¿Por qué es fácil detectar los ataques DDoS de la capa de red?

Los ataques DDoS de capa de red generalmente involucran una gran cantidad de tráfico muy similar; sigue un patrón discernible, aparece en cantidades estadísticamente inusuales y se ve muy diferente del tráfico "normal" que lo rodea.

Eso es lo que hace que sea fácil de identificar.

El tráfico tiende a verse muy diferente, dependiendo del protocolo que se esté utilizando. Las inundaciones SYN, por ejemplo, se distinguen por un gran aumento en el número de sesiones de dos paquetes, que representan un SYN del atacante y un SYN-ACK de la víctima. Si está monitoreando sus conexiones y ve un gran aumento en la diversidad de IP de origen y volumen, puede estar bastante seguro de que está bajo un ataque DDOS.

Sin embargo, es importante distinguir entre "fácil de detectar" y "fácil de distinguir"; saber "Estoy bajo ataque de DDOS" no te ayuda a determinar qué sesiones individuales son maliciosas y cuáles no. Debe mirar cada sesión individual y, a veces, las sesiones parecen normales, pero están truncadas.

  

Sí, supongo que sería fácil de detectar cuando acabas de   recibió un paquete con un encabezado de paquete no válido. Pero que pasa cuando   Usted recibe una gran cantidad de paquetes con encabezados válidos, que sin embargo son   de IPs falsificadas?

Esto es "Abordar los ataques DDoS de la capa de aplicación" por Hakem Beitollahi y Geert Deconinck, ¿sí? Creo que lo que están haciendo los autores es usar encabezados válidos contra inválidos como una forma de distinguir los tipos de ataque. Parecen estar definiendo ataques usando paquetes con encabezados válidos como ataques de capa de aplicación, y paquetes de encabezado no válido como ataques de capa de red. Por lo tanto, no necesariamente afirman que uno se hace con más frecuencia que el otro, o más efectivo que el otro: simplemente están definiendo un problema menor que luego abordan con su sistema ConnectionScore.

¿Por qué los ataques DDos son fáciles de detectar?

Porque está en la naturaleza del ataque; no se esconde a sí mismo, no es forma de que un ataque sigiloso no sea como un gran tiburón blanco que te ataca; es más una situación en la que te está golpeando un enorme iceberg.

¿Por qué es difícil falsificar la propiedad intelectual?

Ahora, para los bits técnicos, Spoofing una dirección IPS no lo llevaría lejos porque como en cisco asa 5885 con bultin en el módulo AIP, funciona en línea pero en LAYER-2 significa todo el El tráfico pasa por no detectado. Incluso no es elegido por el paquete traceroute. Esta característica es por las razones que acaba de sugerir en sus últimas líneas; su mecanismo de defensa IPS.

Además, se recomienda que el IPS se coloque detrás del firewall no enfrente de él; ya que colocarlo en el frente causa que reciba tráfico no deseado que abruma a su motor de firma, tiene sentido que IPS solo realice análisis en el tráfico autorizado / permitido. Por lo tanto, IPS en ese caso estaría oculto automáticamente por el firewall.