Primero, un ataque DOS no es necesariamente lo que estás insinuando.
Específicamente, un ataque de DOS resulta en una denegación de servicio a usuarios legítimos de un servicio. Esto suele ser el resultado del uso de más recursos de los que están disponibles, ya sea CPU, memoria, disco, conexiones simultáneas o ancho de banda de red. Probablemente esté más familiarizado con el último, que requiere que el atacante tenga acceso a grandes cantidades de ancho de banda; Si un usuario malintencionado puede aprovechar una debilidad en la gestión de recursos y reducir el servicio por un precio más bajo (por ejemplo, ataques de slowloris contra el iraní gvnt), no va a rechazar la oportunidad …
Entonces, considerámoslo como dos tipos: vulnerabilidades de DOS como resultado de la configuración incorrecta o errores de la aplicación, y vulnerabilidades de DOS como resultado de la fuerza bruta pura.
- ¿Qué aplicaciones usan protocolos TCP / IP?
- ¿Puedes encontrar la cuenta de Facebook de alguien desde una dirección IP?
- ¿Cuáles son los hechos más interesantes sobre la dirección IP?
- ¿Cuántas capas TCP / IP funcionan cuando uso para enviar correos electrónicos a mi amigo en Gmail? Y cómo van a funcionar
- ¿Cuál es la relación entre control de flujo y congestión? ¿Qué tamaño de ventana es el más importante?
Configuración incorrecta o errores de la aplicación: al menos esto debería sonar fácil de solucionar. Ejecute sus aplicaciones a través de un generador de perfiles como HP Software Security (http://www8.hp.com/us/en/softwar…) que detectará la mayoría de los casos de mala administración de recursos (piense: administración de memoria, IO manejar posibles deserciones de puntero nulo y similares). Los problemas de configuración de la aplicación / servidor de aplicaciones se pueden resolver ajustando la pila de aplicaciones, o en el caso de algo como Apache httpd, colocando una caché inversa como Varnish delante de ella.
Los ataques de fuerza bruta son más difíciles de manejar. En pequeña escala, algo como mod_evasive (http://www.zdziarski.com/blog/?p…) o Ddos Deflate (http://deflate.medialayer.com/) ayudará. A medida que la báscula crece, los dispositivos, como otros han mencionado, ayudan, pero en mi humilde opinión, no son impresionantes. Lo que la mayoría de los dispositivos hacen es bloquear un DOS para que no pase el dispositivo, lo que significa que el DOS solo se empuja hacia atrás lo más lejos que pueda colocar el dispositivo. A menos que tenga una red nacional con electrodomésticos en todo momento, o que esté compartiendo información automáticamente con uno, básicamente ha empujado a los piqueteros a la acera frente a su casa. Las empresas de alojamiento generalmente tienen algún tipo de configuración como esta, y los dispositivos han mejorado, pero todavía no considero esta mejor práctica.
Hasta hace poco, lo que era estado del arte (que yo sepa) es varias comunidades no públicas con miembros de varios ISP grandes y empresas de alojamiento. Cuando se producían grandes ataques, varios operadores de red se conectan al teléfono, rastrean las principales fuentes y dejan caer su tráfico. Se ha hablado de automatizar este proceso, pero los administradores de red son realmente cautelosos acerca de permitir que un programa bloquee automáticamente el tráfico.
Antes de mencionar lo que considero el estado actual del arte, esto es lo que hacen muchas compañías: hacer que la mayor parte del contenido sea estático y luego llevarlo a una red de distribución de contenido (CDN) como Akamai. Entonces, todo lo que sea dinámico, póngalo en una configuración eficiente que pueda manejar cargas; si es posible, hágalo en múltiples centros de datos con equilibrio de carga global. Akamai en realidad también puede hacer contenido dinámico ahora, pero no creo que sea tan simple como darles el código y terminar con él. Realmente lo que están haciendo es extender la superficie de ataque, por lo que un atacante debe tener más y más recursos para derribar el objetivo de manera efectiva.
Como puede ver hasta ahora, estamos siguiendo el “palo de hockey de seguridad” estándar: cuanto más seguro desee ser, más le costará.
Entonces, el estado actual de la técnica tiene un costo de entrada muy bajo: Cloudflare. Los mismos Lulzsec usan CloudFlare, que es un muy buen voto de confianza. En pocas palabras, usted les permite hacerse cargo de servir DNS para su dominio, luego especifica qué registros de DNS desea que protejan. El tráfico a esos registros se ejecuta a través de sus propios dispositivos CDN y anti-DDOS. Mejor aún, su servicio básico es gratuito. De hecho, estoy empezando a recomendarlos a mis clientes.
Obviamente también hay otras formas, pero esto debería hacerte pensar en la dirección correcta.