La lucha contra los ataques de denegación de servicio es tan antigua como Internet. Sin embargo, los atacantes modernos tienen un poder de ataque mucho mayor debido a las redes de robots. Los ataques de denegación de servicio que desencadenan ponen a sus pies, con su enorme flujo de datos, incluso a los sistemas más seguros. Por lo tanto, cada vez se utilizan más los servicios de grandes proveedores de seguridad globales basados en la nube.
La idea es que el flujo de datos DDoS entrante se distribuya a muchos sistemas individuales. De este modo, la carga total del ataque se dispersa y disminuye la carga pico que afecta a cada uno de los sistemas. Por eso, la red puede llegar a soportar ataques graves.
A nivel de red, se ha consolidado la tecnología Anycast, además del método de filtración de paquetes. Las peticiones a los sistemas conectados a través de Anycast se dirigen automáticamente a un servidor más cercano geográficamente. De este modo, cuando el ataque de denegación de servicio es de magnitud global, se le quita hierro a nivel local. Las redes Anycast como Cloudflare convencen por su elegancia y resistencia.
El blog Cloudflare proporciona una visión muy interesante sobre el progreso actual en la lucha contra los ataques SYN flood. Además de la estrategia de mitigación basada en bots, parece que las firmas de paquetes SYN tienen un futuro prometedor. Este sistema consiste en generar huellas dactilares legibles de los paquetes SYN entrantes. A partir de la huella dactilar, se pueden sacar algunas conclusiones sobre el sistema operativo del ordenador que envió originalmente el paquete SYN. Durante un ataque SYN flood, cuando se realiza el análisis de las huellas dactilares, se filtran los paquetes enviados que no cumplen el patrón.