Hay varios tipos de ataques de denegación de servicio distribuidos, las técnicas de mitigación pueden ser específicas para cada caso:
Ataques volumétricos
Algunas computadoras envían una gran cantidad de tráfico, obstruyendo la red de la víctima y evitando que las conexiones legítimas la alcancen. En esta categoría podemos ver:
- Ataques UDP: el uso del protocolo UDP en puertos aleatorios obliga al servidor a verificar si hay una aplicación escuchando en ese puerto. Puedes mitigar esto con reglas estrictas de firewall.
- Inundaciones de ICMP: la idea es iniciar una solicitud de eco y nunca completar el saludo, haciendo esto con la frecuencia suficiente de diferentes hosts hará que la víctima no pueda responder a las solicitudes legítimas. Las técnicas de mitigación incluyen el bloqueo de solicitudes de ping fragmentadas.
Capa de aplicación
Los ataques más comunes de este tipo apuntan a los servicios HTTP y DNS; básicamente, solicita un recurso tantas veces que el servidor que procesa la solicitud utiliza todos los recursos disponibles. Específicamente sobre HTTP, esto suele ser muy difícil de diferenciar de las solicitudes http normales, la mitigación generalmente consiste en una combinación de reputación de IP, seguimiento de actividades anormales y, en ocasiones, requiere la ejecución de javascript.
Agotamiento del estado
Cada dispositivo tiene una tabla que almacena el estado de cada conexión (si ejecuta netstat
puede ver esta "tabla"), este tipo de ataques apunta a usar cada entrada en esa tabla hasta el punto donde no haya nuevas conexiones Puede ser añadido. (Vea "slowloris" para un ejemplo de este ataque). La mitigación a menudo incluye el tiempo de espera de solicitudes sin terminar para liberar recursos rápidamente.
Por supuesto, hay servicios que ayudan a prevenir y mitigar este tipo de ataques, CloudFlare incluso tiene este servicio de forma gratuita, pero estoy seguro de que existen otros.
En general, el concepto de defensa en profundidad se aplica aquí, ya que tener varias capas de seguridad ayuda a reducir el riesgo asociado con los ataques DDoS, sin embargo, tenga en cuenta que estamos hablando de mitigación , incluso Github era DDoS-ed y con su infraestructura masiva y gran experiencia, vieron su servicio afectado
Si actualmente está bajo un ataque, me pondría en contacto con CloudFlare y les preguntaría qué opciones pueden ofrecerle, luego comenzaré a planificar una estrategia de prevención lo antes posible. En este momento, parece que te cogieron desprevenido, así que mucha suerte.
Aquí hay un gran recurso de arbornetworks