Anti-DDoS >


Análisis de un ataque DDoS




Análisis del tráfico y detección de los ataques



Detección del ataque



Para detectar el ataque, utilizamos el netflow enviado por los routers y analizado por los sistemas Arbor PeakFlow. Cada router envía un resumen de 1/2000 del tráfico que realmente pasa por él. Arbor PeakFlow analiza ese resumen y lo compara con las firmas de los ataques. Si la comparación es positiva, se activa la mitigación en pocos segundos.

Las firmas analizadas se basan en los umbrales de tráfico en "paquetes por segundo" (pps, Kpps, Mpps, Gpps) o "bytes por segundo" (bps, Kbps, Mbps, Gbps) en un determinado tipo de paquetes, tales como:


  • DNS
  • ICMP
  • IP Fragment
  • IP NULL
  • IP Private
  • TCP NULL
  • TCP RST
  • TCP SYN
  • UDP
  • Tráfico total

Debido a que es necesario alcanzar unos umbrales determinados y a que se analiza 1/2000 del tráfico real, la activación de la mitigación puede tardar entre 15 y 120 segundos.