Mitigación de DDoS

La mitigación de DDoS es un conjunto de técnicas para resistir ataques de denegación de servicio distribuidos (DDoS) en redes conectadas al Internet protegiendo así el objetivo y las redes de reenvío.^[1] Esto se hace pasando tráfico de red dirigido a la red atacada a través de redes de alta capacidad con filtros de "limpieza de tráfico".^[2] La mitigación de DDoS requiere identificar correctamente tráfico entrante para separar el tráfico humano del tráfico de bots que parecen humanos y de navegadores web capturados. El proceso se hace comparando firmas y examinando diferentes atributos del tráfico, incluyendo direcciones IP, variaciones de cookies, encabezados HTTP y huellas de Javascript.

La mitigación manual de DDoS ya no está recomendada debido a que los atacantes DDoS son capaces de evitar los software de mitigación de DDoS que son activados manualmente.^[3] Las buenas prácticas para la mitigación DDoS incluyen tener tanto tecnologías anti-DDoS como servicios de respuesta de emergencia anti-DDoS como Akamai, CloudFlare o Radware.^[3] La mitigación DDoS también está disponible a través de proveedores basados en la nube.^[2]

Métodos de ataque[editar]

Los ataques DDoS son ejecutados contra sitios web y redes de víctimas seleccionadas. Varios vendedores están ofreciendo servicios de alojamiento "resistente a DDoS", mayoritariamente basados en técnicas similares a redes de distribución de contenidos. La distribución evita puntos únicos de congestión e impide que el ataque DDoS se concentre en un único objetivo.

Una técnica de los ataques DDoS es para utilizar redes mal configuradas de terceros que permiten amplificación de paquetes UDP falsificados.^[4] La configuración apropiada del equipamiento de red, habilitando filtros de ingreso y filtros de salida, como está documentado en BCP 38 y RFC 6959, impide la amplificación y el spoofing, reduciendo así el número de redes de relé disponibles a atacantes.^[5]^[6]

Véase también[editar]

Agujero de seguridad

Referencias[editar]

↑ Gaffan, Marc (20 de diciembre de 2012). «The 5 Essentials of DDoS Mitigation». Wired.com (en inglés). Consultado el 25 de marzo de 2014.
↑ ^a ^b Paganini, Pierluigi (10 de junio de 2013). «Choosing a DDoS mitigation solution…the cloud based approach». Cyber Defense Magazine (en inglés). Consultado el 25 de marzo de 2014.
↑ ^a ^b Tan, Francis (2 de mayo de 2011). «DDoS attacks: Prevention and Mitigation». The Next Web (en inglés). Consultado el 25 de marzo de 2014.
↑ Christian Rossow. «Amplification DDoS».
↑ «Network Ingress Filtering: IP Source Address Spoofing». IETF. 2000. (en inglés)
↑ «Source Address Validation Improvement (SAVI) Threat Scope». IETF. 2013. (en inglés)

Datos: Q5204753

[1] Gaffan, Marc (20 de diciembre de 2012). «The 5 Essentials of DDoS Mitigation». Wired.com (en inglés). Consultado el 25 de marzo de 2014.

[CyberDefenseMagApproach-2] Paganini, Pierluigi (10 de junio de 2013). «Choosing a DDoS mitigation solution…the cloud based approach». Cyber Defense Magazine (en inglés). Consultado el 25 de marzo de 2014.

[NextWebDDOS-3] Tan, Francis (2 de mayo de 2011). «DDoS attacks: Prevention and Mitigation». The Next Web (en inglés). Consultado el 25 de marzo de 2014.

[4] Christian Rossow. «Amplification DDoS».

[5] «Network Ingress Filtering: IP Source Address Spoofing». IETF. 2000. (en inglés)

[6] «Source Address Validation Improvement (SAVI) Threat Scope». IETF. 2013. (en inglés)

[1]

[2]

[3]

[4]

[5]

[6]