LOADING CLOSE

Continuidad del Negocio

Protección DDoS

El impacto que producen los ataques de Denegación de Servicio son variados y profundos, más aún en el caso de negocios que se sustentan en el comercio electrónico y/o servicios soportados en la nube, donde se puede generar directamente pérdidas en las ventas y clientes, ya que estos optan por proveedores a cuyas páginas pueden acceder y les den más confianza, viéndose afectada la reputación de sitio con esta mala publicidad.

Los ataques de Denegación de Servicio, impactan en la continuidad del negocio y en la productividad, debido a que hoy en día, la mayoría de los procesos se interrumpen durante los ataques, lo que impacta en los costos de la  operación y eventuales pagos de multas por incumplimientos de niveles de servicio.

La protección contra ataques de Denegación Distribuida de Servicio (DDoS), consiste en la mitigación frente a estos ataques, por medio de la combinación de las tecnologías de detección de comportamientos anómalos o sospechosos dentro de la red y la depuración o limpieza del tráfico comprometido. Ambas tecnologías inter-operan entre si conformando un sistema completo de Protección.

  • El ataque de Denegación de Servicio busca hacer inaccesible un sitio, servidor y/o servicio, mediante el consumo intensivo de recursos finitos en servidores o elementos de red, mediante el flujo masivo de datos o aprovechando debilidades del diseño o el despliegue de un software, o bien las capacidades limitadas en la infraestructura, tales como:

    • Ancho de banda
    • CCPU
    • Memoria, espacio en disco, bases de datos o tablas internas.

    El ataque mediante el envío masivo de información, llamado flooding, donde la víctima no es capaz de responder por su tamaño, por lo que el servicio se ve interrumpido por el colapso del ancho de banda de su conexión a internet. La otra técnica persigue el mismo objetivo aprovechándose de las vulnerabilidades de las aplicaciones.

    Los ataques han evolucionado desde el ataque DoS de una única estación atacante, que envía un flooding hacia un servidor víctima, a ataques Distribuidos de Denegación de Servicio (DDoS) reflexivos y amplificados.

    Los ataques directos DoS hoy son de una menor ocurrencia, dando paso a ataques desde origines múltiples y con mayor sofisticación y efectividad, como son los ataques DDoS. Lo anterior en parte debido a son fáciles de detectar y mitigar y por lo tanto poco efectivos, y por otro lado, en el caso de Flooding DoS, debido a que los elementos de red y las conexiones son de mayores capacidades y por lo tanto capaces de soportar la carga de los ataques tipo DoS.

  • Además de los ataques de tráficos volumétricos existe ataques sigilosos (Low and Slow) que utilizan tráfico legítimo difícil de detectar y mitigar los atacantes, existen ataques que generan tráfico perfectamente legítimo, aprovechando la incapacidad que muchas veces la víctima tiene de  detección.

    Los ataques Low and Slow difíciles de detectar por su naturaleza de ataques con tasas normales de tráfico, en su mayoría son dirigidos a los recursos de aplicaciones y a veces a los recursos de servidores.

    Algunos tipos de ataques Low and Slow

    • Sockstress
    • Slowloris
    • Apache Killer
    • R-U-Dead Yet
    • Slow Read

  • En este caso el atacante lanza el ataque desde múltiples orígenes diferentes, confundiéndose con el tráfico de los usuarios legítimos, no obstante, debido a que un ataque en conjunto desde varios puntos, requiere una coordinación para que todos los originadores ataquen a la misma víctima simultáneamente, los ataques migraron hacia ataques utilización de dispositivos de terceros infectados con un software BotNet, para el envío de peticiones simultáneas y masivas.

  • Muchas veces las víctimas aceptan tráfico desde ciertas fuentes validadas o legítimas, razón por lo  cual los atacantes utilizan como reflectores de ataque a servidores o servicios válidos, tales como el servicio DNS, para inducir una respuesta masiva desde estos servicios hacia la víctima. Esto se consigue suplantando la identidad (spoofing) por la de la víctima.

  • Además de la técnica de reflexión se busca amplificar la respuesta de estos servicios legítimos  hacia la víctima a partir de cada uno de estos múltiples requerimientos de bajo tráfico. Algunos de estos servicios que se utilizan como factores o vectores de amplificación son:

    • DNS
    • NTP
    • SNMPv2
    • NetBIOS
    • SSDP

  • Dos DDos DDos con Botnet DrDos DrDos con Amplificación DrDos Multivectorial
    Denegación de Servicio Denegación Distribuida de Servicio Denegación Distribuida de servicio vía BotNet Denegación Reflexiva y Distribuida de Servicio Denegación Reflexiva y Distribuida de Servicio con Amplificación Denegación de Servicio utilizando distintos tipos de ataques en forma
    simultánea
    Ataque desde una fuente única a un servidor o aplicación. Ataque múltiple desde varias fuentes a un servidor
    o aplicación
    Ataque múltiple desde terceros vía BotNet a un
    servidor, servicio o aplicación
    Ataque múltiple desde terceros a un servidor, servicio o aplicación, utilizando suplantación de identidad
    y una entidad legítima como reflector
    Ataque múltiple desde terceros vía BotNet a un servidor, servicio o aplicación, utilizando
    suplantación de identidad y una entidad legítima como reflector y utilizando vectores de amplificación
    Ataques múltiples, coordinados y simultáneos a distintos recursos de la víctima

Soluciones de Protección DDoS de A10 Networks

A10Thunder TPS puede llegar a bloquear ataques DDoS multi-vectoriales y mitigarlos en el borde de la red, además de funcionar como una primera línea de defensa para la infraestructura de la red. El nuevo Thunder 14015 es el aparato más rápido del mercado, ya que es capaz de aplacar las amenazas enviando 300 gigabits por segundo (ó 2,4 Tbps in un cluster sincronizado).