MTE explica: cómo funciona la protección DDoS

A lo largo de los años, la denegación de servicio distribuida (DDoS) ha sido una forma altamente confiable de asegurarse de que un servicio alojado (como un sitio web o algún servicio como PlayStation Network ) no vea la luz del día al menos por un tiempo.

El poder que ejercen estos ataques hace que la gente sienta curiosidad por los mecanismos detrás de ellos, por lo que nos hemos tomado el tiempo para explicar cómo funcionan  e incluso hemos llegado a demostrar a fondo  cuán enormes pueden llegar a ser algunos de estos ataques, hasta el punto de que uno de ellos puede incluso eliminar sectores enteros de Internet para millones de personas. Sin embargo, existe una escasa discusión pública sobre cómo funciona la contramedida (por ejemplo, protección DDoS).

El problema de discutir la protección DDoS

Internet es una enorme variedad de redes conectadas a través de un enorme vacío desordenado. Hay billones de pequeños paquetes viajando casi a la velocidad de la luz en todas partes del mundo. Para dar sentido a su desorientador y misterioso funcionamiento interno, Internet se divide en grupos. Estos grupos a menudo se dividen en subgrupos y así sucesivamente.

En realidad, esto complica un poco la discusión sobre la protección DDoS. La forma en que una computadora doméstica se protege de DDoS es similar y ligeramente diferente a la forma en que lo hace el centro de datos de una empresa multimillonaria. Y aún no hemos llegado a los proveedores de servicios de Internet (ISP). Hay tantas formas de clasificar la protección DDoS como de clasificar las distintas piezas que componen Internet con sus miles de millones de conexiones, sus clústeres, sus intercambios continentales y sus subredes.

Con todo lo dicho, intentemos un enfoque quirúrgico que toque todos los detalles relevantes e importantes del asunto.

El principio detrás de la protección DDoS

Si está leyendo esto sin un conocimiento claro de cómo funciona DDoS, le sugiero que lea la explicación a la que he vinculado anteriormente o, de lo contrario, puede resultar un poco abrumador. Hay dos cosas que puede hacer con un paquete entrante: puede  ignorarloredirigirlo . No puede simplemente evitar que llegue porque no tiene control sobre el origen del paquete. Ya está aquí y su software quiere saber qué hacer con él.

Esta es una verdad universal que todos cumplimos e incluye a los ISP que nos conectan a Internet. Es por eso que tantos ataques tienen éxito: dado que no puede controlar el comportamiento de la fuente, la fuente puede enviarle suficientes paquetes para saturar su conexión.

Cómo lo hacen el software y los enrutadores (sistemas domésticos)

Si ejecuta un firewall en su computadora o su enrutador tiene uno, generalmente está atascado siguiendo un principio básico: si el tráfico DDoS llega volando, el software crea una lista de IP que ingresan con tráfico ilegítimo.

Lo hace al notar cuando algo le envía un montón de datos basura o solicitudes de conexión a una frecuencia no natural, como más de cincuenta veces por segundo. Luego bloquea todas las transacciones que provienen de esa fuente. Al bloquearlos, su computadora no tiene que gastar recursos adicionales para interpretar los datos que contiene. El mensaje simplemente no llega a su destino. Si está bloqueado por el firewall de una computadora e intenta conectarse a ella, obtendrá un tiempo de espera de conexión porque todo lo que envíe simplemente se ignorará.

Esta es una forma maravillosa de protegerse contra ataques de denegación de servicio (DoS) de IP única, ya que el atacante verá un tiempo de espera de conexión cada vez que se registre para ver si su trabajo está progresando. Con una denegación de servicio distribuida, esto funciona porque se ignorarán todos los datos provenientes de las IP atacantes.

Hay un problema con este esquema.

En el mundo de Internet, no existe el «bloqueo pasivo». Necesita recursos incluso cuando ignora un paquete que viene hacia usted. Si está utilizando software, el punto de ataque se detiene en su computadora pero aún pasa por su enrutador como una bala a través del papel. Eso significa que su enrutador está trabajando incansablemente para enrutar todos los paquetes ilegítimos en su dirección.

Si está utilizando el firewall del enrutador, todo se detiene allí. Pero eso aún significa que su enrutador está escaneando la fuente de cada paquete y luego iterando la lista de IP bloqueadas para ver si debe ignorarse o permitirse.

Ahora, imagine que su enrutador tiene que hacer lo que acabo de mencionar millones de veces por segundo. Su enrutador tiene una cantidad limitada de potencia de procesamiento. Una vez que alcance ese límite, tendrá problemas para priorizar el tráfico legítimo, sin importar qué métodos avanzados utilice.

Dejemos todo esto a un lado para discutir otro tema. Suponiendo que tiene un enrutador mágico con una cantidad infinita de potencia de procesamiento, su ISP todavía le brinda una cantidad finita de ancho de banda. Una vez que se alcanza ese límite de ancho de banda, tendrá dificultades para realizar incluso las tareas más simples en la Web.

Entonces, la solución definitiva para DDoS es tener una cantidad infinita de potencia de procesamiento y una cantidad infinita de ancho de banda. Si alguien descubre cómo lograrlo, ¡estamos de oro!

Cómo manejan sus cargas las grandes empresas

La belleza de cómo las empresas manejan DDoS radica en su elegancia: utilizan sus infraestructuras existentes para contrarrestar cualquier amenaza que se les presente. Por lo general, esto se realiza a través de un equilibrador de carga, una red de distribución de contenido (CDN) o una combinación de ambos . Los sitios web y servicios más pequeños pueden subcontratar esto a un tercero si no tienen el capital para mantener una gama tan amplia de servidores.

Con una CDN, el contenido de un sitio web se copia en una gran red de servidores distribuidos en muchas áreas geográficas. Esto hace que el sitio web se cargue rápidamente independientemente de dónde se encuentre en el mundo cuando se conecte a él.

Los balanceadores de carga complementan esto redistribuyendo los datos y catalogándolos en diferentes servidores, priorizando el tráfico por el tipo de servidor más adecuado para el trabajo. Los servidores de menor ancho de banda con grandes discos duros pueden manejar grandes cantidades de archivos pequeños. Los servidores con enormes conexiones de ancho de banda pueden manejar la transmisión de archivos más grandes. (Piense en «YouTube»).

Y así es como funciona

¿Ves a dónde voy con esto? Si un ataque aterriza en un servidor, el equilibrador de carga puede realizar un seguimiento del DDoS y dejar que continúe atacando ese servidor mientras redirige todo el tráfico legítimo a otra parte de la red. La idea aquí es utilizar una red descentralizada a su favor, asignando recursos donde se necesitan para que el sitio web o el servicio puedan seguir funcionando mientras el ataque se dirige a un «señuelo». Bastante inteligente, ¿eh?

Debido a que la red está descentralizada, obtiene una ventaja significativa sobre los firewalls simples y cualquier protección que la mayoría de los enrutadores puedan ofrecer. El problema aquí es que necesita mucho dinero en efectivo para iniciar su propia operación. Mientras crecen, las empresas pueden confiar en proveedores especializados más grandes para brindarles la protección que necesitan.

Cómo lo hacen los Behemoths

Hemos recorrido pequeñas redes domésticas e incluso nos hemos aventurado en el ámbito de las mega corporaciones. Ahora es el momento de entrar en la etapa final de esta búsqueda: vamos a ver cómo las mismas empresas que le brindan una conexión a Internet se protegen de caer en un abismo oscuro. Esto está a punto de complicarse un poco, pero intentaré ser lo más conciso posible sin una tesis que induzca a babear sobre varios métodos de protección DDoS.

Los ISP tienen sus propias formas únicas de manejar las fluctuaciones del tráfico. La mayoría de los ataques DDoS apenas se registran en sus radares, ya que tienen acceso a una cantidad casi ilimitada de ancho de banda. Su tráfico diario de 7 a 11 pm (también conocido como la «hora punta de Internet») alcanza niveles que superan con creces el ancho de banda que obtendría de un flujo DDoS promedio.

Por supuesto, dado que estamos hablando de Internet, hay (y a menudo ha habido) ocasiones en las que el tráfico se convierte en algo mucho más que un parpadeo en el radar.

Estos ataques vienen con vientos huracanados e intentan abrumar la infraestructura de los ISP más pequeños. Cuando su proveedor levanta las cejas, rápidamente recurre a un arsenal de herramientas a su disposición para combatir esta amenaza. Recuerde, estos muchachos tienen enormes infraestructuras a su disposición, por lo que hay muchas formas en que esto puede suceder. Éstos son los más comunes:

  • Agujero negro disparado de forma remota : suena mucho a algo salido de una película de ciencia ficción, pero RTBH es algo real documentado por Cisco.  Hay muchas formas de hacer esto, pero le daré la versión “rápida y sucia”: un ISP se comunicará con la red de la que proviene el ataque y le dirá que bloquee todo el tráfico saliente que se lanza en su dirección. Es más fácil bloquear el tráfico que sale que bloquear los paquetes entrantes. Claro, todo, desde el ISP de destino, ahora parecerá como si estuviera fuera de línea para las personas que se conectan desde la fuente del ataque, pero hace el trabajo y no requiere mucha molestia. El resto del tráfico mundial no se ve afectado.
  • Depuradores : algunos ISP muy masivos tienen centros de datos llenos de equipos de procesamiento que pueden analizar patrones de tráfico para clasificar el tráfico legítimo del tráfico DDoS. Dado que requiere mucha potencia informática y una infraestructura establecida, los ISP más pequeños a menudo recurren a la subcontratación de este trabajo a otra empresa. El tráfico en el sector afectado pasa a través de un filtro y la mayoría de los paquetes DDoS se bloquean mientras se permite el paso del tráfico legítimo. Esto asegura el funcionamiento normal del ISP a costa de enormes cantidades de potencia informática.
  • Un poco de vudú de tráfico : utilizando un método conocido como «modelado de tráfico», el ISP simplemente introducirá todo lo que el ataque DDoS trae consigo en su IP de destino, dejando a todos los demás nodos solos. Esto básicamente arrojará a la víctima debajo del autobús para salvar al resto de la red. Es una solución muy fea y, a menudo, la última que utilizará un ISP si la red se encuentra en una crisis grave, y necesita una acción rápida y decisiva para garantizar la supervivencia del conjunto. Piense en ello como un escenario en el que “las necesidades de muchos superan las necesidades de unos pocos”.

El problema con DDoS es que su efectividad va de la mano con los avances en la potencia de las computadoras y la disponibilidad de ancho de banda. Para luchar realmente contra esta amenaza, tenemos que utilizar métodos avanzados de modificación de red que superan con creces las capacidades del usuario doméstico medio. Probablemente sea bueno que los hogares no sean a menudo objetivos directos de ataques DDoS.

Por cierto, si desea ver dónde están ocurriendo estos ataques en tiempo real, consulte el Mapa de ataques digitales .

¿Alguna vez ha sido víctima de este tipo de ataques en su hogar o en su lugar de trabajo? ¡Cuéntanos tu historia en un comentario!

¡Si te ha gustado vota con 5 Estrellas!
(Votos: 0 Promedio: 0)

Escribe Aquí Tu Comentario