Bloquear el ataque dejando pasar el tráfico correcto
La mitigación es un término empleado para designar los medios y medidas aplicadas para atenuar los efectos negativos asociados a un riesgo. Ante un ataque DDoS, la mitigación consiste en filtrar el tráfico no legítimo y aspirarlo mediante un VAC, dejando pasar todos los paquetes legítimos.
Los VAC constan de varios dispositivos, cada uno de los cuales cumple una función específica para bloquear uno o varios tipos de ataque (DDoS, Flood, etc.). En función del ataque, pueden aplicarse una o varias estrategias de defensa en cada uno de los dispositivos que componen el VAC.
Componentes del VAC
Acciones realizadas por un Pre-firewall :
- Fragmentación UDP
- Tamaño de los paquetes
- Autorización de los protocolos TCP, UDP, ICMP y GRE
- Bloque de todos los demás protocolos
Acciones realizadas por el Firewall Network :
- Autorizar o bloquear una IP o una subred de IPs
- Autorizar o bloquear un protocolo:
- IP (todos los protocolos)
- TCP
- UDP
- ICMP
- GRE
- Autorizar o bloquear un puerto o un intervalo de puerto TCP o UDP
- Autorizar o bloquear los SYN/TCP
- Autorizar o bloquear todos los paquetes distintos de SYN/TCP
Acciones realizadas por Tilera :
- Cabecera IP incorrecta
- Suma de control IP incorrecta
- Suma de control UDP incorrecta
- Limitación ICMP
- Datagrama UDP mal fragmentado
- DNS Amp
Acciones realizadas por Arbor :
- Cabecera IP incorrecta
- Fragmentos incompletos
- Suma de control IP incorrecta
- Fragmentos duplicados
- Fragmentos demasiado largos
- Paquetes IP, TCP, UDP o ICMP demasiado cortos
- Suma de control TCP o UDP incorrecta
- Indicadores TCP no válidos
- Número de secuencias no válidas
- Detección de zombies
- Autentificación TCP SYN
- Autentificación DNS
- Petición DNS errónea
- Limitación DNS
Ver mapa de ataques DDoS.