Una guía rápida para comprender los ataques DDoS y los métodos de mitigación
Publicado: 2016-04-25Dado que las empresas dependen tanto de una presencia en Internet, es increíblemente crucial asegurarse de tener la protección DDoS adecuada contra cualquier forma de ataque. Las invasiones de denegación de servicio distribuida (DDoS) son algunas de las formas más sencillas de ataques virtuales que se pueden llevar a cabo con un número cada vez mayor de herramientas de fácil acceso, pero también pueden representar la mayor amenaza. Los ataques DDoS pueden llevarse a cabo mediante servicios web simples, pero son capaces de derribar incluso los servidores más estables. Diseñados para sobrecargar los servicios con solicitudes, estos ataques impiden el acceso público y detienen cualquier operación o venta potencial.
Muchas empresas, especialmente las más pequeñas, no pueden establecer una protección independiente contra este tipo de ataques ni obtener servidores DDoS Secure. Sin embargo, a medida que aumenta la amenaza de un ataque, también aumenta la disponibilidad de ayuda externa. En su Informe anual de seguridad de infraestructura a nivel mundial, Arbor Networks reconoció una demanda significativa de los clientes de detección y protección DDoS, hasta un 74 % desde el minúsculo 4 % del año anterior.
¿Qué son exactamente los ataques DDoS y cómo protege su negocio de ser víctima de invasiones despiadadas?
Métodos de ataque DDos
Aparentemente simples en teoría, los ataques DDoS pueden utilizar diferentes métodos para inundar sus servidores, lo que dificulta determinar la fuente y el método de invasión.
- Ataques volumétricos : consumir todo su ancho de banda es una manera fácil de cerrar los servicios. Envíe una gran cantidad de solicitudes al mismo tiempo, e incluso los servidores web más estables pueden desactivarse. Generalmente se realiza a través de una “red de bots”, una colección de miles de computadoras infestadas de malware de todo el mundo controladas por un solo pirata informático. Cuando todas estas máquinas se dirigen a acceder a un solo sitio web, el gran volumen de tráfico sobrecarga el servidor, lo que provoca bloqueos y la caída de sus páginas.
- Ataques de capa de aplicación : hay siete capas verticales que componen Internet, cada una de las cuales utiliza diferentes protocolos para enviar información. Esto se conoce como el modelo de interconexión de sistemas abiertos y es una representación de cómo funcionan las redes. La capa final y séptima de este modelo se conoce como capa de aplicación. La séptima capa es la más familiarizada y procesa las comunicaciones HTTP y SMTP de los servicios básicos de navegación web y correo electrónico. Los ataques DDoS en la capa de aplicación enmascaran las actividades maliciosas como un comportamiento humano real en un esfuerzo por abrumar y consumir todos los recursos en este nivel. Debido a que intentan imitar la actividad real, estos ataques son mucho más difíciles de identificar.
- Ataques de protocolo : en lugar de cerrar los servicios a través de números absolutos, los ataques de protocolo se centran en obstruir los recursos mediante el envío de solicitudes de ping desde direcciones IP falsas. Estos ataques envían solicitudes a su servidor con estas direcciones falsas, y cuando su servidor intenta responder, se sientan a esperar interminablemente con la esperanza de recibir una respuesta, o se les devuelve con solicitudes innecesariamente grandes. Esto impide que los recursos ejecuten y completen otras solicitudes y servicios.
¿Por qué necesita protección DDoS?
En su informe de seguridad, Arbor Networks determinó un aumento significativo en los ataques DDoS con respecto a años anteriores. En 2015, el 44 % de los proveedores de servicios notaron más de 21 ataques al mes, un aumento con respecto al 38 % anterior. Con una demanda de conectividad constante y acceso instantáneo, los clientes podrían verse disuadidos de su servicio si los ataques DDoS siempre provocan la caída de su sitio web. Solo en la industria de VOIP, el informe concluyó que la cantidad de ataques DDoS a los proveedores aumentó de solo el 9 % de todos los ataques en 2014 al 19 % en 2015.
La principal motivación detrás de los ataques DDoS parece ser "delincuentes que demuestran capacidades de ataque", con "juegos" e "intentos de extorsión criminal" no muy lejos, según el estudio. Así es, extorsión criminal. No es raro que los piratas informáticos envíen pequeños ataques DDoS de advertencia como una amenaza, seguidos de un correo electrónico de rescate con la amenaza de una interrupción más intensa de los servicios.
No solo pueden interrumpir su flujo de servicio, sino que Arbor Networks también notó un aumento en los ataques DDoS que se usan más a menudo como una cortina de humo, un intento de enmascarar otras actividades maliciosas, como infecciones de malware, robo de información o incluso fraude.
Cómo funciona la mitigación de DDoS
Por su naturaleza, los ataques DDoS son muy difíciles de manejar en el momento en que ocurren. La mejor línea de defensa es adoptar y configurar de manera proactiva medidas que analicen activamente los datos entrantes y mitiguen cualquier solicitud falsa o maliciosa. Sin embargo, elegir la mejor protección DDoS puede ser tan abrumador como los ataques y es importante tener en cuenta no solo las características que incluyen estas protecciones, sino también sus métodos y redes de soporte. Si bien un servicio puede ofrecer las mejores funciones y métodos, sin una red de soporte adecuada capaz de manejar el gran volumen, la protección fallará.
- ¿Estás bajo ataque?
En primer lugar, es importante determinar si su servicio es de hecho víctima de un ataque DDoS: la protección debe ser capaz de distinguir el tráfico bueno (sus clientes) del tráfico malo (el ataque). Si el servicio de mitigación simplemente detecta el tráfico y bloquea todas las solicitudes entrantes, tiene el mismo problema de usuarios legítimos que no pueden acceder a su página web o servicio. Aquí es donde entran en juego los servicios de Bot Discernment y Deep Packet Inspection, estos métodos se desarrollan para distinguir entre el tráfico bueno y el malo.
-Redirigir el mal tráfico
Una vez que se reconoce, el tráfico malo debe mitigarse adecuadamente y desviarse de su servidor. Aquí es donde entra en juego la fuerza y el nivel de una red de protección. Se le quitarán todos los pings incorrectos y se filtrarán a través de la infraestructura de mitigación, hasta el propio servicio de protección. Ese mal tráfico se filtra a través de los Centros de Operaciones de Seguridad de su servicio de protección. Con una red demasiado débil y muy pocos centros, el servicio de protección no podrá hacer frente a la afluencia de solicitudes. Esto, en esencia, anularía cualquier protección real contra un ataque. Por lo tanto, es importante comparar el número y la ubicación de estos centros de operaciones de seguridad, o limpieza, al considerar a los proveedores de protección.
-Usando tu protección
Dado que la mayoría de los servicios de protección se pueden personalizar según las necesidades de su negocio, la forma en que configura y mantiene la protección DDoS puede variar mucho. Dependiendo del nivel de importancia, su protección puede ejecutarse todo el tiempo y siempre encendida, de forma intermitente en momentos específicos o incluso activarse y desactivarse. Los diferentes métodos de implementación también varían en la forma en que desea que funcionen los servicios, ya sea basados en la nube, con hardware en el sitio o un modelo híbrido que utilice ambos. La elección del método de implementación adecuado variará según el tamaño de su empresa, la urgencia de la protección e incluso las capacidades de TI. El hardware en el sitio puede requerir soporte adicional en el sitio y puede ser demasiado para que lo manejen los equipos de TI pequeños. Mientras tanto, el proveedor mantendrá completamente la mayoría de los servicios en la nube y lo alertará cuando ocurra un ataque, en lugar de alternar la protección cuando se dé cuenta de un ataque.
Compare las 6 principales soluciones de mitigación de DDoS
Con una comprensión sólida de qué son los ataques DDoS y cómo se pueden mitigar, es importante analizar de cerca las diferentes ofertas de soluciones en el mercado para determinar su efectividad. Como se discutió anteriormente, es importante que la protección no solo emplee métodos de protección adecuados, sino que también debe tener el soporte de red adecuado para mitigar adecuadamente cualquier ataque. Más allá de simples funcionalidades, es importante señalar la cantidad de centros de operaciones de seguridad a disposición de la protección, así como la capacidad de la red.
Con muy pocos centros de seguridad o muy poca capacidad de red, las mejores herramientas de mitigación no podrían prevenir adecuadamente un ataque porque no hay adónde enviar el tráfico. Una manera fácil de entender esto es relacionarlo con una cabina de peaje para cruzar un puente. Los puntos de entrada rápida que no requieren que los automóviles se detengan y que paguen peajes permiten un paso más rápido, pero si la cantidad de puntos de entrada se limita a 2 o 3, cuando llegue la hora pico, la afluencia de automóviles se canalizará a un número limitado de entradas. puntos. Sin la infraestructura adecuada para permitir más puntos de entrada, el sistema se ve abrumado y se anula el beneficio de los sistemas de pago más rápidos.
Los ataques DDoS son difíciles de simular y probar cada servicio de protección individual no es del todo factible. Para desglosar las ofertas de cada proveedor, obtuvimos información de sus páginas web individuales, así como de investigaciones independientes y contacto con los proveedores. A continuación, encontrará un cuadro que describe los servicios más destacados y sus características comparables.
 |  |  |  |  |  | |
| Número de Centros de Operaciones de Seguridad | 4 | 42 | 4 | 27 | 3 | 5 |
| Capacidad de red (medida en TB por segundo) | 1 | N / A | 1 | 1.5 | 0.5 | 1.7 |
| cortafuegos | No | sí | sí | sí | No | No |
| Discernimiento automático de bots | sí | sí | sí | sí | sí | sí |
| Inspección profunda de paquetes | sí | N / A | sí | sí | sí | sí |
| Redirección de DNS | sí | sí | sí | sí | sí | sí |
| Proxy web | No | sí | sí | sí | sí | sí |
| Monitoreo en tiempo real | sí | sí | sí | sí | sí | sí |
| Bloqueo de IP | sí | sí | sí | sí | sí | sí |
| siempre encendido | sí | sí | sí | sí | sí | sí |
| Protección basada en la nube | sí | sí | sí | sí | sí | sí |
| Protección híbrida | sí | No | No | sí | sí | sí |
| Monitoreo en el sitio | sí | No | No | sí | No | No |
| Servicio al cliente 24/7 | sí | sí | sí | sí | sí | sí |
| Soporte de correo electrónico | sí | sí | sí | sí | sí | sí |
| Soporte telefónico | sí | sí | sí | sí | sí | sí |
| Chat web en vivo | No | No | sí | sí | sí | No |
| Más información | Más detalles | Más detalles | Más detalles | Más detalles | Más detalles | Más detalles |