Las técnicas de protección y mitigación utilizan el servicio de protección de ataques de denegación de servicio distribuidos (DDoS), Firewall de acceso web (WAF) y red de entrega de contenido (CDN)

Un ataque de denegación de servicio (Dos) es un intento malintencionado de afectar la disponibilidad del sistema atacado, como por ejemplo, un sitio web una aplicación, para legitimar a usuarios finales. Los atacantes suelen generar grandes volúmenes de paquetes o requerimientos para, finalmente, sobrecargar el sistema objetivo. En el caso de un ataque de denegación de servicio distribuidos (DDoS) el atacante utiliza múltiples fuentes de vulnerabilidad o fuentes controladas para generar el ataque.

En general, los ataques DDoS pueden ser segregados según la capa del modelo de interconexión de sistemas abiertos (OSI) que atacan. Son más comunes en las siguientes capas: red (capa 3), transporte (capa 4), presentación (capa 6) y aplicación (capa 7).


# Capa Aplicación Descripción Ejemplo de vector
7 Aplicación Datos Procesamiento de red para la aplicación Inundaciones HTTP, inundaciones de consultas DNS
6 Presentación Datos Representación de datos y cifrado Abuso de SSL
5 Sesión Datos Comunicación entre hosts N/D
4 Transporte Segmentos Conexiones integrales y confiabilidad Inundaciones SYN
3 Red Paquetes Determinación de la ruta y direccionamiento lógico Ataques de reflexión UDP
2 Enlace de datos Marcos Direccionamiento físico N/D
1 Físico Bits Medios, señal y transmisión binaria N/D

Mientras se consideran las técnicas de mitigación contra estos ataques, es útil agruparlos en ataques a capas de infraestructura (Capas 3 y 4) y capas de aplicación (Capas 6 y 7).

Ataques a la capa de infraestructura

Los ataques a las capas 3 y 4, en general, están clasificados como ataques a las capas de infraestructura. Además, son los ataques DDoS más comunes e incluyen vectores como inundaciones sincronizadas (SYN) y otros ataques como inundaciones de paquetes de datagramas de usuario (UDP). Estos ataques, en general, tienen gran volumen y apuntan a sobrecargar la capacidad del servidor de la red o de la aplicación. Pero, afortunadamente, son un tipo de ataque que contiene firmas claras y son fáciles de detectar.

Ataques a la capa de aplicación

Los ataques a las capas 6 y 7 se clasifican como ataques a las capas de aplicación. Mientras que estos ataques son menos comunes, tienden a ser más sofisticados. Estos ataques son, en general, más pequeños en volumen en comparación con los ataques a las capas de infraestructura pero tienden a focalizarse en partes especificas y costosas de la aplicación e impiden que esté disponible a los usuarios reales. Por ejemplo, una inundación de requerimientos de HTTP a una página de inicio de sesión o a una búsqueda costosa de una API o incluso inundaciones Wordpress XML-RPC (también conocidas como ataques pingback Wordpress).

Reduzca la superficie expuesta a ataques

Una de las primeras técnicas para mitigar los ataques DDoS es minimizar la superficie del área que puede ser atacada y por lo tanto, limitar las opciones de los atacantes lo que permite construir protecciones en un solo lugar. Queremos asegurarnos de no exponer nuestra aplicación o nuestros recursos a los puertos, protocolos o aplicaciones de donde no esperan ninguna comunicación. Por lo tanto, minimizar los posibles puntos de ataque nos permite concentrar nuestros esfuerzos para mitigarlos. En algunos casos, podemos hacerlo si colocamos nuestros recursos informáticos por detrás de lasRedes de distribución de contenido (CDNs) o Balanceadores de carga y restringir el tráfico directo de Internet a ciertas partes de nuestra infraestructura, como los servidores de bases de datos. En otros casos, puede utilizar firewalls o listas de control de acceso (ACLs) para controlar qué tráfico llega a las aplicaciones.

Plan para escalado

Existen dos consideraciones claves para mitigar ataques DDoS volumétricos de gran escala, la capacidad del ancho de banda (o tránsito) y la capacidad del servidor de absorber y mitigar los ataques.

Capacidad de tránsito. Cuando diseñe sus aplicaciones, asegúrese que su proveedor de alojamiento le brinde conectividad a Internet amplia y redundante para administrar grandes volúmenes de tráfico. Dado que el objetivo final de los ataques DDoS es afectar la disponibilidad de sus recursos/aplicaciones, debe ubicarlos, no solo cerca de sus usuarios finales, sino también de los grandes intercambios de Internet que brindarán a sus usuarios un acceso fácil a su aplicación, incluso durante grandes volúmenes de tráfico. Además, las aplicaciones web pueden ir un paso más allá si emplean redes de distribución de contenido (CDN) y servicios inteligentes de resolución de DNS que proporcionan una capa adicional de infraestructura de red para servir contenido y resolver consultas DNS desde ubicaciones que a menudo están más cerca de sus usuarios finales.

Capacidad del servidor. La mayoría de los ataques DDoS son ataques volumétricos que utilizan muchos recursos. Por lo tanto, es importante que pueda escalar rápidamente sus recursos de computación. Puede hacerlo con la ejecución de recursos informáticos más grandes o aquellos con características como interfaces de red más extensas o redes mejoradas que admitan volúmenes más grandes. Además, también es común usar balanceadores de carga para monitorear y cambiar cargas continuamente entre recursos para evitar sobrecargar cualquier recurso.

Conozca qué es el tráfico normal y anormal

Cada vez que detectamos niveles elevados de tráfico que golpean a un host, la base es poder aceptar solo el tráfico que nuestro host pueda manejar sin afectar la disponibilidad. Este concepto se llama limitación de velocidad. Las técnicas de protección más avanzadas pueden ir un paso más allá y solo aceptan de manera inteligente el tráfico que es legítimo cuando se analizan los paquetes individuales. Para hacer esto, debe comprender las características del buen tráfico que generalmente recibe el objetivo y poder comparar cada paquete con esta línea de base.

Implemente firewalls para ataques sofisticados de aplicaciones

Una buena práctica es utilizar un Firewall de aplicaciones web (WAF) contra ataques, como la inyección SQL o la falsificación de solicitudes entre sitios, que intentan aprovechar una vulnerabilidad en su propia aplicación. Además, debido a la naturaleza única de estos ataques, debería poder crear fácilmente mitigaciones personalizadas contra solicitudes ilegítimas que podrían tener características como disfrazarse de buen tráfico o provenir de direcciones IP incorrectas, geografías inesperadas, etc. A veces también puede ser útil para mitigar los ataques, ya que pueden obtener un soporte experimentado para estudiar los patrones de tráfico y crear protecciones personalizadas.

Regístrese

Su cuenta se encontrará dentro de la capa gratuita de AWS, que le permite obtener experiencia práctica gratuita con la plataforma, los productos y los servicios de AWS.

Aprender

Experimente y aprenda sobre la protección DDoS en AWS con tutoriales paso a paso .

Crear

Todos los clientes de AWS se benefician de la protección automática de AWS Shield Standard sin cargo adicional.