Hace poco compré un servidor con "protección DDoS" y un enlace ascendente de 1 gbps.
Lo que no puedo entender es que estoy sufriendo de inundaciones SYN. ¿No se supone que la gran cantidad de ancho de banda disponible para mí puede anular estos ataques? ¿Hay algo que pueda hacer para bloquearlos? Tengo CSF y he establecido las reglas adecuadas, aunque sé que los firewalls de software no hacen mucho.
Los ataques DoS simples agotan el ancho de banda .
Pero los ataques más sofisticados utilizan otros recursos, como el tiempo de CPU y la memoria. Una inundación SYN está dirigida a usar memoria (y, en algunos casos, tiempo de CPU en los firewalls de hardware).
Para un atacante, sin embargo, es más fácil inundar a una víctima con paquetes SYN, si la víctima tiene un ancho de banda enorme .
TCP usa un apretón de manos de tres vías:
Client --------- SYN -------> Server
Client <------ SYN,ACK ------ Server
Client ------- ACK,... -----> Server
La forma tradicional de manejar la creación de una conexión es esta:
Una vez que el Servidor recibió un paquete SYN, debe asignar algo de memoria para almacenar la información sobre la conexión (por ejemplo, IP del cliente, puerto del cliente, IP del servidor, puerto del servidor). Reconoce el paquete SYN enviando un SYN ACK a la dirección IP de origen especificada en el paquete inicial.
Una inundación SYN consiste en muchos paquetes SYN para los cuales el servidor tiene que asignar memoria. El cliente solo puede enviarlos y olvidarse de ellos . Además, la dirección IP de origen se puede establecer en cualquier cosa (a menos que el ISP del atacante tenga filtros).
El servidor debe verificar que el remitente del paquete ACK en el paso 3 es el que envió el paquete SYN y recibió el paquete SYN-ACK. Esta es la forma en que TCP trató de protegerse contra las direcciones IP falsificadas y las inyecciones de paquetes.
(La protección no funciona contra un atacante que tiene acceso a un enrutador a través del cual viajan los paquetes).
En lugar de la memoria de asignación y almacenar la información sobre la conexión medio abierta, el servidor envía de nuevo la información requerida en el campo del número de secuencia TCP de forma criptográfica guardada.
Entonces, cuando se recibe el paquete ACK final, puede extraer la información requerida, verificarla y establecer la conexión.
Wikipedia tiene un buen artículo en cookies SYN .
¡Lea la documentación de CSF antes de habilitar esto a ciegas! He visto a muchas personas que usan CSF que no sabían lo que realmente estaban haciendo.
Siempre depende de la configuración, pero personalmente no habilitaría mucho más que las cookies SYN (quizás un filtro SYN bien pensado en el nivel de firewall) a menos que la máquina esté bajo ataque. Siempre es bueno estar preparado, pero no deseches tu defensa antes de la batalla.
La protección contra DDoS es un lanzamiento con muchos giros de marketing en lugar de méritos técnicos. La mayoría de los proveedores de servicios y proveedores de productos ofrecerán algún nivel de protección contra DDoS. Sin embargo, su efectividad puede ser bastante limitada dependiendo de la implementación. Por ejemplo, los proveedores de WAF ofrecen protección DDoS, pero la protección está dirigida más a prevenir los bloqueos del servidor que la disponibilidad del servicio.
Considerar que DoS es fundamentalmente una condición en la que un servicio se vuelve o no está disponible para los usuarios. El DoS puede ser causado por algo tan simple como el servicio que no se está ejecutando (es decir, que Apache se configuró incorrectamente, por lo que no se inició automáticamente al reiniciar) o tal vez por un cable de red desconectado. Los profesionales de la seguridad a menudo bromean acerca de las situaciones de DoS auto donde los administradores causan inadvertidamente una denegación de servicio al cambiar las contraseñas del servicio o crear cualquier condición en la que el servicio no esté disponible.
Una denegación de servicio distribuida generalmente se refiere a situaciones donde se distribuye la causa (es decir, inundaciones de tráfico de todo tipo). Las inundaciones SYN son un tipo de DDoS. Dicho esto, la protección contra DDoS puede ser algo tan simple como un servicio destinado a descargar la pila de la red de manera que una aplicación / servicio / servidor no falle bajo una carga alta o después de recibir un paquete anómalo u otras situaciones similares. Por ejemplo, una tubería de 1 Gbps podría ser solo una tubería de red con un límite de 1 Gbps. La protección DDoS puede ser un servicio adicional que identifica y bloquea los paquetes de tráfico excesivo en la capa de red. Por ejemplo, si 10 hosts de Europa del Este comienzan a enviar un tráfico no normal, entonces la red puede tener la capacidad de eliminar esos paquetes antes de que lleguen a su servidor. Sin embargo, hay situaciones en las que tal protección puede no ser suficiente.
Términos simples, una tubería de 1Gbps es solo eso. Si un atacante puede abrumar la red (por ejemplo, al enviar 2 o 5 Gbps de tráfico sostenido), tal ataque fácilmente superaría el límite de 1Gbps. Es similar a un atasco de tráfico donde una autopista de 10 carriles se convierte en una autopista de 5 carriles (o cualquier experimento de física donde p = FA). El punto de supresión se convierte en el cuello de botella y el tráfico tiende a disminuir.
Hay proveedores de servicios que brindan protección contra DDoS (independientemente de cómo se llame el servicio (la protección contra DDoS se ha convertido en un término de mercadotecnia más que cualquier tecnología práctica)) donde las limitaciones de ancho de banda son menos estrictas (un aumento repentino de tráfico anómalo puede No contamos en contra de la cuota). Dichos servicios no son técnicamente una implementación de un producto (o seguridad) sino un servicio en forma de reglas de negocio laxas. Tales servicios generalmente incluyen un CDN (o enrutamiento anycast) pero la implementación de la protección es transparente para el propietario del servicio. Alternativamente, muchas compañías ofrecen protección DDoS donde la implementación técnica no proporciona realmente una protección útil contra ataques sofisticados.
En pocas palabras, 1Gbps no es una gran cantidad de tráfico y los ataques DDoS pueden aprovechar 2-10 Gbps de rendimiento sostenido, lo que fácilmente abrumaría su SLA. Sin una protección inteligente, los firewalls (o cualquier producto de seguridad) por sí solos no ayudarán. Recomiendo preguntar a las compañías que ofrecen protección contra DDoS las "preguntas difíciles", incluido el "cómo" de su implementación. Digo esto porque no toda la protección DDoS se hace igual. Muchas protecciones DDoS disponibles en la actualidad se basan en suposiciones de la arquitectura y tiene sentido comprender cuáles son esas suposiciones que PM utiliza en el desarrollo de los servicios y qué tan aplicables son a su situación. También recomendaría expandir las restricciones presupuestarias y observar a los proveedores de servicios que pueden absorber los ataques DDoS a través de una arquitectura inteligente. Dichos servicios son más costosos pero son más efectivos para garantizar la disponibilidad continua del servicio para los usuarios finales.
HTH