What is DDoS mitigation? Protecting your network

• Un ataque DDoS implica el uso de múltiples dispositivos conectados en línea, conocidos colectivamente como una botnet, que satura un sitio web objetivo con tráfico falso. No intenta violar el perímetro de seguridad, sino que se centra en hacer que los sitios web y servidores no estén disponibles para usuarios autorizados y legítimos.
• La mitigación de DDoS es el proceso de proteger con éxito un servidor o red objetivo contra un ataque DDoS, mediante el cual la víctima puede mitigar la amenaza entrante utilizando dispositivos de red especialmente diseñados o servicios de protección basados en la nube.
• La mitigación de DDoS abarca cuatro fases cruciales: absorción para protegerse contra el tiempo de inactividad, pruebas para identificar y verificar patrones de ataque, prevención para bloquear tráfico malicioso y represalias para gestionar y reducir eficazmente los falsos positivos, protegiendo en última instancia contra las amenazas cibernéticas disruptivas.

Los ataques DDoS, también conocidos como ataques de denegación de servicio distribuido, son una forma de asalto cibernético dirigido a aplicaciones o sitios web específicos. En 2023, los ataques a la capa de aplicación aumentaron un 165%, siendo el sector tecnológico el principal objetivo entre todas las industrias. Por lo tanto, es imperativo implementar una estrategia sólida de mitigación de DDoS para garantizar un tiempo de actividad y resiliencia constantes. Ver también: Ziggo Group nombra a sus líderes antes de su salida a bolsa en Ámsterdam en 2027.

Lea también: 4 cosas clave que saber sobre los ataques DDoS

Proceso de ataque DDoS

El ataque DDoS, ataque de denegación de servicio distribuido, consiste en que el atacante aprovecha las vulnerabilidades de las máquinas y sistemas existentes en Internet para capturar un gran número de hosts en red y convertirlos en agentes del atacante. Ver también: Asociación ECHOES.

Cuando el número de máquinas proxy de ataque controladas satisface al atacante, este puede emitir órdenes de ataque en cualquier momento a través del maestro de ataque. Ver también: IT Department - Athlok.

El controlador maestro de ataque es muy sigiloso de localizar debido a su ubicación muy flexible y al corto tiempo que tarda en emitir la orden. Una vez que la orden de ataque se transmite al manipulador de ataque, el maestro puede apagarse o desconectarse de la red para evitar el rastreo, y el manipulador de ataque libera la orden a cada agente de ataque. Ver también: Alejandro Estua.

Después de que la máquina agente de ataque recibe la orden de ataque, comienza a enviar muchos paquetes de solicitud de servicio al host objetivo. Estos paquetes están camuflados para que el atacante no pueda identificar su origen, y los servicios solicitados por estos paquetes tienden a consumir mayores recursos del sistema, como CPU o ancho de banda de red. Ver también: Alejandro Manzo.

Si cientos o incluso miles de proxies de ataque atacan un objetivo al mismo tiempo, puede provocar el agotamiento de los recursos de red y sistema del host objetivo, deteniendo así el servicio. A veces, esto puede incluso provocar un bloqueo del sistema. Ver también: Alejandro Hernandez.

Esto también puede bloquear dispositivos de red como firewalls y enrutadores en la red objetivo, agravando aún más la congestión de la red. Como resultado, el host objetivo no puede proporcionar ningún servicio a los usuarios normales. Los protocolos utilizados por los atacantes son algunos protocolos y servicios muy comunes. Esto dificulta que los administradores de sistemas distingan entre solicitudes maliciosas y solicitudes de conexión normales, haciendo imposible separar eficazmente los paquetes de ataque y dificultando la defensa. Ver también: Alejandro Garza.

Lea también: ChatGPT cayó debido a un ataque DDoS, no a su popularidad

Concepto de DDoS mitigación

La mitigación de DDoS es la práctica de proteger un servidor o red de un ataque DDoS bloqueando y absorbiendo con éxito los picos maliciosos en el tráfico de red y el uso de aplicaciones. Se utiliza un servicio de protección basado en la nube o un equipo de red especial para mitigar la amenaza entrante. Hacerlo no impide el flujo de tráfico legítimo. Ver también: Alejandro Guerrero.

La mitigación de DDoS contrarresta los riesgos comerciales que son el resultado de los ataques DDoS contra una organización. Estas técnicas de mitigación están diseñadas específicamente para priorizar la preservación de la disponibilidad de los recursos que los atacantes pretenden interrumpir.

La mitigación de DDoS también tiene como objetivo acelerar el tiempo de respuesta a los ataques DDoS, ya que la mayoría de las veces, los ataques son más una táctica de distracción que intenta desviar la atención de otros ataques más graves en otras partes de la red.

¿Por qué es necesaria la mitigación de DDoS?

La lógica básica de la composición de la red conduce a una ventaja en las tácticas de denegación de servicio por parte de los disruptores en línea, quienes pueden lograr operaciones de ataque relevantes al dejar su negocio fuera de línea durante minutos, horas o semanas.

Según Kaspersky, un software antivirus de renombre internacional, los ataques DDoS cuestan a las empresas más de $2 millones en promedio.

4 fases del trabajo de mitigación de DDoS

La mitigación de DDoS funciona identificando y bloqueando la fuente del tráfico de ataque, por ejemplo, utilizando reglas de firewall o limitación de velocidad. Además, las soluciones de protección DDoS absorben y filtran el tráfico de ataque antes de que llegue a la red o sitio web protegido.

Estas soluciones suelen utilizar conformación de tráfico, filtrado y redireccionamiento del tráfico a un centro de limpieza donde se analiza y filtra el tráfico de ataque.

1. Absorción

El primer paso para defenderse contra un ataque DDoS es absorber el ataque, lo que protege el sistema del tiempo de inactividad. Es fundamental saber cuántas solicitudes e IPs concurrentes está recibiendo la aplicación por minuto y realizar múltiples pruebas.

Normalmente, las soluciones de protección DDoS basadas en la nube son mejores porque tienen capacidades de escalado automático. Las soluciones de servicio local son superadas por las soluciones on-premise debido al número de servidores.

2. Pruebas

El siguiente paso es detectar si se trata de un ataque DDoS válido y la solución puede decir:

¿Cuántas solicitudes hay a nivel de URI (identificador uniforme de recursos)?

¿Número de solicitudes desde IPs?

¿Cuántas solicitudes hay a nivel de sesión/host?

¿Cuántas solicitudes hay en todo el dominio?

3. Prevención

El tercer paso es evitar que el ataque se entregue a la aplicación. La solución de protección DDoS identifica los vectores de ataque y bloquea las solicitudes realizadas utilizando esos vectores de ataque. Luego, la solución detecta varios ataques de múltiples vectores.

La inteligencia artificial juega un papel importante en la prevención de ataques DDoS. Idealmente, la solución de mitigación debería poder utilizar datos pasados y predecir el comportamiento en vivo.

En cualquier momento, la solución debería poder sugerir y aplicar “límites de velocidad” con el mayor detalle posible. Estos incluyen límites de velocidad de URI, sesión/host, IP y dominio.

4. Represalias

Las represalias son una parte importante de los “servicios gestionados” o servicios de protección DDoS ofrecidos por los proveedores de WAF (firewall de aplicaciones web). Si bien la IA puede sugerir límites de velocidad e incluso aplicar “reglas de bloqueo”, contar con una solución de mitigación de DDoS contribuirá en gran medida a reducir los falsos positivos. Después de todo, fundamentalmente, los ataques DDoS parecen solicitudes legítimas.