Cómo proteger nuestro blog de un potencial ataque DDoS

¿Qué tipos de ataques DDoS existen en la actualidad? ¿Cómo prevenir una campaña de denegación de servicio en contra de nuestra web o blog? ¿Cuáles son las herramientas más destacadas del sector para luchar contra esta amenaza?

A finales de 2016, cinco grandes bancos rusos (incluyendo el estatal Sberbank) fueron el blanco de un ataque de denegación de servicio (DDoS, por sus siglas en inglés) sostenido, esto es, que sus servicios quedaron gravemente afectados durante varios días. La causa de este ataque DDoS la encontramos en la botnet Mirai, por la que millones de objetos conectados a Internet -como cámaras de videovigilancia- fueron utilizados para dirigir una inmensa cantidad de tráfico hasta la web de estas entidades bancarias con el fin de dejarlas inutilizables.

Esta campaña duró nada menos que 12 horas y, en sus momentos de mayor actividad, llegó a registrar hasta 660.000 solicitudes de acceso por segundo desde 24.000 dispositivos hackeados previamente en 30 países de todo el mundo. Por suerte, la operativa financiera continuó su curso y ningún proceso crítico se cayó por completo durante todo este tiempo.

Pero en muchos otros ataques DDoS no se corre la misma suerte. De hecho, un informe de Cisco ya ha previsto que este tipo de campañas -popularizadas por grupos como Anonymous para hacer públicas sus protestas- seguirán creciendo en número (hoy en día pueden comprarse servicios de DDoS en la Internet oscura por menos de 150 euros) y dureza, hasta convertirse en ataques de Destrucción del Servicio (DeOS). 

Un poco antes, en octubre de 2016, un DDoS masivo dirigido a Dyn ( compañía que controla gran parte de la infraestructura del sistema de nombres de dominio de Internet) causó una interrupción masiva en gran parte de los EEUU y Europa, con caídas de webs tan populares como Twitter, The Guardian, Netflix o la CNN.

Ataques de fuerza bruta que tienen en blogs y webs una víctima potencial muy sencilla de atacar, ya que los sistemas de seguridad, balanceo de la carga y firewall no suelen estar preparados para recibir y discernir tanto tráfico llegando de forma simultánea. Entender cómo funcionan estos ataques y qué herramientas tenemos a nuestro alcance para evitarlos son puntos esenciales en cualquier estrategia de ciberseguridad que se precie en nuestros días.

Tipos de ataques DDoS

  • Ataques de conexión TCP: intentan ocupar todas las conexiones disponibles que hay a su sitio. Esto incluye todos los dispositivos físicos que prestan servicio a la web, como enrutadores, firewalls y servidores de aplicaciones. No olvidemos que los dispositivos físicos siempre tienen conexiones limitadas.
  • Ataques volumétricos: inundan la red de su web con datos. Esto funciona ya sea superando su servidor, o incluso ocupando todo el ancho de banda disponible que se dirige a su servidor. Sería algo así como una inundación o atasco de tráfico, donde nada se puede mover.
  • Ataques de fragmentación: envían bits y piezas de múltiples paquetes de datos a su servidor. De esta manera, el servidor se mantendrá ocupado tratando de volver a armarlos y no será capaz de manejar cualquier otra cosa.
  • Ataques de aplicación: apuntan específicamente a un aspecto o servicio del portal. Estos son más peligrosos, porque con una orientación limitada, es posible que no se dé cuenta de que está bajo ataque hasta que algo deje de funcionar correctamente.

Consejos para prevenir ataques DDoS

Los expertos no dudan en enarbolar una serie de recomendaciones que, si bien no nos garantizan quedar al margen de las crecientes campañas de ataques DDoS, si que nos darán alguna posibilidad de que nuestra web no se ‘caiga’ ante una amenaza de este tipo. Entre estos consejos encontramos:

  • Usar Proxy Protection: Un proxy es un buffer que protege su sitio web de Internet, algo así como una valla. Esto ofrece una capa adicional de protección que podría servir para advertirte por adelantado de un ataque entrante. También oculta su dirección IP real, aunque todo esto es invisible para los visitantes legítimos de la web.
  • Protección contra IP falsificadas : los ciberdelincuentes son aficionados a ocultar sus direcciones IP reales secuestrando otras para su propio uso. Muchas direcciones populares pueden protegerse manteniendo una lista de control de acceso (ACL) para bloquear el acceso desde ciertas direcciones IP.
  • Tener ancho de banda escalable: aunque el ancho de banda es costoso, hoy en día muchos servidores ofrecen planes escalables que pueden ser útiles en momentos críticos. Los DDoS tienen éxito al tratar de superar el ancho de banda disponible, por lo que mantener una zona de amortiguación puede retrasar un poco el ataque y darnos tiempo de tomar medidas para evitarlo.

Por otro lado, existen numerosos proveedores en el mercado que proporcionan herramientas de seguridad específicamente diseñadas para prevenir y responder ante un ataque de denegación de servicio. Entre ellos encontramos a Akamai (que abarca desde grandes corporaciones con su Kona Site Defender hasta webs más modestas), Incapsula, Arbor Networks (su solución se llama ATLAS), Verisign(conocido popularmente por sus certificados de seguridad) o Cloudflare.

Escrito por Alberto Iglesias Fraga

You May Also Like

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.