Seguridad de la infraestructura contra ataques DDoS¶
En este artículo
Los recursos web modernos y los servicios de Internet son vulnerables a ataques de denegación de servicio distribuido (DDoS), que pueden provocar fallos en sistemas críticos, paralizando empresas y organizaciones enteras. Por lo tanto, garantizar una protección fiable contra los ataques DDoS es una prioridad máxima para mantener el funcionamiento ininterrumpido de los servicios en línea. HOSTKEY ofrece dos soluciones integrales contra los ataques DDoS de la empresa DDoS-Guard: la versión básica gratuita y la versión avanzada de pago. Cada solución tiene sus propias características de activación, nivel de protección y capacidades proporcionadas.
Atención
La protección avanzada contra DDoS está disponible solo para servidores dedicados.
Protección básica contra DDoS¶
El sistema integral de defensa contra DDoS es una solución robusta contra los ataques DDoS, que aprovecha las rutas anunciadas a través de BGP y el filtrado de tráfico. Todas las redes protegidas se anuncian a todos los proveedores, incluido DDoS-Guard, lo que garantiza una disponibilidad óptima del tráfico entrante a través de AS-PATH estándar de BGP. Los proveedores externos son conscientes de múltiples AS-PATH hacia estas redes y almacenan la información de las rutas en la base de datos de enrutamiento (RIB) de sus routers.
Para supervisar el tráfico entrante, se configura el análisis Sflow en todos los puntos de acceso. Al superar el valor umbral para una dirección IP específica (el puerto del servidor más el 50 % de la capacidad de ancho de banda), se activa un disparador. Posteriormente, la subred deja de anunciarse a todos los puntos de acceso excepto a DDoS-Guard. Los proveedores limpian la información RIB de otros AS-PATH, dejando solo una ruta hacia la subred atacada a través de DDoS-Guard. DDoS-Guard filtra el tráfico, permitiendo que solo los flujos saneados lleguen al servidor.
Después de dos horas, la subred se vuelve a anunciar a todos los puntos de acceso. Si el ataque persiste, el mecanismo se activará nuevamente. Una función de seguridad permite proteger la infraestructura incluso si un ataque es tan potente o complejo que penetra la defensa de DDoS-Guard. En este caso, al activarse un segundo disparador 10 minutos después del inicial, cuando la subred ya está protegida, se activa el mecanismo de agujero negro (blackhole) de DDoS. Envía una ruta /32 a todos los proveedores, bloqueando el tráfico hacia una dirección IP específica. El desbloqueo automático ocurre dos horas después de la activación del agujero negro.
Defensa mejorada contra DDoS¶
La versión gratuita de la defensa contra DDoS tiene varias deficiencias en su implementación anterior. Al procesar los escenarios de protección, se produce una ligera degradación del servicio durante varios minutos debido a las pérdidas durante el cambio a DDoS-Guard. Aunque las modificaciones a la base de datos de la base de información de enrutamiento (RIB) suelen permitir una transición suave a una ruta alternativa, la degradación persiste.
Además, solo se utilizan valores umbral de grano grueso, lo que significa que solo los ataques simples y efectivos pueden activar la protección. Sin embargo, este mecanismo no protege contra ataques que apuntan a vulnerabilidades de protocolo, como ataques SYN flood o UDP-flood a pequeña escala, que pueden no superar los valores umbral y, por lo tanto, no pasar a estar protegidos. Aunque estos ataques generalmente no son críticos para la mayoría de los servicios, algunos sitios web pueden experimentar una degradación significativa del rendimiento.
Para abordar este problema, se ofrece una solución de defensa permanente para servicios críticos. Se han asignado varias subredes designadas específicamente para estos fines. Estas subredes se anuncian solo a través de DDoS-Guard y se limpian constantemente del tráfico malicioso.
Dado que el tráfico de datos en estas subredes es costoso, este servicio se proporciona bajo modalidad de pago. Así, la versión mejorada de la defensa contra DDoS permite proteger los servicios críticos de diversos tipos de ataques DDoS, incluidos aquellos que apuntan a vulnerabilidades de protocolo y ataques a pequeña escala que pueden no superar los valores umbral en el modo de protección estándar.
Diferencias en los servicios¶
| Versión básica | Versión avanzada | |
|---|---|---|
| Condiciones de activación | Solo al superar valores umbral específicos de tráfico | Protección continua independientemente de la intensidad del tráfico |
| Tiempo bajo protección | 2-4 horas | Permanentemente |
| Características únicas | Se activa solo por violaciones graves de los umbrales, p. ej., ataques DDoS potentes | Protege contra ataques de cualquier intensidad, incluidos los pequeños sobre vulnerabilidades de protocolo (20 Mbps, SYN flood, UDP-flood) |
| Degradación del servicio | Breve degradación del servicio durante varios minutos | Ninguna |
| Anuncio de red | A todos los proveedores, incluido DDoS-Guard | Redes protegidas designadas anunciadas solo a través de DDoS-Guard |
| Capacidad máxima de DDoS reflejado | - | 650 Gbps |
| Nivel de protección | L3/L4 | L3/L4 |
Parte del contenido de esta página fue creado o traducido utilizando IA.