¿Por qué los dispositivos Router en todo el mundo no pueden bloquear paquetes maliciosos automáticamente?

1. Es una batalla cuesta arriba contra los molinos de viento. Cuando bloquea el tráfico obviamente malicioso, los sombreros negros comenzarán a utilizar un tráfico menos malintencionado que logre los mismos objetivos. Cada día se descubren nuevas amenazas y ataques de seguridad, y mantenerse al día con todos ellos es prácticamente imposible.
2. Habría falsos positivos. Debido a la complejidad del tráfico posiblemente malicioso, con frecuencia sucedería que la actividad de Internet completamente inofensiva se identifica como usuarios malintencionados e inocentes que son expulsados de la red. Esto causará inconvenientes para los usuarios y para el personal de soporte de los proveedores de servicios de Internet.
3. No es gratis. Los enrutadores de alto rendimiento utilizados por las conexiones troncales ya requieren bastante capacidad de procesamiento para realizar el enrutamiento normal de varios gigabytes por segundo. Cuando también desee analizar todo el tráfico en busca de acciones maliciosas, será mucho más costoso. Los dispositivos de hardware que pueden hacer esto existen, y en ocasiones se usan para proteger las redes corporativas. Pero cuando desea agregarlos a todas las redes, alguien tiene que pagar por ello. Adivina quién será.
4. Ralentizaría el internet. Cuando desee bloquear el tráfico malicioso, debe examinarlo. Para examinarlo, necesitas mirarlo en contexto. Eso significa que necesita almacenar tráfico antes de reenviarlo. Esto aumenta la latencia, lo que es importante para aplicaciones como la comunicación en tiempo real o los juegos.
5. Podría violar las leyes de privacidad. En algunos países, a los proveedores ni siquiera se les permite mirar el tráfico de sus usuarios. Incluso con las leyes actuales de retención de datos que surgen en todo el mundo, los proveedores están obligados a guardar cierta información sobre el comportamiento de sus clientes, pero las leyes generalmente les prohíben usar la información para sus propios fines. Solo la ley puede verlo.

Hay varias razones:

1) Los enrutadores están diseñados para enrutar paquetes de manera eficiente. Todavía muchas organizaciones pequeñas tienen listas de control de acceso (ACL) en su enrutador perimetral para filtrar, permitir y denegar el tráfico en función de sus requisitos. Pero esto tiene que ver con el costo de los recursos del sistema, como lo señaló Philipp en el comentario anterior.

2) El enrutador funciona en la capa de red y se supone que no deben ensamblar los paquetes fragmentados (pueden estar destinados a capas más altas) y deben coincidir con la firma de tráfico malintencionado. No es practico

3) Hay otros dispositivos como sistemas de prevención de intrusiones, firewalls de red, firewalls de aplicaciones web, etc. en cualquier perímetro de la organización para filtrar dichos tráficos.

4) Lo más importante es que bloquear la dirección IP no es una solución. Recuerdo un incidente en el que una pasarela de pago bloqueó una dirección IP de la que recibía tráfico malicioso, que a su vez bloqueó a un pequeño país que utilizaba esa dirección IP pública para el tráfico de NAT en todo el país.

5) No tiene idea de con qué cantidad de tráfico de troncales troncales se trata, dado que cualquier atacante rebotará su tráfico a través de muchos proxies, el mantenimiento de dicha ACL dinámica puede ser un problema.

6) Supongamos que una computadora de una organización de 10,000 personas está infectada y que funciona como BOT puede estar generando tráfico malicioso. Esto puede provocar el bloqueo de toda la Organización por parte del ISP, ya que en su mayoría usarán una dirección IP única para enrutar su tráfico de Internet.

Puedo pensar en estas muchas razones por ahora.

Dos grandes respuestas.

Un par de otros puntos:

1. Un atacante podría hacer DOS a cualquier organización que use direcciones IP falsificadas que coincidan con el tráfico "ilegal". Solo unos pocos paquetes pueden hacer que cualquier organización salga de Internet, incluso si esa organización no hizo nada malo.
2. Los piratas informáticos ajustarán el comportamiento al escanear a lo largo del tiempo en lugar de a la vez. Muchas exploraciones ya hacen esto. Mire el firewall lateral de su WAN (está registrando y bloqueando todo el tráfico originado externamente en su sistema, ¿verdad?). Encontrará una gran cantidad de exploraciones de puertos abiertos que se producen en pequeñas ráfagas poco frecuentes.
3. Muchos ataques se producen a través de errores de inyección de código http o configuraciones erróneas en la capa de la aplicación y no en la Capa 2 o 3 donde juegan los conmutadores y los enrutadores. Ve a revisar OWASP para los ataques más comunes.
4. La mayoría de los ataques a sitios web no se producen a través de una sola computadora (denegación de servicio o DOS). Son distribuidos en DOS. Puede ser muy difícil discernir la diferencia entre un DDOS y un sitio web repentinamente atractivo. ¿Qué tan enojada estaría una compañía que acaba de lanzar una increíble campaña viral solo para bloquear su sitio en la mayoría de Internet debido a un DDOS mal diagnosticado? De hecho, continuando con el comentario 1 anterior, un atacante podría alistar enrutadores de red troncal para DOS en un sitio web si primero se involucra en un DDOS, haciendo que el resto de Internet quede bloqueado.

Lo mejor es que los ISP entreguen una puerta de enlace (enrutador + módem) configurada de manera adecuada y predeterminada a los clientes residenciales. La mayoría nunca tocará la configuración. Es probable que aquellos que saben lo que están haciendo y caveat actor en ese caso. Muchos ya lo hacen, y eso contribuye en gran medida a mejorar la experiencia de Internet de todos.