Jul 24, 2020

Un ataque de denegación de servicio distribuido (DDoS) es básicamente una avalancha de tráfico ilegítimo que se envía a un recurso de red desde una dirección IP o un grupo de direcciones IP, lo que hace que el recurso de red no esté disponible. Un ataque DDoS es una seria amenaza de seguridad que enfrentan todos los tipos de redes, desde la red empresarial más simple hasta la red corporativa más compleja. Afortunadamente, NetFlow Analyzer puede ayudarlo a detectar ataques DDoS y mitigar el daño que de otro modo podrían causar.

Entendiendo DDoS

Los ataques DDoS aprovechan el protocolo de enlace de tres vías TCP que se realiza para cada conexión establecida utilizando el protocolo TCP. No es sorprendente que los hackers hayan encontrado varias formas de derrotar el apretón de manos de tres vías.

diagrama-v-28

En un ataque DDoS (también conocido como inundación), los atacantes alteran la secuencia del apretón de manos de tres vías, ya sea al no responder a SYN-ACK desde el servidor o al enviar un paquete SYN continuamente desde una IP inexistente (IP falsificada).

En el protocolo de enlace de tres vías, el servidor que responde mantiene una cola para enviar los SYN-ACK. Durante el ataque, el cliente no responde al SYN-ACK enviado desde el servidor, por lo que el servidor no está disponible. El servidor mantiene una cola de SYN-ACK para todos los paquetes SYN recibidos de la dirección IP falsificada. En un momento, la cola se desborda y el servidor deja de estar disponible.

diagrama-v-29

Existen varios tipos de ataques DOS, como el ataque DDoS del Protocolo de tiempo de red (NTP), inundaciones ICMP, lágrima, punto a punto, lectura lenta y reflejado / falso.
El mes pasado, se informó que un ataque a un servidor NTP (Protocolo de tiempo de red) no seguro fue el mayor ataque DDoS de la historia, con un tamaño de ataque de aproximadamente 400 Gbps. Los atacantes utilizaron una técnica llamada reflexión NTP. Falsificaron la dirección IP de origen del remitente, que periódicamente enviaba paquetes de solicitud a los servidores NTP para la sincronización horaria. Como resultado, el servidor NTP envió un gran conjunto de respuestas a la dirección falsificada, lo que provocó una congestión temporal en la red y redujo la disponibilidad de recursos.

Mitigando los ataques DDoS con NetFlow Analyzer: el enfoque de un cliente

Uno de nuestros estimados clientes es James Braunegg de  Micron21 . James ha investigado mucho sobre los ataques DDoS y ha escrito y publicado muchas publicaciones de blog en su sitio web que detallan sus hallazgos, incluida la forma de identificar y mitigar un ataque DDoS. Y, para que conste, James usa ManageEngine NetFlow Analyzer para identificar y mitigar anomalías en la red de su centro de datos y mantenerlo funcionando de manera eficiente con alta disponibilidad.

Para darle una apreciación de la experiencia de James, tiene una maestría de postgrado de la Universidad de Monash (MBMS) y se unió a Micron21 en 2004 para establecer las operaciones técnicas de la compañía. La experiencia de James implica dirigir una exitosa compañía de hardware de TI durante los últimos 20 años, junto con el soporte de redes corporativas y soluciones de software personalizadas para el usuario final que se centran en el soporte individual al cliente. Su enfoque principal en Micron21 es la administración del centro de datos y su infraestructura de soporte.

Cómo James identifica los ataques DDoS

En un episodio reciente, James usó NetFlow Analyzer para analizar los picos anormales en el tráfico de su centro de datos (ver imagen a continuación). Al utilizar el mecanismo de alerta de NetFlow Analyzer, pudo identificar las anormalidades y mitigar el ataque DDoS fácilmente.

ASAM 1
ASAM 2

Prueba Netflow Analyzer gratis por 30 días!



Acerca del autor:

Alfonso Orrantia
Webmaster



TAGS

Compartir

ARTICULOS RELACIONADOS