Diferentes técnicas de mitigación de DDoS y comparación

Jul 6, 2020 | Ciberseguridad

Hace menos de una década, DDoS era una amenaza de ciberseguridad bastante simple de entender: se envía una gran cantidad de solicitudes para bloquear un servidor web y paralizar un sitio web. Esto es lo que conocemos como un ataque DDoS volumétrico.

Sin embargo, a lo largo de los años, no solo Internet ha evolucionado dramáticamente, sino que los ataques DDoS también han evolucionado. Ahora, los sofisticados ataques DDoS pueden apuntar a la capa más profunda del modelo OSI que ataca las aplicaciones, lo que permite una escala de ataque mucho mayor con riesgos potenciales más graves. Esto se conoce como Layer 7 o ataque DDoS a nivel de aplicación .

Dicho esto, la mitigación de DDoS ahora es más importante que nunca, y aquí, discutiremos tres técnicas comunes de mitigación de DDoS. Cada uno tiene sus propias ventajas e inconvenientes, y cada uno podría ser mejor para diferentes casos de uso.

Tubo limpio

‘ Clean Pipe’ es una de las técnicas de mitigación de DDoS más comunes. En esta técnica, todo el tráfico entrante debe pasar a través de una ‘tubería limpia’, también conocida como ‘centro de lavado’.

En el pasado, configurar un sistema de tuberías limpio es muy complejo, donde necesita implementar:

  1. Un enrutador BGP (Border Gateway Protocol)
  2. Hardware capaz de terminar un túnel GRO
  3. Internet con direcciones IP enrutables (prefijos)

Sin embargo, hoy en día podemos instalar un sistema de detección de bot en nuestra red y el bot puede detectar cada solicitud entrante a su sitio web mediante el análisis del 100% de las solicitudes entrantes al sitio web y las aplicaciones, y bloqueará el tráfico que se detecte como malicioso.

También es importante tener en cuenta que el sistema de detección debería ser capaz de detectar de manera efectiva los ataques conocidos (mediante validación y validación como huellas digitales HTTP, coincidencia de patrones de reglas personalizadas, autenticación, etc.), y también amenazas nuevas y desconocidas (que se identifican mediante detección conductual-estadística). Con los cibercriminales cada vez más sofisticados que nunca, la detección predictiva es muy importante.

Por lo tanto, invertir en un buen sistema de detección y prevención de DDoS es posiblemente la técnica más importante que puede hacer.

Reducir la «superficie de ataque» de su sitio

En pocas palabras, la superficie de ataque de su sitio es la cantidad total de recursos que están potencialmente expuestos a ataques DDoS. Cuantos menos elementos tenga aquí, en general, más fácil será proteger su sistema y mitigar el ataque entrante.

En el pasado, cuando todo en nuestro sistema es físico y tangible, crear una barrera definida para proteger esta superficie de ataque es mucho más simple. Sin embargo, cosas como redes definidas por software, Internet de las cosas y almacenamiento / computación en la nube han borrado las líneas y han causado que la superficie de ataque crezca exponencialmente.

El principio básico a recordar es que todos los dispositivos conectados a Internet son objetivos potenciales de ataques DDoS. Aquí hay algunas formas que podemos hacer para reducir estas superficies de ataque.

  • Elimine elementos innecesarios: las redes que son innecesariamente complejas pueden producir vulnerabilidades por la posibilidad de errores humanos y otros problemas. Asegúrese de que su sistema sea lo más simple posible.
  • Analice las vulnerabilidades: evalúe cómo un ataque DDoS podría llegar a los puntos débiles de su sistema. Es posible que deba crear un modelo en tiempo real de lo que podría suceder con su sistema.
  • Segmentación de red: segmentar sus redes puede ayudar a reducir la superficie de ataque, ya que puede agregar el número de barreras a medida que viajan a través de la red. Idealmente, deberíamos apuntar a implementar medidas de seguridad individuales en una sola aplicación o máquina.

Enfoque de dilución de CDN

CDN (Content Delivery Network) es un sistema de una red distribuida que entrega contenido web y páginas a un usuario.

Dado que el CDN se distribuye en la naturaleza, el sitio web se coloca en varios servidores en lugar de un servidor, es mucho más difícil de eliminar. Además, la tecnología CDN presenta un gran ancho de banda, por lo que podemos usarla de manera efectiva para mitigar los ataques DDoS volumétricos de capa 3 / capa 4 (red / transporte).

En general, el servidor CDN funciona como un proxy inverso para la aplicación web. En esta técnica, todas las solicitudes entrantes serán manejadas primero por el servidor CDN, que detectará y filtrará el tráfico malicioso. Solo se enviará tráfico legítimo al servidor real.

La dilución de CDN es en realidad una de las técnicas de mitigación de DDoS más completas por varias razones:

  1. Ofrece un protocolo bien definido.
  2. Siempre está activo 24/7 y bastante rápido para detectar tráfico malicioso
  3. Los servidores CDN son conscientes del contexto de la aplicación y son bastante buenos para mitigar los ataques DDoS de capa 7

Sin embargo, una debilidad clave de la dilución de CDN es que solo puede aplicarse a aplicaciones web y no puede usarse en los servicios de aplicaciones TCP / UDP. Si ejecuta el servicio TCP / UDP, puede usar la siguiente opción que discutiremos a continuación.

Proxy TCP / UDP Anti-DDOS

Si utiliza el servicio UDP o TCP en sus redes, como servidores web, correo electrónico (SMTP), servidores web y acceso SSH, siempre tendrá puertos abiertos expuestos. Esta es la razón por la cual los servicios TDP / UDP son vulnerables a los ataques DDoS volumétricos (capa 3 / capa 4) y también a otras amenazas de ciberseguridad como el robo de datos.

Para abordar este problema, podemos usar el proxy TCP / UDP invertido para mitigar los ataques DDoS en las aplicaciones TCP / UDP. En su principio básico, el proxy anti-DDoS funciona de manera bastante similar a la dilución CDN, como se discutió anteriormente: todas las solicitudes se envían al proxy inverso, y luego el proxy filtrará los ataques maliciosos basados ​​en un perfil existente. Sin embargo, los proxies TCP / UDP se configuran por aplicación en lugar de por dominio (como la técnica CDN).

El proxy TCP / UDP anti-DDoS está siempre activo las 24 horas, los 7 días de la semana sin ningún tiempo de espera, y puede mitigar efectivamente los ataques DDoS bajos y lentos. Sin embargo, un inconveniente importante de esta técnica es que la IP de origen ha cambiado y, por lo tanto, no hay forma de obtener la IP del visitante real (que puede ser un problema muy importante para ciertas aplicaciones).

Palabras finales

Si bien los ataques DDoS pueden haber aumentado en frecuencia y sofisticación, hay muchas formas diferentes de implementar técnicas de mitigación DDoS de acuerdo con sus necesidades y casos de uso específicos.

La mitigación de DDoS ahora es extremadamente importante en el entorno de ciberseguridad actual, y es esencial elegir el método correcto para proteger su red de DDoS y otros ataques de ciberseguridad. Es mejor evaluar primero la condición de nuestra red y el equipo disponible, para que podamos elegir la técnica correcta de acuerdo con el caso de uso.

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *