Seguridad

Cómo proteger nuestro blog de un potencial ataque DDoS

Como saber si sufres ataque DDos y que hacer

¿Qué tipos de ataques DDoS existen en la actualidad? ¿Cómo prevenir una campaña de denegación de servicio en contra de nuestra web o blog? ¿Cuáles son las herramientas más destacadas del sector para luchar contra esta amenaza?

A finales de 2016, cinco grandes bancos rusos (incluyendo el estatal Sberbank) fueron el blanco de un ataque de denegación de servicio (DDoS, por sus siglas en inglés) sostenido, esto es, que sus servicios quedaron gravemente afectados durante varios días. La causa de este ataque DDoS la encontramos en la botnet Mirai, por la que millones de objetos conectados a Internet -como cámaras de videovigilancia- fueron utilizados para dirigir una inmensa cantidad de tráfico hasta la web de estas entidades bancarias con el fin de dejarlas inutilizables.

Esta campaña duró nada menos que 12 horas y, en sus momentos de mayor actividad, llegó a registrar hasta 660.000 solicitudes de acceso por segundo desde 24.000 dispositivos hackeados previamente en 30 países de todo el mundo. Por suerte, la operativa financiera continuó su curso y ningún proceso crítico se cayó por completo durante todo este tiempo.

Pero en muchos otros ataques DDoS no se corre la misma suerte. De hecho, un informe de Cisco ya ha previsto que este tipo de campañas -popularizadas por grupos como Anonymous para hacer públicas sus protestas- seguirán creciendo en número (hoy en día pueden comprarse servicios de DDoS en la Internet oscura por menos de 150 euros) y dureza, hasta convertirse en ataques de Destrucción del Servicio (DeOS). 

Todas las claves para prevenir un ataque DDos

Un poco antes, en octubre de 2016, un DDoS masivo dirigido a Dyn ( compañía que controla gran parte de la infraestructura del sistema de nombres de dominio de Internet) causó una interrupción masiva en gran parte de los EEUU y Europa, con caídas de webs tan populares como Twitter, The Guardian, Netflix o la CNN.

Ataques de fuerza bruta que tienen en blogs y webs una víctima potencial muy sencilla de atacar, ya que los sistemas de seguridad, balanceo de la carga y firewall no suelen estar preparados para recibir y discernir tanto tráfico llegando de forma simultánea. Entender cómo funcionan estos ataques y qué herramientas tenemos a nuestro alcance para evitarlos son puntos esenciales en cualquier estrategia de ciberseguridad que se precie en nuestros días.

Tipos de ataques DDoS

  • Ataques de conexión TCP: intentan ocupar todas las conexiones disponibles que hay a su sitio. Esto incluye todos los dispositivos físicos que prestan servicio a la web, como enrutadores, firewalls y servidores de aplicaciones. No olvidemos que los dispositivos físicos siempre tienen conexiones limitadas.
  • Ataques volumétricos: inundan la red de su web con datos. Esto funciona ya sea superando su servidor, o incluso ocupando todo el ancho de banda disponible que se dirige a su servidor. Sería algo así como una inundación o atasco de tráfico, donde nada se puede mover.
  • Ataques de fragmentación: envían bits y piezas de múltiples paquetes de datos a su servidor. De esta manera, el servidor se mantendrá ocupado tratando de volver a armarlos y no será capaz de manejar cualquier otra cosa.
  • Ataques de aplicación: apuntan específicamente a un aspecto o servicio del portal. Estos son más peligrosos, porque con una orientación limitada, es posible que no se dé cuenta de que está bajo ataque hasta que algo deje de funcionar correctamente.

Consejos para prevenir ataques DDoS

Los expertos no dudan en enarbolar una serie de recomendaciones que, si bien no nos garantizan quedar al margen de las crecientes campañas de ataques DDoS, si que nos darán alguna posibilidad de que nuestra web no se ‘caiga’ ante una amenaza de este tipo. Entre estos consejos encontramos:

  • Usar Proxy Protection: Un proxy es un buffer que protege su sitio web de Internet, algo así como una valla. Esto ofrece una capa adicional de protección que podría servir para advertirte por adelantado de un ataque entrante. También oculta su dirección IP real, aunque todo esto es invisible para los visitantes legítimos de la web.

Las empresas españolas, demasiado expuestas a los ataques DDoS

  • Protección contra IP falsificadas : los ciberdelincuentes son aficionados a ocultar sus direcciones IP reales secuestrando otras para su propio uso. Muchas direcciones populares pueden protegerse manteniendo una lista de control de acceso (ACL) para bloquear el acceso desde ciertas direcciones IP.
  • Tener ancho de banda escalable: aunque el ancho de banda es costoso, hoy en día muchos servidores ofrecen planes escalables que pueden ser útiles en momentos críticos. Los DDoS tienen éxito al tratar de superar el ancho de banda disponible, por lo que mantener una zona de amortiguación puede retrasar un poco el ataque y darnos tiempo de tomar medidas para evitarlo.

Por otro lado, existen numerosos proveedores en el mercado que proporcionan herramientas de seguridad específicamente diseñadas para prevenir y responder ante un ataque de denegación de servicio. Entre ellos encontramos a Akamai (que abarca desde grandes corporaciones con su Kona Site Defender hasta webs más modestas), Incapsula, Arbor Networks (su solución se llama ATLAS), Verisign (conocido popularmente por sus certificados de seguridad) o Cloudflare.

Sobre el autor de este artículo

Alberto Iglesias Fraga

Periodista especializado en tecnología e innovación que ha dejado su impronta en medios como TICbeat, La Razón, El Mundo, ComputerWorld, CIO España, Kelisto, Todrone, Movilonia, iPhonizate o el blog Think Big, entre otros. También ha sido consultor de comunicación en Indie PR. Ganador del XVI Premio Accenture de Periodismo y Finalista en los European Digital Mindset Awards 2016 y 2017.

  • maca3d

    Realmente a nivel de cliente final poco puede hacer para ataques decentes, sin entrar ya en los bloqueos por fuerza bruta y ataques asequibles a nivel final… Los CDN son muy bonitos y efectivos frente a atacantes poco expertos porque las botnet de pago actuales tienen para saltarse los CDN y ofrecerte la ip real, y una vez que la tengan la has cagado. Llegados a este punto (hablando de ataques serios ddos) dependes de tu proveedor y pasan dos cosas:

    a) que tengas un sistema antiddos en el que tu proveedor este dispuesto a frenar el ataque por encima tuya y esto lo conseguirá con hardware y/o ancho de banda superior al atacante, y ya puedes ser importante y pagar bien a tu proveedor para que quiera hacer esto porque la mayoría de empresas y datacenters, etc.., te meten un blackhole para no poner en riesgo el resto de su infraestructura.

    b) Si tienes suerte de que tu proveedor tiene un sistema antiddos por BGP entonces estas de suerte porque seguramente meta el tráfico por alguna empresa especializada en ataques ddos con gran poder de mitigación y lo devuelva limpio al cpd de origen, y en ese caso da igual que sepan la ip final…esto es lo más efectivo y lo que tenemos nosotros