¿ReCAPTCHA de Google mitiga los ataques DDoS?

Navega tus respuestas
0

Hace media década, estuve leyendo esta publicación sobre los pros y los contras de usar captcha durante un ataque DDoS ( ¿Cómo CAPTCHA mitiga los ataques DDoS? )

En ese momento parece que hay básicamente 2 opiniones:

  

1) El Captcha es bueno cuando se produce DDoS porque solo requiere una comprobación del propio captcha, no hay hash de contraseña ni se ha alcanzado la base de datos si falla el captcha.

     

2) Captcha es malo durante DDoS porque requiere un procesamiento para verificar   el captcha que realiza la solicitud toma aún más procesamiento.

Hoy reCaptcha está en todas partes. La mayoría de nosotros no generamos ni verificamos captchas en el lado del servidor, sino que hacemos una llamada POST a google para verificar si el captcha publicado es válido. ¿Cómo se compara esto con el hashing del pase y el acceso a la base de datos en términos de tiempo de procesamiento?

La solicitud POST parece tardar más, pero la verificación de autenticación requiere más tiempo de procesamiento. ¿Cómo afecta esto al servidor durante un período de un ataque DDoS?

    
pregunta raphadko 09.04.2018 - 02:56
fuente

4 respuestas

4

No estoy seguro de esto.

Captcha ayuda contra ataques de fuerza bruta, por ejemplo, alguien iniciando sesión en su foro para promocionar su personaje de anime favorito en una encuesta, pero Captchas no ayuda contra un ataque de nivel de red, donde un atacante con una botnet está inundando su servidor con solicitudes http / tcp, lo que provoca que se caiga.

En resumen, un DDOS de nivel de red no es mitigado por captchas. Pero se pueden usar para cuando desee limitar la interacción con bots a sus API o sitio web, para garantizar que solo los humanos accedan a ella. Esto limita el tráfico bombeado a través de sus servidores y, en general, ayuda con el volumen.

    
respondido por el keithRozario 09.04.2018 - 08:19
fuente
1

No en sí mismo, pero puede ser una herramienta para detener los ataques DDoS / DoS. En su mayoría, solo es útil para detener los ataques de la capa 7 (ataques contra aplicaciones como servidores web). Es útil porque puede hacer un ataque más difícil para un atacante o inviable. Si un atacante tiene que hacer cientos de miles de solicitudes por segundo y está solicitando una parte de un sitio que requiere un uso intensivo de recursos, como una función de búsqueda, entonces tiene sentido verificar que todos los que realizan una búsqueda son, de hecho, humanos. En tal caso, Recaptcha es mejor que ejecutar su propio captcha porque generar un captcha requiere un esfuerzo en el fin de sus servidores y, por lo tanto, podría convertirse en otro objetivo (aunque menos efectivo) para atacar, Recaptcha le permite a Google hacer todo el trabajo. Además, Recaptcha es un captcha realmente bueno porque tiene desafíos que en realidad son difíciles de resolver para las computadoras. La mayoría de los captchas utilizan texto que, desde la introducción de las redes neuronales convolucionales (CNN), es trivial de romper. En términos de lo que es mejor, un POST para google o comprobar una contraseña. Diría que, en la mayoría de los casos, sería mejor con el POST porque Google puede manejar muchas más conexiones abiertas que lo que probablemente pueda hacer su base de datos, por lo que es mucho menos probable que tenga un cuello de botella. Además, si tiene demasiadas conexiones con su base de datos, nadie puede iniciar sesión o usar nada que use esa base de datos, si tiene demasiadas conexiones con Google, las personas nuevas no pueden iniciar sesión y es posible que tenga algunos problemas de red, pero los usuarios que ya hayan iniciado sesión aún deben ser capaz de usar el sitio (dependiendo de cómo califiques el límite de las cosas).

    
respondido por el Nick Mckenna 11.04.2018 - 17:56
fuente
1

La respuesta más votada a la pregunta a la que te has referido no se limita a ninguna de las opiniones Lo has descrito y sigue siendo válido:

  • Hoy en día, no toda la actividad automatizada es maliciosa, y no todos los seres humanos son completamente inocentes.

  • Los usuarios generalmente odian los CAPTCHA.

  • La investigación de OCR siempre está por delante de la investigación de CAPTCHA. En realidad, hoy en día, un motor CAPTCHA solo es seguro siempre que su código fuente permanezca privado , que, para la información campo de seguridad, es probablemente algo bastante inusual.

También:

  • La investigación de OCR es una cosa, pero el reconocimiento de voz se está desarrollando aún más rápido. O hace que su CAPTCHA esté disponible como un mensaje de voz y, por lo tanto, lo debilite aún más, o deja atrás a las personas con discapacidades, lo que no parece apropiado en la mayoría de los casos de uso.

  • Como @keithRozario ya ha señalado, la DDoS no se limita de ninguna manera a los ataques de la capa de aplicación. Cualquier CAPTCHA no lo ayudará contra los ataques de la capa de red, la capa de transporte o los ataques dirigidos contra el cifrado TLS (que probablemente su sitio web de oferta de CAPTCHA opere).

Personalmente, también dudaría en usar un servicio web gratuito para cualquier cosa comercial, porque con reCAPTCHA, esencialmente estás haciendo que Google pague por tus solicitudes, y no hay tal cosa como un almuerzo gratis . Pero tal vez sea solo yo.

    
respondido por el ximaera 09.04.2018 - 16:02
fuente
1

La solución preferida depende de sus recursos (CPU, ancho de banda, latencia) y de la cantidad de iteraciones de hash utilizadas. También tenga en cuenta que los servicios externos de CAPTCHA pueden intencionalmente agregar a la lista negra o acelerar los servidores que generan demasiado tráfico.

La segunda respuesta de ximaera sobre los peligros de los servicios gratuitos y otras respuestas sobre la necesidad de implementar defensas DDoS en la red.

    
respondido por el Enos D'Andrea 11.04.2018 - 18:01
fuente

Lea otras preguntas en las etiquetas

¿Cuáles son las implicaciones de seguridad de almacenar múltiples hashes para contraseñas similares? [duplicar] Cómo asegurar una instalación nueva de Ubuntu 16.04 [cerrado]