¿Es posible, en teoría, detener 1 un ataque DDoS de cualquier tamaño? Muchas personas afirman que es imposible detener los ataques DDoS y decirme que simplemente no debería meterme con las personas equivocadas en Internet.
¿Pero qué pasa si, en unos 5 años, todos pueden alquilar una red de bots? ¿No deberíamos simplemente repensar toda la arquitectura de Internet?
1: al detenerse, también acepto eliminar los efectos negativos o mantener el servicio en funcionamiento.
Imagina un centro comercial. Por definición, cualquiera puede entrar al centro comercial y luego navegar por las tiendas. Es publico Las tiendas esperan que la gente venga, mire las pantallas, tal vez ingrese y luego compre cosas.
En el centro comercial, hay un comerciante que vende, digamos, computadoras. Llamémoslo Jim. Quiere que la gente venga y vea las computadoras y se sienta atraída a comprarlas. Jim es el chico agradable de nuestra historia.
Que haya Bob. Bob es un nihilista descontento que odia a Jim. Bob haría todo lo posible para que Jim fuera infeliz, por ejemplo. interrumpiendo el negocio de Jim. Bob no tiene muchos amigos, pero es inteligente, a su manera retorcida. Un día, Bob gasta algo de dinero para hacer que el periódico local publique un anuncio; El anuncio indica, en letras grandes y colores vivos, que Jim realiza una gran promoción con motivo del décimo cumpleaños de su tienda: los primeros cien clientes que ingresen a la tienda recibirán un iPad gratuito . Para cubrir sus huellas, Bob realiza sus relaciones con el periódico bajo el seudónimo de "bob" (que es su nombre, pero escrito al revés).
Al día siguiente, por supuesto, el pobre Jim está sumergido por personas que quieren un iPad gratis. La multitud obstruye la tienda de Jim, pero también una parte importante del centro comercial, que se llena de personas decepcionadas que comienzan a comprender que no existe tal cosa como un iPad gratuito. Su negatividad hace que sea poco probable que compren algo más, y de cualquier manera no pueden moverse debido a la presión de la multitud, por lo que los negocios en el centro comercial se detienen por completo. Jim se vuelve altamente impopular, con los ex-cravers de iPad, pero también con sus colegas tenderos. Bob se ríe.
En este punto, Jim se pone en contacto con la gerente del centro comercial Sarah. Sarah decide manejar la emergencia llamando a los bomberos. Los bomberos vienen con sus cascos relucientes, sus camiones intermitentes, sus sirenas y sus hachas afiladas, y pronto convencen a la multitud de dispersarse. Entonces, Sarah llama a su amiga Gunther. Gunther es un hijo de inmigrantes alemanes, un producto puro del Melting Pot de los Estados Unidos, pero lo más importante es que es un agente del FBI, a cargo del problema. Gunther es inteligente, a su manera retorcida. Él se pone en contacto con el periódico y primero se desconcierta, pero luego tiene una revelación intuitiva: ¡ah-HA! "bob" es solo "Bob" escrito al revés! Gunther rápidamente procede a arrestar a Bob y le envía a conocer su destino sombrío pero legal ante el Juez del condado.
Finalmente, para evitar más problemas con otros nihilistas que no serían suficientemente disuadidos por la visión del cadáver desmembrado de Bob expuesto frente al centro comercial, Sarah diseña una medida de mitigación: contrata a Henry y Herbert, dos medios - mirando a hombres jóvenes musculosos, y los publica en las entradas del centro comercial. Henry y Herbert son responsables de bloquear el acceso en caso de que una gran cantidad de personas intenten ingresar, más allá de un umbral determinado. Si un proto-Bob ataca de nuevo, esto permitirá la gestión del problema en el exterior , en el estacionamiento, donde no falta espacio y el control de multitudes es mucho más fácil.
Moralidad: no se puede prevenir una DDoS, pero sus consecuencias se pueden mitigar mediante la adopción de medidas proactivas, y los perpetradores pueden ser disuadidos a través de la habitual muestra de músculo aprobada históricamente por los organismos encargados de hacer cumplir la ley. Si las botnets se vuelven demasiado fáciles de alquilar, las consecuencias predecibles incluyen una mayor participación de la policía, la autenticación proactiva de los usuarios a nivel de infraestructura, el cierre de las partes más indignas de la red (en particular el acceso a Internet para los países menos cooperativos) y una gran dosis de desilusión y tristeza por la pérdida de una era pasada, más civilizada.
A pesar de lo que otros dicen, sí puedes.
Muchas empresas importantes tienen soluciones muy efectivas, e incluso la reciente batalla de Spamhaus, que usó DNS DDoS a una escala que no se había visto anteriormente, se cubrió rápidamente una vez que CloudFlare se incorporó.
Las soluciones que he probado son muy efectivas en la transferencia de tráfico DDoS, incluso cuando es un espejo de tráfico real y válido. Para algunas de estas pruebas, la transición fue inferior a milisegundos y casi no tuvo un efecto medible en el tráfico legítimo.
Estos funcionan mediante protocolos de redireccionamiento dinámico, y en principio podrían funcionar en cualquier lugar. La razón por la que solo las usan las grandes empresas es que cuestan mucho.
Una solución sensata para todos los ISP es flotar el tráfico saliente y compartir las listas de filtros, esto podría evitar por completo los ataques DDoS. Solo requeriría que los usuarios y las empresas lo exijan a sus ISP y se muevan de cualquiera que no haya proporcionado este servicio. Eventualmente, cualquier ISP que no lo proporcionara sería solo en la lista negra.
No, no es posible, en teoría o práctica. Un ataque DDoS bien distribuido es indistinguible del tráfico legítimo.
Considere los efectos "slashdot" o "reddit" o "digg", donde el tráfico legítimo real elimina los servicios de red en el sitio web de destino. El simple hecho de publicar un enlace al sitio web de destino en slashdot es un DDoS efectivo en muchos casos.
Bueno, puede escalar la infraestructura para hacer que sea más difícil para una botnet mantener el tráfico suficiente para deshabilitar el servicio, pero en última instancia, el único contador si un DDoS está utilizando tráfico legítimo para causar problemas, todo lo que puede hacer es Incrementa tu ancho de banda para que sea más alto que el de ellos. Si puede identificar una fuente como no autorizada, entonces puede intentar impedir que el tráfico sea procesado por su servidor (lo que reducirá la carga de la CPU y la memoria), pero aún tiene que lidiar con el tráfico que se envía a través de Internet. .
En principio, hay formas de detener un DDOS:
La forma más sencilla es simplemente dedicarle más recursos. Buena suerte tratando de acabar con amazon.com o google.com. Combine una entrada DNS de round-robin con toneladas de servidores en la nube y es realmente difícil para usted DDOS.
No todos pueden permitirse recursos tan inmensos, pero para eso sirven los servicios como CloudFlare. Si usted se convierte en su cliente, le proporcionan los recursos (proxies, ancho de banda) y, tan pronto como lo necesite, se lo asignan. Es como un seguro, muchas personas comparten la inversión y usted se beneficia cuando es necesario.
El tráfico DDOS a menudo se distingue del tráfico legítimo:
Por último, pero no menos importante, se podría hacer mucho más con la cooperación de su ISP o los proveedores de la red troncal. Si el ataque se concentra geográficamente, detenga temporalmente el enrutamiento de datos de esa región a sus servidores. Supongo que este tipo de estrategias tendrán que usarse más ampliamente en el futuro.
(En la analogía de Tom Leek: Imagine Bob hizo su oferta de iPad gratis solo para personas negras / chinas / caucásicas. Ahora contrate un guardia de seguridad racista. Detendrá la tormenta de clientes falsos, pero a un precio , es decir, que va a enojar a algunos clientes legítimos. (No hace falta decirlo, por favor no haga eso en la realidad).
Solo para estar completo, si sabe quién lo está atacando, puede tomar represalias. Ya sea legalmente llamando a las autoridades, o pagándoles con su propia moneda y atacando a sus servidores (¡pero por favor no!).
Hay cosas que puedes hacer, pero nunca estarás 100% protegido.
Anteriormente me recomendaron un firewall Fail2Ban para mi sitio en este foro y eso me ayudó. Básicamente, un fail2ban detecta una actividad similar x veces en sus archivos de registro que prohíbe esa ip.
Bloquear todos los puertos no utilizados también ayuda.
Supongo que con una arquitectura p2p solo podría ser posible ... Pero requeriría muchos cambios en la forma en que se comportan las computadoras, e implicaría lentitud para muchos sitios web pequeños. Es una buena pregunta.
Cuando tenga una arquitectura de red que permita la centralización, siempre permitirá DDOS. Para poder evitarlos, necesitaría que toda la infraestructura de Internet sea compatible con DDOS, lo que significa que todas las solicitudes de una determinada IP se filtrarán cuando se detecte un cuello de botella. Sería realmente costoso implementar dicha característica porque los enrutadores están diseñados para ser rápidos y requerirían un "modo de contención DDOS" que verificará las direcciones de destino de los paquetes, lo que sería lento. El sitio web aún no terminará o no se podrá acceder, pero no se bloqueará.
Otra forma sería permitir que el sitio web tenga algún tipo de sistema espejo / transmisión para repetir el contenido. Difusión significa que los enrutadores repiten automáticamente el contenido. Pero requeriría no cambiar a menudo, lo que sería un requisito severo, y no muchos sitios web podrían costearlo, ya que es caro.
Honestamente, realmente no considero DDOS como un ataque o un problema de seguridad. Las botnets son.
La forma más barata, efectiva y fácil de bloquear un DDoS-Attack:
Tan pronto como el servidor recibe más solicitudes de las que puede manejar, se enciende un "Modo seguro". En este Modo, cada dirección IP que solicita obtiene un Sitio HTML mínimo, cuanto más pequeño mejor, que consiste en una advertencia de un Ataque DDoS en vivo y un Aviso captcha:
LasdireccionesIPqueingresanelcaptchacorrectovanaunalistablancaquelepermitenavegarporelsitiocomodecostumbre.Unavezquelassolicitudesvuelvenadisminuir,el"Modo seguro" se apaga
Me encanta la respuesta del centro comercial. Así que aquí hay algunos detalles más. ¿Qué sucede cuando el centro comercial está protegido pero el estacionamiento comienza a llenarse?
En primer lugar, no, no es posible detener un ataque de cualquier tamaño con la arquitectura de Internet actual. Sin embargo, un ISP grande bien financiado puede detener a los bastante grandes.
Pero (aproximadamente) mientras el ataque sea más pequeño que el tamaño de las conexiones entrantes de sus ISP, pueden tener una buena oportunidad para mantener las cosas en funcionamiento. Pero necesitan una tecnología elegante.
Las mejores cosas con las que he tenido mucho que ver tienen dos etapas.
La primera etapa identifica posibles picos en el tráfico causados por la actividad DDoS. Una empresa llamada Arbor networks se especializa en esto ( enlace )
Luego se le ordena a la red que tome todo el tráfico para el destino y lo redirija a los depuradores DDoS. Cada depurador puede manejar una cierta cantidad de tráfico y hacen un buen trabajo al eliminar el tráfico válido del ruido.
El depurador luego reenvía el tráfico válido al sitio original.
Lo principal que aprovechan los atacantes DDoS es un recurso centralizado que puede abrumar con el tráfico. Si realiza la aplicación de modo que esté altamente distribuida, los ataques DDoS no son efectivos.
Exactamente esto se ha hecho con infraestructura DNS y anycast. El DNS de Google, por ejemplo, está en 8.8.8.8. Pero usan anycast, por lo que las máquinas reales que manejan las solicitudes a 8.8.8.8 están dispersas en centros de datos de todo el mundo. Por lo tanto, los ataques DDoS dirigidos a 8.8.8.8 también se dividirán y distribuirán, lo que no es el objetivo de los ataques DDoS. No quiere decir que esto lo hace imposible pero mucho, mucho menos efectivo.
Desafortunadamente, todas las aplicaciones no están diseñadas para ejecutarse detrás de una ip de cualquier difusión. Pero el enfoque general es la mejor defensa. Haga que la aplicación esté altamente distribuida y la eficacia de DDoS disminuya.
Dependiendo. Si se lanza un DDoS del tamaño de solo 1 byte a más de la mitad de Internet en el resto, todo el Internet estará inactivo. Pero eso es casi imposible. El ataque DDoS normal puede ser absorbido pero no detenido. En el ejemplo anterior de Tom Leek, el tipo de seguridad puede manejar solo a tanta gente, si el mundo entero se inunda, no pueden hacer nada. Lo mismo ocurre con DDoS. Puedes pagar CloudFlare, Incapsula, ... para ser el guardia pero con suficiente poder, un DDoS los derribará.
Una solución común a nivel de megacorporación: compre suficiente ancho de banda / servidores para alojar tanto a usuarios legítimos como a DDoS al mismo tiempo.
Fuera de tirar el equipo al problema. La única otra solución es la constante vigilancia pública generalizada. Demasiadas personas son descuidadas con sus computadoras y les permiten tener acceso remoto o maliciosamente a control remoto. Algunos fabricantes de dispositivos también son descuidados con los dispositivos electrónicos para el hogar habilitados para Internet, configurándolos mal y dejándolos vulnerables a los hackeos.
Regla general: prohíbe las conexiones entrantes cuando no las esté utilizando. Si configura su computadora para bloquear todas las conexiones entrantes, nadie puede controlarla de forma remota (excepto en casos extremadamente degenerados de puertas traseras / "zombieware" que establecen conexiones con servidores para leer los comandos).
La mayoría de las veces, el usuario promedio de la computadora no debería necesitar permitir conexiones entrantes. Si debe hacerlo, solo desbloquee los puertos / programas específicos que necesitan conexiones entrantes, y luego bloquee las conexiones entrantes una vez que haya terminado con esos puertos / programas.
Los dispositivos IOT son algo más difíciles. No puedes simplemente hacer que bloqueen todas las conexiones entrantes porque están diseñadas para ser controladas a distancia.
Hay investigaciones sobre el tema y, en teoría, parece haber formas de detener los ataques DDOS.
Aquí es una charla de Adrian Perrig sobre SCION , un prototipo funcional para una nueva arquitectura de red. Este debe ser el artículo sobre la parte del sistema que realiza la mitigación de DDOS. Por supuesto, hacen suposiciones acerca de atacar botnets y demás.
Como han señalado otros, si su atacante es lo suficientemente poderoso como para hacer que el ataque DDOS parezca tráfico legítimo, se encuentra esencialmente en la misma situación como si no tuviera suficientes recursos para todos sus usuarios. Por lo tanto, este caso no puede ser evitado.
Lea otras preguntas en las etiquetas network ddos threat-mitigation server