Perché gli attacchi DDoS costano una fortuna da fermare?

È perché se si spegne un server, non è possibile utilizzarlo per le entrate. Immagina di avere un vero negozio: se lo chiudi durante il giorno, non puoi vendere nulla e offrire i tuoi servizi. È così semplice.

Per migliorare la mia risposta, costa molto combattere perché è praticamente impossibile difendersi da tali attacchi, dal momento che l'attaccante può usare un numero molto grande di macchine per attaccarti. Se puoi difenderti da un attacco di 1000 computer, l'attaccante deve solo aggiungerne uno in più per vincere. E poiché non c'è limite al numero di macchine che l'attaccante può usare, in pratica non sarai mai invulnerabile:)

Quindi, in conclusione, chiudere il server significa non avere entrate perché non puoi più offrire i tuoi servizi, ma allo stesso tempo, tenerlo attivo è estremamente costoso (ma è meglio che chiuderlo).

È così semplice: se l'attacco DDoS ti fa chiudere, sia dal danno che fa direttamente o dalla tua risposta ad esso, allora l'attaccante ha successo. Se un attacco ha successo, verrà eseguito ogni volta che l'attaccante vuole avere successo.

Il modo per ridurre gli attacchi DDoS è assicurarci che fallisca . Se un attacco DDoS non abbatte il sito, non ha senso attaccare.

Quindi per prevenire gli attacchi DDoS, devi essere in grado di sopravvivere.

In other words, instead of spending thousands of dollars to try to keep the server up why not just shut it down (concede from the attackers) and spend nothing.

Perché in quel momento dovrai attaccare gli attaccanti ogni volta che vogliono qualcosa.

Ecco uno scenario del mondo reale dai tempi dei disordini in Bosnia:

Gestisci un servizio di chat aperto a tutti gli altri. Ospita anche eventi per diverse importanti aziende come le chat con le celebrità.

Alcuni razzisti di un particolare paese vicino ai disordini in Bosnia non amano certi canali che parlano una lingua associata a una razza che non amano. Chiedono di vietare agli utenti di quel paese e chiudere quei canali di chat che parlano in quella lingua. Se non fai quello che chiedono, ti faranno DDoS durante ogni evento ospitato sul tuo servizio e farai perdere quei clienti importanti ai concorrenti.

Che cosa fai? E se ti presenti alle minacce, come lo spieghi ai tuoi utenti?

Vuoi sapere cosa hanno effettivamente fatto? Hanno moltiplicato la loro capacità del server di 10 e la larghezza di banda di Internet di 20. Hanno aggiunto una persona DDoS a tempo pieno solo per monitorare e reagire agli attacchi. Hanno speso un sacco di soldi, ma sono stati in grado di emettere alcune parole di resistenza nei confronti dei razzisti. Erano soldi ben spesi.

Un altro aspetto del costo per un'azienda, oltre alle entrate perse, è il costo di investigare, verificare e rispondere a tali attacchi. Ci sono conversazioni con ISP, pettinatura tramite file di log, riscrittura delle regole del firewall, comunicazione con i clienti, quindi postmortems.

Ma nota che un'azienda non può "fermare" l'attacco, può solo sopravvivere. 'Fermare' e attaccare richiederebbe la cooperazione dell'ISP e un'azione coordinata.

** correzione a seguito di commenti **

Avevo detto che c'erano grossi costi per un ISP per fermare un attacco DDoS, ma stavo lavorando da una vecchia esperienza con gli ISP. Data la premessa che un ISP può fermare un attacco con grande efficacia e con pochi costi, sembra che l'unico costo per un'azienda sia il mancato guadagno e le opportunità di mercato di avere un asset non disponibile, così come i costi di Incident Response.

Chiudere il server per fermare DDoS è come uccidere un paziente per curare una malattia. Questo non sta "fermando" l'attacco, questo in realtà sta facendo riuscire a fare il danno da solo.

Ricorda che l'obiettivo finale di DDoS è l'arresto del server ...

Arresto significa DDoS; gestire l'attacco senza interrompere le normali attività del sito web.

Se chiudi il tuo sito web per ogni attacco DDoS (o anche per tutti i principali), ti mancherà il lavoro in una settimana, poiché gli aggressori continueranno a tornare, ancora e ancora e ancora, finché non pagherai su per impostare un perimetro difensivo.

Puoi anche combattere gli attacchi DDoS bloccando il traffico prima che arriva al tuo server. Questa può essere una soluzione molto conveniente. Questa è l'idea alla base di cloudflare , ma esistono altre soluzioni simili, sia commerciali che fai-da-te.

Il costo di un DDoS ha principalmente a che fare con la perdita di entrate, non risolvendo il problema di per sé.

Veramente non intendo minimizzare la risposta, probabilmente ora hai capito tutto questo ma, per analogia, considera di avere un negozio di mattoni e malta. Una mattina, il tuo negozio si riempie di clienti non acquirenti, con una folla davanti alla porta che sembra che il negozio non sia accessibile. Inoltre, non solo il negozio non è disponibile per "affari reali", ma la folla ha messo un enorme cartello sulla porta principale che dice "CHIUSO" .

Questo sembrerebbe davvero terribile per i clienti che passavano, e andrebbero altrove.