Perché i dispositivi del router in tutto il mondo non possono bloccare automaticamente pacchetti dannosi?

1. È una dura battaglia contro i mulini a vento. Quando blocchi ovviamente il traffico malevolo, i cappelli neri inizieranno a utilizzare meno traffico malevolo che raggiunge gli stessi obiettivi. Nuove minacce e exploit di sicurezza vengono scoperti ogni giorno e restare al passo con tutti loro è praticamente impossibile.
2. Ci sarebbero falsi positivi. A causa della complessità del traffico potenzialmente dannoso, spesso accadrebbe che attività Internet completamente innocue venissero identificate come utenti innocenti e innocenti che vengono cacciati dalla rete. Ciò causerà inconvenienti per gli utenti e per il personale di supporto dei fornitori di servizi Internet.
3. Non è gratuito. I router ad alte prestazioni utilizzati dalle connessioni backbone richiedono già una notevole quantità di potenza di elaborazione solo per eseguire il routing normale di più gigabyte al secondo. Quando si desidera anche eseguire la scansione di tutto il traffico per le azioni dannose, diventerà molto più costoso. Le appliance hardware che possono farlo esistono e talvolta vengono utilizzate per proteggere le reti aziendali. Ma quando vuoi aggiungerli a tutte le reti, qualcuno deve pagarle. Indovina chi sarà.
4. rallenterebbe Internet. Quando si desidera bloccare il traffico dannoso, è necessario esaminarlo. Per esaminarlo, è necessario esaminarlo nel contesto. Ciò significa che è necessario memorizzare il traffico prima di inoltrarlo. Ciò aumenta la latenza che è importante per le applicazioni come la comunicazione o il gioco in tempo reale.
5. Potrebbe violare le leggi sulla privacy. In alcuni paesi i fornitori non sono nemmeno autorizzati a guardare il traffico dei loro utenti. Anche con le attuali leggi sulla conservazione dei dati che spuntano in tutto il mondo, i fornitori sono obbligati a salvare alcune informazioni sul comportamento dei loro clienti, ma le leggi di solito vietano loro di utilizzare le informazioni per i propri scopi. Solo le forze dell'ordine possono guardarlo.

Ci sono molti motivi:

1) I router hanno lo scopo di instradare i pacchetti in modo efficiente. Ancora molte piccole organizzazioni dispongono di elenchi di controllo di accesso (ACL) sul proprio router Edge per filtrare, consentire, negare il traffico in base alle proprie esigenze. Ma questo è a costo di risorse di sistema come indicato da Philipp in commento sopra.

2) Il router funziona su Network Layer e non dovrebbe assemblare i pacchetti frammentati (potrebbe essere inteso per i livelli superiori) e abbinarli alla firma del traffico dannoso. Non è pratico.

3) Esistono altri dispositivi come sistemi di prevenzione delle intrusioni, firewall di rete, firewall di applicazioni Web, ecc. in qualsiasi perimetro dell'organizzazione per filtrare tali traffici.

4) La cosa più importante, bloccare l'indirizzo IP non è una soluzione. Ricordo un incidente in cui alcuni gateway di pagamento bloccavano un indirizzo IP dal quale stava ricevendo traffico malevolo, che a sua volta bloccava un piccolo paese che stava usando quell'indirizzo IP pubblico a NAT intero traffico nazionale.

5) Non hai idea di quale quantità di traffici di backbone del traffico gestisca, dato che qualsiasi attaccante rimbalzerà il suo traffico attraverso molti proxy, mantenere tale ACL dinamico può essere un problema.

6) Supponiamo che un computer di 10.000 organizzazioni forti sia infetto e funzioni come potrebbe essere un BOT o generare traffico dannoso. Ciò potrebbe comportare il blocco dell'intera organizzazione da parte dell'ISP, poiché per lo più utilizzeranno il singolo indirizzo IP per instradare il loro traffico Internet.

Posso pensare a questi molti motivi per ora.

Due grandi risposte.

Un paio di altri punti:

1. Un utente malintenzionato potrebbe DOS qualsiasi organizzazione che utilizza indirizzi IP falsificati che corrispondono al traffico "illegale". Solo pochi pacchetti potrebbero far esplodere qualsiasi organizzazione da Internet anche se quell'org non ha fatto nulla di male.
2. Gli hacker modificheranno il comportamento effettuando la scansione nel tempo anziché in una sola volta. Molte scansioni lo fanno già. Guarda il tuo firewall lato WAN (stai loggando e bloccando tutto il traffico proveniente dall'esterno sul tuo sistema, giusto?). Troverai molte scansioni per le porte aperte che si verificano in piccole e poco frequenti raffiche.
3. Molti attacchi avvengono tramite errori o errori di configurazione del codice http sul livello dell'applicazione e non su Layer 2 o 3 in cui vengono riprodotti switch e router. Vai a controllare OWASP per gli attacchi più comuni.
4. La maggior parte degli attacchi ai siti Web non avviene tramite un singolo computer (Denial of Service o DOS). Sono DOS distribuiti. Può essere molto difficile distinguere la differenza tra un DDOS e un sito Web improvvisamente caldo. Quanto incazzato sarebbe una società che ha appena lanciato una campagna virale incredibile solo per avere il loro sito bloccato per la maggior parte di Internet a causa di un DDOS erroneamente diagnosticato. In effetti, continuando il commento 1 sopra, un utente malintenzionato potrebbe arruolare router backbone su DOS un sito Web prima impegnandosi in un DDOS, causando il blocco di Internet.

La cosa migliore è che gli ISP forniscano un gateway configurato correttamente (router + modem) correttamente per i clienti residenziali. La maggior parte non toccherà mai la configurazione. Quelli che molto probabilmente sanno cosa stanno facendo e interprete dell'attore in quel caso. Molti già lo fanno, e questo è molto importante per migliorare l'esperienza Internet di tutti.