La evolución de DDoS

0 71 5 minutos de lectura

Por Dave Larson, director técnico de Corero Network Security

La World Wide Web tiene solo 25 años, pero ha supervisado innumerables avances en la forma en que está escrita y manipulada. Observe los ataques DDoS: una vez, los ataques volumétricos simples ahora se han vuelto engañosos y pueden llevar a cabo varias funciones a la vez. Sin embargo, las respuestas a esta amenaza no han disfrutado de los mismos desarrollos rápidos. Este artículo examina lo que pueden hacer los ISP y los operadores para mitigar la amenaza, además de analizar qué enfoques se ofrecen al personal técnico que lucha contra los ciberdelincuentes.
La evolución de DDoS
En los primeros días de los ataques DDoS (c. 2000), la tecnología de mitigación de DDoS utilizada en la industria de proveedores de servicios se centró en la capacidad de determinar si se estaba produciendo un ataque DDoS, simplemente muestreando los enrutadores de borde e interrogando los registros de NetFlow de esos enrutadores. Como resultado, un operador podía ver el aumento en el tráfico DDoS pero tenía pocas defensas a su disposición para bloquear los ataques. Sin ninguna solución real disponible o implementada, un operador de red primero interpretaría que un ataque está en progreso, luego inyectaría manualmente una ruta nula, a veces denominada ruta de agujero negro, en los enrutadores en el borde de la red del proveedor de servicios. red y bloquear el ataque. Esta ruta nula bloqueó efectivamente todo el tráfico de ataque que se dirigía hacia la víctima prevista.
Sin embargo, este enfoque también tenía connotaciones negativas. Las inyecciones de ruta nula también bloquearon todo el tráfico bueno junto con el malo. La víctima objetivo fue desconectada completamente por la ruta nula y esto realmente perfeccionó el ataque al eliminar todos los paquetes destinados a las direcciones IP de la víctima. Este enfoque proporcionó una forma de al menos mitigar el flujo del ataque y sirvió como una herramienta para eliminar el daño colateral a otros clientes o infraestructura como resultado del ataque DDoS.
Avance rápido varios años y encontramos mejoras en la mitigación de DDoS y una evolución en las técnicas de protección disponibles para los operadores. Quedó claro que una ruta nula no era un enfoque que los operadores prefirieran utilizar. En lugar de inyectar un ruta nula cuando un operador observa un gran pico, ahora pueden inyectar un nuevo ruta en su lugar. Al implementar una nueva ruta, los operadores ahora podían obtener la capacidad de redirigir todo el tráfico a través de un dispositivo o banco de dispositivos que inspeccionaban el tráfico e intentaban eliminar el tráfico de ataque DDoS de los buenos flujos de usuarios. Este enfoque generó la existencia de centros de depuración de DDoS y carriles de depuración de DDoS que se implementan comúnmente en la actualidad.
Este enfoque de depuración de DDoS, si bien es una mejora significativa, aún requería una cantidad considerable de intervención humana. Un ataque DDoS tendría que ser detectado (nuevamente analizando los registros de NetFlow) y luego un operador tendría que determinar las direcciones IP de destino de la víctima. Una vez que se identificó a la víctima, se llevaría a cabo una actualización de la ruta BGP para inyectar una nueva ruta para redirigir o «cambiar» el tráfico entrante de la víctima a un carril de limpieza. Los dispositivos en el carril de limpieza intentarían eliminar el tráfico DDoS del tráfico bueno y reenviarlo al cliente intermedio. Para reenviar el buen tráfico de regreso al destino original, en la mayoría de los casos, un operador también tendría que crear un túnel GRE desde el carril de limpieza hasta el enrutador fronterizo del cliente. Este enfoque representa una mejora significativa con respecto a las soluciones de ruta nula, pero también introduce una complejidad significativa en la topología de la red del operador y requiere personal de seguridad dedicado y costoso para garantizar una ejecución adecuada.
Recientemente, la complejidad del desafío DDoS ha ido evolucionando y los ataques han aumentado en tamaño, sofisticación y frecuencia. Además, a medida que los grandes operadores de redes han tenido éxito y han crecido, el tamaño y la escala de sus infraestructuras y su enorme base de clientes presenta una superficie de ataque increíblemente atractiva debido a los múltiples puntos de entrada y al ancho de banda agregado significativo que actúa como un conducto para ataques DDoS dañinos y disruptivos. ataques. La combinación de estas tendencias ahora impulsa la necesidad de un enfoque aún más sofisticado para la mitigación de DDoS que utilice tecnología especialmente diseñada para permitir un mejor modelo económico para derrotar estos ataques y crear nuevas fuentes de ingresos en torno a los servicios de tubería limpia.
A medida que nos acercamos a la amenaza DDoS de hoy en día, con técnicas de mitigación avanzadas que han evolucionado durante la última década, están surgiendo una protección innovadora, una visibilidad sofisticada y opciones de implementación escalables. Las implementaciones en línea de tecnología de mitigación en Internet o en los puntos de tránsito y peering ofrecen un alivio muy necesario de los frecuentes y dañinos ataques con los que los proveedores se enfrentan de forma regular. Alternativamente, muchos proveedores prefieren un enfoque de limpieza de carriles, pero requieren una mejor visibilidad de los patrones de tráfico, así como la necesidad de escalar la operación de limpieza para aumentar el ancho de banda.
Enfoques de mitigación de DDoS y respuestas a amenazas en tiempo real
Las debilidades de los métodos antiguos, que son lentos para reaccionar, costosos de mantener e incapaces de mantenerse al día con las amenazas cambiantes y progresivas, nos dicen que las soluciones apropiadas para hoy deben estar siempre activas y reactivas al instante. Está claro que también deben ser adaptables y escalables para que las defensas puedan actualizarse de forma rápida y asequible para responder a la cara futura de las amenazas DDoS, sean las que sean.
El método cada vez más popular para cumplir con estos objetivos es la concesión de licencias dinámicas de ancho de banda de mitigación de DDoS en línea. Con esta técnica, se emplea un motor de mitigación de DDoS en línea, pero el operador paga solo por el ancho de banda de los ataques realmente mitigados. El beneficio de este enfoque es que ofrece protección de borde completa para las ubicaciones de la red que se ven más afectadas por DDoS, a una fracción del costo de las soluciones tradicionales de centros de limpieza. La conveniencia de estas herramientas se debe al hecho de que pueden estar constantemente encendidas, sin necesidad de intervención humana, y proporcionan visibilidad de amenazas y análisis forense de la red ininterrumpidos.
Otro aspecto de la mitigación eficaz de DDoS es la notificación de eventos de seguridad. Uno de los talones de Aquiles de las soluciones tradicionales de centros de depuración DDoS es que se basan en un muestreo aproximado de los flujos en el borde de la red para determinar que se está produciendo un ataque. Los atacantes DDoS son muy conscientes de las deficiencias de este enfoque y han modificado muchas de sus técnicas para pasar por debajo del radar, por debajo del umbral de detección, con el fin de evitar ser redirigidos a un centro de limpieza. Su postura de seguridad solo será tan buena como su capacidad para visualizar los eventos de seguridad en su entorno, y una solución que se base en un muestreo aproximado no podrá ni siquiera detectar, y mucho menos actuar, la gran mayoría del panorama moderno de ataques DDoS. Una solución DDoS moderna y sólida proporcionará visibilidad instantánea de los eventos DDoS, así como análisis de tendencias a largo plazo para identificar adaptaciones en el panorama DDoS y ofrecer las técnicas de detección y mitigación proactivas correspondientes.
El nuevo software y hardware posibilita respuestas en tiempo real, principalmente porque el tráfico de los ataques DDoS generalmente forma una curva de campana. La razón por la que se comportan de esta manera es para eludir los detectores de anomalías basados en muestras que se supone que detectan y eliminan los ataques DDoS. Sin embargo, el análisis de datos moderno en soluciones más nuevas permite la detección de DDoS mucho antes de que se alcance el umbral crítico del sistema.
Como resultado, las empresas no tienen que aceptar los ataques DDoS como uno de esos riesgos que simplemente no puede evitar, ya sea pagándolo ellos mismos o solicitándolo a sus proveedores de servicios, ahora pueden adquirir la tecnología que los detendrá. ataques y evitar el costoso tiempo de inactividad en el que incurren.

Visite el sitio web de Corero para obtener más información: www.corero.com

La evolución de DDoS

Por Dave Larson, director técnico de Corero Network Security

Deja una respuesta Cancelar la respuesta

Tripwire Enterprise ahora integra completamente Lastline Advanced Malware Threat Detection.

Cómo ver Netflix gratis para siempre

Yara Gambirasio: las etapas de la amarilla hasta la captura del presunto culpable

Estúpidos trucos terminales: el loro de baile de ASCII Party

Efecto Instagram pelado

Cómo comprobar qué versión de PostgreSQL se está ejecutando desde CLI

Lista de los mejores canales de Telegram 2023

Cómo ver la televisión sin antena

Cómo eliminar Microsoft AutoUpdate de Mac

Cómo eliminar el icono de círculo con + signo en Android

Cómo descargar videos de YouTube con subtítulos

Las soluciones de todos los capítulos de Adventure Escape Mysteries

Cómo otorgar privilegios de root a un usuario en Linux

Problemas para cargar el teléfono: triángulo amarillo con signo de interrogación

Cómo instalar Eclipse IDE en Ubuntu 20.04

Cómo ver IPTV con VLC: guía completa

Por Dave Larson, director técnico de Corero Network Security

Publicaciones relacionadas

Maze ransomware ataca de nuevo en Canon

¿Cómo podemos mantener nuestra información fuera de la web oscura?

Casas en Malvern atacadas por estafa telefónica de phishing

Kaspersky Lab descubre Adobe Flash Zero Day, utilizado en la naturaleza por un actor de amenazas para distribuir software espía

Deja una respuesta Cancelar la respuesta

Tripwire Enterprise ahora integra completamente Lastline Advanced Malware Threat Detection.