¿Por qué no se pueden prevenir los ataques DDoS?

Contamos con un equipo de expertos en ciberseguridad que han escrito el mayor recurso de mitigación de DDoS actualmente disponible en la industria.

Para comprender completamente cómo mitigar con éxito los ataques, primero debe comprender cómo funcionan, qué tipos de ataques existen y cuáles son las herramientas que pueden usar los atacantes.

Esta pieza contiene todo sobre este tema, aquí hay algunos detalles.

¿Qué es un ataque DDoS?

La denegación de servicio hace lo que su nombre sugiere: hace que un sitio web no esté disponible para los usuarios, pero uno exitoso afectará a toda una base de datos de usuarios en línea. En un ataque DoS, un perpetrador puede usar una única conexión a Internet para explotar una vulnerabilidad de software o inundar el objetivo con solicitudes falsas y finalmente hacer que el sitio no esté disponible y evitar que responda a las solicitudes de los usuarios legítimos.

O bien, el ataque puede iniciarse desde múltiples dispositivos conectados que se distribuyen a través de Internet, en un ataque de Denegación de Servicio Distribuido orquestado, o DDoS.

Tipos de ataques DDoS

Los ataques DDoS tienen como objetivo la capa de red o la capa de aplicación.

Ejemplo de un ataque de capa de red:

Ejemplo de un ataque de capa de aplicación:

Todos los nuevos ataques DDoS que aún no se han identificado se denominan ataques DDoS de día cero.

¿Cuál es el costo de un ataque DDoS y cuántos ataques ocurren por día?

• El ataque de capa de red más largo duró 48.5 horas
• El ataque de capa de aplicación más largo duró 67 días
• El mayor ataque de la capa de red alcanzó un máximo de 470 gigabits por segundo
• El mayor ataque de la capa de aplicación alcanzó un máximo de 108.288 solicitudes por segundo
• La tasa de ataque más alta para los ataques de la capa de red fue de más de 120 millones de paquetes por segundo

Y luego finalmente:

Cómo defenderse de los ataques DDoS

Lo primero que debe tener en cuenta al defenderse en una capa de red es garantizar suficiente ancho de banda de red para manejar fácilmente grandes cantidades de tráfico. Si no puede comprar suficiente capacidad por su cuenta porque no se usará la mayor parte del tiempo, muchos servicios en la nube pueden obtener acceso al ancho de banda adicional que necesita para absorber el ataque. Otra cosa es filtrar el tráfico de ataque para permitir el tráfico legítimo y descartar uno ilegítimo, como paquetes TCP SYN excesivos, inundaciones de paquetes ICMP o paquetes UDP sin cargas de aplicaciones.

Muchas vulnerabilidades de la capa de aplicación pueden evitarse mediante la llamada “higiene” de buena aplicación. Esto significa fortalecer las aplicaciones a través de una configuración segura y con actualizaciones y parches oportunos. En todos los requisitos de la aplicación, la arquitectura y las fases de diseño, se debe tener en cuenta la seguridad. Las protecciones de seguridad deben integrarse en el software y todas las aplicaciones y configuraciones deben probarse a fondo para detectar vulnerabilidades. Se recomienda utilizar un firewall de aplicaciones web (WAF) . El WAF puede proporcionar parches virtuales y las reglas se pueden programar en el WAF para proteger contra nuevas vulnerabilidades. WAF es como otra línea de defensa contra amenazas a los datos y contra ataques de denegación de servicio. Los WAF se han diseñado específicamente para examinar el contenido de la capa de aplicación de los paquetes IP. El despliegue y la gestión adecuados de WAF es un factor importante para determinar si son o no afectivos para detener los ataques. Lo inspeccionaremos más a fondo en la sección que trata las preguntas que puede hacerle a su proveedor de servicios sobre WAF. Sin embargo, no existe una solución de seguridad para todos y cada empresa debe aprovechar sus propios riesgos para descubrir qué se ajusta mejor y qué otras prácticas de seguridad deberían incorporarse.

Leer más: DDoS – Explicación distribuida de denegación de servicio – GlobalDots

Me gusta la analogía de Kim de que los ataques DDoS son como letras. Porque, sinceramente, muchos crackers (los hackers que causan estragos) tienden a pensar en ellos como cartas al propietario del sitio web que están pirateando. En 2013, Anonymous solicitó al gobierno de los Estados Unidos que legalizara los ataques DDoS como una forma de petición: historia real.

Entonces, una vez que su aplicación web se procesa con un ataque DDoS, es prácticamente imposible detenerla y le quedan las piezas para limpiar. Entonces, la mejor pregunta es ¿cómo puedo defenderme mejor para no ser víctima de un ataque DDoS?

Aquí hay algunas estrategias de muchos sobre cómo algunas compañías (es decir, Amazon, Google, Microsoft) previenen los ataques DDoS.

1. Se suscribieron en exceso en Bandwidth . Cuanto más ancho de banda, compre, más barato es. Entonces, la idea es que compre más ancho de banda de lo que sabe qué hacer, ya que los ataques DDoS son un juego de volumen de enviar más tráfico web de lo que una aplicación web puede manejar, si tiene una gran cantidad de ancho de banda, el cracker nunca ser capaz de inundarte
2. Obtenga mitigación automatizada . Este es uno grande y en el que muchas empresas fallan. Debe supervisar constantemente los datos de flujo de red y otras fuentes de datos en busca de patrones de tráfico web fuera de lo normal. De esa manera, las herramientas de mitigación DDoS pueden detectar y cortar ataques de raíz antes de que algo se salga de control
3. Contrata a un proveedor externo para proteger tu aplicación web . Muchas empresas hacen esto porque, sinceramente, no todos son expertos en seguridad cibernética y eso está muy bien. Encuentre un servicio que controle la entrada y salida del tráfico. Personalmente, me gustan los firewalls de aplicaciones web (WAF) porque son fáciles de usar y filtran el tráfico web cuestionable y, a menudo, proporcionan suficiente protección para las pequeñas y medianas empresas.

Hola,

No sé por qué dices que estos ataques no se pueden prevenir. Aunque la prevención puede ser técnicamente difícil o costosa (no todos querrían invertir en ella), se deben considerar estas 3 medidas:

1. Regulación: configure enrutadores que accedan a un servidor con lógica para ajustar el tráfico entrante a niveles que sean seguros para que el servidor los procese. Básicamente significa ajustar los límites de ancho de banda a nivel de enrutadores para que el uso concurrente de servidores detrás del enrutador se mantenga a tasas aceptables.

2. Honeypot: Básicamente consiste en atraer a los atacantes que han comprometido recursos legítimos. El honeypot utiliza máquinas virtuales para emular los servicios reales y puede restaurarse fácilmente si se cayeron. El análisis del ataque en honeypot proporciona datos valiosos sobre el patrón de ataque realizado y puede ayudar a identificar a los atacantes o rastrearlos. Ver este artículo: http://www.csl.mtu.edu/cs6461/ww …

3. Cloudfare: el contenido de su sitio web público se distribuye en varios servidores en la nube (en muchos países). Los servidores regionales de Cloudfare bloquean los ataques. Ver: https://www.cloudflare.com/ddos

En mi experiencia laboral nunca he tratado con lo anterior, pero por lo que he leído definitivamente vale la pena considerarlo.

Sí, era antes, pero ahora creamos el Servicio de Inteligencia de Red, Seguridad y Protección, que incluye cortafuegos de servicio web basado en influencia y filtrado de tráfico. Ahora los servidores obtienen tráfico limpio sin ninguna amenaza.

Cuando piensa en la continuidad del negocio en la web, no solo se trata de la inactividad de los servidores, sino también de la fuga de datos o los riesgos de falsificación de datos. Usted sabe más recientemente cómo puede ser peligroso proporcionar servicios adecuados a los clientes.

Hay analizadores de precios y ladrones de contenido u otros robots de estafa que causan mucho daño. Eso aumenta los costos de alojamiento del servidor y da una peor experiencia de usuario a sus clientes. Cuando piense en los ataques DDoS, piense en las herramientas adecuadas para proteger su negocio de una manera más sofisticada.

Los ataques DDoS no se pueden prevenir por completo, de la misma manera que no se pueden prevenir otras formas de violencia o terror. Simplemente no puedes controlar todo / todos todo el tiempo.

Si 1000 personas de todo el mundo deciden comenzar a inundar X, no hay forma de detenerlas a priori (a menos que las direcciones IP tengan un registro previo, algo así como ex convictos).

Absolutamente pueden ser mitigados .

Una plataforma de mitigación de DDoS adecuada se basa en varios elementos que la hacen altamente efectiva:

1. Una gran infraestructura, compuesta de una vasta red y recursos computacionales, que son magnitudes superiores a las del atacante, lo que le permite nunca sudar durante un ataque.
2. Solución de alto rendimiento que tiene un impacto mínimo o nulo en el servicio que se protege
3. La capacidad de analizar y evaluar el buen tráfico del mal (y “descartar” la parte mala). << Esto es lo que separa a los niños de los hombres

Daré una respuesta larga, así que por favor tengan paciencia conmigo

La prevención de ataques cibernéticos en general y DDOS en particular no siempre es posible a pesar de las mejoras en la tecnología de seguridad.

La seguridad tradicional siempre se ha centrado en la prevención de ataques cibernéticos, pero eso no es suficiente. Al igual que construir una puerta principal fuerte en una casa y poner una cerradura fuerte siempre es buena seguridad pero no suficiente. Para un atacante siempre hay una forma de evitar el método de prevención.

Lo mejor que podemos hacer es detectar un ataque que incluya DDOS lo antes posible y responder lo antes posible

Estos son los 4 desafíos clave en los que debemos trabajar:

1. El primer desafío es predecir DDOS mejor.

a menudo no podemos predecir cuándo y cómo ocurrirá un ataque DDOS. Incluso en el mundo real no podemos predecir un ataque y mucho menos el mundo cibernético. Hay mucho que investigar sobre la ciencia de datos . Estoy seguro de que progresaremos en ese frente, ya que siempre hay algunas señales de advertencia tempranas antes de una inundación inminente, por lo que debemos identificarlas y buscarlas.

1. El segundo desafío es qué tan rápido podemos detectar DDOS

Detectar fuentes DDOS esp del atacante es muy difícil.

Los atacantes usan muchos métodos para lograr DDOS. Pueden forzar el consumo de ancho de banda, pero ese es solo un método.

En segundo lugar, DDOS se produce contra proveedores de servicios ascendentes como lo que sucedió en el incidente de Dyn-Mirai recientemente, donde millones de cámaras de seguridad fueron apalancadas para atacar a Dyn.

En tercer lugar, los atacantes pueden consumir todo tipo de recursos y el efecto es la Denegación de servicio. A menudo, esto va más allá del ancho de banda, como # conexiones de red, consume toda la memoria disponible, bifurca bombas, se queda sin máquinas virtuales, hace que la base de datos se rinda debido a una avalancha de consultas db de larga duración, etc.

1. El próximo desafío es qué tan rápido podemos responder a tales ataques DDOS.

La técnica actual de respuesta se centra principalmente en filtrar el tráfico malicioso del tráfico genuino. Los atacantes hacen esto muy difícil, ya que tienen muchos métodos para usar IP de origen falso.

Por ejemplo: los ataques DDOS basados ​​en DNS aprovechan conceptos poderosos como reflexiones y amplificaciones que son muy poderosos. Del mismo modo, los recientes ataques DDOS que aprovechan los dispositivos IoT también hacen que este sea un gran desafío.

Necesitamos encontrar nuevas formas de separar el buen tráfico del mal tráfico. Estoy seguro de que pronto encontraremos enfoques más nuevos y mejores que aprovechen las herramientas más nuevas como IA y tecnologías de engaño, etc.

1. Cómo respondemos es el último desafío.

Hoy en día , detectar, filtrar y aislar el tráfico malicioso es el método principal para protegerse contra DDOS.

Absorber la inundación del tráfico es otro enfoque utilizado por proveedores como Cloudflare, etc., que aprovecha múltiples ubicaciones geográficas y muchos recursos para absorber un gran tráfico DDOS.

Otro enfoque es servir contenido en caché durante el ataque DDOS para que el sitio esté parcialmente disponible. Este tipo de enfoque es proporcionado por proveedores como Google Shield Project.

Necesitaremos encontrar nuevas formas de responder a DDOS que va más allá de los 3 buenos enfoques anteriores .

Net-net No estoy listo para rendirme solo porque es un problema difícil.

Me he dado cuenta de que con un pequeño ajuste de protocolo, al menos un tipo puede.

Hay un tipo de DDoS en el que la red de bot realiza consultas repetidas de DNS (servidor de nombres de dominio, un activo de red que traduce la URL en una dirección IP) con la dirección IP de destino listada como la fuente. Luego, los DNS a los que se envían generan la inundación de tráfico.

La solución: hay muchos servidores DNS diferentes, pero un objetivo generalmente solo usa uno o dos de ellos y rara vez, si alguna vez, el atacante sabría cuáles eran.

Si el protocolo DNS se extendió para incluir una secuencia de comando (que requiere confirmación por lo que fue difícil falsificarlo) donde un targer podría pedirle a un DNS específico que no les envíe mensajes durante, por ejemplo, 24 horas, entonces el objetivo simplemente puede pedirle al servidor que No enviarle mensajes. Prácticamente todos estos ataques DDoS reflejados se detendrían.

Estoy lo suficientemente desactualizado en los protocolos de Internet para saber si esta solución también funcionaría para cualquier otro tipo de ataques DDoS reflejados.

Un DDoS es un tipo especial de denegación de servicio que funciona atacando los cuellos de botella en su sitio. Este tipo de ataque se distribuye, lo que significa que muchas computadoras se utilizan para ejecutar el ataque. El desencadenante para iniciar el ataque podría coordinarse mediante un indicador de emoticón establecido por una sola computadora controladora, o por algo tan simple como un tweet, una publicación de Facebook, un mensaje de canal de chat u otros medios simples de distribución de mensajes. Cuando los controles remotos ven este mensaje, todos intentan hacer algo en el host (víctima) objetivo. Este es un ataque tipo DDoS.

En términos más simples, significa cuando más clientes intentan conectarse a su servicio de lo que su sistema o red puede manejar. Como su sistema no puede manejar más conexiones, todos los demás están bloqueados. Bajo cargas normales, los bloques son cortos y solo resultan en conexiones web muy lentas, y en el peor de los casos, este ataque puede bloquear un servicio por completo.

Algunos factores del DDoS pueden prevenirse y otros no.

Actualice su módem / enrutador / AP y otras aplicaciones de red a sus últimas versiones de firmware. Actualice las actualizaciones de software de sus dispositivos móviles. Actualización Actualizaciones del sistema operativo.

Esto es crucial: tenga conjuntos de seguridad sólidos que puedan proteger antes de comenzar a explotar la vulnerabilidad. Una buena suite con funcionalidad IPS como Kaskersky, ESET o Bitdefender.

Disminuya las conexiones tcp / ucp / icmp máximas abiertas y medio abiertas desde la configuración de su módem. Disminuya los valores de tiempo de espera para desconectar una conexión (Estas son configuraciones complicadas, tenga en cuenta y luego baje antes de cambiarlas. También piense dos veces antes de cambiar los valores)

Yo personalmente uso valores bajos de conexión y tiempo de espera. Y tengo un portal dedicado de Sophos Ultimate Threat Management.

Este producto tiene una versión hogareña pero requiere una computadora específica. Pero asegura increíblemente su LAN.

Me gustan las comparaciones dadas, pero … hay un defecto con el ejemplo de snailmail. Como … esto costaría una fortuna en sellos … La analogía que uso normalmente es la siguiente …

Supongamos que establezco una campaña (a través de algunos mecanismos gratuitos o muy baratos) en todo un país o una gran ciudad en la que mi “enemigo” (estoy pronosticando que soy él) está organizando una fiesta gratuita en la que reparto dispositivos gratuitos, gratuitos. comida, etc …

¿Qué pasaría con el tráfico? Su calle? ¿Estacionamiento? Esa es la congestión en Internet, particularmente las últimas millas que suceden con un ataque DDos, lo que hace que la casa (o el sitio web en un ataque DDos) se sobrecargue y será muy difícil de filtrar para huéspedes reales versus falsos.

Y la campaña generalmente se ejecuta mediante computadoras pirateadas (botnets).

Hemos tenido un ataque DDos en el mundo real en los Países Bajos, mira aquí:
Proyecto X Haren

Creo que SCTP tiene un mecanismo para prevenir ataques DDoS mediante el uso de un protocolo de enlace de 4 vías con una cookie (una clave única para establecer la conexión). Si el cliente no confirma el servidor con la misma cookie, no se establecerá la conexión.

Mejor red con SCTP

Quién te dijo que no se puede prevenir. Si alguien monitorea regularmente el tráfico entrante, es muy posible. Puede obtener algunos detalles aquí Aplicación mortal DDoS y cómo detenerla – Blog de investigación

No, se puede prevenir

Cuando un novato inicia un blog, la persona crea una publicación de blog, personaliza su sitio y luego comienza a promocionarlo.

Todos quieren obtener un impulso inicial al atraer a los visitantes en todas las publicaciones que publican.

Un día, de repente, el novato ve muchas vistas en su publicación, comienza a bailar, creo que todo el mundo estaría bailando en ese momento.

Entonces, el novato piensa por qué está sucediendo que solo mi artículo está experimentando un tráfico tan alto y no el otro.

El novato llega al cuadro de búsqueda de Google y luego se enteró de que está bajo un ataque DDoS.

Newbie, ahora se da cuenta de que también está perdiendo a su lector real y eso es ‘bastante vergonzoso’.

Newbie ahora no sabe cómo detener este ataque y desafortunadamente cierra su blog.

Creo que no quieres pasar esto contigo también. Entonces, para ayudarlos, aquí hay un artículo. Echa un vistazo: – ¿Qué es el ataque DDoS? ¿Cómo prevenirlo?

Si está interesado en obtener más información sobre los ataques DDoS, ¡mañana hay un seminario web gratuito al que debe asistir!

https://www.incapsula.com/blog/w …