Solución para la captura de tráfico desde el enrutador

Las DDoS se pueden analizar simplemente controlando el volumen y el patrón de tráfico que llega al enrutador. Cualquier enrutador decente tendrá algo llamado SNMP (Simple Network Management Protocol). SNMP captura información sobre el rendimiento del enrutador (en este caso, puede utilizarse para todo tipo de dispositivos) y permite que un servicio externo tome los datos, los agregue y los informe. Una de las ventajas de SNMP es que se produce fuera del alcance del tráfico real y, por lo tanto, no debe afectar el rendimiento del enrutador y su tráfico. Idealmente, el tráfico SNMP para un enrutador debe pasar por una LAN completamente separada (una LAN de administración) a los datos. Por supuesto, SNMP puede ser un riesgo de seguridad y, por lo tanto, debe manejarse con cuidado en el límite de la red.

Cualquier enrutador de nivel empresarial tendrá esa capacidad. Muchos enrutadores de grado de consumo también lo tienen, como mi Billion 7800N.

Una alternativa que captura más detalles y puede detectar ataques DDoS que la simple supervisión de SNMP puede pasar por alto requiere algo en la corriente de tráfico para interceptar el tráfico y analizarlo. Esto podría ocurrir de forma externa al enrutador al cambiar la entrada de DNS para que la red sea monitoreada de modo que pase a través de un servicio de monitoreo externo que, a su vez, reenvía los datos al enrutador. Por supuesto, también puede hacerlo dentro de los límites de la red. El peligro aquí es agregar demasiada latencia al tráfico para que tenga un impacto en el rendimiento.

No estoy seguro de lo que quieres decir con tu última pregunta. Es factible volver a enrutar el tráfico entrante en lugar de hacia adentro, pero no estoy seguro de por qué querría hacerlo. Ciertamente, si el objetivo fuera monitorear el tráfico, este sería un método muy ineficiente.

ACTUALIZACIÓN: De su comentario sobre los servicios de anturis .

Anturis es un ejemplo de conjunto de productos que cubren varios tipos.

• Servidor & monitorización web. Estos utilizan los agentes que necesita instalar en su servidor. Los monitores capturan información específica sobre el rendimiento de los servidores y los envían a un servicio centralizado de grabación y tablero. Muy eficiente, pero tiene que confiar en el servicio y no le importa que les esté enviando datos.

• Monitorización de red. Esto se hace usando un par de medidas.

  • Ping. Envía un simple paquete ICMP regularmente a su dispositivo de red. El servicio mide el tiempo de ida y vuelta y cualquier paquete perdido. Debe permitir que su enrutador (por ejemplo) responda a esto. Permitir que el ping pueda abrirte a ataques de denegación de servicio y muchos enrutadores la desactivarán en el lado público de la interfaz.
  • SNMP. Como dije anteriormente, esto es algo disponible en la mayoría de los dispositivos de red manejables, que incluyen prácticamente todos los enrutadores, conmutadores de nivel empresarial, puntos de acceso, etc. Si pretende utilizar una agencia externa para monitorear SNMP, debe asegurarse de que el tráfico sea seguro Puede que no sea fácil.

En todos estos casos, debe realizar algún tipo de acción para permitir que se realice el monitoreo. Variando desde la instalación de software en sus servidores, hasta la reconfiguración de sus enrutadores (para permitir el acceso a SNMP), y la posibilidad de hacer ping desde Internet.

La mayoría de los enrutadores / firewalls de tamaño empresarial incluyen sistemas de detección (o prevención) de intrusos (IDS o IPS) que pueden detectar y bloquear ciertos tipos de ataques a la red. La mayoría de estos dispositivos también descargan regularmente nuevas definiciones de patrones de ataque del fabricante, como lo hace el antivirus de su PC. Algunos fabricantes también ofrecen un servicio en el que administrarán su firewall de manera remota, si no tiene una persona local con esas habilidades. Su tráfico no necesita ser enviado a ellos, simplemente "llaman" a su dispositivo local y lo configuran para hacer el trabajo dentro de su propia red.