Cómo prevenir ataques DoS

En informática, un ataque de denegación de servicio (DoS) es un intento de hacer que una máquina o recurso de red no esté disponible para sus usuarios previstos, como interrumpir o suspender temporal o indefinidamente los servicios de un host conectado a Internet. La denegación de servicio generalmente se logra inundando la máquina o recurso objetivo con solicitudes superfluas en un intento de sobrecargar los sistemas y evitar que se cumplan algunas o todas las solicitudes legítimas.

Con el firewall de aplicaciones web dotDefender puede evitar ataques DoS porque dotDefender inspecciona su tráfico HTTP y comprueba sus paquetes contra reglas tales como permitir o denegar protocolos, puertos o direcciones IP para evitar que las aplicaciones web sean explotadas.

Diseñado como software plug & play, dotDefender proporciona una protección óptima y lista para usar contra amenazas DoS, secuencias de comandos entre sitios, ataques de inyección SQL, recorrido de rutas y muchas otras técnicas de ataque web.

Las razones por las que dotDefender ofrece una solución tan completa para las necesidades de seguridad de su aplicación web son:

Instalación sencilla en servidores Apache e IIS

Fuerte seguridad contra ataques de piratería conocidos y emergentes

Las mejores reglas de seguridad predefinidas para una protección instantánea

Interfaz y API para administrar múltiples servidores con facilidad

No requiere hardware adicional y se escala fácilmente con su negocio

Las respuestas defensivas a los ataques de denegación de servicio generalmente implican el uso de una combinación de detección de ataques, clasificación de tráfico y herramientas de respuesta, con el objetivo de bloquear el tráfico que identifican como ilegítimo y permitir el tráfico que identifican como legítimo. Una lista de prevención y respuesta Las herramientas se proporcionan a continuación:

Aplicación de hardware frontal

El hardware front-end de la aplicación es hardware inteligente colocado en la red antes de que el tráfico llegue a los servidores. Se puede usar en redes junto con enrutadores y conmutadores. El hardware front-end de la aplicación analiza los paquetes de datos a medida que ingresan al sistema y luego los identifica como prioritarios, regulares o peligrosos. Hay más de 25 proveedores de gestión de ancho de banda.

Indicadores clave de finalización de nivel de aplicación

Para cumplir con el caso de ataques DDoS a nivel de aplicación contra aplicaciones basadas en la nube, los enfoques pueden basarse en un análisis de la capa de aplicación, para indicar si un volumen de tráfico entrante es legítimo o no y, por lo tanto, permitir la activación de decisiones de elasticidad sin las implicaciones económicas de un ataque DDoS.

Estos enfoques se basan principalmente en una ruta de valor identificada dentro de la aplicación y monitorean el progreso macroscópico de las solicitudes en esta ruta, hacia la generación final de ganancias, a través de marcadores denotados como Indicadores clave de finalización.

Blackholing y hundimiento

Con el enrutamiento de agujero negro, todo el tráfico al DNS o la dirección IP atacada se envía a un “agujero negro” (interfaz nula o un servidor inexistente). Para ser más eficiente y evitar afectar la conectividad de la red, el ISP puede administrarlo.

Un sumidero DNS dirige el tráfico a una dirección IP válida que analiza el tráfico y rechaza los paquetes defectuosos. Sinkholing no es eficiente para la mayoría de los ataques severos.

Prevención basada en IPS

Los sistemas de prevención de intrusiones (IPS) son efectivos si los ataques tienen firmas asociadas a ellos. Sin embargo, la tendencia entre los ataques es tener contenido legítimo pero malas intenciones. Los sistemas de prevención de intrusiones que funcionan en el reconocimiento de contenido no pueden bloquear los ataques DoS basados ​​en el comportamiento.

Un IPS basado en ASIC puede detectar y bloquear ataques de denegación de servicio porque tienen el poder de procesamiento y la granularidad para analizar los ataques y actuar como un interruptor automático de manera automatizada.

Un IPS basado en velocidad (RBIPS) debe analizar el tráfico de forma granular y monitorear continuamente el patrón de tráfico y determinar si existe una anomalía de tráfico. Debe permitir que el tráfico legítimo fluya mientras bloquea el tráfico de ataque DoS.

Defensa basada en DDS

Más centrado en el problema que IPS, un sistema de defensa DoS (DDS) puede bloquear los ataques DoS basados ​​en conexión y aquellos con contenido legítimo pero con malas intenciones. Un DDS también puede abordar tanto los ataques de protocolo (como la lágrima y el ping de la muerte) como los ataques basados ​​en la velocidad (como las inundaciones ICMP y las inundaciones SYN).

Cortafuegos

En el caso de un ataque simple, un firewall podría tener una regla simple agregada para negar todo el tráfico entrante de los atacantes, en base a protocolos, puertos o las direcciones IP de origen.

Sin embargo, los ataques más complejos serán difíciles de bloquear con reglas simples: por ejemplo, si hay un ataque continuo en el puerto 80 (servicio web), no es posible eliminar todo el tráfico entrante en este puerto porque al hacerlo evitará que el servidor sirviendo tráfico legítimo. Además, los firewalls pueden ser demasiado profundos en la jerarquía de la red, con enrutadores afectados negativamente antes de que el tráfico llegue al firewall.

Enrutadores

Al igual que los conmutadores, los enrutadores tienen cierta capacidad de limitación de velocidad y ACL. Ellos también se configuran manualmente. La mayoría de los enrutadores se pueden abrumar fácilmente bajo un ataque DoS. Cisco IOS tiene características opcionales que pueden reducir el impacto de las inundaciones.

Interruptores

La mayoría de los conmutadores tienen cierta capacidad de limitación de velocidad y ACL. Algunos conmutadores proporcionan limitación de velocidad automática y / o en todo el sistema, conformación de tráfico, enlace retrasado (empalme TCP), inspección profunda de paquetes y filtrado Bogon (filtrado IP falso) para detectar y remediar ataques DoS a través del filtrado automático de velocidad y la conmutación por error de enlace WAN y el equilibrio .

Estos esquemas funcionarán siempre y cuando los ataques DoS se puedan evitar al usarlos. Por ejemplo, la inundación SYN puede evitarse mediante el enlace retrasado o el empalme TCP. Del mismo modo, el DoS basado en contenido puede evitarse mediante la inspección profunda de paquetes. Los ataques que se originan en direcciones oscuras o que se dirigen a direcciones oscuras se pueden evitar mediante el uso del filtrado automático de velocidad, siempre que los umbrales de velocidad establecidos se hayan configurado correctamente. La conmutación por error de Wan-link funcionará siempre que ambos enlaces tengan un mecanismo de prevención DoS / DDoS.

Filtrado aguas arriba

Todo el tráfico pasa a través de un “centro de limpieza” o un “centro de depuración” a través de varios métodos, como servidores proxy, túneles o incluso circuitos directos, que separa el tráfico “malo” (DDoS y también otros ataques comunes de Internet) y solo envía un buen tráfico más allá al servidor El proveedor necesita conectividad central a Internet para administrar este tipo de servicio a menos que estén ubicados dentro de las mismas instalaciones que el “centro de limpieza” o el “centro de lavado”.

Related Content

¿Se acabó el fiasco de WannaCry Ransomware? ¿Cómo escapar de eso?

¿Es Mcafee el mejor antivirus?

Olvidé la contraseña ¿Cómo puedo extraer mis archivos comprimidos?

¿Cuáles son las formas y herramientas más seguras y efectivas necesarias para proteger y proteger una computadora portátil Debian y un servidor Debian?

¿Codificar bien implica competencia en piratería? Explique la diferencia, similitudes e interrelaciones entre ellos.

Es posible que no pueda “evitar” que alguien inicie un ataque DoS, pero puede mitigar su efectividad. En primer lugar, tener algo como un proxy inverso, o mejor aún, un equilibrador de carga, puede ayudar a evitar que sus servidores exploten. Si tiene un WAF en ese Load Balancer / ADC y una aplicación front-end, puede bloquear las direcciones IP que participan en el ataque DoS.

Creamos un laboratorio utilizando HP LoadRunner y el servidor de aplicaciones SAP y colocamos un Load Balancer delante:

A las redes se les pueden asignar diferentes límites, lo que permite más conexiones de fuentes confiables. En el caso de un ataque de Denegación de Servicio (DOS), LoadMaster eliminará cualquier conexión que exceda el valor permitido. Esta acción protegerá la carga de trabajo publicada de cualquier acceso malicioso y evitará un impacto no deseado en el rendimiento.

David Quaid

No puedes Bueno, dos es un problema de red. Al final, depende de la capacidad de su servidor y del equilibrio de carga de hardware. Probablemente, usted pueda aplicar muchas cosas para prevenir los pequeños dos en lugar de prevenir los dos grandes.

en el ataque dos, un atacante envía la mitad de la solicitud http al servidor, estoy hablando del servidor web.

La pregunta es por qué el atacante envía la mitad de la solicitud http en lugar de enviar la solicitud http completa porque si el atacante envía la solicitud completa y el servidor devuelve la respuesta en un tiempo mínimo y el ataque no puede mantener el servidor ocupado o consumir los recursos del servidor. Porque en dos tenemos que mantener el servidor ocupado para que el usuario genuino no pueda abrir el sitio web.

Puede bloquear toda la mitad de la solicitud http.

Puede aplicar el equilibrio de carga de hardware.

puedes aplicar anti slowloris.

David Quaid

La única forma de prevenir tales ataques es desconectar todos sus hosts de Internet.

Como probablemente no sea conveniente para usted, todo lo que puede hacer es contratar a un proveedor de mitigación de DDoS como Cloudflare o Prolexic. Ayudan a los ataques contundentes al distribuir el flujo de paquetes y el tráfico negro. Si solo es un sitio de alevines pequeños, busque un proveedor de alojamiento que use estos servicios.

Monica Dawson

More Interesting

¿Qué es la granja porno Turing?

¿Son las grandes vacantes en los trabajos de seguridad cibernética un mito?

¿Cómo podría estructurar un ataque DDOS de crowdsourcing de una manera legalmente compatible?

¿La NSA siempre llega al final de encontrar hackers buscados?

¿Qué porcentaje de los 50 sitios web más visitados almacenan contraseñas en texto plano?

¿Cuáles son las mejores herramientas de Linux para el análisis de volcado de memoria?

¿Qué usan más los probadores, Metasploit o mimikatz? ¿Y cuáles son los escenarios más comunes que se realizan con cada uno?

¿Cuáles son las reglas para una buena contraseña?

¿Es NTRO un comando cibernético creíble de la India?

¿Existe alguna herramienta de explotación automática para vulnerabilidades de desbordamiento de búfer similar a SQLmap?

Pensando en estudiar la seguridad de la red. ¿Algún consejo? ¿Me arrepentiré de esto por alguna razón?

Si se puede pasar por alto el Gran Firewall de China con VPN de fácil acceso, ¿eso no hace que el Firewall sea más o menos ineficaz y obsoleto?

¿Mi cuenta de LINE ha sido hackeada?

¿Es posible piratear cámaras de seguridad como en Watch Dogs? ¿Si es así, cómo?

Cómo eliminar el ransomware Sage