1 of 20
2 of 20
3 of 20
4 of 20
5 of 20
6 of 20
7 of 20
8 of 20
9 of 20
10 of 20
11 of 20
12 of 20
13 of 20
14 of 20
15 of 20
16 of 20
17 of 20
18 of 20
19 of 20
20 of 20

site

doc

blog

success stories

Blog

Cómo DDoS Protection de Azion mitiga los principales ataques DDoS

Desde el inicio de la pandemia de COVID-19 en 2020, hemos enfrentado un aumento progresivo respecto a tipos, tamaños y agresividad de ataques DDoS. Dada su diversidad de formas y su amplio alcance (extendido, básicamente, a cualquier empresa o entidad con presencia en línea), este artículo explica cómo DDoS Protection de Azion protege contra los principales ataques para evitar grandes pérdidas económicas y daños a la imagen de tu empresa.

DDoS Protection de Azion está integrado en la Plataforma de Edge de Azion para prevenir y mitigar ataques DDoS desde cualquier parte del mundo, las 24 horas del día, los 7 días de la semana. Con DDoS Protection, nuestros clientes tienen la mejor opción para proteger su contenido y aplicaciones, ya que detecta solicitudes maliciosas mediante el uso de algoritmos avanzados y técnicas de enrutamiento modernas que se ejecutan en la red altamente distribuida de Azion. Como nuestra red está conectada a varios centros de mitigación alrededor del mundo, podemos proteger a nuestros clientes contra ataques a gran escala, ya sea en la capa de red o de aplicación, al reducir el tiempo de inactividad y sin impactar el desempeño de sus servicios.

A continuación, mostraremos las principales técnicas de mitigación de ataques DDoS presentes en el mercado y por qué DDoS Protection de Azion es la mejor solución para tu empresa.

Estrategias comunes para la mitigación de DDoS

Como la seguridad digital es una prioridad para cualquier empresa con presencia en línea y cada empresa tiene sus propias particularidades, así como prioridades cuando tienen que planificar la seguridad de su infraestructura, red y aplicaciones, hay varias soluciones para mitigar los ataques DDoS. Lo que hace diferente a estas diversas soluciones para bloquear y prevenir ataques son, entre otras cosas, las estrategias de monitoreo y algoritmos usados, las técnicas de enrutamiento e incluso el equipamiento físico necesario. A continuación, enumeramos las opciones con la mayor presencia en el mercado actual, así como sus ventajas y desventajas.

Mitigación basada en el proveedor

Este tipo de solución es comúnmente ofrecido por un ISP (Internet Service Provider, proveedor de servicio de internet). Esto significa que al contratar a un ISP, probablemente tendrás incluida la mitigación basada en el proveedor. Esta solución realiza un monitoreo simple del tráfico que, cuando identifica un volumen sospechoso de solicitudes, puede impedir el acceso a la página web o aplicación del cliente.

Sin embargo, a pesar de tener una protección integrada en tu servicio de acceso de internet puede ser beneficioso, la mitigación basada en el proveedor presenta varias limitaciones que no se pueden ignorar. Una de ellas es el ancho de banda limitado que normalmente está disponible para este servicio. De esta forma, dado que los ataques DDoS son comúnmente volumétricos, y en caso de que seas atacado por una red de bots lo suficientemente grande para congestionar el tráfico disponible para la mitigación por parte del proveedor, habrá una denegación de servicio de todos modos. Por otro lado, el equipo usado para esta mitigación suele ser el más básico del mercado, sin los recursos necesarios para identificar y bloquear estrategias avanzadas e innovadoras de ataque que surgen constantemente. Finalmente, como los proveedores son objetivos frecuentes de ataques de DDoS masivos, es posible que la mitigación no esté disponible cuando más lo necesites.

Mitigación basada en CDN

Una de las mayores ventajas de las soluciones basadas en CDN (Content Delivery Network, red de distribución de contenidos) es la fácil escalabilidad y el ancho de banda disponible. Debido a que las CDN gestionan redes de servidores distribuidos alrededor del mundo, no suele ser un gran desafío absorber grandes volúmenes de solicitudes maliciosas, al mantener la aplicación o sitio web del cliente disponible para accesos legítimos.

Las soluciones contra DDoS basadas en CDN son comúnmente restringidas a ataques volumétricos, sin embargo, no son efectivas contra ataques más inteligentes o no volumétricos. Además, dado que los volúmenes de ataque son impredecibles, esto puede crear un costo innecesariamente alto y no planificado para el cliente, que paga el exceso de ancho de banda usado para mantener disponible su contenido mientras mitiga un ataque.

Mitigación basada en DNS

De forma similar a las soluciones basadas en CDN, las basadas en DNS (Domain Name Server, sistema de nombres de dominio) cuentan con un alto ancho de banda, al controlar de forma fácil los ataques basados en capas de transporte y de red (OSI, capas 3 y 4). Sin embargo, al confiar de forma exclusiva en una solución basada en DNS, también expone su capa de aplicación, la cuál no está protegida de forma efectiva por este tipo de protección. Además, los servidores DNS son vulnerables a ataques inteligentes que usan un bajo volumen de tráfico, los cuales pueden pasar desapercibidos por los algoritmos de detección volumétrica en los que se basan. Finalmente, no tendrás soporte especializado durante un ataque más complejo que pueda requerir la intervención humana de forma directa.

Mitigación de DDoS por un proveedor de alojamiento (host)

A medida que la protección contra DDoS llega a ser cada vez más esencial, las empresas de servicios de alojamiento de páginas web ofrecen cada vez más este servicio dentro de sus paquetes de funcionalidades. De esta forma, el cliente tiene la ventaja de adquirir el alojamiento y la protección de su sitio web en un único contrato.

A pesar de esto, diferentes proveedores de alojamiento optan por diferentes opciones de mitigación contratadas a terceros, que pueden estar basadas en CDN, DNS o incluso en proveedores, lo que trae consigo las vulnerabilidades ya comentadas sobre estas soluciones. Además, si tu página web usa datos o funciones alojadas en otra empresa, estas no estarán protegidas por la protección contratada, ya que esta sólo actúa en los datos alojados en ese proveedor de alojamiento en específico. Otro punto de atención es el hecho de que el ancho de banda del proveedor de alojamiento es compartido por todos los clientes, lo que puede limitar el volumen de los ataques que puede asimilar.

Mitigación interna

Como hemos mostrado, entre las diferentes estrategias y técnicas usadas para mitigar ataques DDoS, todas tienen sus puntos de atención que deben ser considerados. Por este motivo, algunas empresas y proveedores han adoptado una estrategia que tiene la gran ventaja de ofrecer una protección robusta, confiable y estable, conocida como mitigación interna (in-house mitigation). Al adquirir un hardware específico para la mitigación local de ataques DDoS, que es distribuido por varias empresas alrededor del mundo, se obtiene también la opción de tener control total de todo el proceso de identificación, análisis y bloqueo de este tipo de ataques.

Sin embargo, el costo de este tipo de solución es desalentador, ya que podría tomar unos cientos de miles de dólares adquirir el equipo básico. Además, cuando transformas la protección de DDoS en una actividad local, deberás invertir tiempo y recursos para formar profesionales capaces de lidiar con estos ataques que, cabe recordar, se transforman y evolucionan cada día. Al tener en cuenta estos elementos, la protección interna también puede traer complicaciones que no son ideales para el entorno dinámico y competitivo que es la presencia en línea de una empresa.

¿Cómo funciona DDoS Protection de Azion?

En el escenario presentado, la mitigación de ataques en el edge ofrecido por Azion surge con ventajas incuestionables sobre las opciones disponibles actualmente en el mercado. Para empezar, antes de discutir con más detalle los algoritmos y técnicas que usa nuestro DDoS Protection, es importante destacar que la mitigación de cualquier tipo de ataque volumétrico es intrínseco a la estructura de nuestra red. En esta sección, te mostraremos el motivo.

Una red troncal altamente redundante

Como publicado en este artículo, una de las grandes ventajas de una plataforma de edge computing es su red troncal (backbone) altamente distribuida. Esto significa que, a diferencia de las soluciones que se ofrecen en la nube, nuestra plataforma y procesamiento están descentralizados, con una red distribuida en más de 100 edge locations en todo el mundo.

Por este motivo, la estructura de nuestra red hace que sea imposible consolidar un ataque DDoS. Dado que la base de este tipo de ataque es la concentración de grandes volúmenes de solicitudes en un único servidor, un ataque DDoS no puede ser completamente efectivo en la plataforma de Azion.

Piensa de esta forma: cuando se accede a una aplicación o contenido disponible en la plataforma de Azion, el usuario será enviado, a través de nuestro enrutamiento inteligente, a una edge location que está geográficamente más cerca y disponible para suministrar este contenido, con la mejor experiencia en cuanto a velocidad y calidad de conexión. Cuando esta edge location identifica un volumen o comportamiento sospechoso de solicitudes, todo el tráfico concentrado allí pasa inmediatamente por nuestro proceso de mitigación avanzado (el cual se describe con más detalle a continuación, en la sección de “Técnicas avanzadas de depuración de paquetes y enrutamiento”), lo que hace posible que el tráfico legítimo se mantenga disponible, mientras las solicitudes maliciosas se bloquean de forma automática. Además, nuestro sistema inteligente de enrutamiento continua funcionando de tal manera que todas las solicitudes legítimas se dirijan siempre a la edge location que pueda suministrar el contenido con la mejor calidad y la mayor velocidad, sin que ninguna degradación del servicio sea causada por el ataque en curso.

En la siguiente ilustración, puedes ver una representación visual de cómo ocurre este proceso:

Técnicas avanzadas de depuración de paquetes y enrutamiento

Además de ofrecer una infraestructura que, por defecto, protege tu contenido contra ataques DDoS basados en volumen, Azion también invierte en las técnicas avanzadas de depuración de paquetes y de enrutamiento inteligente para garantizar que nuestros clientes no se vean afectados por estos ataques, ya sea que estén dirigidos a las capas de transporte y de red o apunten directamente a la capa de aplicación. Para identificar un ataque y mantener el tráfico legítimo, nuestro DDoS Protection realiza los siguientes pasos:

  1. Primero, nuestra red realiza un filtro de borde que identifica IP sospechosas, bots conocidos y alojamientos que pueden estar infectados de acuerdo a las listas de control de acceso.
  2. Al usar la técnica de DPI (Deep Packet Inspection, inspección profunda de paquetes) y algoritmos de desafío-respuesta progresivos, se realiza una verificación de protocolos para garantizar que todas las solicitudes cumplan con los estándares establecidos dentro de nuestra red.
  3. En el caso de que las solicitudes hayan superado las dos primeras etapas de verificación, se someterán a un nuevo filtro adaptativo, el cual combina un análisis estadístico (para encontrar números inusuales de paquetes o altas tasas de tráfico provenientes de clientes zombi) con la verificación de anomalías (a través de flujos de autoaprendizaje que verifican protocolos y redes de origen de datos recibidos para compararlos con tráfico legítimo y sospechoso identificado en el pasado). En esta etapa, una muestra significativa de paquetes recibidos se someten a un análisis detallado para verificar si representan alguna amenaza para la capa de aplicación.
  4. El cuarto paso también consiste en filtrar la capa de aplicación, al verificar que las solicitudes realizadas correspondan al comportamiento normal esperado por la aplicación.
  5. Luego se realiza un análisis de contenido, que detecta patrones para identificar comportamientos inusuales del tráfico de entrada.
  6. Al final de todo el proceso, también se aplica un límite a la tasa de transferencia, el cual monitorea y adapta el uso del ancho de banda durante el evento de un ataque.

Con estos 6 procedimientos automáticos y altamente redundantes, DDoS Protection implementa una política de defensa en profundidad que, por un lado, protege el funcionamiento de la aplicación y el suministro de contenido en todas sus instancias, al mismo tiempo que reduce el número de falsos positivos y evita que el tráfico legítimo sea bloqueado, lo que es común en varias técnicas de mitigación de DDoS que pueden dañar la imagen y los ingresos de tu empresa

¿Cuáles son los diferentes niveles de DDoS Protection de Azion?

Actualmente, Azion provee 4 versiones de DDoS Protection, según el volumen de ataques que el plan es capaz de mitigar: 5 Gbps, 20 Gbps, 50 Gbps e ilimitado.

Cuando usas la Plataforma de Edge de Azion, obtienes, de forma automática, los beneficios de nuestro plan de DDoS Protection de 5 Gbps sin un costo adicional. Con esta versión del producto, obtienes una mitigación siempre activa que monitorea de forma continua el flujo de la red para detectar y bloquear el tráfico malicioso en tiempo real, sin afectar tus aplicaciones.

Al contratar los planes de 20 Gbps, 50 Gbps o ilimitado, además de la mitigación siempre activa y la posibilidad de asimilar grandes volúmenes de ataques, cuentas con la detección avanzada de inspección de flujos de red, así como también con el monitoreo de cada capa de aplicación para tus recursos suministrados por Azion que usan WAF y Edge Firewall. De esta forma, te proteges contra ataques como inundación HTTP, lecturas lentas HTTP, inundación de consultas DNS, inundación SYN/ACK y muchos más, además de tener visibilidad completa de los ataques a las aplicaciones a través de nuestro Real-Time Manager o API para monitorear la frecuencia y el volumen de los ataques.

Además, si eliges el plan de soporte de misión crítica junto con DDoS Protection ilimitado, tendrás acceso al equipo de respuesta de seguridad (SRT) de Azion las 24 horas del día y los 7 días de las semana, el cual puede ser activado durante, después o incluso antes de que ocurra un ataque para dar soporte a la construcción de reglas proactivas. Cada vez que se active el plan, el SRT te ayudará en la clasificación de incidentes, la identificación de la raíz de la causa y la aplicación de las mitigaciones necesarias.

Protección, alto desempeño y flexibilidad en el edge

Como puedes ver en este artículo, la protección contra ataques DDoS es fundamental para mantener una buena imagen de tu empresa, así como para evitar pérdidas innecesarias de ingresos. Azion te ofrece mucho más que eso.

Nuestra plataforma de alto desempeño brinda toda la infraestructura y la experiencia necesaria para construir, proteger, suministrar y observar en el edge, con una red de muy baja latencia que solo es posible mediante un suministro de contenido lo más cerca posible de los clientes. Con Azion, tienes la libertad y el soporte para construir tus aplicaciones más rápido al usar nuestra amplia biblioteca de funciones en Edge Functions, la seguridad de proteger todas las capas de tus sistemas con productos como Edge Firewall, WAF y DDoS Protection, así como los insights necesarios obtenidos de la observación en tiempo real a través de la recopilación y el procesamiento de datos realizado por Data Streaming, Edge Pulse y Real-Time Metrics. Además, Azion garantiza el 100 % de disponibilidad para tus aplicaciones y servicios, respaldado por nuestro SLA (Service Level Agreement, acuerdo de nivel de servicio).

DDoS Protection brinda la mejor solución contra diversos ataques DDoS

En este artículo, demostramos la importancia de estar protegido contra ataques DDoS de forma efectiva, así como también las principales técnicas usadas para mitigarlas. Azion usa los recursos de última generación disponibles en el edge para realizar algoritmos de depuración de paquetes avanzados y rápidos, asociados con técnicas de enrutamiento inteligente para brindar a tus clientes la mayor seguridad y confiabilidad para sus aplicaciones.

¿Te gustaría conocer un poco más sobre nuestros servicios de protección? Obtén más información sobre nuestros DDoS Protection, WAF y Edge Firewall, que mantienen toda tu red protegida contra los ataques más recientes y avanzados (incluidos los que aún no han sido creados). En nuestras historias de éxito puedes ver como nuestra suite de protección trajo grandes beneficios a clientes importantes como Magalu y Dafiti. ¡Además, puedes comunicarte con un experto para conocer más acerca de nuestro productos y por qué deberías usar DDoS protección ahora mismo!