DDoS (denegación de servizo distribuída) e DoS (denegación de servizo) Os ataques pódense clasificar en tres categorías en función das capas do modelo OSI que teñen como obxectivo: capa de rede (Capa 3), capa de transporte (Capa 4), e capa de aplicación (Capa 7).

Capa 3 e Capa 4 Os ataques adoitan ser menos complexos–aínda que poden ser moi difíciles de mitigar–e implican inundar de tráfico a capa de rede e transporte, sobrecargando os recursos do sistema de destino e facendo que non estea dispoñible para usuarios lexítimos. Este tipo de ataques pódense lanzar utilizando varias técnicas como as inundacións ICMP, TCP SYN inundacións, ou inundacións UDP.

Unha inundación ICMP, por exemplo, é unha capa 3 ataque no que un gran número de paquetes ICMP son inundados no sistema de destino, facéndoo insensible. Unha inundación TCP SYN, por outra banda, é unha capa 4 ataque que explota as formas en que se establecen as conexións TCP.

Nun ataque de inundación SYN, o atacante envía moitos paquetes SYN ao sistema de destino, pero nunca envía un paquete ACK para completar a conexión. Isto fai que o sistema asigne recursos para cada intento de conexión que, finalmente, sobrecarga o sistema e non está dispoñible para usuarios lexítimos.. Unha inundación UDP envía un gran número de paquetes UDP a un sistema de destino, consumindo os seus recursos e facendo que non responda.

Ataques DDoS da capa de aplicación

Os ataques da capa de aplicación son máis complexos e máis difíciles de mitigar que a capa 3 e capa 4 ataques. Estes ataques teñen como obxectivo a capa de aplicación (capa 7) do sistema de destino e explotar as vulnerabilidades da propia aplicación. Capa 7 Os ataques poden causar máis dano porque poden afectar directamente ás aplicacións e á infraestrutura subxacente. Non poderás mitigar a capa 7 Ataques DDoS con capa 3 ou capa 4 ferramentas como os cortalumes de rede.

Inundacións HTTP, Ataques Slowloris, e os ataques de amplificación de DNS son de capa 7 ataques de denegación de servizo. Estes ataques requiren defensas máis sofisticadas, como firewalls na capa de aplicación, sistemas de prevención de intrusos, e CDN (redes de distribución de contidos).

Inundacións HTTP

Os ataques de inundacións HTTP realízanse mediante solicitudes GET ou POST para saturar o servidor de destino. Os ataques Flood que utilizan solicitudes GET adoitan ser máis sinxelos e requiren menos recursos porque só piden información do servidor. Solicitudes POST, por outra banda, normalmente requiren o envío de grandes cantidades de datos.

Unha das razóns polas que os ataques de inundación HTTP son difíciles de mitigar é que a miúdo se lanzan desde un gran número de fontes., dificultando identificar e bloquear todo o tráfico malicioso. Ademais, Os atacantes poden usar técnicas como a suplantación de IP para disimular as súas verdadeiras identidades e dificultar aínda máis o rastrexo da orixe dos seus ataques..

Defenderse contra ataques de inundación HTTP pode ser complicado. Os distintos tipos de ataques requiren diferentes estratexias de mitigación. As defensas comúns contra ataques de inundación HTTP inclúen a limitación da taxa, lista negra, e cortalumes de aplicacións web. Porén, estas técnicas poden ser intensivas en recursos e poden non ser suficientes para frustrar ataques máis sofisticados.

Ataques Slowloris

Slowloris é un tipo de ataque de inundación no que se dirixe a forma en que os servidores web manexan as conexións dos clientes. Este ataque funciona abrindo un gran número de conexións ao servidor, pero enviando as solicitudes a un ritmo lento, mantendo cada conexión aberta o maior tempo posible. Este tipo de ataque pode consumir todos os recursos dispoñibles do servidor e permite aos atacantes consumir CPU, memoria, ou ancho de banda da rede, etc. sen sequera activar a limitación de taxa típica e mecanismos de filtrado de tráfico que se usan habitualmente para detectar e bloquear outro tipo de ataques DDoS.

Para levar a cabo un ataque Slowloris, Os atacantes normalmente usan scripts ou ferramentas que envían solicitudes HTTP a un servidor, pero retrasar deliberadamente o envío de solicitudes posteriores. A solicitude está deseñada para parecer unha solicitude lexítima, pero cunha cabeceira incompleta que mantén aberta a conexión indefinidamente. Co paso do tempo, o servidor terá moitas conexións abertas á espera de datos adicionais do cliente, facendo que o servidor deixe de responder ao tráfico lexítimo.

Os ataques Slowloris poden ser difíciles de detectar debido ao seu deseño encuberto e ao seu ancho de banda relativamente baixo. Isto fai que sexa unha ferramenta eficaz para atacantes que queren sabotear os seus servidores sen activar alertas nin crear sospeitas. Para defenderse dos ataques Slowloris, os servidores web poden implementar varias contramedidas. Por exemplo, limitar o número de conexións que se poden establecer desde un único enderezo IP ou establecer un tempo de espera para solicitudes incompletas. Algúns cortalumes de aplicacións web e servizos de mitigación de DDoS teñen protección integrada contra ataques Slowloris, utilizando algoritmos que poden detectar e bloquear ese tráfico en tempo real.

Capa 7 Mitigacións de DDoS

Limitación de taxas

A limitación da taxa implica establecer un limiar sobre o número de solicitudes que se poden facer desde un enderezo IP específico ou un axente de usuario nun período de tempo específico.. O concepto é moi semellante á limitación da taxa na capa 3 pero ten que ser implementado na capa 7.

O obxectivo da limitación da taxa é evitar que un atacante sobrecargue a aplicación web cunha gran cantidade de solicitudes, provocando a interrupción do servidor. A limitación da taxa pódese implementar en varias capas da arquitectura da súa aplicación web, nun servidor web, equilibrador de carga, ou firewall de aplicacións. As implementacións normalmente implican o seguimento do número de solicitudes feitas por un determinado enderezo IP ou axente de usuario e bloquear máis solicitudes cando se alcanza un limiar predefinido.

Un enfoque común para implementar a limitación de taxas nas aplicacións web é usar middleware ou complementos que rastrexan o número de solicitudes realizadas por cada cliente e bloquean novas solicitudes cando se supera o limiar.. Estes complementos pódense configurar para aplicar diferentes políticas de limitación de taxas en función de factores como o tipo de solicitude, axente de usuario, ou enderezo IP do cliente.

Por exemplo, unha política simple de limitación de taxas pode limitar as solicitudes dun só enderezo IP a un máximo de 10 solicitudes por minuto. Se un cliente supera este limiar, as solicitudes posteriores bloquearanse ata que expire o prazo.

Os produtos que limitan a velocidade da capa de aplicación están dispoñibles para os servidores web populares e os servizos na nube, incluíndo:

Apache

Apache ten varios módulos que se poden usar para limitar a taxa, como mod_limitipconn, que limita o número de conexións simultáneas desde un determinado enderezo IP, e mod_qos, que ofrece varios controis de calidade de servizo, incluíndo a limitación de taxas.

Ademais, Firewall de aplicacións web ModSecurity ten unha función de limitación da taxa que pode bloquear clientes que superan un limiar definido. Ademais dos módulos mencionados anteriormente, Apache tamén ofrece mod_evasive. Este é un módulo que se pode usar para limitar e bloquear clientes que superan un limiar definido. Detecta e bloquea clientes fraudulentos mediante unha variedade de técnicas, incluíndo IP e seguimento de axente de usuario.

Nginx

Nginx ofrece módulo ngx_http_limit_req. Isto pódese usar para limitar a taxa de solicitudes de certos clientes en función do enderezo IP ou doutros factores. Este módulo usa un algoritmo de depósito de tokens para asignar tokens a cada cliente baseándose nunha política de limitación de taxas. Ademais do módulo ngx_http_limit_req, Nginx tamén ofrece o módulo ngx_http_limit_conn. Isto pódese usar para limitar o número de conexións de clientes ou enderezos IP específicos. Este módulo usa un algoritmo de depósito de tokens para asignar tokens en función das políticas de limitación da taxa.

IIS

Servizos de información de Internet de Microsoft (IIS) inclúe a módulo de limitación de IP dinámica que se pode utilizar para limitar a taxa. Este módulo pódese configurar para bloquear solicitudes de enderezos IP que superan os limiares predefinidos e tamén pode proporcionar alertas e rexistros para o seguimento. Ademais do módulo Dynamic IP Limiting, IIS tamén ofrece un módulo de filtrado de solicitudes que se pode usar para limitar a taxa de solicitudes de clientes específicos en función de varios criterios, como o enderezo IP, axente de usuario, e método de solicitude.

AWS

Amazon Web Services (AWS) ofrece varios servizos que se poden utilizar para limitar a tarifa, incluíndo AWS WAF con limitación de taxa como característica.

AWS Shield ofrece protección contra DDoS, incluíndo regras baseadas na tarifa que poden bloquear solicitudes de enderezos IP por riba dun determinado limiar. Adicional a AWS WAF e AWS Shield, AWS tamén ofrece AWS Elastic Load Balancer. Inclúe varias políticas de limitación de taxas que se poden configurar para bloquear clientes sobre limiares predefinidos.

Azure

Microsoft Azure ofrece varios servizos que se poden usar para limitar a taxa, incluíndo Azure Application Gateways. Inclúe un firewall de aplicacións web que se pode configurar para limitar a taxa de solicitudes entrantes. Ademais, Ofertas de Azure Front Door unha característica de limitación da taxa que pode bloquear solicitudes de enderezos IP por riba dun limiar predefinido. Ademais de Azure Application Gateway e Azure Front Door, Azure tamén ofrece Azure Firewall. Pódese usar para limitar e bloquear clientes que superan un limiar definido.

GCP

Google Cloud Platform (GCP) ofrece Cloud Armor, un firewall de aplicacións web con capacidades de limitación de velocidade que pode bloquear solicitudes de clientes que superan un limiar definido.

Estes produtos que limitan a velocidade da capa de aplicación poden mitigar eficazmente os ataques de inundación HTTP limitando o número de solicitudes de clientes malintencionados.. Porén, é importante que estean debidamente configurados para non bloquear o tráfico lexítimo e que se usen en conxunto con outras medidas de seguridade, como cortalumes e servizos de mitigación de DDoS para ofrecer unha protección integral contra ataques DDoS..

Tempos de espera para solicitudes incompletas

A continuación móstranse algúns métodos de mitigación da capa de aplicación Slowloris que se enumeran para Apache, Nginx, e servidores web IIS, e equilibradores de carga e funcións adicionais para AWS, Azure, e servizos GCP:

Apache

Ademais dos módulos mencionados anteriormente, Apache tamén ofrece un módulo, mod_reqtimeout, que se pode usar para establecer un tempo de espera para as solicitudes entrantes. Se o cliente envía unha solicitude que leva máis tempo que o tempo de espera especificado, o servidor pechará a conexión. Isto evitará ataques de slowloris.

Nginx

Ademais do módulo ngx_http_limit_conn e do módulo ngx_http_limit_req, Nginx tamén proporciona o seu módulo ngx_http_request. Isto pódese usar para limitar o tempo que tarda o servidor ascendente en procesar a solicitude. Se o servidor upstream tarda máis que o tempo de espera especificado, Nginx pechará a conexión.

IIS

Adicional aos módulos Restricións IP dinámicas e Filtrado de solicitudes, IIS tamén proporciona un controlador de modo kernel HTTP.sys. Isto permítelle establecer un tempo de espera para as solicitudes entrantes. Se o cliente envía unha solicitude que leva máis tempo que o tempo de espera especificado, o servidor pechará a conexión.

AWS

Ademais de AWS WAF e AWS Shield, AWS tamén ofrece Elastic Load Balancer, que incorpora numerosas regras de tempo de espera de conexión que se poden configurar para pechar conexións que tardan máis que un limiar predefinido.

Azure

Ademais de Azure Application Gateway e Azure Front Door, Azure tamén ofrece Azure Load Balancer, que incorpora unha característica configurable de tempo de espera de inactividade que pode usarse para pechar conexións que poden estar inactivas durante un período predefinido.

GCP

Google Cloud Platform (GCP) ofrece numerosas alternativas de tempo de espera de conexión para os seus servizos, que inclúen Cloud Load Balancing, que incorpora unha característica de tempo de espera configurable que pode usarse para pechar conexións que tardan máis que un limiar predefinido.

Conclusión

En conclusión, Os ataques DDoS e DoS pódense clasificar en función das capas do modelo OSI ás que están dirixidos, como a capa de rede (Capa 3), capa de transporte (Capa 4), e capa de aplicación (Capa 7).

Mentres capa 3 e capa 4 ataques inundan de tráfico as capas de rede e transporte, capa 7 os ataques son máis complexos e explotan vulnerabilidades nas propias aplicacións. As inundacións HTTP e os ataques Slowloris son exemplos de capas 7 ataques de denegación de servizo. As contramedidas contra estes ataques inclúen a limitación da taxa, lista negra, e cortalumes de aplicacións web. Identificar e conter ataques en tempo real require un completo, estratexia de defensa multicapa que inclúe o seguimento, detección, e capacidade de resposta.

Ademais, os atacantes poden personalizar as súas técnicas e adaptar os seus ataques para evitar a detección e eludir as medidas de seguridade. Polo tanto, é imperativo que as organizacións implementen unha ampla, estratexia de defensa multicapa que inclúe o seguimento, detección, e capacidades de resposta para identificar e conter ataques rapidamente en tempo real. Isto pode incluír o uso de algoritmos avanzados de aprendizaxe automática e análise de comportamento para detectar e bloquear patróns de tráfico maliciosos.