Siguiendo la estrategia con el servicio de mitigación DDoS: ataque de agotamiento de banda UDP de IP falsificadas

1

Necesito defenderme contra la recepción de un spam masivo de paquetes UDP desde direcciones IP falsas aleatorias. Lo haría de esta manera:

En mi protocolo, cada paquete UDP contiene nombre de usuario y contraseña. El firewall (tercero) tendría una lista actualizable de usuarios (nombre y contraseña). Verificará si el paquete contiene datos válidos, si es así, entonces lo pasará a mi servidor; de lo contrario, mi ancho de banda no se verá afectado.

Mi pregunta es, ¿conoce algún servicio que permita esa solución?

    
pregunta John Lock 11.06.2016 - 00:39
fuente

1 respuesta

1

Si usa uno, dos o una docena de servidores para manejar la tarea, el ancho de banda entre el cliente (s) y el servidor (s) seguirá siendo el mismo. La única parte que puede controlar es la forma en que su servidor responde a solicitudes no válidas o a cantidades masivas de solicitudes.

Una forma en que podría implementarse es mediante fail2ban y un firewall en el servidor. De esta manera, su servicio UDP podría registrar casos riesgosos que eventualmente podrían desencadenar reglas fail2ban que tendría que definir. Sería una buena idea bloquear rápidamente las solicitudes de repetición para la misma IP y aumentar el tiempo de prohibición cuando se conviertan en reincidentes.

Es muy importante que tenga en cuenta que este tipo de ataque es generalmente dirigido a la IP falsificada, no al servicio UDP en sí mismo, que solo tiene un efecto secundario mucho más débil cuando está asegurado adecuadamente.

Las solicitudes UDP generalmente son mucho más pequeñas que su respuesta, y el manejo de solicitudes grandes también haría más difícil perpetrar un ataque eficiente.

    
respondido por el Julie Pelletier 11.06.2016 - 02:26
fuente

Lea otras preguntas en las etiquetas