Durante el fin de semana hice algunas pruebas para simular un ataque DDOS de amplificación de DNS. al enviar aproximadamente 90Mb / s de tráfico, pude generar aproximadamente x.x Gb / s de tráfico amplificado que envió a nuestro centro de datos fuera de línea en segundos. Ahora que este tipo de ataque se está volviendo popular todos los días, tengo curiosidad por conocer las mejores prácticas para mitigarlo. ¿Alguien ha tenido experiencia en mitigar el ataque de DOS de amplificación de DNS?
----- Editar posibles soluciones -----
-
Pida al proveedor que bloquee el tráfico entrante con el puerto de origen 53.
-
(Sugerido por @rook) Para que individuos grandes como Cloudflare, Akmai o verisign lo manejen por usted, lo que puede costar pero puede ser muy efectivo cuando el proveedor no puede ayudarlo.
-
(Sugerido por @ user24077) Para implementar la estrategia de Ruteo / Filtrado de Agujeros Negros con Activación Remota, que en mi opinión puede ser eficaz pero arriesgado porque puede perder el ancho de banda completo al intentar proteger un nodo o cliente.