¿Cómo protege la lista negra una IP usando un firewall contra los ataques DDoS?

Es posible que la lista negra de una IP proteja a un servidor de un ataque DDoS. Mucho dependería del firewall, la red, el sistema y el tipo de ataque.

1. La lista negra significa que le dice a su firewall que tome una acción especial contra el tráfico desde esa IP o rango de red. Podría decirle a su firewall que ignore el tráfico de esa IP o que lo rechace. Si su red y firewall pueden manejar grandes cantidades de tráfico pero su servidor no puede, eso puede detener el ataque, suponiendo que el atacante no cambie las IP de origen. Puede ser una mitigación útil a corto plazo, pero generalmente no es una solución a largo plazo.

2. "Descartar una conexión" probablemente signifique ignorarlo. El servidor remoto enviaría (suponiendo que TCP) un paquete syn y su firewall aceptaría el paquete, lo examinaría, encontraría que coincide con una regla y luego ejecutaría esa regla. Si está eliminando paquetes de esa fuente, su firewall no haría nada más. Tenga en cuenta que para encontrar la regla tenía que aceptar el paquete y examinarlo, que consumía una pequeña cantidad de recursos. Multiplique ese pequeño consumo de recursos por un millón de paquetes y comenzará a sumarse ...

3. ¿Cómo protegería esto a un servidor? Si el servidor de seguridad y el servidor son dispositivos separados, entonces el servidor de seguridad toma toda la carga de tráfico y el servidor no tiene que lidiar con el tráfico de correo no deseado. Si están en el mismo sistema, es de esperar que la capa de firewall maneje el tráfico y no tenga que ser procesada por la capa de aplicación.

La lista negra de IP en el firewall es un caso de "enumeración de maldad" y en muchos casos no se escala bien. ¿Desea pasar la próxima semana de su vida revisando los registros y agregando reglas de firewall cada vez que un atacante obtiene una nueva IP? A largo plazo hay mejores enfoques:

• Lista blanca de IPs en buen estado: si es posible, solo permita el tráfico de su socios de confianza y bloquear todo lo demás de forma predeterminada.
• Implemente un sistema que pueda revisar el tráfico automáticamente y filtrar el tráfico no deseado
• Cree un sistema que pueda escalarse para cumplir con su carga de tráfico esperada, así como los picos de tráfico no deseado. Esto debería ocurrir en todas las capas: red, firewall, aplicación, etc.

El término "lista negra" significa que usted niega efectivamente cualquier conexión (por ejemplo, paquetes) a una dirección IP en particular. Por lo tanto, todos los paquetes de red con la IP en la lista negra como origen o destino no pasarán a través del firewall. Esto puede considerarse una "conexión interrumpida". Tenga en cuenta que en los casos en que la seguridad es la prioridad más alta, una lista de IP confiables es una mejor práctica, lo que significa que solo se permitirán las conexiones que están en su lista blanca y todas las demás se eliminarán. Las IP de la lista negra no resuelven un ataque DDoS. Se distribuye un ataque DDoS, lo que significa que se origina en muchas direcciones IP. Además, las direcciones IP pueden ser falsificadas para que parezcan provenir de una fuente confiable.

La lista negra básica consiste en ignorar los paquetes que provienen de las direcciones de la lista negra. Simplemente lo "tiran al suelo" y lo ignoran, sin hacer ninguna otra acción más allá de esperar a que se analice el siguiente paquete.