Hay tantos sistemas de detección de intrusiones y sistemas que bloquean las direcciones IP con un comportamiento sospechoso. Todos pueden usar esos sistemas, ya que muchos de ellos son gratuitos.
Pero, ¿por qué es posible para personas como anónimas a DDos a Server, si el sistema las bloquea de inmediato?
¿Los programas DDos utilizan programas especiales?
El bloqueo del tráfico de ataques en el firewall mitigará un ataque diseñado para abrumar la CPU del servidor o los recursos de memoria, pero la mayoría de los ataques de alto perfil simplemente envían una avalancha de datos con el objetivo de agotar el ancho de banda de la red del objetivo. En este caso, al atacante no le importa si está bloqueando los datos, porque en el momento en que su firewall pueda bloquearlo, ya se habrá consumido el ancho de banda de su red.
Para una analogía, imagínese si usted era dueño de una tienda en un centro comercial y un competidor envía una avalancha de compradores falsos para abarrotar su tienda, con la intención de evitar que los compradores reales puedan ingresar. Puedes aprender a reconocer a estos compradores falsos y rechazarlos en la puerta, pero no servirá de nada porque la entrada de tu tienda todavía está repleta de compradores falsos. El problema debería tratarse aguas arriba donde haya más capacidad, por ejemplo, en la entrada del centro comercial.
Hay algunas estrategias diferentes empleadas cuando se trata de lanzar ataques DDoS exitosos. El objetivo de un ataque DDoS es apuntar y agotar un recurso para interrumpir un servicio, por lo que es esencialmente una batalla de recursos; Recursos para atacar y recursos para defender. Un recurso aquí es un término muy amplio, y diferentes ataques DDoS dirigirán diferentes recursos a diferentes efectos. Los recursos pueden ir desde el hardware, el sistema operativo o los límites impuestos por el proveedor. Algunos ejemplos son memoria (RAM), CPU, límites de archivo abierto (conexiones TCP activas), ancho de banda de la red, etc.
Una compañía tiene un número finito de recursos para defenderse contra los ataques DDoS y, por lo tanto, solo puede defenderse contra una cantidad finita de tráfico DDoS. Esto viene en la forma de la cantidad de presupuesto que han asignado para proteger sus sistemas (dispositivos de mitigación DDoS, sistemas IDS con un número determinado de CPU y RAM, o niveles de suscripción de depuración en la nube). El desequilibrio se produce cuando los recursos de ataque suelen ser exponencialmente más baratos que los recursos utilizados para defenderse, generalmente porque se obtienen de forma ilegal (sistemas de propagación de malware e infectados).
Debido a este desequilibrio entre los costos de atacar y defender, es mucho más fácil generar tráfico de ataque más allá de lo que pueden manejar las limitaciones de los recursos contra los que se defiende, incluso si pueden hacerlo de manera bastante eficiente. Esta es la razón por la cual los atacantes generalmente son exitosos. Generan suficiente tráfico de ataque para que alcancen un cuello de botella de uno o varios de los recursos defensores. En la mayoría de los casos, para el tráfico volumétrico, los límites de ancho de banda de la red. Si tiene un ancho de banda de red, es probable que la CPU sea el cuello de botella al procesar millones de paquetes.
Otra estrategia que usan los atacantes es usar específicamente las solicitudes de uso intensivo de recursos que parecen tráfico normal. El caso más común de esto es el uso de solicitudes HTTP. Si está ejecutando un servidor web, entonces está esperando tráfico HTTP, por lo que deberá hacer una inspección más profunda del tráfico (conocido como Deep Packet Inspection o DPI) para determinar si es legítimo o no. Esto es más costoso en el lado defensivo y, por lo tanto, requiere menos recursos para el atacante. Esto hace que sea aún más difícil de detectar porque no son "ruidosos" y no necesariamente se ven inusuales para el receptor.
Solo agrega datos adicionales para complementar la respuesta.
Los sistemas de detección de intrusos (IDS) son solo una compilación de firewall con programas adicionales que actúan en función de los tráficos entrantes, almacenan en caché el contador y el estado de cada tráfico entrante para decidir qué hacer a continuación.
La mitigación del ataque SYN-flood debe ser realizada por ISP . Sin embargo, es poco lo que un IDS puede hacer para prevenir los ataques de degradación del servicio. Dado que la mayoría de los servicios web se ejecutan en un puerto TCP / IP específico, IDS no tiene forma de evadir tales ataques de "inundación" de puertos de reparación lenta.
(Actualizar) Por lo tanto, para el entorno B2B, se recomienda utilizar VPN. Sin embargo, la solución VPN es costosa de mantener, es decir, necesita un servidor VPN en el extremo del cliente o crear un cliente VPN de escritorio. Además, para un objetivo lucrativo, el paradigma DDoS cambia del puerto de servicios web al servidor VPN.
Lea otras preguntas en las etiquetas denial-of-service ddos