Denegación de servicio distribuido (DDoS)

¿Qué es un ataque DDoS?

Un ataque de denegación de servicio distribuido (DDoS) es un intento malicioso de interrumpir el tráfico normal de un servidor, servicio o red objetivo, sobrecargando el objetivo o su infraestructura circundante con una inundación de tráfico de Internet. Los ataques DDoS son efectivos utilizando múltiples sistemas de computación comprometidos como fuentes de tráfico del ataque. Entre las máquinas explotadas puede haber computadoras y otros recursos de red, tales como dispositivos de IoT. Desde un alto nivel, un ataque DDoS es como un atasco de tráfico que bloquea una carretera, lo que evita que el tráfico normal llegue al destino que desea.

¿Cómo funciona un ataque DDoS?

Los ataques DDoS requieren que un atacante tome el control de una red de máquinas en línea con el fin de llevar a cabo un ataque. Las computadoras y otras máquinas (como los dispositivos de IoT) están infectados con malware, lo que convierte cada uno de ellos en un bot (o zombie). El atacante entonces tiene control remoto sobre el grupo de bots, lo que se llama botnet.

Una vez establecido el botnet, el atacante es capaz de dirigir las máquinas enviando instrucciones actualizadas a cada bot a través de un método de control remoto. Cuando la dirección IP de una víctima es atacada por el botnet, cada bot responderá enviando las peticiones al objetivo, con el potencial de causar que el servidor o la red se dirijan a la capacidad de desbordamiento, lo que provoca una denegación de servicio al tráfico normal. Como cada bot es un dispositivo de Internet legítimo, separar el tráfico del ataque del tráfico normal puede ser difícil.

¿Cuáles son los tipos habituales de ataques DDoS?

Diferentes vectores de ataque DDoS se dirigen a diferentes componentes de una conexión de red. A fin de entender cómo funcionan los diferentes ataques DDoS, es necesario saber cómo se hace una conexión de red. Una conexión de red en Internet se compone de muchos componentes diferentes o "capas". Al igual que construir una casa de cero, cada paso del modelo tiene un propósito diferente. El modelo OSI es un marco conceptual que se utiliza para describir la conectividad de red en siete capas distintas.

¿Cuál es el proceso para mitigar un ataque DDoS?

Conozca más acerca de DDoS

Aunque casi todos los ataques DDoS implican que el objetivo sea un dispositivo o una red con tráfico, los ataques se pueden dividir en tres categorías. Un atacante puede hacer uso de uno o varios vectores de ataque diferentes, o en vectores de ataque de ciclo potencialmente basados en las contramedidas tomadas por el objetivo.

En el Internet moderno, el tráfico de DDoS viene en muchas formas. El tráfico puede tener diferentes diseños, de ataques de una sola fuente y no simulados a ataques complejos y adaptativos con varios vectores. Un ataque DDoS de varios vectores utiliza varias vías de ataque con el fin de sobrecargar un objetivo de diferentes maneras, lo que podría distraer los esfuerzos de mitigación en cualquier trayectoria. Un ataque que se dirige al mismo tiempo a múltiples capas de la pila de protocolos, como una amplificación de DNS (que apunta a las capas 3 y 4) junto con una inundación HTTP (que apunta a la Capa 7) es un ejemplo de DDoS de varios vectores.

Mitigar un ataque DDoS de varios vectores requiere de diferentes estrategias con el fin de contrarrestar las diferentes trayectorias. En términos generales, cuanto más complejo sea el ataque, más probable es que sea difícil separar el tráfico del ataque del normal, el objetivo del atacante es "mezclarse" lo máximo posible, haciendo que la mitigación sea tan ineficiente como sea posible. Los intentos de mitigación que implican el abandono o la limitación del tráfico indiscriminadamente pueden expulsar el tráfico bueno junto con el malo, y el ataque también puede modificarse y adaptarse para eludir las contramedidas. Con el fin de superar un intento de interrupción complejo, una solución por capas proporcionará el máximo beneficio.

Firewall de aplicaciones web (WAF)

¿Qué es un firewall de aplicaciones web?

El firewall de aplicaciones web (WAF) ayuda a proteger las aplicaciones web filtrando y supervisando el tráfico HTTP entre una aplicación web e Internet. Por lo general, protege las aplicaciones web contra ataques, tales como falsificación en sitios cruzados, creación de scripts en sitios cruzados (XSS), inclusión de archivos e inyección de SQL, entre otros. El WAF es una defensa de la capa 7 de protocolo (en el modelo OSI), y no está diseñado para defenderse contra todos los tipos de ataques. Este método de mitigación de ataques es usualmente parte de una serie de herramientas que juntas crean una defensa integral contra varios vectores de ataque.

Al implementar un WAF en frente de una aplicación web, se coloca un escudo entre la aplicación web e Internet. Mientras que un servidor proxy protege la identidad de una máquina cliente mediante el uso de un intermediario, un WAF es un tipo de proxy inverso, lo que protege al servidor de la exposición al hacer que los clientes pasen a través de WAF antes de llegar al servidor.

Un WAF opera a través de un conjunto de reglas a menudo llamadas políticas. Estas políticas pretenden proteger contra las vulnerabilidades de la aplicación filtrando el tráfico malicioso. El valor de un WAF proviene en parte de la velocidad y facilidad con la que se pueden implementar modificaciones de las políticas, lo que permite responder de forma más rápida a los diferentes vectores de ataque; durante un ataque DDoS, la limitación de velocidad puede ser implementada rápidamente modificando las políticas de WAF.

¿Cuál es la diferencia entre los WAFs de lista de bloqueo y los de lista de aprobación?

Conozca más acerca de WAF

Una WAF que opera en base a una lista de bloqueo (modelo de seguridad negativa) protege contra ataques conocidos. Piensa en un WAF de lista de bloqueo como un portero del club instruido para denegar la admisión a cualquier huésped que no cumpla con el código de vestir. Por el contrario, un WAF basado en una lista de aprobación (un modelo de seguridad positivo) sólo admite el tráfico que ha sido previamente aprobado. Esto es como el portero en una fiesta exclusiva; solo admite a las personas que están en la lista. Tanto las listas negras como las listas blancas tienen sus ventajas y desventajas, razón por la cual muchos WAFs ofrecen un modelo de seguridad híbrido, que implementa ambos.

Red de entrega de contenido (CDN)

¿Qué es una red de entrega de contenido?

Una red de entrega de contenido (CDN) se refiere a un grupo de servidores geográficamente distribuidos que trabajan juntos para proporcionar la entrega rápida de contenido de Internet. Una CDN permite transferir rápidamente los activos necesarios para cargar contenido de Internet, lo que incluye páginas HTML, archivos JavaScript, hojas de estilo, imágenes y videos. La popularidad de los servicios de CDN continúa creciendo, y hoy en día la mayoría del tráfico web se sirve a través de CDN.

¿Cómo funciona un CDN?

En su núcleo, un CDN es una red de servidores enlazados con el objetivo de entregar contenido de forma más rápida, barata, confiable y segura posible. Con el fin de mejorar la velocidad y la conectividad, un CDN colocará los servidores en los puntos de intercambio entre diferentes redes. Estos puntos de intercambio de Internet (IXP) son las ubicaciones primarias en las que se conectan diferentes proveedores de Internet con el fin de proporcionar a cada uno de ellos el acceso al tráfico que se origina en sus diferentes redes. Al tener una conexión con estas ubicaciones de alta velocidad y altamente interconectadas, un proveedor de CDN es capaz de reducir los costos y los tiempos de tránsito en la entrega de datos a alta velocidad.

¿Cómo mejora una CDN los tiempos de carga de los sitios web?

Conozca más acerca de CDN

Cuando se trata de sitios web que cargan contenido, los usuarios se desconectan rápidamente cuando un sitio se ralentiza. La naturaleza de la distribución global de un CDN significa reducir la distancia entre los usuarios y los recursos del sitio web. En lugar de tener que conectarse al lugar en el que el servidor de origen de un sitio web pueda residir, la CDN permite que los usuarios se conecten a un centro de datos geográficamente más cercano. Menos tiempo de viaje significa un servicio más rápido.

Sistema de Nombres de Dominio (DNS)

¿Qué es un DNS?

El Sistema de Nombres de Dominio (DNS) es el listín telefónico de Internet. La gente accede a la información en línea a través de nombres de dominio, como nytimes.com o espn.com.Los navegadores web interactúan a través de direcciones IP (Protocolo Internet). El DNS traduce los nombres de los dominios a direcciones IP para que los navegadores puedan cargar los recursos de Internet.

Cada dispositivo conectado a Internet tiene una dirección IP única, que otras máquinas utilizan para encontrar el dispositivo. Los servidores DNS acabar con la necesidad de memorizar direcciones IP como, por ejemplo, 192.168.1.1 (en IPv4), o direcciones IP alfanuméricas más complejas como, por ejemplo, 2400:cb00:2048:1:c629:d7a2 (en IPv6).

¿Cómo funciona el DNS?

El proceso de resolución de DNS implica la conversión de un nombre de host (por ejemplo www.ibm.com) en una dirección IP procesable por el equipo (por ejemplo, 192.168.1.1). Cada dispositivo de Internet recibe una dirección IP, y esa dirección es necesaria para encontrar el dispositivo de Internet apropiado, como la dirección postal se utiliza para encontrar un hogar en particular. Cuando un usuario desea cargar una página web, se debe producir una traducción entre lo que un usuario escribe en su navegador web (example.com) y la dirección de la máquina que es necesaria para localizar la página web de example.com.

Para entender el proceso que se realiza para la resolución del DNS, es importante conocer los diferentes componentes de hardware que debe atravesar una consulta de DNS. Para el navegador web, la búsqueda de DNS ocurre "detrás de escenas" y no requiere ninguna interacción desde la computadora del usuario aparte de la petición inicial.

¿Qué es un resolutor de DNS?

Conozca más acerca del DNS

El resolutor de DNS es la primera parada de la búsqueda de DNS, y es responsable de tratar con el cliente que realizó la petición inicial. El resolutor inicia la secuencia de consultas que finalmente conduce a un URL que se traduce en la dirección IP necesaria.

Nota: Una búsqueda de DNS sin memoria caché típica implicará consultas recursivas e iterativas.

Es importante diferenciar entre una consulta de DNS recursiva y un resolutor de DNS recursivo. La consulta se refiere a la petición realizada a un resolutor de DNS que solicita la resolución de la consulta. Un resolutor recursivo de DNS es el sistema que acepta una consulta recursiva y procesa la respuesta haciendo las peticiones necesarias.

Cómo empezar

¿Está listo para empezar? Con nuestro portal y nuestra API, un Internet más rápido y seguro está a solo unos clics de distancia.