Denegación de servicio distribuido (DDoS)

¿Qué es un ataque DDoS?

Un ataque de denegación de servicio distribuido (DDoS) es un intento malicioso de interrumpir el tráfico normal de un servidor, servicio o red de destino saturando al objetivo o su infraestructura circundante con una inundación de tráfico de Internet. Los ataques DDoS son efectivos utilizando múltiples sistemas informáticos comprometidos como fuentes de tráfico de ataque. Las máquinas explotadas pueden incluir ordenadores y otros recursos de red, tales como dispositivos de IoT. Desde un nivel superior, un ataque DDoS es como un atasco de tráfico que bloquea una autopista, evitando que el tráfico regular llegue a su destino deseado.

¿Cómo funciona un ataque DDoS?

Un ataque DDoS requiere que un atacante obtenga el control de una red de máquinas online con el fin de llevar a cabo un ataque. Los ordenadores y otras máquinas (tales como los dispositivos de IoT) se infectan con el malware, convirtiendo a cada uno en un bot (o zombie). En ese momento, el atacante ya tiene control remoto sobre el grupo de bots, que se llama botnet.

Una vez que se ha establecido un botnet, el atacante es capaz de dirigir las máquinas enviando instrucciones actualizadas a cada bot a través de un método de control remoto. Cuando la dirección IP de una víctima es atacada por el botnet, cada bot responderá enviando las solicitudes al objetivo, causando potencialmente el desbordamiento de capacidad del servidor o la red, lo que resulta en una denegación de servicio al tráfico normal. Como cada bot es un dispositivo de Internet legítimo, separar el tráfico de ataque del tráfico normal puede resultar difícil.

¿Cuáles son los tipos comunes de ataques DDoS?

Diferentes vectores de ataque DDoS se dirigen a diferentes componentes de una conexión de red. A fin de comprender cómo funcionan los diferentes ataques DDoS, es necesario saber cómo se realiza una conexión de red. Una conexión de red en Internet está formada por muchos componentes diferentes o "capas". Al igual que la construcción de una casa desde el suelo, cada paso del modelo tiene una finalidad diferente. El modelo OSI es un marco conceptual que se utiliza para describir la conectividad de red en siete capas distintas.

¿Cuál es el proceso para mitigar un ataque DDoS?

Más información sobre DDoS

Mientras que casi todos los ataques DDoS implican saturar un dispositivo objetivo o una red con tráfico, los ataques se pueden dividir en tres categorías. Un atacante puede hacer uso de uno o varios vectores de ataque diferentes, o vectores de ataque de ciclo potencialmente basados en las medidas defensivas tomadas por el objetivo.

En el Internet actual, el tráfico DDoS viene en muchas formas. El tráfico puede variar en el diseño, desde ataques de una sola fuente no maliciosos hasta ataques complejos y adaptables de múltiples vectores. Un ataque DDoS multivector utiliza múltiples vías de ataque con el fin de saturar a un objetivo de diferentes maneras, lo que podría distraer los esfuerzos de mitigación en cualquier trayectoria. Un ataque que se dirige a múltiples capas de la pila de protocolo al mismo tiempo, como una amplificación de DNS (que se dirige a las capas 3 y 4) junto con una inundación HTTP (que se dirige a la Capa 7) es un ejemplo de DDoS multivector.

Mitigar un ataque DDoS multivector requiere una variedad de estrategias con el fin de contrarrestar diferentes trayectorias. En términos generales, cuanto más complejo sea el ataque, probablemente será más difícil separar este tráfico del tráfico normal - el objetivo del atacante es "mezclarse" tanto como sea posible, haciendo que la mitigación sea lo más ineficiente posible. Los intentos de mitigación que implican el abandono o la limitación del tráfico indiscriminadamente pueden descartar el tráfico bueno con el malo, además, el ataque también podría modificarse y adaptarse para eludir las medidas defensivas. Con el fin de superar un intento complejo de interrupción, una solución en capas será la más eficiente.

Cortafuegos de aplicaciones web (WAF)

¿Qué es un cortafuegos de aplicaciones web?

Un cortafuegos de aplicaciones web (WAF) ayuda a proteger las aplicaciones web filtrando y supervisando el tráfico HTTP entre una aplicación web e Internet. Normalmente protege las aplicaciones web de ataques, tales como la falsificación entre sitios, los scripts entre sitios (XSS), la inclusión de archivos o la inyección de SQL, entre otros. Una WAF es una defensa de la capa 7 de protocolo (en el modelo OSI), y no está diseñada para defenderse contra todos los tipos de ataques. Este método de mitigación de ataques suele formar parte de una serie de herramientas que juntas crean una defensa integral contra una gama de vectores de ataque.

Al desplegar un WAF en frente de una aplicación web, se coloca un escudo entre la aplicación web e Internet. Mientras que un servidor proxy protege la identidad de una máquina cliente mediante el uso de un intermediario, un WAF es un tipo de proxy inverso, que protege al servidor de la exposición, haciendo que los clientes pasen a través de WAF antes de llegar al servidor.

Un WAF opera a través de un conjunto de reglas a menudo llamadas políticas. Estas políticas tienen el objetivo de proteger contra vulnerabilidades dentro de la aplicación filtrando el tráfico malicioso. El valor de un WAF viene en parte de la velocidad y facilidad con la que se puede implementar la modificación de políticas, permitiendo una respuesta más rápida a los diferentes vectores de ataque; durante un ataque DDoS, la limitación de velocidad se puede implementar rápidamente modificando las políticas de WAF.

¿Cuál es la diferencia entre WAF de lista negra y de lista blanca?

Más información sobre WAF

Un WAF que opera con base en una lista negra (modelo de seguridad negativa) protege contra ataques conocidos. Piense en un WAF de lista negra como un portero de discoteca que se encarga de denegar la admisión a cualquier persona que no cumpla el código de vestimenta. Por el contrario, un WAF basado en una lista blanca (modelo de seguridad positivo) solo admite el tráfico que ha sido aprobado previamente. Esto es como el portero en una fiesta exclusiva; él o ella solo admite a las personas que están en la lista. Tanto las listas negras como las listas blancas tienen sus ventajas e inconvenientes, razón por la cual muchos WAF ofrecen un modelo de seguridad híbrido, que implementa ambas.

Red de distribución de contenido (CDN)

¿Qué es una red de distribución de contenido?

Una red de distribución de contenido (CDN) se refiere a un grupo de servidores geográficamente distribuido que trabajan conjuntamente para proporcionar una distribución rápida de contenido de Internet. Una CDN permite la transferencia rápida de los activos necesarios para cargar contenido de Internet, incluyendo páginas HTML, archivos JavaScript, hojas de estilo, imágenes y vídeos. La popularidad de los servicios de CDN sigue creciendo, y hoy en día la mayoría del tráfico web se sirve a través de estas redes.

¿Cómo funciona una CDN?

En su núcleo, una CDN es una red de servidores enlazados con el objetivo de distribuir contenido de la forma más rápida, barata, fiable y segura posible. Con el fin de mejorar la velocidad y la conectividad, una CDN colocará los servidores en los puntos de intercambio entre diferentes redes. Estos puntos de intercambio de Internet (IXP) son las ubicaciones primarias en las que se conectan diferentes proveedores de Internet con el fin de proporcionar a cada uno de ellos acceso al tráfico que se origina en sus diferentes redes. Al tener una conexión con estas ubicaciones de alta velocidad y altamente interconectadas, un proveedor de CDN es capaz de reducir los costes y los tiempos de tránsito en la distribución de datos de alta velocidad.

¿Cómo mejora CDN los tiempos de carga del sitio web?

Más información sobre CDN

Cuando se trata de sitios web que cargan contenido, los usuarios abandonan rápidamente si el sitio se carga lento. La naturaleza de distribución global de una CDN significa que la distancia entre los usuarios y los recursos del sitio web se reduce. En lugar de tener que conectarse a cualquier lugar en el que resida el servidor de origen de un sitio web, una CDN permite a los usuarios conectarse a un centro de datos geográficamente más cercano. Menos tiempo de trayecto significa un servicio más rápido.

Sistema de nombres de dominio (DNS)

¿Qué es DNS?

El Sistema de nombres de dominio (DNS) es la libreta de direcciones de Internet. La gente accede a la información online a través de nombres de dominio, como nytimes.com o espn.com. Los navegadores web interactúan a través de direcciones IP (Protocolo Internet). DNS traduce los nombres de dominio a las direcciones IP para que los navegadores puedan cargar los recursos de Internet.

Cada dispositivo conectado a Internet tiene una dirección IP exclusiva, que otras máquinas utilizan para encontrar el dispositivo. Los servidores DNS eliminan la necesidad de memorizar direcciones IP como, por ejemplo, 192.168.1.1 (en IPv4), o direcciones IP alfanuméricas más complejas como, por ejemplo, 2400:cb00:2048:1:c629:d7a2 (en IPv6).

¿Cómo funciona DNS?

El proceso de resolución de DNS implica la conversión de un nombre de host (por ejemplo, www.ibm.com) en una dirección IP que entienda el sistema (como, por ejemplo, 192.168.1.1). A cada dispositivo en Internet le corresponde una dirección IP, y esa dirección es necesaria para encontrar el dispositivo de Internet adecuado, igual que una dirección postal se utiliza para encontrar un domicilio particular. Cuando un usuario desea cargar una página web, se debe producir una traducción entre lo que un usuario escribe en su navegador web (example.com) y la dirección que entienda la máquina necesaria para localizar la página web de example.com.

Para comprender el proceso detrás de la resolución de DNS, es importante conocer los diferentes componentes de hardware entre los cuales debe pasar una consulta de DNS. Para el navegador web, la búsqueda de DNS ocurre "entre bastidores" y no requiere ninguna interacción desde el ordenador del usuario aparte de la solicitud inicial.

¿Qué es un programa de resolución de DNS?

Más información sobre DNS

Un programa de resolución de DNS es la primera parada en la búsqueda de DNS, y es responsable de tratar con el cliente que realiza la solicitud inicial. El programa de resolución inicia la secuencia de consultas que finalmente conduce a la traducción de un URL en la dirección IP necesaria.
Nota: Una búsqueda de DNS sin memoria caché típica implicará consultas recursivas e iterativas.

Es importante diferenciar entre una consulta de DNS recursiva y un programa de resolución de DNS recursivo. La consulta se refiere a la solicitud realizada a un programa de resolución de DNS que requiere la resolución de la consulta. Un programa de resolución de DNS recursivo es el ordenador que acepta una consulta recursiva y procesa la respuesta realizando las solicitudes necesarias.

Cómo empezar

¿Preparado para empezar? Con nuestro portal y API, tiene un Internet más rápido y más seguro a solo unos clics.