Mi sitio está actualmente bajo ataque DDos y ha estado inactivo durante ~ 30 horas. ¿Cómo puedo desviarme?

Ataque DDOS: ¿y ahora qué?

Cuando recibe un ataque de denegación de servicio distribuido, sus opciones pueden ser muy limitadas para mitigarlo.

Primero de todo relájate. Nadie se esta muriendo. No hay necesidad de entrar en pánico. Sí, estás bajo ataque, pero como dije, nadie se está muriendo. Cuando te pones nervioso y nervioso, tu capacidad de pensar con claridad se ve obstaculizada. Así que trata de relajarte.

Los ataques DDoS no solo ocurren al azar, sino que se realizan con un propósito. O a alguien se le paga por derribarlo (un ataque instigado por su competidor) o usted (o su sitio / organización) hizo algo para molestar a alguien y, por lo tanto, usted está en el extremo receptor del ataque DDoS.

Muy pocos sitios reciben un DDoS sin razón aparente. A veces, incluso las razones no son aparentes para ti.

Sin embargo, el mensaje es muy claro … se le está dando una lección.

Muchas veces, después de que el ataque ha cesado durante mucho tiempo, es posible que ni siquiera puedas descifrarlo y tirarte del pelo “¿Por qué yo? ¿Qué hice? – No pierdas el tiempo con esa pregunta. Si aún no lo ha descubierto, entonces podría reflexionar sobre ese pensamiento más tarde … en este momento tiene un sitio web que no funciona y necesita concentrarse en eso.

Entonces, antes de discutir las opciones que tiene, hablemos un poco sobre el ataque en sí.

Los ataques DDoS ocurren principalmente en servidores web / de aplicaciones. ¡Principalmente! Pueden dirigirse a otro tipo de servidores, como servidores de correo, servidores de juegos, etc., pero predominantemente servidores web / de aplicaciones.

Escenario de centro de datos

Los servidores web / de aplicaciones están alojados principalmente en centros de datos por empresas de alojamiento web. Lo más probable es que su servidor, conmutador, enrutador, ancho de banda, etc. se esté compartiendo entre cientos de otros clientes. A veces, incluso su propia dirección IP.

Entonces, cuando obtienes DDoS, otros se ven afectados.

Esto es lo que no les gusta a los centros de datos.

Solo por “usted” otros se están incomodando. Puede estar en uno de los siguientes escenarios:

(a) Si está en una dirección IP compartida, esto puede ser un problema, el centro de datos intentará averiguar qué sitio web específico está siendo dirigido y luego intentará anular esa entrada web a través del DNS y luego tratará de asignar todo los sitios web restantes a otra IP y anulan (anulan) la IP original bajo ataque. Inadvertidamente, alguien tendrá que pagar por todo este esfuerzo.

Los centros de datos generalmente no ejecutan sitios web, están en el negocio de vender servidores y ancho de banda. La empresa de alojamiento que alquila servidores desde un centro de datos son los que generalmente asignan (acoplan) a todos los clientes de alojamiento en una sola IP.

La compañía de hosting probablemente sería la que estaría luchando para salvar a sus otros clientes de la molestia DDoS que usted está capeando.

(b) En el caso de que su sitio web esté alojado en una IP separada (dedicada), el centro de datos simplemente anulará su IP hasta que el ataque haya cesado. Hay una advertencia a esta declaración:

  1. Si el ataque es bajo en la utilización del ancho de banda (mbps) y pps (paquetes por segundo), y muy por debajo del límite que se le ha proporcionado, entonces no necesariamente anulan la dirección IP y permitirán que el tráfico del ataque continúe hacia usted, a menos que solicite específicamente que ocurra la ruta nula.
  2. Sin embargo, si el tráfico de ataque de entrada (entrante) es mayor de lo que se ha provisto y pagado, lo más probable es que anulen la ruta, a menos que esté específicamente dispuesto a pagarles más para dejar pasar el tráfico.

Los centros de datos tienen equipo de protección (de algunos tipos). No todos los centros de datos pueden permitirse invertir en el costoso equipo de mitigación de DDoS y esperan ofrecer esto como un servicio gratuito a todos sus clientes. Aquellos que sí tienen equipo de mitigación lo usan para proteger su propia red y su base de clientes en general.

El equipo se usa principalmente para obtener información (léase: visibilidad) en el tráfico de su red y para identificar de inmediato el tráfico malicioso que puede degradar su red, lo que puede generar clientes insatisfechos y costosos acuerdos de nivel de servicio.

Casi todos los centros de datos con equipos de mitigación implementados cobrarán por contrarrestar los ataques DDoS. Como el equipo, las suscripciones, la capacitación, los recursos humanos y el ancho de banda cuestan dinero, también lo es el servicio para protegerlo contra él. No tenga en cuenta que es el “derecho” de los centros de datos brindarle protección. No lo es. Vuelva a leer los documentos ToS / SLA / AUP (Términos de servicio / Acuerdo de nivel de servicio / Política de uso aceptable) proporcionados por el centro de datos y el proveedor de alojamiento y comprenderá mejor.

Muchos ataques “pequeños” (énfasis incluido) casi se pueden mitigar con solo instalar un firewall basado en hardware dedicado adecuado frente a su servidor. No todos los ataques, pero casi todos.

Los servidores web que tienen que servir el tráfico web y actuar también como servidores de aplicaciones, no funcionan bien cuando se agrega la carga / tarea adicional de un firewall basado en software en ellos. Aunque el mercado ha mejorado considerablemente en los tipos de servidores web que ahora se pueden instalar (nginx y lighttpd son dos que vienen a la mente) son la nueva generación de servidores web conocidos por su velocidad en la solicitud de servicio y la diferente variedad de módulos y parches eso se puede aplicar en estos servidores para liberar recursos y servir contenido más rápido en el hardware existente. Se desempeñan bastante bien en entornos donde dichos servidores se utilizan para el proxy inverso y, en general, son mucho más rápidos / mejores que los entornos tradicionales de Apache / IIS.

Sin embargo, como se citó, no son sustitutos de un firewall de hardware en sí. Muchos citarán que FreeBSD + Packet Filtering es el camino a seguir, ¡sí, lo es! pero eso nuevamente significa un hardware dedicado separado frente a su servidor web / de aplicaciones. Resultado final: más costos y más administración.

Hoy, incluso estos ataques ‘lentos’ o ‘pequeños’ pueden causar estragos en su infraestructura alojada. SYN Attacks y HTTP GET Attacks pueden venir en los años 1000 y solo utilizan una pequeña porción de su ancho de banda, sin embargo, pueden ser incapacitantes para los recursos de su servidor y derribar su sitio web.

Bien, suficiente del escenario del centro de datos, el otro escenario en el que podrías obtener DDoS’d es la Enterprise.

Escenario empresarial

El escenario empresarial es que usted es una gran empresa, donde no está utilizando un centro de datos, pero ha optado por que el servidor web / de aplicaciones esté alojado en las instalaciones. Probablemente tendrá una conectividad de ancho de banda de Internet lo suficientemente grande de su proveedor de servicios. En cuyo caso, sus opciones se discutirán más adelante.

Entonces, habiendo dicho esto cuando ocurre un ataque DDoS, ¿qué puedes hacer? Estas son sus opciones (sin ningún orden en particular):

¡Espera!

Deje que su sitio esté inactivo y espere, desde unos pocos días hasta 2-3 semanas y, con suerte, el DDoS se detendrá por completo. Aunque estadísticamente la mayoría de los ataques DDoS mueren después de 72 horas.

La mayoría de los ataques DDoS cesan después de 72 horas. Más. Esta no es una regla de oro o un criterio para seguir.

Se necesitan recursos y dinero para que ocurra un ataque DDoS, y cuanto más tiempo se sostenga, más expuesta estará toda la botnet a la detección. Esperarlo no es una opción para muchos, especialmente para aquellos que se ganan la vida con sus sitios web. El tiempo de inactividad significa que no hay ventas, ya nadie le gusta eso. Pero si su presupuesto no lo permite, no hay mucho que pueda hacer aquí. Si ha decidido no gastar dinero, esta es su opción.

Su capacidad para gastar dinero se traducirá directamente en la cantidad de ventas que obtiene del sitio web. Si gana $ 500 por día, invertirá en una mejor infraestructura de alojamiento o servicio de 1-3 días de ventas para proteger su negocio. Si no gana dinero con el sitio web, lo más probable es que no invierta mucho para detener los ataques. Es mejor esperarlo.

Miles de propietarios de sitios web que son víctimas de ataques DDoS cada año, entran en esta categoría. Han pagado entre $ 2 / mes y $ 25 / mes por el alojamiento de su sitio web en alguna plataforma de alojamiento compartido o en un VPS pequeño y no pueden permitirse el lujo de contratar servicios de una compañía de mitigación anti-ddos, que puede llegar fácilmente a $ 100 por mes ( y ese es solo el precio inicial) y mucho menos comprar equipos de mitigación DDoS que pueden funcionar en $ 100,000.

Actualización de alojamiento

Si está en un entorno compartido o quizás en un VPS, es posible que desee reconsiderar la plataforma existente.

Al actualizar su configuración de hosting existente, tiene una oportunidad relativamente mejor de frustrar un ataque DDoS, en comparación con su plataforma de hardware existente (que podría compartirse con muchos o es débil).

Además de obtener una actualización, vea si puede obtener un firewall basado en hardware frente a su servidor, lo cual es muy recomendable.

Considere contratar una empresa de administración para fortalecer y bloquear su sistema operativo, así como acelerar / ajustar sus procesos TCP y su servidor web.

Si bien dicha configuración no necesariamente detendrá un gran ataque DDoS, asegurará que bajo un ataque pequeño / mediano su servidor y equipo de red puedan resistirlo todo.

Mitigación DDoS – Servicios de depuración de proxy

Esta es quizás la nueva industria artesanal. La mayoría de las empresas que buscan protección DDoS, ya han tomado la ruta de actualizar sus servidores, etc., pero simplemente no tienen el dinero para mitigar un 1Gbps o decir 200,000 paquetes por segundo ataque DDoS.

Ingrese la protección DDoS basada en proxy. O servicios de fregado.

Las compañías especializadas tienen conectividad de 10 Gbps + ancho de banda de múltiples proveedores, su red está preparada para transmitir un volumen extremadamente grande de tráfico DDoS a sus dispositivos de ‘depuración’. Estos dispositivos para quienes están en el negocio son algo así como un secreto de la industria, no los dispositivos en sí, sino la configuración misma. Considéralo como la salsa secreta, que separa a cada uno de ellos.

La mayoría de estas empresas utilizan una ‘granja’ de servidores (algunos ejecutan FreeBSD y filtrado de paquetes) con alguna forma de inspección profunda de paquetes en el tráfico de ingreso. Pueden eliminar razonablemente el tráfico malicioso mediante firmas o prácticas conocidas como paquetes TCP IP malformados, o solicitudes excesivas (recursivas) de una sola IP, o solicitudes HTTP GET malformadas, etc.

Existe una gran combinación de equipos, desde dispositivos de mitigación DDoS fuera de la plataforma como el de Arbor Networks, TopLayer, TippingPoint, RioRey, CiscoGuard, mezclados con una solución local y dispositivos específicos que se destacan en DPI y redireccionamiento de tráfico y depuración.

Sus sistemas están configurados como tales para tomar el asalto frontal completo del ataque y filtrar inmediatamente el tráfico etiquetado que se considera malicioso por firma, y ​​luego trabajar más en el tráfico restante, filtrarlo y luego analizar el tráfico a un servidor proxy inverso . La IP que se lleva la peor parte del tráfico de ataque no es la suya, ni del servidor proxy inverso, sino la de la granja de depuración de la compañía. La IP de su servidor de origen y el servidor proxy inverso (si se utiliza) nunca es conocida por el atacante ni se publica en sus Registros DNS.

El tráfico relativamente limpio llega a su servidor proxy inverso donde puede analizarse y limpiarse más antes de pasarlo a su servidor de origen. Si bien esto puede parecer demasiados saltos, no lo es.

La demora agregada apenas se nota.

Si alguna vez los filtros no funcionaran correctamente y llegara un tráfico excesivo, no derribará su servidor de origen sino el servidor proxy inverso, por lo que es una capa adicional de protección para usted.

Algunos prefieren tener un servidor proxy inverso (usando Squid) o alguna otra variante de RP, algunos prefieren hacer el filtrado de paquetes y luego enrutar los paquetes (tráfico) al servidor de origen, todo depende de lo cómodo que esté con la configuración y Las tecnologías involucradas.

Hoy, según algunas estimaciones, el 80% del tráfico de ataque que se filtra contra DDoS para pequeñas y medianas empresas se realiza mediante el uso de dichos proveedores y sus soluciones únicas.

La facturación de dicha solución es simple. Es una combinación de ambos, el ancho de banda y los pps (paquetes por segundo) que llegan a la granja de depuración.

La mayoría de los proveedores tendrán losas similares o una combinación similar a esta:

1,000Mbps y / o 100,000pps, lo que ocurra primero.
1,500Mbps y / o 150,000pps, lo que ocurra primero.
2,000Mbps y / o 200,000pps, lo que ocurra primero.
3,000Mbps y / o 300,000pps, lo que ocurra primero.

…Y así sucesivamente y así sucesivamente.

Cuando alcanza el límite y lo cruza, la IP que lleva el ataque frontal se anula automáticamente, hasta el momento en que su tráfico de ataque cae por debajo del techo (losa) al que se ha suscrito, o si opta por actualizar su paquete de protección . Hay tarifas de configuración únicas asociadas con dichas configuraciones que generalmente son de $ 500 o más o x1.5 su factura mensual, lo que sea mayor.

No hay dos soluciones iguales. Cada proveedor como cité tiene su propia salsa secreta y cada uno afirmará ser mejor que todos los demás. Es una industria muy feroz y cada cliente cuenta. Hay más dinero cuando las economías de escala entran en acción.

El precio generalmente se basa en el mes a mes. Puede obtener descuentos decentes si se suscribe / se compromete a un contrato a largo plazo. Sin embargo, en este negocio, el cliente tiende a usar los servicios durante un mes, a pagarlo, y cuando el ataque ha disminuido por completo, vuelve a sus configuraciones originales que tenía antes del ataque, para ahorrar dinero.

Las empresas que se especializan en este campo están apuntalando por todas partes. Los nombres de confianza que vale la pena considerar son Prolexic, Verisign, Gigenet, Staminus y Blacklotus, DosArrest, Dragonara, et. Alabama.

Evite como la peste, las compañías de DDoS Scam como Server4Sale.com y BlockDoS.net

Probablemente también deba reservar algo de dinero para los costos de administración del servidor. A menos que sea absolutamente fluido en el servidor OS / App en el que tiene la intención de trabajar, reserve algo de dinero para compañías especializadas en administración remota de servidores que harán la configuración por usted y lo administrarán.

Equipo dedicado de mitigación de DDoS

Ahora, si usted es una empresa o una gran empresa y está alojando por su cuenta, aquí es donde buscará invertir en equipos e infraestructura específicamente diseñados para contrarrestar los ataques DDoS.

Entran en juego empresas como Arbor Networks, TippingPoint, Juniper Networks, Cisco (CicsoGuard), RioRey, TopLayer, Intelliguard, IntruGuard, etc. Incluso he descubierto que la línea de productos de Foundry Network también es muy buena para mitigar los ataques DDoS, aunque Foundry (ahora Brocade) no es un especialista en esta área per se. El método Captcha / Unique-Cookie de IntruGuard ahora también es muy famoso con otros proveedores de soluciones y OEM que lo adoptaron. Requiere que cada solicitud HTTP sea validada por una intervención humana y se le otorgue una sesión única para continuar hacia adelante.

Los verdaderos jugadores son Arbor Networks, Cisco (con su CicoGuard), Toplayer y RioRey. Estas empresas se han centrado específicamente en la protección DDoS y han trabajado con centros de datos y proveedores de servicios (grandes y pequeños) y entienden bastante bien el espacio DDoS.

El equipo de mitigación de DDoS no es tan fácil de conectar como el OEM quisiera que creyeras. Créame, digo esto por experiencia e interactuando personalmente con personas que han tenido la oportunidad de jugar con diferentes soluciones OEM en su red. Debe tener un conocimiento profundo de las redes y un poco en el espacio de la Capa 4-7 para poder realmente utilizar estos dispositivos. El cliente empresarial no actúa por impulso. A pesar del ataque en curso, evaluarán adecuadamente los pros y los contras de cada solución, el precio y el ROI.

La solución puede comenzar desde US $ 30,000 hasta US $ 1,000,000 para dispositivos de limpieza y mitigación DDoS 10G múltiples de alta gama. Agregue a esta capacitación, suscripción, costos de soporte y todo se suma. Sin mencionar el tiempo que lleva evaluar, hacer una lista corta y luego implementar una solución.

A largo plazo, invertir en tales tecnologías es la única salida. Si va a alojar servidores y tiene tuberías grandes alimentando sus servidores, es sensato que planifique ahora e invierta en estos dispositivos. Los ataques son inevitables .

Elegir el electrodoméstico adecuado puede ser difícil. Debido a que el mercado es tan pequeño y competitivo, los gerentes de ventas han agregado presiones para cumplir con las cuotas y le harán creer que su solución es la mejor. Efectivamente, su solución es buena. ¿Es lo mejor? Ese es un tema muy discutible. Una solución abordará un ataque específico desde un ángulo particular, mientras que la otra solución lo abordará desde una perspectiva diferente, el resultado final puede o no ser el mismo.

Muy raramente, he visto una solución que es puramente plug-and-play. Los falsos positivos son un gran problema en este negocio. Especialmente cuando estás hablando de ataques HTTP GET.

Los ataques HTTP GET son solicitudes lentas HTTP GET (solicitudes genuinas) de computadoras comprometidas (también conocidas como Zombies), que son parte de una botnet mucho mayor.

Con 2.000 bots en una botnet que solicitan solicitudes HTTP GET a una velocidad de unos 100 por segundo, los sockets TCP de su servidor web se inundarán y se llenarán en poco tiempo, lo que resultará en la denegación de servicio. Cómo diferenciar entre una solicitud genuina y una no genuina no es tan sencillo. Recuerde que cada conexión TCP tiene un valor de tiempo de espera específico en el servidor, por lo que si la conexión es genuina o no, debe permanecer activa como una conexión válida en el servidor hasta que se agote el tiempo de espera. Espero que puedas tener una idea de la complejidad añadida.

Network Behavior Analysis (NBA) es una forma de abordar el problema, pero esa es nuevamente una perspectiva discutible y unilateral de un proveedor de soluciones específico (en este caso, Arbor Networks). No se deje engañar por las palabras “precisión quirúrgica”. Seguramente no hay nada quirúrgico en la vida real y la precisión es incorrecta.

Si este fuera el caso, los ataques DDoS HTTP GET serían un juego de niños para mitigar. Intente explicar eso a los clientes de la vida real que se bloquean de un sitio web debido a que se los marcó como falsos positivos, o que provienen de un proxy ISP o proxy de la compañía, donde se hicieron demasiadas solicitudes de la misma IP y, por lo tanto, se bloquearon. No es una solución entre manos.

Entonces, para concluir, si está bajo un ataque DDoS, tiene opciones, eso está claro. Es la cantidad que está dispuesto a gastar para defenderse de tales opciones lo que pesa y decide.

Recuerde que en el mundo de Internet, no hay regalos, lo que me recuerda a esta cita en la que terminaré.

“Dejar que el mundo te trate de manera justa porque eres un buen tipo, es algo así como pedirle a un toro que no te ataque, porque eres vegetariano”.

[Este es el útil artículo que escribí para mi blog, http://dos-attacks.com/2010/11/0….

Related Content

Estoy trabajando para mejorar este sitio web www.myautorepairadvice.com ¿En qué áreas debería centrarme para llevarlo al siguiente nivel?

Si dejo el botón de aire acondicionado presionado en mi automóvil pero no lo enciende, ¿aún usa más energía?

Soy desarrollador de software en Google, Londres. Soy egipcio y pasé 2 años en prisión en Egipto por acusaciones políticas. ¿Puedo obtener una ciudadanía del Reino Unido?

Quiero comenzar una petición en línea contra el sistema de reserva de castas en la India. ¿Alguien puede guiarme sobre todo el procedimiento?

Estoy confundido. ¿A quién debo consultar para astrología en Delhi?

Nos ocupamos de los ataques DDoS todo el tiempo y recomendaría algunas cosas además de lo que ya se dijo.

Si el ataque no requiere mucho ancho de banda y aún puede iniciar sesión en su servidor, intente:

1- Mira tus weblogs para ver si es un ataque de capa 7 (inundación HTTP). Si es así, puede intentar encontrar patrones en el ataque y bloquearlos mediante la coincidencia de cadenas de iptables.

2- Haga una tcpdump en el tráfico y vea si encuentra algún patrón. La mayoría de las inundaciones de sincronización tienden a tener un patrón (longitud similar, tamaño de ganancia, etc.). Bloquéelos a través de iptables o en su enrutador perimetral.

Ahora, si no puede iniciar sesión en su servidor y todo está inactivo, le recomiendo:

1- Solicite a su proveedor de alojamiento una nueva dirección IP. Es probable que bloqueen el antiguo si está afectando su red, pero obtener uno nuevo le permite acceder al servidor y respirar. No cambie su DNS todavía, ya que no desea que los atacantes encuentren su nueva IP.

2- Ponga su sitio detrás de un servicio de protección ddos ​​basado en la nube. La compañía en la que trabajo ofrece una (Sucuri Security), pero hay otras buenas por ahí. No vaya con planes gratuitos en ninguno de ellos, ya que generalmente no cubren ataques ddos. Una vez que se registre, cambie el DNS al proporcionado por la compañía de protección DDoS.

El ataque generalmente desaparecerá después de un tiempo y puede cancelar su plan o dejar que la protección esté siempre activa si sospecha que podría ser atacado nuevamente.

Espero eso ayude.

¡Gracias!

Faisal Khan

La primera pregunta es, ¿se trata de un ataque de ancho de banda o un ataque de recursos? Si están utilizando todo su ancho de banda, es realmente difícil lidiar con esto sin la ayuda de su ISP. Por otro lado, si puede manejar el ancho de banda, tiene alguna esperanza. Vea si puede descubrir algún patrón para el ataque (por ejemplo, el orden de los encabezados, el agente de usuario, las cookies). Si puede evitar gastar muchos recursos en los atacantes, puede permitirle atender el tráfico.

Faisal Khan

More Interesting

Me voy a comprar una guitarra profesional Epiphone SG G400 para Navidad. ¿Es una buena guitarra?

Voy por un mes a París. ¿Qué debo hacer / ver / probar?

Soy un estudiante internacional de la India. ¿Debo elegir la Universidad de Waterloo o Purdue para la ingeniería informática?

Tengo un gran espacio de oficina gratis, ¿cómo puedo usarlo?

¿Estoy ahorrando combustible apagando el motor en las señales de tráfico (normalmente 2 minutos) y mientras conduzco por una pendiente?

Pude ver a muchas personas manteniendo una experiencia falsa y entrando en TI con paquetes increíbles, ¿es que otros deberían dejar de funcionar?

Estoy listo para dejar el correo electrónico de Yahoo. ¿Qué proveedores de correo electrónico son altamente seguros y completamente privados?

He decidido comenzar una carrera en YouTube. ¿Cuáles son algunas reglas del comercio?

¿Por qué mi mandíbula se bloquea y explota?

Sufro de TEPT o trastorno de estrés postraumático, ¿por qué Xanax me deprime más?