¿Cómo evitan los DDoS los sitios principales? [duplicar]

Generalmente tienen un enfoque muy estratificado. Aquí hay algunas cosas que he implementado o visto implementadas en grandes organizaciones. Para su pregunta específica sobre empresas más pequeñas, generalmente encontrará un proveedor externo que lo proteja. Dependiendo de su caso de uso, este puede ser un proveedor en la nube, un CDN, una solución de enrutamiento BGP o una solución basada en DNS.

sobresuscripción de ancho de banda : esta es bastante sencilla. A medida que creces, tus costos de ancho de banda disminuyen. En general, las organizaciones grandes arrendarán una capacidad significativamente mayor de la que necesitan para dar cuenta del crecimiento y los ataques DDoS. Si un atacante no puede reunir suficiente tráfico para abrumar esto, un ataque volumétrico generalmente no es efectivo.

Mitigación automatizada : muchas herramientas monitorearán los datos de flujo de red de los enrutadores y otras fuentes de datos para determinar una línea de base para el tráfico. Si los patrones de tráfico salen de estas zonas, las herramientas de mitigación DDoS pueden atraer el tráfico hacia ellas usando BGP u otros mecanismos y filtrar el ruido. Luego pasan el tráfico limpio hacia la red. Estas herramientas generalmente pueden detectar tanto ataques volumétricos como ataques más insidiosos, como el slowloris.

Blackholing en sentido ascendente : hay formas de filtrar el tráfico UDP utilizando el blackholing en el enrutador. He visto situaciones en las que una empresa no tiene necesidad de recibir tráfico UDP (es decir, NTP y DNS) a su infraestructura, por lo que tienen a sus proveedores de tránsito todo el tráfico. Los ataques volumétricos más grandes que hay por lo general son ataques de amplificación NTP o DNS reflejados.

Proveedor de terceros : incluso muchas organizaciones bastante grandes temen el ataque de 300 Gbps. A menudo implementan un servicio de redireccionamiento basado en DNS o un servicio basado en BGP para protegerlos en caso de que sufran un ataque sostenido. Yo diría que los proveedores de CDN también están bajo este paraguas, ya que pueden ayudar a una organización a mantenerse en línea durante un ataque.

Endurecimiento del sistema : a menudo puede configurar tanto su sistema operativo como sus aplicaciones para que sean más resistentes a los ataques DDoS de la capa de aplicaciones. Cosas como garantizar suficientes inodos en su servidor Linux para configurar el número correcto de subprocesos de trabajo de Apache pueden ayudar a dificultar que un atacante retire su servicio.

Si bien no hay contramedidas reales para DDOS, hay algunas formas de controlarlo.
Primero, utilice una Red de entrega de contenido , que utiliza varios centros de datos en todo el mundo para ofrecer contenido a visitantes de diferentes áreas geográficas. Esto ayuda a eliminar el único punto de falla y hace que sea más difícil agotar los recursos o saturar los enlaces y equilibrar la carga de ataque.
Otra forma es trabajar estrechamente con las principales redes troncales, los ISP y las organizaciones respectivas para bloquear las direcciones IP del atacante en la red más específica posible para evitar que su tráfico llegue a sus objetivos. Espero que ayude.

Como una empresa mediana, utilizamos un servicio de mitigación de DOS para reducir el riesgo de que nuestro sitio web quede fuera de línea. Nuestro sitio se resuelve a la dirección IP del proveedor. El proveedor luego envía la solicitud a nuestro servidor web. Nuestro servidor web solo se comunica con el proveedor.

Luego, usan sus herramientas para determinar si ciertos ataques son ataques reales mediante el uso de una variedad de herramientas de monitoreo y correlación. Si se considera que hay un ataque, el proveedor no reenvía la solicitud a nuestros servidores web y absorbe el ataque. Para poder realizar este tipo de mitigación, su capacidad debe exceder la capacidad que el atacante está tratando de entregar. Con compañías más grandes que normalmente esperan una mayor capacidad de ancho de banda, yo esperaría que subcontraten a los ISP o creen un sistema interno para realizar la misma estrategia de mitigación.

Mi compañía ha lidiado con ataques DDoS de hasta 180gbps y aquí están mis técnicas que he usado para mitigar.

El tamaño de un sitio web no solo lo convierte en un objetivo mayor, sino que también desempeña un papel importante:

• Relaciones públicas (¿Se está promocionando a sí mismo como algo que no es, a qué personas se dirige?
• Cumplir las promesas
• Tratar a los clientes de la manera correcta

Los motivos de los ataques DDoS incluyen, entre otros, los siguientes:

• Fama ("Oh, mírame, logré eliminar este sitio")
• Dinero (los sitios más grandes son más caros de atacar, generalmente, si buscan dinero, se dirigirán a los más pequeños con ingresos altos que no tienen un gran equipo técnico)
• activismo

También (de uno de los comentarios):

• Otro motivo es que intentan distraerte. Por ejemplo, si quieren atacar a Apache, está ocupado arreglando eso mientras hacen fuerza bruta en su contraseña SSH.

Hay muchos tipos diferentes de ataques DDoS y cómo se inician. Primero, debe ordenar los puntos que enumeré anteriormente, luego, sus ataques DDoS probablemente disminuirán. Esto no significa que no los experimentará más, simplemente le da a las personas un motivo menos para atacarle.

A nivel técnico, hay varias cosas a considerar porque la mayoría de las empresas tienen múltiples nodos en su infraestructura. En algunos casos, cada nodo requiere un tipo diferente de enfoque. En mi caso, estos nodos eran una API, un servidor de juegos, un servidor de autenticación, una base de datos y un servidor social. El primer paso fue asegurarse de que nunca exponga una dirección IP que no necesite ser expuesta. En mi caso, esos fueron el servidor de autenticación, la base de datos y el servidor social. En general, limitar los puntos de falla es un buen enfoque para comenzar. La protección es increíblemente cara, y solo es bueno tener la protección más resistente donde realmente la necesita más.

Una vez que haya determinado qué puntos deben ser públicos, puede proteger cada función individualmente de la forma en que deben estar protegidas. theterriblevitrium dio una excelente respuesta a las técnicas, aquí están mis 2 centavos en eso.

• Anycast (por ejemplo, un CDN. Esto funciona increíblemente bien para nodos estáticos como API locales, servidores DNS y servidores web, el inconveniente de esto es que actualmente no funciona de manera efectiva para sistemas que tienen un solo punto de falla, como los servidores de juegos)
• Reglas de red & Inspección de paquetes (por ejemplo, cada conexión solo puede ocupar X kb de tráfico por segundo y cada paquete debe coincidir con el patrón x, y o z. Esto funcionó bien para nuestros juegos. La desventaja es que si alcanzan su límite de ancho de banda, están fuera de suerte.)

¡Siéntase libre de hacer cualquier pregunta!

No estoy seguro de si esto era a lo que se refería con la mitigación automatizada mencionada por @theterribletrivium, pero también usan balanceadores de carga para distribuir el tráfico de manera uniforme a servidores separados para que puedan ejecutarse lo más rápido posible.

Aunque no es la forma más efectiva de distribuir uniformemente a los usuarios a los servidores, Google usa lo que se llama Round-robin DNS . El DNS de round-robin devolverá múltiples direcciones IP y el usuario se conectará a una de esas direcciones IP. Sin embargo, el problema con esto es que varias computadoras pueden determinar la misma dirección IP para conectarse, lo que hace que los otros servidores sean más rápidos y no se utilicen.

Usan una configuración similar para tratar con las grandes cantidades de información almacenada. Google usa lo que llama BigTable para almacenar información relacionada con Google Maps, Blogger, YouTube, GMail y más. Se informa que Google utiliza cientos de miles de servidores para almacenar toda esta información y hacer que sus sitios web funcionen lo más rápido posible.

Usan software (que probablemente ellos mismos desarrollaron) para alojar sus sitios web y sin usar una gran cantidad de memoria y CPU. El servidor web más popular, Apache, definitivamente no es utilizado por estos grandes sitios web debido a que falla al manejar cargas tan pesadas y se ve afectado por el Problema C10k . El problema de C10k hace que los servidores web (como Apache) fallen y a veces se apaguen cuando se realizan más de 10.000 conexiones al servidor web al mismo tiempo (lo que Google probablemente tenga más de 10.000 conexiones a la vez).

Los servidores y el hardware que utilizan son la parte superior de la línea. Sin embargo, de acuerdo con el artículo de Wikipedia sobre la plataforma de Google , Google no usa el hardware con el mejor rendimiento, usa el hardware que es la mejor inversión para el dólar.

Si lo piensas bien, sitios web como Google, Amazon, Microsoft y Apple están técnicamente siempre bajo un ataque DDoS. Pero cuentan con tecnologías tan avanzadas que permiten que todos puedan acceder a sus sitios web sin tener que cerrarlos.