De acuerdo, si quisiera evitar una inundación de udp, estas 2 soluciones son suficientes:
: diga que tengo un solo puerto abierto como el puerto 80, sin embargo, nunca uso las interacciones udp.
: diga que he obtenido un registro que contiene 100 ips que me ddos. ¿Qué pasaría si bloqueara estos ips en mi firewall?
Estos ataques de agotamiento de ancho de banda no se pueden prevenir.
De hecho, puede usar sus cortafuegos para eliminar los paquetes antes de que lleguen a su aplicación y desencadenar una respuesta (si los paquetes son válidos y no es basura pura) para no desperdiciar recursos y ancho de banda saliente respondiendo a ellos, pero Los paquetes seguirán usando y posiblemente sobrecargarán su conexión de descarga, lo que significa que los paquetes de usuarios legítimos no podrán comunicarse con usted.
La única solución real contra esto es tener más ancho de banda que el atacante, ya sea por ti mismo (si eres una gran empresa, tienes el dinero para hacerlo, y hacerlo tú mismo es beneficioso para algunas empresas como los ISP que necesitan de todos modos, gran cantidad de ancho de banda) o usando un servicio como Cloudflare que actúa como un proxy entre Internet y sus servidores, por lo que cualquier ataque afectará a su red y tendrá suficiente ancho de banda para sobrevivir.
Con la capacidad actual de los ataques DDoS basados en UDP (ataques de 400Gbps que utilizan la vulnerabilidad basada en NTP), creo que los firewalls también empezarán a fallar.
Realmente no hay una solución confiable para la prevención DDoS basada en UDP, excepto la esperanza (contra la esperanza) de que los ISP perseveren en aplicar las recomendaciones de BCP38, que evitan que los paquetes de red que no pertenecen al sistema autónomo no se transmitan.
Lea otras preguntas en las etiquetas ddos