¿Por qué los ISP no pueden detectar y prevenir ataques DDOS?

En algunos casos, principalmente en las capas inferiores, los ISP-s pueden detectar y ayudarlo a mitigar un ataque DDoS. Pero hay muchos otros tipos de DDoS, como un Slowloris Slowloris (software) muy famoso que no se puede detectar en el lado del ISP, ya que esto parece tráfico legítimo, y el ataque utiliza un marco de tiempo más largo, por lo que se necesitarían demasiados recursos en el lado IPS para detectar. También hay muchos otros tipos de ataques de capa de aplicación, como ataques de contraseña de fuerza bruta o errores de software a nivel de aplicación, como ataques de reflexión contra complementos vulnerables, etc. Son casi imposibles de detectar en el lado del ISP, ya que requeriría un análisis de tráfico profundo y la mayoría de los ISP-s no tienen las herramientas necesarias para dicho análisis. Le recomiendo que pruebe nuestra solución de protección del servidor en BitNinja.io. Ayuda a prevenir, mitigar y proteger muchos tipos de amenazas en línea que un servidor puede enfrentar en la naturaleza.

Related Content

¿Qué es un buen administrador de contraseñas?

¿Es digno de confianza SELinux, a pesar de que fue desarrollado por la NSA?

¿Cuáles son algunos hechos poco conocidos sobre la seguridad de TI?

¿Existe una buena lista de verificación disponible para eliminar malware de Windows?

¿Cómo cambiamos la contraseña de Roadrunner?

Pueden detectar, mitigar e incluso prevenir completamente los ataques DDoS. Pero algunos de ellos no podían ser molestados. Suficiente para que realmente no podamos detener las cosas. Ofendido? Usted debería ser.

  • La primera línea de protección puede y debe ser el filtrado de entrada de red: derrotar los ataques de denegación de servicio que emplean suplantación de direcciones de origen IP . Este es un RFC (y BCP) que IETF aprobó hace mucho, mucho tiempo. Es trivial en su intención: ningún paquete que abandone la red de un ISP debe tener una dirección de origen fuera del rango de direcciones de ese ISP. Para los proveedores que no son de tránsito, este debería ser un ejemplo trivial de un filtro de dirección de origen. Hemos intentado infructuosamente desde entonces implementar esto. Esto detendría la mayoría de los ataques DDoS en sus pistas, porque con una dirección de origen válida, podríamos detectar y filtrar trivialmente los hosts infractores. Adiós botnets.
  • A continuación, los ISP pueden implementar monitores de tráfico. Si un suscriptor en particular está congestionado durante mucho tiempo (por ejemplo, 10 minutos), es una indicación bastante clara de que está sucediendo algo muy inusual. La única forma de detectar esto realmente es mirando los niveles de tráfico, porque el contenido de los paquetes DDoS puede ser un tráfico 100% legítimo. Solo demasiado.
  • Una vez detectado, el ISP puede hacer algunas cosas para mitigar el ataque. Tenga en cuenta que esto NO es lo mismo que prevención. Eso sería muy agresivo. Estas técnicas también son un instrumento bastante contundente, como descartar un gran porcentaje del tráfico que ya se dirige a su sitio. Es probable que también se descarte un buen tráfico. Por razones obvias, esto solo sucede cuando estamos desesperados.
Zsolt Egri

Los servicios de tubería limpia de ISP no proporcionan protección completa contra los ataques DDoS. En primer lugar, carecen de la capacidad para manejar ataques de tamaño promedio, especialmente cuando se trata de ataques de inundación basados ​​en paquetes / aplicaciones. En segundo lugar, el centro de limpieza de un ISP puede ser atacado directamente. Si un atacante conoce las direcciones IP de los enrutadores o dispositivos de mitigación en el centro de limpieza, puede ser posible atacar el centro de limpieza e inutilizarlo para mitigar los ataques simultáneos a sus clientes. Cada vez que se detecta un ataque a un cliente, se necesitan técnicas de redireccionamiento para enviar el tráfico a un centro. Cuando el ataque disminuye, las técnicas deben ser desactivadas. Esto incurre en una sobrecarga en la reconfiguración de enrutadores. Un atacante puede potencialmente iniciar y detener ataques DDoS por períodos muy cortos de tiempo para que muchos clientes diferentes sobrecarguen este mecanismo de reconfiguración del enrutador. Como el enrutamiento del tráfico para pequeñas cantidades de tráfico de ataque incurre en demasiada sobrecarga en comparación con el pequeño impacto dañino en el tiempo de respuesta del servidor. Por lo tanto, solo después de detectar un ataque lo suficientemente grande, se debe iniciar la limpieza. Además, una vez iniciada, la limpieza debe continuar durante varias horas para amortiguar el impacto de la configuración de los rápidos cambios en los patrones de ataque.

Finalmente, el centro de limpieza solo elimina el tráfico malicioso, pero no puede evitar el ataque original. La seguridad no siempre es una capacidad central de un ISP y, a menudo, no tienen la experiencia en seguridad de un proveedor dedicado de mitigación de DDoS. Como están más centrados en el volumen de los ataques en lugar de centrarse en la firma y el tipo de ataque. Por lo tanto, dejándolos vulnerables a la capa de aplicación / ataques DDoS lentos.

Lea el artículo completo aquí.

Kelly Kinkade

Pueden detectar y prevenir, y lo harán mientras usted pague por el servicio. Vea mi respuesta sobre cómo se hace esto: ¿Por qué ninguna compañía ha diseñado IA que pueda defender una red de ataques DDoS?

Ver esta página de AT&T:
http://www.business.att.com/ente

Vea este video de Arbor (que es usado por AT&T):

Zsolt Egri

More Interesting

¿Qué son los códigos captcha?

¿Qué es una contraseña de root?

Cómo proteger la Infraestructura de clave pública (PKI) de un ataque de suplantación de identidad

¿Cómo se realiza el cifrado y descifrado utilizando los dos esquemas?

¿Puedo saber la diferencia entre el curso de seguridad de red y el curso de ciberseguridad?

¿Cuál es la diferencia entre un firewall y un antivirus?

¿La contraseña del disco duro establecida en el BIOS es lo suficientemente segura como para proteger los datos del disco duro?

¿Qué es la seguridad de TI?

¿Qué es un curso sobre cumplimiento cibernético o seguridad cibernética?

¿Cuáles son los pasos para eliminar el virus iexplore.exe?

¿Pueden los hackers Heartbleed ser condenados? Por ejemplo, este tipo: los canadienses arrestan a un hacker Heartbleed

Cómo evitar el ataque de ransomware

Cómo encontrar temas / materias para el proyecto de la Feria de Ciencias sobre seguridad cibernética

¿En qué se diferencia el producto Wildfire de Palo Alto Network del producto sandboxing de FireEye?

Cómo recordar mis contraseñas sin usar un administrador de contraseñas