- Seguridad, identidad y cumplimiento›
- AWS Shield›
- Protección contra ataques de denegación de servicio (DDoS)
¿Qué es un ataque DDOS?
Las técnicas de protección y mitigación utilizan el servicio de protección de ataques de denegación de servicio distribuidos (DDoS), Firewall de acceso web (WAF) y red de entrega de contenido (CDN)
¿Qué es un ataque de denegación de servicio (DDoS)?
Un ataque de denegación de servicio (DoS) es un intento malintencionado de afectar la disponibilidad de un sistema objetivo como, por ejemplo, un sitio web una aplicación, para legitimar a usuarios finales. Los atacantes suelen generar grandes volúmenes de paquetes o requerimientos para, finalmente, sobrecargar el sistema objetivo. En el caso de un ataque de denegación de servicio distribuidos (DDoS) el atacante utiliza múltiples fuentes de vulnerabilidad o fuentes controladas para generar el ataque.
En general, los ataques DDoS pueden ser segregados según la capa del modelo de interconexión de sistemas abiertos (OSI) que atacan. Son más comunes en las siguientes capas: red (capa 3), transporte (capa 4), presentación (capa 6) y aplicación (capa 7).
Modelo de interconexión de sistemas abiertos (OSI):
|
#
|
Layer
|
Application
|
Description
|
Vector Example
|
|---|---|---|---|---|
|
7
|
Aplicación
|
Datos
|
Procesamiento de red para la aplicación
|
Inundaciones HTTP, inundaciones de consultas DNS
|
|
6
|
Presentación
|
Datos
|
Representación de datos y cifrado
|
Abuso de SSL
|
|
5
|
Sesión
|
Datos
|
Comunicación entre hosts
|
N/D
|
|
4
|
Transporte
|
Segmentos
|
Conexiones integrales y confiabilidad
|
Inundaciones SYN
|
|
3
|
Red
|
Paquetes
|
Determinación de la ruta y direccionamiento lógico
|
Ataques de reflexión UDP
|
|
2
|
Enlace de datos
|
Marcos
|
Direccionamiento físico
|
N/D
|
|
1
|
Físico
|
Bits
|
Medios, señal y transmisión binaria
|
N/D
|
Clasificación de los ataques DDOS
Mientras se consideran las técnicas de mitigación contra estos ataques, es útil agruparlos en ataques a capas de infraestructura (Capas 3 y 4) y capas de aplicación (Capas 6 y 7).
Ataques a la capa de aplicación
Los ataques a las capas 6 y 7 se clasifican como ataques a las capas de aplicación. Mientras que estos ataques son menos comunes, tienden a ser más sofisticados. Estos ataques son, en general, más pequeños en volumen en comparación con los ataques a las capas de infraestructura pero tienden a focalizarse en partes especificas y costosas de la aplicación e impiden que esté disponible a los usuarios reales. Por ejemplo, una inundación de requerimientos de HTTP a una página de inicio de sesión o a una búsqueda costosa de una API o incluso inundaciones Wordpress XML-RPC (también conocidas como ataques pingback Wordpress).
Ataques a la capa de infraestructura
Los ataques a las capas 3 y 4, en general, están clasificados como ataques a las capas de infraestructura. Además, son los ataques DDoS más comunes e incluyen vectores como inundaciones sincronizadas (SYN) y otros ataques como inundaciones de paquetes de datagramas de usuario (UDP). Estos ataques, en general, tienen gran volumen y apuntan a sobrecargar la capacidad del servidor de la red o de la aplicación. Pero, afortunadamente, son un tipo de ataque que contiene firmas claras y son fáciles de detectar.
Técnicas de protección DDoS
Una de las primeras técnicas para mitigar los ataques DDoS es minimizar la superficie del área que puede ser atacada y por lo tanto, limitar las opciones de los atacantes lo que permite construir protecciones en un solo lugar. Queremos asegurarnos de no exponer nuestra aplicación o nuestros recursos a los puertos, protocolos o aplicaciones de donde no esperan ninguna comunicación. Por lo tanto, minimizar los posibles puntos de ataque nos permite concentrar nuestros esfuerzos para mitigarlos. En algunos casos, puede hacerlo colocando sus recursos de computación detrás de redes de distribución de contenido (CDN) o balanceadores de carga y restringiendo el tráfico directo de Internet a ciertas partes de su infraestructura, como los servidores de bases de datos. En otros casos, puede usar firewalls o listas de control de acceso (ACL) para controlar el tráfico que llega a sus aplicaciones.
Existen dos consideraciones claves para mitigar ataques DDoS volumétricos de gran escala, la capacidad del ancho de banda (o tránsito) y la capacidad del servidor de absorber y mitigar los ataques.
Capacidad de tránsito. Cuando diseñe sus aplicaciones, asegúrese que su proveedor de alojamiento le brinde conectividad a Internet amplia y redundante para administrar grandes volúmenes de tráfico. Dado que el objetivo final de los ataques DDoS es afectar la disponibilidad de sus recursos/aplicaciones, debe ubicarlos, no solo cerca de sus usuarios finales, sino también de los grandes intercambios de Internet que brindarán a sus usuarios un acceso fácil a su aplicación, incluso durante grandes volúmenes de tráfico. Además, las aplicaciones web pueden ir un paso más allá al emplear redes de distribución de contenido (CDN) y servicios inteligentes de resolución de DNS, que proporcionan una capa adicional de infraestructura de red para servir contenido y resolver consultas de DNS desde ubicaciones que suelen estar más cerca de los usuarios finales.
Capacidad del servidor. La mayoría de los ataques DDoS son ataques volumétricos que utilizan muchos recursos. Por lo tanto, es importante que pueda escalar rápidamente sus recursos de computación. Puede hacerlo ejecutándolo en recursos de computación más grandes o en aquellos con funciones como interfaces de red más extensas o redes mejoradas que admitan volúmenes más grandes. Además, también es común usar balanceadores de carga para monitorear y cambiar cargas continuamente entre recursos para evitar sobrecargar cualquier recurso.
Cada vez que detectamos niveles elevados de tráfico que golpean a un host, la base es poder aceptar solo el tráfico que nuestro host pueda manejar sin afectar la disponibilidad. Este concepto se llama limitación de velocidad. Las técnicas de protección más avanzadas pueden ir un paso más allá y solo aceptan de manera inteligente el tráfico que es legítimo cuando se analizan los paquetes individuales. Para hacer esto, debe comprender las características del buen tráfico que generalmente recibe el objetivo y poder comparar cada paquete con esta línea de base.
Una buena práctica es utilizar un firewall de aplicaciones web (WAF) contra los ataques, como la inyección de SQL o la falsificación de solicitudes entre sitios, que intentan aprovechar una vulnerabilidad de la propia aplicación. Además, debido a la naturaleza única de estos ataques, deberías poder crear fácilmente mitigaciones personalizadas contra las solicitudes ilegítimas que podrían tener características como disfrazarse de tráfico bueno o provenir de direcciones IP incorrectas, ubicaciones geográficas inesperadas, etc. A veces también puede ser útil para mitigar los ataques, ya que pueden obtener un soporte experimentado para estudiar los patrones de tráfico y crear protecciones personalizadas.
¿Listo para comenzar?
1
Regístrese para obtener una cuenta de AWS
La cuenta quedará en el nivel gratuito de AWS, con lo que podrá adquirir experiencia práctica y gratuita con la plataforma, los productos y los servicios de AWS.
2
Aprenda a preconfigurar plantillas y tutoriales paso a paso
Experimente y aprenda sobre la protección DDoS en AWS con tutoriales paso a paso .
3
Configure su protección DDoS en AWS
Todos los clientes de AWS se benefician de la protección automática de AWS Shield Standard sin cargo adicional.