Los ataques DDoS vienen produciéndose en la red desde 2001 que se tenga constancia. Pero es con
Wikileaks cuando alcanzan su mayor de éxito fuera de la red.
Cualquier organización, empresa, fundación o particular que disponga de un sitio en Internet puede ser objeto de un ataque DDoS, unos con más posibilidades que otros, pero
¿cómo es posible defenderse ante un ataque de denegación de servicio o DDoS?. Básicamente hay dos opciones principales, si optas por
la difícil, es decir, disponer de tus propios servidores web para tener un control total de tus sitios, tendrás que disponer de personal competente para manejar estas situaciones junto con buenos sistemas de monitorización para detectarlos, y deberías considerar al menos:
- Implementar mod_security en el servidor web o como un proxy inverso para bloquear las peticiones directas al servidor web. Mod_security es capaz de eludir algunos ataques comunes de aplicación, y habilita un mejor análisis de ataques después de que hayan ocurrido.
- Cachear contenido usando un proxy inverso como Squid, nginx, o varnish. Una cache agresiva es una buena defensa contra pequeños ataques de HTTP GET y también ofrece protección contra ataques específicos de apache, como slowloris.
- Optimizar al máximo las configuraciones de conexiones máximas en los servidores usando herramientas de test de carga si el sitio puede ser proclive a ataques DDoS.
- Usar plugins de cache específicos de sistemas CMS para reducir la carga del servidor en periodos de un gran tráfico legítimo y durante ataques. (ejem wp-cache)
- Crear una versión HTML estática del sitio para mostrar mientras se migra el sitio a otros mirrors.
- Dejar las búsquedas a proveedores como Google u otros, dadas las vulnerabilidades en búsquedas de ataques de aplicación.
- Restringir de manera severa el acceso el acceso a los servidores por parte del equipo que los administra. Y asegurarse que el acceso a ellos se hace a través de máquinas limpias. (las credenciales de acceso a tu sitio las pueden robar)
- Establecer algún tipo de relación con administradores de red de grandes ISPs, o intentar llegar a algún tipo de acuerdo de colaboración.
- Implementar una estrategia de recolección de logs para permitir un análisis post-ataque.
Si optas por la sencilla, es esta, una plataforma hospedada en blogger. :-) o en cualquiera de los servicios en la nube de grandes corporaciones, ahora veremos por qué.
Existen varias clases de ISP, los
ISPs de nivel 1, son organizaciones que se conectan directamente a otras mayores redes. No son clientes entre sí, sino que intercambian tráfico sin pagar por ello. Las ventajas de ser un ISP de este tipo son muchas, pero sólo está al alcance de aquellas que alcanzan a un gran número de clientes. Existen también ISPs de nivel 2 con algunas redes y que pagan por acceder a otras redes, mientras que los ISPs de nivel 3 pagan por todo el tráfico que tienen. La mayoría de ISPs son de nivel 2 o 3; algunas estimaciones muestran que sólo hay una docena o menos de ISPs de nivel 1.
Tradicionalmente, las compañías que mantienen sitios web son clientes de ISPs de nivel 1, 2 o 3 o de revendedores de servicios de ellos. Las compañías que mantienen sus propias granjas de servidores pueden contratar a uno o más ISPs de nivel 1 para asegurarse caminos redundantes hacia sus servidores. Sin embargo el panorama está cambiando dado el incremento de los sitios populares como Google/Youtube, que son responsables del 6-12% del total del tráfico de Internet. Google posee grandes cantidades de cable de fibra óptica conectada directamente con ISPs de nivel 1. Este tipo de acuerdos tiene sentido para ISPs de nivel 1 porque sus clientes demandan acceso rápido a los servicios de Google, y es ventajoso para Google porque no pagan costes de tráfico. Además, estan las grandes redes de cache distribuido, de tal manera que un usuario que solicite la página cnn.com desde España obtenga el contenido desde un servidor en España en lugar de EEUU. Las grandes redes de cache distribuido como Akamai son responsables del 20% del tráfico total de Internet.
Cuando alguién se refiere al "
core de Internet" está hablando de ISPs de nivel 1 y algunos ISPs grandes de nivel 2 junto con algunas de las redes más grandes de distribución de contenidos. Los grandes servicios como Google y Amazon están conectados directamente con ISPs de nivel 1, esto significa, que a parte de los recursos disponibles, también
disponen de equipos de profesionales dedicados única y exclusivamente a la seguridad de sus redes.
Así que ya lo sabes, si quieres protegerte de ataques DDoS, lo más sencillo es alojar tu contenido en blogger o considerar los puntos anteriores en caso de ir por libre.
Extra: Ver también el concepto de
TIER.