Qué tipos de ataques DDoS en sitios web existen y qué política configurar

volumétrico

Los ataques volumétricos son aquellos que tienen como objetivo saturar por completo el ancho de banda disponible de un objetivo específico. Estos tipos de ataques también se conocen como ataques basados ​​en volumen porque envían cientos de GB por segundo a través de una botnet que compraron. De esta forma, al saturar el ancho de banda que va al servidor, los usuarios legítimos que quieran acceder al servicio no podrán hacerlo, provocando una denegación de servicio.

Algunos de los ataques volumétricos más comunes son:

  • Aumento de DNS: Consiste en aprovechar el protocolo DNS, falsificando la IP del objetivo para enviar un gran número de solicitudes y haciendo que los servidores DNS respondan a las mismas.
  • inundación ICMP: Este protocolo se puede utilizar para inundar el ancho de banda disponible de nuestro objetivo.
  • inundación UDP: En este caso, se utiliza el protocolo UDP para intentar saturar el ancho de banda de un objetivo, con el fin de saturar los puertos del servidor. Este ataque es el más poderoso porque puede saturar los servicios que tienen un gran ancho de banda.

Como puede ver, los ataques volumétricos tienen como objetivo saturar completamente el ancho de banda disponible del servidor.

ataques de protocolo

El objetivo de este ataque es agotar todos los recursos del servidor atacado, intentando colapsar el propio servidor creando cientos de solicitudes falsas por segundo, colapsar el servidor web e incluso bloquear el propio sistema operativo debido a este tráfico inusualmente alto. El ataque a protocolos más popular y ampliamente utilizado es la inundación TCP SYN en una computadora específica. Debemos tener en cuenta que el protocolo TCP es un protocolo conectivo, confiable y orientado a la conexión, por lo que antes de comenzar a enviar datos reales, es necesario realizar un handshake con el servidor, para que luego todos los datos fluyan correctamente sin pérdida de paquetes. . A continuación, te explicamos en qué consiste el ataque TCP SYN:

  • Un atacante envía un segmento TCP con la bandera SYN al servidor, en este segmento no será nuestra dirección IP de origen real, sino una dirección falsificada.
  • El servidor intentará establecer el protocolo de enlace de tres vías, enviando un SYN-ACK al cliente conectado, sin embargo, nunca sucederá porque ha falsificado su IP de origen.
  • El servidor tendrá que esperar un tiempo antes de cerrar la conexión que se abrió.

Diagrama de apretón de manos de 3 vías

Si un atacante envía 10 segmentos TCP SYN, el servidor podrá manejarlo correctamente y sin problemas, pero cuando el atacante envía millones de segmentos TCP SYN, podría bloquearse fácilmente. Sin embargo, en las últimas versiones de los sistemas operativos ya existen medidas de mitigación para este ataque. Además, también podríamos incorporar un SYNPROXY para manejar de manera más efectiva este tipo de ataque.

Ataques a la capa de aplicación

Este tipo de ataques tienen como objetivo provocar la caída completa del servidor web, ya sea Apache2 o Nginx, que son los dos más populares. Esto se hace mediante el envío de solicitudes HTTP que parecen legítimas, pero que en realidad no lo son. Estos ataques también se conocen como ataques DDoS de Capa 7 (aplicación). Además, existen principalmente dos tipos de ataques:

  • Inundación HTTP: Consiste en enviar miles de peticiones HTTP desde diferentes IPs de origen, con el objetivo de saturar por completo el servidor web y provocar que deje de funcionar.
  • débil y lento: este ataque consiste en enviar un pequeño flujo de tráfico HTTP, sin usar demasiado ancho de banda, el objetivo es saturar gradualmente el servidor web con el fin de colapsar y negar el servicio a los usuarios reales.

Ahora que ya conoces los diferentes ataques DDoS que existen, te hacemos la pregunta: ¿merece la pena activar siempre medidas de seguridad anti-DDoS? ¿Sería mejor activarlos solo en caso de un ataque real? Hoy en día, todos los servicios de alojamiento y también los CDN nos permiten habilitar medidas de mitigación de ataques DDoS. Un ataque DDoS se puede mitigar en mayor o menor medida, pero nunca se puede evitar porque no está en nuestro poder detener este ataque, esto es lo primero que debemos tener en cuenta. Aclarado esto, debemos pensar si activar el sistema anti-DDoS bajo demanda o dejarlo siempre activo para que nos proteja ante posibles nuevos ataques, sin embargo, cada política tiene sus puntos fuertes y también sus puntos débiles.

Anti-DDoS bajo demanda

Un sistema anti-DDoS bajo demanda consiste en un servicio que podemos activar o desactivar en cualquier momento. En caso de que nuestro host o CDN detecte un ataque DDoS en nuestro sitio web, aplicación o servicio en línea, nos lo notificará de inmediato para decidir qué acción tomar. Generalmente las medidas a tomar son:

  • Analizar el tipo de ataque DDoS contra nosotros.
  • Habilitar mitigaciones destinadas específicamente a detener este ataque que están realizando contra nosotros.

Cuando habilitamos las mitigaciones de DDoS, el tráfico legítimo también puede verse afectado, es decir, es posible que algunos clientes no puedan acceder a nuestro sitio web, ya que en muchos casos es difícil diferenciar entre el tráfico malicioso y el tráfico legítimo. Dependiendo de las políticas que se utilicen en el firewall, es posible que estos problemas no se produzcan o se produzcan en menor medida, o que cientos de clientes se vean afectados por estas mitigaciones si el ataque DDoS es más agresivo, por lo que debemos tenerlo muy en cuenta.

Los puntos fuertes de usar este sistema bajo demanda son que solo lo usaremos mientras dure el ataque, y una vez que termine podemos desactivarlo sin problema y nuestro sitio web seguirá funcionando correctamente. El aspecto negativo de usar este método es que el sitio web puede ser desechado hasta que activemos las mitigaciones en el hosting o CDN, además, siempre debe estar alguien del equipo técnico para asegurarse de que todo funcione sin problemas y monitorear constantemente el tráfico de nuestro sitio web. .

Ataques DDoS de mayor duración

Mitigación de ataques siempre activa

Un sistema de mitigación de ataques de denegación de servicio distribuido permanentemente significa que la mitigación contra estos ataques siempre está operativa. Algunos alojamientos y también CDNs nos permiten activar de forma permanente esta protección, para contrarrestar cualquier posible ataque que puedan realizar sobre nosotros. Aunque pueda parecer que activar siempre este sistema es perfecto ya que seremos inmunes a diferentes ataques, lo cierto es que no es tan bueno como parece.

Cuando habilitamos regularmente las mitigaciones de ataques DDoS, debemos considerar todos los tipos de ataques y crear reglas para mitigarlos todos simultáneamente. Otro aspecto muy importante es que el tráfico legítimo de nuestros clientes podría verse afectado, impidiendo el acceso a nuestro sitio web a cientos de usuarios, por lo que nosotros mismos podríamos rechazar el servicio. Esto es algo que debemos tener en cuenta al habilitar la mitigación de forma permanente o casi permanente, ya que se podría bloquear una gran cantidad de tráfico no malicioso.

Lo positivo de tenerlo siempre activado es que no tenemos que preocuparnos demasiado por este tipo de ataques, ya que la mayoría de ellos estarán suficientemente mitigados, sin embargo, debemos tener en cuenta las reglas que hemos aplicado para completar esta mitigación. , ya que es posible que no haya “cubierto” todos los posibles ataques.

conclusión

Mitigar los ataques a pedido o permanentes tiene sus fortalezas y debilidades. Como regla general, siempre se utiliza la mitigación a pedido para evitar que también se bloquee el tráfico legítimo de nuestros clientes. Esto se puede hacer fácil y rápidamente a través de nuestro panel de administración de alojamiento, o si usa servicios de CDN como Cloudflare, podemos habilitarlo directamente desde el menú principal de administración.

En el caso de Cloudflare, podemos habilitar diferentes mitigaciones dependiendo del tipo de ataque, por ejemplo, solo podemos habilitar mitigaciones de Capa 7, esto nos protegerá contra ataques dirigidos a nuestros sitios Web con HTTP y HTTPS. También podremos activar medidas de mitigación de capa de transporte y red, por ejemplo, esto nos permitirá proteger servicios FTP, SSH e incluso VoIP o juegos online, con el objetivo de añadir una capa adicional de seguridad a estos servicios.

Finalmente, también se podrían establecer reglas para que las medidas de mitigación se activen automáticamente en caso de un ataque, y cuando este cese, entonces desactivar las medidas de seguridad para no interferir con el tráfico legítimo.

Leave a Comment