Técnicas, soluciones y buenas prácticas para mitigar ataques de DDoS
18/09/2024
Por Graciela Martínez y Guillermo Cicileo
Los ataques de DDoS (Denegación de Servicio/Denegación Distribuida de Servicio) constituyen un serio problema para las organizaciones de Internet. Estos ciberataques sobrecargan un servidor, servicio o red con un gran volumen de tráfico con el objetivo de que el recurso sea inaccesible para los usuarios legítimos.
Tal como abordamos en nuestro artículo anterior, estos ataques son una de las preocupaciones más comunes de los ISP.
Los ataques DDoS se producen por la explotación de vulnerabilidades en las distintas capas del Stack TCP/IP o por el abuso de la capacidad de la red para manejar grandes volúmenes de tráfico. Por ello es importante implementar una protección integral en la organización.
Desde LACNIC CSIRT compartimos con la comunidad distintas acciones que pueden complementar una solución DDoS y proteger servidores y redes.
Veamos buenas prácticas y técnicas existentes para mitigar ataques de DDoS, las que pueden complementarse con soluciones anti DDoS, comerciales u open source, descritas más adelante
Buenas prácticas y técnicas de mitigación de ataques. En esta primera parte describimos las principales acciones que pueden llevarse a cabo desde la organización, con el fin de prevenir ataques de DDOS (bajar su probabilidad de ocurrencia y/o minimizar su impacto).
Respecto a la configuración de la red y servicios para reducir la probabilidad de ataques de DDoS y fortalecer la infraestructura frente a los mismos, es recomendable implementar (si es factible): redundancia y distribución de carga; rate limiting; filtrado de tráfico; anycast routing; capacidad de sobrecarga; protección a nivel de protocolo; y sistemas de detección y respuesta temprana. En el documento publicado en la web I+D de LACNIC pueden acceder en detalle a estas buenas prácticas y sugerencias para implementar en sus redes.
Por su parte, las técnicas de mitigación son útiles para moderar la afectación o el impacto de un ataque. En ese sentido, una organización víctima de un ataque de DDoS verá minimizado el impacto del mismo si cuenta con herramientas que detectan ese tipo de situaciones y controlan los ataques de DDoS o si posee un plan de mitigación para este tipo de ataques.
Soluciones Anti DDoS existentes en el mercado. En el mercado existen diferentes herramientas anti-DDoS ofrecidas por proveedores y empresas. Hay soluciones comerciales y otras de código abierto. La elección de la mejor solución para cada organización depende de diversos factores, como el presupuesto, el nivel de protección requerido y la infraestructura existente.
Si bien en nuestro documento se detallan más ampliamente sobre las características y los beneficios de cada una de ellas, podemos listar a Cloudflare, Akamai, Amazon Web Services (AWS) Shield, Google Cloud Armor, Imperva Incapsula, Arbor Networks, F5 Networks, como las más utilizadas por su eficacia y capacidad para manejar grandes volúmenes de tráfico, así como su facilidad de integración y uso.
En relación a las soluciones de código abierto vale la pena mencionar a Haproxyr, Gatekeeper, FastNetMon, entre otras. Estas herramientas son valiosas para administradores de sistemas y desarrolladores que buscan proteger sus aplicaciones y redes sin incurrir en grandes costos de licencias.
Finalmente debemos mencionar que existen ISPs o proveedores de seguridad que también ofrecen a sus clientes servicios de depuración de DDoS. Los mismos consisten en enviar a la organización el tráfico limpio después de absorber el ataque, porque se supone que tienen la inteligencia para detectar y descartar la mayoría de los tipos de ataques DDoS. Estos servicios deben complementarse con soluciones DNS y BGP para que sean eficaces.
Desde LACNIC CSIRT exhortamos a las organizaciones a analizar si cuentan con las medidas mencionadas líneas arriba o en su defecto la viabilidad de aplicarlas.