarán el servicio de proveedores profesionales de servicios de mitigación DDoS. Este último detectará patrones de tráfico anómalos y redireccionará todo el tráfico a sus centros de depuración para filtrar el mal tráfico. Los siguientes mecanismos basados en el filtrado se utilizan comúnmente para mitigar dichos ataques:
1) Lista blanca de direcciones IP reconocidas. por ejemplo, si su empresa está ubicada en los Estados Unidos y la mayoría de sus clientes están localizados, entonces podría ser razonable filtrar el tráfico de nuestra red que proviene de otras partes del mundo durante un ataque para que la mayoría de sus clientes aún puedan accede a tu servicio.
2) Tráfico de listas negras provenientes de regiones conocidas como "spammer".
3) Implemente un mecanismo de desafío progresivo como CAPTCHA para probar que el tráfico provino de una fuente humana y no de algún programa.
4) Limitación de velocidad por dirección IP de destino. Cada dirección IP solo puede enviar un número fijo de solicitudes y el resto de las solicitudes simplemente se eliminarán.
5) Detección de anomalías basada en firmas y posterior bloqueo de IP. Incluso si los paquetes maliciosos parecen normales, podrían existir distintos patrones en el tráfico general. por ejemplo, un usuario promedio solo enviará tráfico continuamente durante 5 minutos cada día, pero el tráfico enviado por el atacante seguirá llegando durante largos períodos de tiempo.
Y finalmente, aumente los recursos de su red para sobrevivir al ataque o alquile temporalmente recursos adicionales en la nube para "absorber" el ataque. Dichos proveedores de servicios de mitigación DDoS, como Incapsula, Akamai y Verisign, utilizan esta medida de contador para evitar que se conviertan en víctimas.
El uso de un proveedor de fregado puede ayudar, dependiendo del tipo de tráfico "normal" y de la cantidad de control que tenga sobre él. En el mejor de los casos, ese tráfico será http o https iniciado por humanos, y la limpieza podría consistir en el uso de pruebas basadas en JavaScript y pantallas SPash CAPTCHA para incluir en la lista blanca el tráfico legítimo.
Si el tráfico legítimo también es generado por una máquina, entonces busca peculiaridades en las implementaciones para diferenciar el tráfico, y explota esas para detectar el tráfico. Generar errores, huella dactilar en función de la reacción. Es probable que el atacante no haya desarrollado una implementación robusta y completa de cualquier aplicación que genere legítimamente ese tráfico, por lo que es posible que pueda diferenciarse por la forma en que la aplicación legítima maneja los errores y produce listas blancas para usar en la limpieza.
Si todos los demás medios para identificar el tráfico fallan, todavía existe una posibilidad justa de que la mayor parte del tráfico se concentre en ciertas redes de origen. En ese caso, puede identificar qué interfaz está saturada. , y pídales que hagan lo mismo, repitiendo en la línea hasta que los rangos de fuente más fuertes del ataque puedan identificarse con cierto grado de precisión, y los anuncios de rutas se puedan retirar de forma selectiva.
Lea otras preguntas en las etiquetas ddos