Protección DDOS (DDOS Protection)

Un ataque DDoS consiste en realizar un ataque simultáneamente desde muchos lugares al mismo tiempo (desde muchos equipos). Este ataque se lleva a cabo principalmente desde computadoras sobre las que se ha tomado el control, utilizando software especial.
Para el artículo completo en DDOS Protection ...

Mostrar filtro
Filtros de alojamiento
Host Me Host Filter

Sistema operativo

Espacio del disco

Memoria RAM

Tipo de disco

Núcleos de CPU

Ordenar


 

ddos

 

 

Los ataques DDoS (denominados denegación de servicio distribuida, en traducción libre: una denegación de servicio distribuida) se encuentran entre los ataques de piratas informáticos más comunes, que están dirigidos a sistemas informáticos o servicios de red y están diseñados para ocupar todos los recursos disponibles y gratuitos con el fin de impedir el funcionamiento de todo el servicio en Internet (por ejemplo, su sitio web y correo electrónico alojado).

 

¿Qué es un ataque DDoS?

 

Un ataque DDoS consiste en realizar un ataque simultáneamente desde muchos lugares al mismo tiempo (desde muchos equipos). Este ataque se lleva a cabo principalmente desde equipos sobre los que se ha tomado el control, utilizando software especial (por ejemplo, bots y troyanos). Esto significa que es posible que los propietarios de estas computadoras ni siquiera sepan que su computadora, computadora portátil u otro dispositivo conectado a la red puede usarse, sin su conocimiento, para realizar un ataque DDoS.

 

Un ataque DDoS comienza cuando todas las computadoras comprometidas comienzan a atacar el sistema o el servicio web de la víctima simultáneamente. El objetivo de un ataque DDoS se ve inundado de intentos falsos de utilizar los servicios (por ejemplo, pueden ser intentos de llamar a un sitio web u otras solicitudes).

 

¿Por qué un ataque DDoS provoca interrupciones en el servicio?

 

Cada intento de utilizar el servicio (p. Ej., Un intento de llamar a un sitio web) requiere que la computadora atacada asigne los recursos adecuados para atender esta solicitud (p. Ej., Procesador, memoria, ancho de banda de la red), que, con una gran cantidad de solicitudes de este tipo, conduce a el agotamiento de los recursos disponibles y, como resultado, la interrupción del funcionamiento o incluso la suspensión del sistema atacado.

 

 

ddos

 

 

¿Cómo protegerse de los ataques DDoS?

 

Los ataques DDoS son actualmente la amenaza más probable para las empresas que operan en la red y sus consecuencias se extienden más allá del área de TI, pero también causan pérdidas financieras y de imagen reales y mensurables. Los ataques de este tipo están en constante evolución y son cada vez más precisos. Su propósito es consumir todos los recursos disponibles de la infraestructura de red o conexión a Internet.

 

Puede encontrar ofertas de protección contra ataques DDoS en Internet. La mayoría de las veces, la activación de dicha protección contra ataques DDoS se realiza cambiando los registros DNS, que dirigirán todo el tráfico HTTP / HTTPS a través de la capa de filtrado, en la que se realiza una inspección detallada de cada paquete y consulta.

 

Luego, los algoritmos avanzados, así como las reglas correctamente definidas, filtran los paquetes erróneos y los intentos de ataque, por lo que solo el tráfico puro llega a su servidor. Las empresas que se protegen contra ataques DDoS tienen ubicaciones en diferentes partes del mundo, gracias a las cuales pueden bloquear de manera efectiva los ataques en la fuente, así como también entregar datos estáticos desde el centro de datos más cercano, reduciendo así el tiempo de carga de la página.

 

Ataque DDoS y chantaje es un crimen

 

La amenaza de un ataque DDoS a veces se utiliza para chantajear a las empresas, p. Ej. sitios de subastas, casas de bolsa y similares, donde la interrupción del sistema transaccional se traduce en pérdidas financieras directas para la empresa y sus clientes. En tales casos, las personas detrás del ataque exigen un rescate para cancelar o detener el ataque. Tal chantaje es un crimen.

 

 

What-is-a-DDoS-attack

 

 

Cómo protegerse de los ataques DoS / DDoS

 

En términos simples, los ataques DoS son una forma de actividad maliciosa que tiene como objetivo llevar un sistema informático al punto en el que no pueda atender a los usuarios legítimos o realizar sus funciones previstas correctamente. Los errores en el software (software) o la carga excesiva en el canal de la red o el sistema en su conjunto generalmente conducen a una condición de "denegación de servicio". Como resultado, el software, o todo el sistema operativo de la máquina, "falla" o se encuentra en un estado de "bucle". Y esto amenaza con tiempo de inactividad, pérdida de visitantes / clientes y pérdidas.

 

Anatomía de un ataque DoS

 

Los ataques DoS se clasifican en locales y remotos. Los exploits locales incluyen varios exploits, fork bombs y programas que abren un millón de archivos cada vez o ejecutan un algoritmo circular que consume memoria y recursos del procesador. No nos detendremos en todo esto. Echemos un vistazo más de cerca a los ataques DoS remotos. Se dividen en dos tipos:


  1. Explotación remota de errores de software para dejarlo inoperativo.


  1. Inundación: enviar una gran cantidad de paquetes sin sentido (menos a menudo significativos) a la dirección de la víctima. El objetivo de la inundación puede ser un canal de comunicación o recursos de la máquina. En el primer caso, el flujo de paquetes ocupa todo el ancho de banda y no le da a la máquina atacada la capacidad de procesar solicitudes legítimas. En el segundo, los recursos de la máquina son capturados por llamadas repetidas y muy frecuentes a cualquier servicio que realice una operación compleja y que consume muchos recursos. Esto puede ser, por ejemplo, una llamada larga a uno de los componentes activos (script) del servidor web. El servidor gasta todos los recursos de la máquina en procesar las solicitudes del atacante y los usuarios tienen que esperar.

 

En la versión tradicional (un atacante, una víctima), ahora solo el primer tipo de ataque es efectivo. La inundación clásica es inútil. Solo porque con el ancho de banda actual de los servidores, el nivel de potencia informática y el uso generalizado de varias técnicas anti-DoS en el software (por ejemplo, retrasos cuando el mismo cliente realiza repetidamente las mismas acciones), el atacante se convierte en un mosquito molesto que es no pudo infligir nada ni hubo ningún daño.

 

Pero si hay cientos, miles o incluso cientos de miles de estos mosquitos, pueden poner fácilmente el servidor sobre sus hombros. La multitud es una fuerza terrible no solo en la vida, sino también en el mundo de la informática. Un ataque distribuido de denegación de servicio (DDoS), que suele llevarse a cabo utilizando muchos hosts zombificados, puede aislar incluso al servidor más difícil del mundo exterior.

 

Métodos de control

 

El peligro de la mayoría de los ataques DDoS radica en su absoluta transparencia y "normalidad". Después de todo, si un error de software siempre se puede corregir, entonces el consumo completo de recursos es una ocurrencia casi común. Muchos administradores se enfrentan a ellos cuando los recursos de la máquina (ancho de banda) se vuelven insuficientes o el sitio web sufre un efecto Slashdot (twitter.com dejó de estar disponible minutos después de la primera noticia de la muerte de Michael Jackson). Y si corta el tráfico y los recursos para todos seguidos, se salvará de DDoS, pero perderá la mitad de sus clientes.

 

 

What-is-a-DDoS-attack

 

 

Prácticamente no hay forma de salir de esta situación, pero las consecuencias de los ataques DDoS y su efectividad se pueden reducir significativamente configurando adecuadamente el enrutador, el firewall y el análisis constante de anomalías en el tráfico de la red. En la siguiente parte del artículo, veremos:


  • formas de reconocer un ataque DDoS incipiente;

  • métodos para hacer frente a tipos específicos de ataques DDoS;

  • consejos generales para ayudarlo a prepararse para un ataque DoS y reducir su efectividad.

 

Al final, se dará la respuesta a la pregunta: qué hacer cuando comenzó el ataque DDoS.

 

Lucha contra los ataques de inundaciones

 

Entonces, hay dos tipos de ataques DoS / DDoS, y el más común de ellos se basa en la idea de flooding, es decir, inundar a la víctima con una gran cantidad de paquetes. Flood es diferente: inundación ICMP, inundación SYN, inundación UDP e inundación HTTP. Los bots modernos de DoS pueden usar todos estos tipos de ataques simultáneamente, por lo que debes tener una protección adecuada contra cada uno de ellos con anticipación. Un ejemplo de cómo defenderse de los ataques más habituales.

 

Inundación HTTP

 

Uno de los métodos de inundación más extendidos en la actualidad. Se basa en el envío interminable de mensajes HTTP GET en el puerto 80 para cargar el servidor web para que no pueda procesar todas las demás solicitudes. A menudo, el objetivo de la inundación no es la raíz del servidor web, sino uno de los scripts que realizan tareas que consumen muchos recursos o trabajan con la base de datos. En cualquier caso, un crecimiento anormalmente rápido de los registros del servidor web servirá como indicador de un ataque que ha comenzado.

 

Los métodos para lidiar con la inundación HTTP incluyen ajustar el servidor web y la base de datos para mitigar el impacto de un ataque, así como filtrar los bots DoS utilizando varias técnicas. Primero, debe aumentar el número máximo de conexiones a la base de datos al mismo tiempo. En segundo lugar, instale nginx ligero y eficiente frente al servidor web Apache: almacenará en caché las solicitudes y servirá estática. Esta es una solución imprescindible que no solo reducirá el efecto de los ataques DoS, sino que también permitirá que el servidor soporte cargas enormes.

 

Si es necesario, puede utilizar el módulo nginx, que limita el número de conexiones simultáneas desde una dirección. Los scripts que consumen muchos recursos pueden protegerse de los bots mediante retrasos, botones "Haga clic en mí", configuración de cookies y otros trucos destinados a comprobar la "humanidad".

 

Consejos universales

 

Para no entrar en una situación desesperada durante el colapso de una tormenta DDoS en los sistemas, debe prepararlos cuidadosamente para tal situación:


  • Todos los servidores con acceso directo a la red externa deben estar preparados para un reinicio remoto rápido y fácil. Una gran ventaja será la presencia de una segunda interfaz de red administrativa a través de la cual puede acceder al servidor en caso de obstrucción del canal principal.


  • El software utilizado en el servidor debe estar siempre actualizado. Se reparan todos los agujeros, se instalan actualizaciones (tan simple como un arranque, un consejo que muchos no siguen). Esto lo protegerá de los ataques DoS que explotan errores en los servicios.


  • Todos los servicios de red de escucha destinados a uso administrativo deben estar ocultos por el firewall de cualquier persona que no deba tener acceso a ellos. Entonces, el atacante no podrá usarlos para ataques DoS o ataques de fuerza bruta.


  • En los accesos al servidor (el enrutador más cercano), se debe instalar un sistema de análisis de tráfico, que permitirá conocer oportunamente un ataque en curso y tomar medidas oportunas para prevenirlo.

 

Cabe señalar que todas las técnicas están destinadas a reducir la eficacia de los ataques DDoS, que tienen como objetivo agotar los recursos de la máquina. Es casi imposible defenderse de una inundación que obstruye el canal con escombros, y la única forma correcta, pero no siempre factible de luchar, es "privar de sentido al ataque". Si tiene un canal realmente amplio a su disposición que permitirá fácilmente el tráfico desde una pequeña botnet, considere que su servidor está protegido del 90% de los ataques.

 

Hay una defensa más sofisticada. Se basa en la organización de una red informática distribuida, que incluye muchos servidores redundantes que están conectados a diferentes backbones. Cuando se agota la potencia de cálculo o el ancho de banda del canal, todos los nuevos clientes son redirigidos a otro servidor o gradualmente. "

 

Otra solución más o menos eficaz es comprar sistemas hardware. Trabajando en conjunto, pueden suprimir un ataque incipiente, pero como la mayoría de las otras soluciones basadas en el aprendizaje y el análisis de estado, fallan.

 

Parece haber comenzado. ¿Qué hacer?

 

Antes del inicio inmediato del ataque, los bots "se calientan", aumentando gradualmente el flujo de paquetes hacia la máquina atacada. Es importante aprovechar el momento y empezar a actuar. El monitoreo constante del enrutador conectado a la red externa ayudará en esto. En el servidor de la víctima, puede determinar el comienzo del ataque mediante los medios disponibles.