Técnicas, soluciones y buenas prácticas para mitigar ataques de DDoS

Respecto a la configuración de la red y servicios para reducir la probabilidad de ataques de DDoS y fortalecer la infraestructura frente a los mismos, es recomendable implementar (si es factible): redundancia y distribución de carga; rate limiting; filtrado de tráfico; anycast routing; capacidad de sobrecarga; protección a nivel de protocolo; y sistemas de detección y respuesta temprana. En el documento publicado en la web I+D de LACNIC pueden acceder en detalle a estas buenas prácticas y sugerencias para implementar en sus redes.

Por su parte, las técnicas de mitigación son útiles para moderar la afectación o el impacto de un ataque. En ese sentido, una organización víctima de un ataque de DDoS verá minimizado el impacto del mismo si cuenta con herramientas que detectan ese tipo de situaciones y controlan los ataques de DDoS o si posee un plan de mitigación para este tipo de ataques.

Soluciones Anti DDoS existentes en el mercado. En el mercado existen diferentes herramientas anti-DDoS ofrecidas por proveedores y empresas. Hay soluciones comerciales y otras de código abierto. La elección de la mejor solución para cada organización depende de diversos factores, como el presupuesto, el nivel de protección requerido y la infraestructura existente.

Si bien en nuestro documento se detallan más ampliamente sobre las características y los beneficios de cada una de ellas, podemos listar a Cloudflare, Akamai, Amazon Web Services (AWS) Shield, Google Cloud Armor, Imperva Incapsula, Arbor Networks, F5 Networks, como las más utilizadas por su eficacia y capacidad para manejar grandes volúmenes de tráfico, así como su facilidad de integración y uso.

En relación a las soluciones de código abierto vale la pena mencionar a Haproxyr, Gatekeeper, FastNetMon, entre otras. Estas herramientas son valiosas para administradores de sistemas y desarrolladores que buscan proteger sus aplicaciones y redes sin incurrir en grandes costos de licencias.

Finalmente debemos mencionar que existen ISPs o proveedores de seguridad que también ofrecen a sus clientes servicios de depuración de DDoS. Los mismos consisten en enviar a la organización el tráfico limpio después de absorber el ataque, porque se supone que tienen la inteligencia para detectar y descartar la mayoría de los tipos de ataques DDoS. Estos servicios deben complementarse con soluciones DNS y BGP para que sean eficaces.

Desde LACNIC CSIRT exhortamos a las organizaciones a analizar si cuentan con las medidas mencionadas líneas arriba o en su defecto la viabilidad de aplicarlas.