Cómo identificar y responder a los ataques DDoS

Noticias y Novedades

Suelen ser provocados por botnets y son utilizados de diversas maneras por los ciberdelincuentes. Conozca las principales formas de proteger su entorno de este tipo de amenazas.

 

A pesar de que las siglas pueden imponer respeto, los ataques DDoS son bastante sencillos de llevar a cabo y los delincuentes los utilizan mucho, la parte más laboriosa a la que se enfrentan quienes llevan a cabo los ataques es conseguir una gran cantidad de hosts y orquestarlos para llevar a cabo el ataque a un objetivo de forma simultánea.

En sus versiones más simples, el ataque puede desencadenarse con una solicitud maliciosa falsificada para que el servidor no pueda manejarla adecuadamente, ya sea por su tamaño excesivo, falta de parámetros, o simplemente porque el atacante se ha programado para no responder adecuadamente a la información solicitada por el servidor que está siendo atacado.

A lo largo de los años en el mercado de la seguridad la postura sobre este tipo de ataques ha cambiado significativamente. Antes, las empresas se preocupaban muy poco por pensar en soluciones que los eviten, pero actualmente la mayoría de los entornos están en alerta por este tipo de amenazas.

Este cambio de percepción puede haber sido provocado por varios factores, entre ellos los dos que considero principales son la evolución de la madurez de la seguridad, tanto de los entornos como de los profesionales que trabajan en el área, y el cambio en la forma en que este ataque es utilizado por los delincuentes.

Actualmente, los ataques DDoS se pueden utilizar de forma aislada, pero suelen utilizarse como complemento de otros ataques, por ejemplo para hacer más convincente la demanda de pago de un ransomware, afectando gravemente a los servicios de la empresa objetivo y causando un impacto directo en la percepción de los clientes que intentan comunicarse con este(s) servicio(s).

Otro punto que puede notar cambios se refiere a las protecciones, actualmente es posible adoptar protecciones para este fin con inversiones significativamente menores que hace unos años, algunas de estas protecciones pueden incluso estar disponibles en algunos entornos, y solo es necesario habilitarlas.

Cómo detectar y responder al ataque

La detección no siempre es una tarea trivial cuando el entorno no es motorizado mediante soluciones preconfiguradas para monitorizarlo. Generalmente, los ataques se notan cuando alguien intenta hacer uso del servicio y nota su lentitud o falta de disponibilidad.

Idealmente, la detección más adecuada se basa en dos pilares principales:

  • > Un equipo técnico capaz de identificar periodos de estabilidad
  • > Y la parametrización de las soluciones de seguridad en función del resultado de esta identificación.

Existen muchos tipos de soluciones que permiten afrontar el ataque con una tasa de éxito muy alta, entre las principales se encuentran:

Filtrado de tráfico

Un claro ejemplo de esta posibilidad de adaptar las soluciones existentes para frenar los ataques DDoS es el filtrado de tráfico, ya sea realizado por firewalls que las empresas comúnmente ya tienen en sus entornos o por equipos específicos destinados a este fin.

Por lo general, los filtros utilizan reglas predefinidas para evitar que se permitan ciertos tipos de tráfico, evitando así solicitudes excesivas de una o más fuentes, formatos de solicitud no convencionales para ciertos tipos de servicios, tamaños de paquetes excesivos y otros tipos de enfoques maliciosos.

Una ayuda valiosa en bloqueos de este tipo es apoyarse en soluciones basadas en el comportamiento para realizar los bloqueos, esto permitirá que los usuarios legítimos puedan acceder al servicio mientras bloquean a los atacantes.

Equilibrio de carga

Otro enfoque que puede resultar bastante eficiente, especialmente en ataques de menor escala, es el equilibrio de la carga distribuida a ese servicio o servidor. El equilibrio puede producirse de varias maneras, ya sea haciendo que más de un enlace de Internet esté disponible y alternando su acceso a través de la configuración de DNS, o mediante el uso de un clúster de alta disponibilidad que dirija el servicio a uno de los otros nodos si el nodo actual no responde correctamente.

 

Podés leer el artículo completo en el siguiente enlace:

Cómo identificar y responder a los ataques DDoS

 

 

×