Técnicas de mitigación y protección mediante un servicio administrado de protección frente a ataques de denegación del servicio distribuida (DDoS), Web Access Firewall (WAF) y Content Delivery Network (CDN)

Pruebe la protección frente a ataques DDoS
bnr_security_380x186

Un ataque de denegación de servicio (DoS) es un intento malicioso de afectar a la disponibilidad de un sistema seleccionado, por ejemplo, un sitio web o una aplicación, para los usuarios finales legítimos. Normalmente, los atacantes generan grandes volúmenes de paquetes o solicitudes que terminan por desbordar el sistema de destino. Si se produce un ataque de denegación del servicio distribuida (DDoS) y el atacante utiliza varios orígenes controlados o en riesgo para generar el ataque.

Por lo general, los ataques DDoS se pueden separar por la capa del modelo de interconexión de sistemas abiertos (OSI) a la que atacan. Los más comunes se dan en las capas de red (capa 3), transporte (capa 4), presentación (6) y aplicación (7).


N.º Capa Aplicación Descripción Ejemplo de vector
7 Aplicación Datos Proceso de red a aplicación Inundaciones de HTTP, inundaciones de consultas DNS
6 Presentación Datos Cifrado y representación de datos Abuso de SSL
5 Sesión Datos Comunicación entre hosts N/D
4 Transporte Segmentos Conexiones y fiabilidad de extremo a extremo Inundaciones de SYN
3 Red Paquetes Determinación de la ruta y direccionamiento lógico Ataques de reflexión UDP
2 Enlaces de datos Marcos Direccionamiento físico N/D
1 Físico Bits Transmisión multimedia, de señales y binaria N/D

A la hora de pensar en las técnicas de mitigación frente a estos ataques, es útil agruparlos en ataques en la capa de infraestructura (capas 3 y 4) y ataques en la capa de aplicación (capas 6 y 7).

Ataques en la capa de infraestructura

Los ataques en las capas 3 y 4 suelen clasificarse como ataques de la capa de infraestructura. Son también el tipo de ataques DDoS más habitual e incluye vectores como inundaciones sincronizadas (SYN) y otros ataques de reflexión tales como las inundaciones de paquetes de datagramas de usuario (UDP). Estos ataques suelen ser de gran volumen y su objetivo es sobrecargar la capacidad de la red o los servidores de la aplicación. Sin embargo, afortunadamente también es el tipo de ataques que tiene una firma clara y es más fácil de detectar.

Ataques en la capa de aplicación

Los ataques en las capas 6 y 7 suelen clasificarse como ataques de la capa de aplicación. Aunque estos ataques son menos frecuentes, que también suelen ser más sofisticados. Estos ataques suelen ser de un volumen menos en comparación con los ataques de la capa de infraestructura, pero tienden a centrarse en determinadas partes costosas de la aplicación y la dejan inaccesible para los usuarios reales. Por ejemplo, una inundación de solicitudes HTTP a una página de inicio de sesión, o a una costosa API de búsqueda, o incluso inundaciones XML-RPC de Wordpress (también conocidos como ataques de pingback de Wordpress).

Reducir la superficie de ataque

Una de las primeras técnicas para mitigar los ataques DDoS es minimizar la superficie que puede ser atacada para limitar las opciones para los atacantes y poder tomar medidas de protección en un solo lugar. Queremos asegurarnos de no exponer nuestra aplicación o recursos a puertos, protocolos o aplicaciones desde las cuales no esperamos ninguna comunicación. Eso nos permite minimizar los posibles puntos de ataque y centrar nuestros esfuerzos de mitigación. En algunos casos, se puede hacer poniendo los recursos informáticos detrás de redes de distribución de contenido (CDN) o equilibradores de carga, y restringiendo el tráfico de Internet directo a determinadas partes de la infraestructura, por ejemplo, los servidores de base de datos. En otros casos, puede utilizar firewalls o listas de control de acceso (ACL) para controlar qué tráfico llega a las aplicaciones.

Planificar el escalado

Las dos consideraciones más importantes para mitigar los ataques DDoS volumétricos a gran escala son la capacidad del ancho de banda (o tránsito) y la capacidad del servidor para absorber y mitigar los ataques.

Capacidad de tránsito. A la hora de diseñar sus aplicaciones, asegúrese de que su proveedor de hospedaje proporciona una amplia conectividad de Internet redundante que le permita administrar grandes volúmenes de tráfico. Como el objetivo último de los ataques DDoS es afectar a la disponibilidad de los recursos y las aplicaciones, debe situarlas no solo cerca de sus usuarios finales sino también de grandes puntos de intercambio de Internet; esto dará a los usuarios un fácil acceso a la aplicación incluso durante grandes volúmenes de tráfico. Además, las aplicaciones web pueden ir más allá y utilizar redes de distribución de contenido (CDN) y servicios inteligentes de resolución de DNS que proporcionen una capa adicional de infraestructura de red para servidor el contenido y resolver las consultas DNS desde ubicaciones que, a menudo, están más cerca de sus usuarios finales.

Capacidad de servidores. Como la mayoría de los ataques DDoS son ataques volumétricos que utilizan una gran cantidad de recursos, es importante poder ampliar o reducir los recursos informáticos. Para ello, puede ejecutar recursos informáticos de mayor tamaño o con características tales como funciones de red más amplias o redes mejoradas que admitan volúmenes más grandes. Además, también es habitual utilizar equilibradores de carga para monitorizar constantemente y trasladar las cargas de un recurso a otro con el fin de evitar sobrecargar un recurso.

Saber lo que es el tráfico normal y anormal

Siempre que detectemos niveles de tráfico elevados que llegan a un host, el principio básico es aceptar solo la cantidad de tráfico que nuestro host pueda administrar sin afectar a la disponibilidad. Este concepto se denomina límite de tasa. Las técnicas de protección más avanzadas pueden ir más allá y aceptar solo el tráfico que sea legítimo tras analizar los paquetes individuales. Para ello, necesita conocer las características del tráfico correcto que el destino suele recibir y poder comparar cada uno de los paquetes con el valor de referencia.

Implementar firewalls para ataques de aplicaciones sofisticados

Una buena práctica es utilizar Web Application Firewall (WAF) frente a ataques del tipo inyección de código SQL o falsificación de solicitudes entre sitios, que intenten aprovechar una vulnerabilidad en la aplicación. Además, debido a la naturaleza de estos ataques, debe poder crear fácilmente medidas personalizadas contra las solicitudes ilegítimas que pudieran tener llegar disfrazadas de tráfico correcto o que procedan de direcciones IP incorrectas, áreas geográficas inesperadas, etc. Para mitigar los ataques en el momento en que suceden, a veces también puede resultar útil obtener ayuda especializada para estudiar los patrones de tráfico y crear medidas de protección personalizadas.

Inscribirse

Su cuenta se encontrará dentro de la capa gratuita de AWS, que le permite obtener experiencia práctica gratuita con la plataforma, los productos y los servicios de AWS.

Aprender

Experimente y obtenga más información sobre la protección frente a ataques DDoS en AWS con los tutoriales paso a paso.

Crear

Todos los clientes de AWS se benefician de la protección automática de AWS Shield Standard sin cargo adicional.

Probar AWS Shield