Un ataque DDoS ó Ataque de Negación de servicio distribuido es, en pocas palabras, el hecho de saturar un sistema usando para ello, muchísimos clientes.
En los servidores web, algunos delincuentes informáticos, controlan cientos o miles de máquinas infectadas por malware, que controlan a su antojo, y pueden ordenarles hacer visitas sin parar a una web determinada, de forma que el apache se satura, y no puede atender a los visitantes legítimos.
Además de estos ataques básicos, pueden usarse estas máquinas "zombie" para saturar cualquier servicio en la máquina, e incluso, pueden usarse para saturar la red entera en la que la máquina está hospedada, enviando información sin parar mediante el protocolo UDP (que no requiere conexión) hasta saturar el ancho de banda de la red objetivo.
¿Como detener estos ataques?
Algunas de las técnicas que se pueden utilizar para detener este tipo de ataques es utilizar apache basado en threads en lugar de apache basado en forks, de forma que cada petición no nos genera un nuevo proceso, sino un nuevo hilo, además, deberíamos de instalar reglas anti syn-flood en nuestro iptables, además de eliminar la limitación de 1024 sockets por proceso en Linux.
Aparte de estas medidas preventivas existen medidas si ya estás bajo ataque, la primera es analizar los logs de los distintos servicios para ver si están realizando un ataque a un software concreto, como apache, o si están usando ataques en la capa tcp, como syn flood.
Si los ataques son peticiones intentando consumir memoria usando los scripts de la página, algo muy común, bastaría con detectar el refer que utilizan o ver si existen un useragent especifico en los zombies, y bloquearlos. Si el ataque es en la capa tcp, debería estudiarse el uso de reglas especificas para mitigar ese ataque en iptables o en el firewall coporativo.
Depende de la técnica que utilice el delincuente informático y de como esté instalada la red en la que se encuentra el sistema objetivo, el atacante necesitará mas o menos recursos (número de máquinas zombie) por lo que estar preparados contra estos ataques, no nos asegura ser inmunes, pero nos asegura que el atacante va necesitar muchos mas recursos para dejar nuestro sitio fuera de servicio.
Escribe un comentario