Tips para proteger tu empresa de un ataque DDoS

En la actualidad los ataques de denegación de servicios (DDoS, por sus siglas en inglés), son un verdadero problema para todo tipo de sectores y de empresas que estén expuestos a la red pública de Internet.

En otros post hemos hablado sobre este tipo de ataques, sin embargo vamos a repasar un poco sobre el término DDoS:

¿Qué son los ataques DDoS?

Los ataques de Denegación Distribuida de Servicios (DDoS, por sus siglas en inglés) se presentan como flujos inusuales de tráfico dentro de un sitio web que hacen que este colapse, para entonces volverse vulnerables y ser atacados por los cibercriminales.

Para conocer mejor las armas de nuestros enemigos lo ideal es conocer las diferentes clasificaciones de este tipo de ataques:

Ataques en la capa de infraestructura

Los ataques en las capas 3 y 4 suelen clasificarse como ataques de la capa de infraestructura.

Este tipo de ataques son los más habituales e incluyen vectores como: inundaciones sincronizadas (SYN) y ataques de reflexión como las inundaciones de paquetes de datagramas de usuario (UDP).

Estos ataques suelen ser de gran volumen y su objetivo es sobrecargar la capacidad de la red o los servidores de la aplicación. Sin embargo, afortunadamente también es el tipo de ataques, que tienen una firma clara son más fáciles de detectar.

Ataques en la capa de aplicación

Los ataques en las capas 6 y 7 suelen clasificarse como ataques de la capa de aplicación. Aunque estos ataques son menos frecuentes, también suelen ser más sofisticados.

Estos ataques suelen ser de un volumen menor en comparación con los ataques de la capa de infraestructura, pero tienden a centrarse en determinadas partes claves de la aplicación y la dejan inaccesible para los usuarios reales.

Por ejemplo, una inundación de solicitudes HTTP a una página de inicio de sesión, o a una costosa API de búsqueda, o incluso inundaciones XML-RPC de WordPress (también conocidos como ataques de pingback de WordPress).

Ahora que conocemos como se clasifican estos ataques, es momento de entender cómo comenzar a defenderse de ellos.

¿Cómo protegerse de un ataque DDoS?

1.Saber diferenciar entre tráfico normal y anormal

Como mencionamos anteriormente, recibir altas cantidades de tráfico es poco usual, a menos que estemos comprando visitas en una campaña de CPC o algo parecido, sin embargo, si este no es el caso debemos prestar suficiente atención a este punto.

Lo mas recomendable es cerciorarse constantemente de las direcciones IP de donde proviene este tráfico, y los canales que usa para llegar a nuestros servidores, si vemos que es de procedencia dudosa, lo mejor es bloquear esas IP para evitar que continúen con las peticiones y estas consuman la tasa límite de nuestro host.

2.Implementar firewalls inteligentes para ataques sofisticados

Una buena práctica es utilizar Web Application Firewall (WAF) frente a ataques del tipo inyección de código SQL o falsificación de solicitudes entre sitios, que intenten aprovechar una vulnerabilidad en el servidor.

Además, debido a la naturaleza de estos ataques, es necesario poder crear fácilmente medidas personalizadas contra las solicitudes ilegítimas, que pudieran llegar disfrazadas de tráfico correcto o que procedan de direcciones IP incorrectas o áreas geográficas inesperadas.

3.Disminuir la superficie de ataque

Una de las principales técnicas para protegerse de los ataques DDoS, es minimizar la superficie que puede ser vulnerada, para limitar las opciones de los atacantes y poder tomar medidas de protección en un solo lugar.

Queremos asegurarnos de no exponer nuestra aplicación o recursos a puertos, protocolos o aplicaciones desde las cuales no esperamos ninguna comunicación. Eso nos permite minimizar los posibles puntos de ataque y centrar nuestros esfuerzos de mitigación.

En algunos casos, se puede hacer poniendo los recursos informáticos detrás de redes de distribución de contenido (CDN) o equilibradores de carga, restringiendo el tráfico de Internet directo a determinadas partes de la infraestructura, por ejemplo, los servidores de base de datos. En otros casos, puede utilizar firewalls o listas de control de acceso (ACL) como filtros para controlar qué tráfico llega a las aplicaciones.

4.Prepararse para el ataque

Las dos consideraciones más importantes para protegerse de los ataques DDoS volumétricos a gran escala son la capacidad del ancho de banda (o tránsito) y la capacidad del servidor para absorber y mitigar los ataques.

4.1 Capacidad de tránsito: A la hora de diseñar nuestros proyectos, debemos asegurarnos que el proveedor de hosting nos proporciona una amplia conectividad de Internet redundante que le permita administrar grandes volúmenes de tráfico. Como el objetivo último de los ataques DDoS es afectar a la disponibilidad de los recursos y las aplicaciones, el proveedor debe situarse no solo cerca de sus usuarios finales sino también de grandes puntos de intercambio de Internet; esto dará a los usuarios un fácil acceso incluso durante grandes volúmenes de tráfico. Además, las aplicaciones web pueden ir más allá y utilizar redes de distribución de contenido (CDN) y servicios inteligentes de resolución de DNS que proporcionen una capa adicional de infraestructura de red para el servidor y resolver las consultas DNS desde ubicaciones que, a menudo, están más cerca de sus usuarios finales.

4.2 Capacidad de servidores: Como la mayoría de los ataques DDoS son ataques volumétricos que utilizan una gran cantidad de recursos, es importante poder ampliar o reducir los recursos informáticos. Para ello, puede ejecutar recursos de mayor tamaño o con características tales como funciones de red más amplias o redes mejoradas que admiten volúmenes más grandes. Además, también es habitual utilizar equilibradores de carga para monitorizar constantemente y trasladar las cargas de un recurso a otro con el fin de evitar sobrecargar un recurso.

Protección anti DDoS en Perú

Los consejos anteriores son muy comunes y generales, ya que este tipo de ataques está evolucionando cada día más; la entrada de dispositivos IIoT en las industrias hace que los vectores de ataque aumentan de manera considerable.

Por tal motivo, el mejor método de seguridad es el sentido común, es necesario contar con expertos que adecuen y protejan nuestras redes para mantener segura la información.

En ON ofrecemos este servicio de la mano con nuestro partner NetScout, para brindarte total protección y respaldo de la mano con nuestros ingenieros expertos en mitigación de ataques DDoS.

Si quieres más información sobre este servicio haz clic aquí:

Protección Anti DDoS