Estamos tan acostumbrados a leer noticias sobre ataques de denegación de servicio que casi no nos llaman la atención cuando aparece una nueva. Por desgracia, debido a la relativa facilidad de realizar algunos ataques DDoS (Distributed Denial of Service), hoy en día, se han convertido en una práctica habitual.
Cualquier servidor puede ser susceptible de ser atacado, ya sean servers que usan empresas o instituciones gubernamentales, y que almacenan datos sensibles o software corporativo; o servidores de juegos online -que también suelen ser el blanco fácil de los atacantes- a los que conectan millones de usuarios, por poner algunos ejemplos.
Un ataque puede ralentizar la navegación, dejar sin acceso a la página, provocar pérdidas económicas y de clientes e, incluso, una crisis reputacional
En el caso de que un sitio web reciba un ataque importante, el tiempo de carga se irá incrementando en diversos segundos. Es algo muy molesto para los usuarios, hasta el punto de no dejarles acceder a la página, además de poder provocar pérdidas económicas si se tratase de un e-commerce. Y no hablemos de la crisis reputacional y de retención de clientes que puede causar a una marca o compañía si una página web no carga debidamente o si el usuario no puede completar su compra con rapidez.
Si hablamos del ataque DDoS a un servidor de juegos online, las consecuencias también pueden ser desastrosas. En el caso de una web, hablábamos del aumento del tiempo de carga, pero, en un server de juegos, un ataque puede provocar la desconexión inmediata de todos los jugadores y que el juego sea imposible de disfrutar.
Escoger un proveedor cloud con un buen filtrado anti-DDoS es clave
En una plataforma cloud, normalmente, los servicios de anti-DDoS se activan cuando se detecta un volumen alto de tráfico hacia el servidor. De esta forma, no se saturan innecesariamente las plataformas de filtrado con tráfico legítimo. Pero para servidores susceptibles de recibir ataques masivos constantes -como los servidores de gaming o de softwares de chat de voz como TeamSpeak-, muchas veces es necesario una protección extra.
Anti-DDoS Estricto es una nueva opción de Clouding.io que protege los servidores sin coste adicional, filtrando por defecto todo el tráfico y no solo cuando hay un alto volumen
Por eso, existen opciones de filtrado más severas como la funcionalidad que ha lanzado Clouding.io, llamada Anti-DDoS Estricto. Una nueva opción de protección para sus servidores, sin coste adicional, que filtra por defecto todo el tráfico mediante este sistema Estricto, y no solo en el momento en que se registra un alto volumen de tráfico al server. De esta forma, los ataques se detectan y filtran mucho más rápido, una cuestión importante para esos servidores más susceptibles de ser vulnerados.
Si eres usuario de Clouding.io y tu servidor cloud es objeto de ataques muy frecuentes, puedes activar esta opción estricta. No te costará ni un euro extra, al estar incluida entre los servicios que ofrecen. Solo debes clicar en el botón de activación del Anti-DDoS Estricto durante el proceso de creación de tu servidor en el panel de cliente o habilitar la opción si estás iniciando tu servidor mediante la API de Clouding.
En cambio, si tu máquina virtual no recibe ataques normalmente, no debes preocuparte por accionar nada. El potente Anti-DDoS Estándar de este proveedor cloud español está siempre alerta y permitirá que tu server esté disponible, lejos de cualquier eventual ataque.
En Clouding se toman el tema de la seguridad y disponibilidad del servicio en serio y han incluido por defecto un anti-DDoS que consta de 3 fases de filtrado: un primer filtrado local en los Hypervisors, un cribado local en sus firewalls centrales y un filtrado externo a nivel internacional.
En definitiva, una implementación que mitiga desde ataques relativamente pequeños de pocos cientos de Mbps hasta ataques de miles de Gbps, y que se activa de forma automática en caso de amenaza.
¿Cómo funciona exactamente un ataque DDoS?
Un ataque DoS (Denial of Service) es cualquier ataque que consigue negar un servicio online. Y si hablamos de un ataque DDoS (Distributed Denial of Service), nos referimos a un ataque DoS pero realizado de forma simultánea desde diversos orígenes.
Es interesante señalar que no todo lo que parece ser un DDoS lo es. Es decir, hay ataques DoS que pueden parecer un DDoS. Por ejemplo, desde ciertas conexiones, es posible enviar paquetes IP falseando la dirección IP de origen, con lo que un ataque de este tipo nos parecería un DDoS cuando realmente es un DoS.
Imagen realizada en el Data Center de Clouding.io.
Los ataques DDoS buscan denegar el servicio mediante un alto volumen de tráfico o peticiones, y pueden ser más o menos complejos en su ejecución. Por ejemplo, uno de los más comunes consiste en lanzar desde diferentes orígenes un gran volumen de paquetes UDP al servicio o servidor que el atacante quiere inutilizar. Éste sería el que se conoce como un ataque UDP Flood (un ataque volumétrico vía UDP).
Por ejemplo, si nuestro servicio se encuentra conectado a Internet con una línea de 10 Gbps, en el momento en que 20 orígenes diferentes nos lanzan 1 Gbps de tráfico cada uno, nuestro servidor estará recibiendo 20 Gbps de tráfico, saturando nuestra conexión y no dejando suficiente ancho de banda para que los clientes legítimos accedan.
Si los atacantes tienen disponible más ancho de banda que nosotros, poco podremos hacer a nivel local en el servidor afectado para filtrar el ataque
Existe una gran variedad de posibles ataques, desde los más sofisticados a los más fáciles de identificar. Los ataques Flood pertenecen a este último grupo y son de los más habituales.
Para mitigarlos, se debe reconocer la IP que está enviando el mayor volumen de tráfico al servicio y bloquear su tráfico. Esto es algo relativamente sencillo, incluso a nivel local en un servidor. Por ejemplo, utilizando ciertos módulos y reglas de iptables en Linux.
Pero estos ataques buscan saturar la conexión de nuestro servidor. Por tanto, si los atacantes de forma conjunta tienen disponible más ancho de banda que nosotros, poco podremos hacer a nivel local en el servidor afectado para filtrar el ataque.
Conocemos también otros tipos de ataques, desde aquellos realizados a recursos de nuestro servicio -por ejemplo, identificar una URL de nuestra web que consuma muchos ciclos de CPU para ser servida y consultarla continuamente- hasta ataques de reflexión, donde el atacante se aprovecha de servicios mal configurados -DNS, SNMP, memcached, etc.- para convertir una pequeña request en una respuesta de mucho más tamaño.
En muchos de estos casos, necesitaremos un filtrado de ataques DDoS. Es decir, un sistema con mayor capacidad -e “inteligencia”- que nuestro servidor para detectar y filtrar los diferentes ataques que pueda recibir, entregándonos solo lo que se denomina como “tráfico limpio” o “tráfico legítimo”. En caso contrario, las solicitudes de nuestros clientes legítimos se mezclarán con los del atacante, haciendo que los primeros no pueda acceder a nuestro servicio correctamente.
Imágenes: Sam Zucker
