Calificación:
  • 0 voto(s) - 0 Media
  • 1
  • 2
  • 3
  • 4
  • 5
Guía para controlar un ataque de DDOS
#1

Los ataques de denegación de servicio (DoS) son uno de los ataques informáticos que hemos observado hace ya muchos años, y que aún siguen vigentes. En forma sencilla, consisten en un ataque hacia algún servicio informático (generalmente alojado en uno o varios servidores), con el ánimo de que este deje de funcionar. El ataque consiste en enviar determinados paquetes al objetivo, de forma tal de saturar los recursos que este puede procesar, y que así el servidor se vea en la necesidad de suspender la provisión del servicio. Como ataque derivado, aparecen los ataques de denegación de servicio distribuido (DDoS), donde el mismo es lanzado, no desde un sistema informático, sino desde múltiples nodos que realizan el ataque de forma simultánea.

Las redes botnets suelen ser utilizadas con estos fines, pudiendo lograr que todos los equipos zombis realicen el ataque contra el objetivo de forma simultánea, logrando mayor efectividad en el ataque. Asimismo, estos ataques están cada vez más asociados al hacktivismo, del cual ya hablamos en este mismo espacio. Un ejemplo de esto son los ataques contra la SGAE.

Es decir que, a pesar de su antigüedad, los ataques de denegación de servicio siguen vigentes, y es uno de los riesgos que las organizaciones deben considerar al momento de diseñar una estrategia de seguridad de la información. ¿Cómo controlar un ataque de denegación de servicio? Sobre este tema, hace unos días me encontré con esta interesante guía desarrollada por el CERT, titulada DDoS incident response (respuesta ante un incidente de DDoS), el cual recomiendo leer y tomar en cuenta para que la red de su empresa u organización esté preparada para enfrentar, si ocurriera, este tipo de ataque.

La guía considera seis pasos en el proceso de responder a un ataque de denegación de servicio. El primero de ellos, es la preparación. Aunque muchos habrán imaginado que la guía comenzaría cuando se detecta el incidente (segundo paso), la realidad es que para una correcta gestión de la seguridad, es necesario estar preparados, y es en esta etapa donde se recomienda, entre otras cosas, contar con un adecuado mapa de la red y conocimiento de la infraestructura, definir las personas a contactar ante la identificación del ataque y crear los procedimientos adecuados. Aunque sea redundante, estar preparados; y me animo a decir que este es el paso más importante.

Posteriormente, como ya se dijo, viene el paso de la identificación: detectar el ataque, determinar el alcance del mismo y, no menos importante, involucrar a las partes involucradas. Y este es, a mi criterio, un aspecto fundamental: ¿cuánto tarda el gerente de una empresa en enterarse de este incidente? Aunque muchas veces las comunicaciones suelen realizarse luego de haber controlado la situación, es recomendable involucrar a las personas correctas en esta etapa, donde luego será necesario hacer un análisis de la situación, y del ataque en particular.

Posteriormente, viene la etapa de contención. Esta, consiste en trabajar sobre los dispositivos de red, para lograr que el tráfico malicioso no afecte el funcionamiento del servicio, ya sea bloqueando o redirigiendo los paquetes del ataque, o bien buscando nuevos canales de comunicación entre el servicio y sus usuarios.

La cuarta etapa, consiste en la remediación: aún controlada la situación, es necesario detener el ataque de denegación de servicio. Cuánto más rápido se llegue a esta etapa, menor será el impacto (especialmente económico) del ataque. En esta etapa, es probable que se deba involucrar el proveedor de ISP, por lo que es recomendable saber cuál es el procedimiento para ello (primera etapa). El documento del CERT también aconseja, en caso de tener suficiente información, considerar involucrar a las fuerzas de seguridad en función de lo que determinen los departamentos legales de la empresa.

El ante último paso, la recuperación, consiste en volver el servicio al estado original. Si se realizaron direcciones de tráfico o cambios en las configuraciones durante el ataque, una vez que este ha terminado es necesario volver todo al estado original. Es importante estar seguro al momento de estar estos pasos, ya que si no se hicieron las etapas anteriores cuidadosamente, es probable que vuelvan a aparecer falencias en el servicio.

Finalmente, el sexto y último paso consiste en el post-ataque, etapa donde se debe analizar lo ocurrido y, entre otras acciones, se debe:
  • Documentar los detalles del incidente.
  • Discutir lecciones aprendidas y verificar si se pudiera haber evitado o controlado mejor el incidente.
  • Volver a la etapa uno y prepararse mejor en caso de una nueva ocurrencia del ataque.
Volver a la etapa uno y prepararse mejor en caso de una nueva ocurrencia del ataque.

Es una realidad: la mayoría de los lectores que tengan alguna responsabilidad sobre la seguridad de una red, no estarán trabajando en una organización que reciba cotidianamente ataques de denegación de servicio. Más bien, podríamos decir que suelen ser excepcionales, y aquí radica un aspecto fundamental: ¿estamos preparados para enfrentar ataques no frecuentes? Independientemente de cuándo ocurran, es en ese momento donde las empresas suelen arrepentirse de no estar listas para enfrentar la situación, por lo que, si está a su alcance, les recomiendo descargar la guía y dedicarle unas horas a la etapa número uno: prepararse.

Cualquier duda, pregunta, comentario... Aquí estoy Guiño
#2
esttupendo ost, pero demasiado general. me esperaba algo mas concreto par atajar esos ataques Lengua
WWW
#3
Me parece que para evitar esos ataques , tienen que crear un script , para que cuando se tengan muchas solicitudes al servidor , todas sean denegadas y no si quiera puedan tener accesso al servidor o datos.aun que si lo hacen anonymouse , seguro estamos jodidos xD
#4
Yo esperaba algo mas claro y directo, pero salio muy general jajaja, pero igual gracias.
#5
yo tengo un mu online y siempre me atacan D:. muy buena guia gracias por el aporte
#6
la cuestion es que el modus operandi de los atacante en enviar entre 1000 y 6000 paquetes por segundo por cada computadora atacante y detrás de una cadena de proxys:
[Imagen: paso2o.jpg]
de modo que si se logra bloquear las peticiones de la primera ip esta cambiará un determinado numero de veces, esto teniendo en cuenta el numero de maquinas atacantes y que cada una de estás puede usar un repertorio por demás extenso de direcciones ip, usando una analogia si los paquetes fueran gotas deteneter un ataque DDOs seria como detener la lluvia con las manos...
Cita:Enviado por knightramza - 03-01-2012 02:27 AM
Me parece que para evitar esos ataques , tienen que crear un script
...si se pudiera hacer algo así no crees que el FBI o la CIA de estados unidos no lo habria inventado ya Lengua

como lo veo yo? es un tema bastante delicado, pero a decir verdad me preocupan mas los SQL INJECTION ya que por medio de este metodo se resalta la "seguridad de la inseguridad"
#7
muchas gracias men controlar un poco mas alos lammers y su DDos
#8
Muy buen informe, aunque esperaba alguna forma de contención ante los ataques.

Pero seguro debe haber alguna manera de minimizar estos ataques, verdad ???
#9
Según la conferencia de seguridad CENTOS en el FLISOL, el mod_security es muy bueno para frenar, en parte, ddos
WWW
#10
(04-05-2012, 12:38 AM)Juliens escribió: Según la conferencia de seguridad CENTOS en el FLISOL, el mod_security es muy bueno para frenar, en parte, ddos

Hola juliens. donde puedo ver o informarme acerca del mod_security??
Gracias


Posibles temas similares...
Tema Autor Respuestas Vistas Último mensaje
  [Aporte] Rails o Django, una guía para decidirse. edisson 4 900 22-10-2015, 12:29 PM
Último mensaje: Minikole
  Guia para desactivar java ante un nuevo agujero 0 day con exploit romeho 7 786 07-09-2014, 03:32 AM
Último mensaje: Luis Felipe Fuentes
  Directiva .httacess Anti DDOS Andryus 10 1,164 03-09-2013, 01:53 AM
Último mensaje: KeviNxDTM
  Guía de Referencia Rápida de CSS 3 [Parte 1] Static-X 14 2,048 13-04-2013, 11:05 PM
Último mensaje: Infamer
  alguna guia para aprender programacion? matyimpact 11 848 24-03-2013, 10:33 PM
Último mensaje: webpro
  [Tutorial] Guía de Referencia Rápida de CSS 3 [Parte 2] Static-X 12 2,434 18-12-2012, 10:06 AM
Último mensaje: thedary
  Controlar el redimensionado de textarea con CSS joel470 0 324 27-09-2012, 08:51 PM
Último mensaje: joel470
  [Guia] para añadir seguridad a tu web server Mu Alan71 3 757 07-08-2012, 11:32 PM
Último mensaje: Franci
  Anti DDoS diringax 7 1,072 02-06-2012, 08:49 PM
Último mensaje: Alianza
  Guía para htaccess DjSonic 3 802 17-05-2012, 03:11 AM
Último mensaje: xtremepost



Usuarios navegando en este tema: 1 invitado(s)