Monitorización de DDoS: cómo saber que estás bajo ataque
Hace un tiempo, cubrimos cómo puedes revisar tus registros de Windows IIS y Loggly para ver el origen de un ataque DDoS, pero ¿cómo sabes cuando tu red está bajo ataque? No es eficiente tener humanos monitoreando los registros todos los días y cada hora, por lo que debe confiar en los recursos automatizados. La monitorización automatizada de DDoS proporciona a su equipo de seguridad más ancho de banda para centrarse en otras tareas importantes y seguir recibiendo notificaciones en caso de que se produzcan anomalías como resultado de un evento DDoS.
- ¿Qué es un ataque DDoS?
- ¿Cómo saber si se está produciendo un ataque DDoS?
- Pistas de ataques DDoS
- Demasiadas solicitudes para una IP
- El servidor responde con un 503
- TTL Times Out
- Sistemas de gestión de registros y monitorización de ataques DDoS
- Armarse contra los DDoS
- Las marcas comerciales, marcas de servicio y logotipos de Loggly y SolarWinds son propiedad exclusiva de SolarWinds Worldwide, LLC o sus filiales. Todas las demás marcas comerciales son propiedad de sus respectivos propietarios.
¿Qué es un ataque DDoS?
En resumen, un ataque DDoS es una avalancha de tráfico a su alojamiento web o servidor. Con suficiente tráfico, un atacante puede comer su ancho de banda y los recursos del servidor hasta que uno (o ambos) están tan inundados que ya no pueden funcionar. El servidor se bloquea, o simplemente no hay suficiente ancho de banda para permitir que los verdaderos clientes accedan a su servicio web. Como probablemente pueda adivinar, esto significa una caída de su servicio y una pérdida de ingresos mientras el ataque continúe.
Los ataques DDoS pueden ser devastadores para un negocio en línea, por lo que es importante entender cómo funcionan y cómo mitigarlos rápidamente. Durante el ataque, no hay una sola fuente, por lo que no se puede filtrar una sola IP para detenerlo. Los atacantes DDoS infectan los sistemas de los usuarios (eso puede significar ordenadores, pero también sistemas integrados o dispositivos IoT) con un software que les permite controlarlos en todo el mundo. El atacante utiliza un sistema centralizado que luego indica a estas máquinas infectadas por el malware que envíen tráfico al sitio. El número de máquinas a disposición del atacante depende del número de máquinas infectadas, pero puede ser de decenas de miles. Para empeorar las cosas, el malware DDoS suele ser muy sofisticado y emplea técnicas para sobrecargar su servidor de la manera más eficiente posible, por ejemplo, enviando solicitudes de conexión incompletas que provocan estados de espera en su sistema, durante los cuales el sistema atacante puede enviar nuevas solicitudes.
Por lo general, puede identificar la cantidad de ataque que puede soportar. Si su tráfico normal es de 100 conexiones a la vez a lo largo del día y su servidor funciona normalmente, entonces 100 máquinas compitiendo por una conexión probablemente no le afectarán. Sin embargo, con un ataque DDoS serán miles de conexiones desde numerosas IPs diferentes a la vez. Si su servidor no puede manejar 10.000 conexiones a la vez, entonces usted podría ser vulnerable a un ataque DDoS.
Sin previo aviso, usted tiene cientos o miles de máquinas (servidores, ordenadores de sobremesa, e incluso dispositivos móviles) enviando tráfico a su sitio a la vez. En cuestión de minutos, el rendimiento y los recursos de su sitio están gravemente agotados y los usuarios normales no pueden acceder a su sitio.
¿Cómo saber si se está produciendo un ataque DDoS?
La parte más difícil de un ataque DDoS es que no hay advertencias. Algunos grandes grupos de piratas informáticos enviarán amenazas, pero en la mayoría de los casos un atacante envía el comando para atacar su sitio sin ninguna advertencia.
Como usted no navega normalmente por su sitio, no es hasta que los clientes se quejan que finalmente se da cuenta de que algo anda mal. Al principio, probablemente no piense que se trata de un ataque DDoS, sino que piense que su servidor o su alojamiento no funcionan. Comprueba su servidor y realiza pruebas básicas, pero sólo verá una gran cantidad de tráfico de red con los recursos al máximo. Es posible que compruebe si algún programa se está ejecutando en segundo plano, pero no encontrará ningún problema perceptible.
Entre el tiempo que tarda en darse cuenta de que es un ataque DDoS y el tiempo que tarda en mitigar el daño, pueden pasar varias horas. Esto significa varias horas de servicio e ingresos perdidos, lo que esencialmente supone un importante recorte de sus ingresos.
Pistas de ataques DDoS
La forma más eficaz de mitigar un ataque DDoS es saber cuándo está ocurriendo inmediatamente cuando comienza el ataque. Hay varias pistas que indican que se está produciendo un ataque DDoS:
- Una dirección IP realiza x peticiones en y segundos
- Su servidor responde con un 503 debido a cortes de servicio
- El TTL (time to live) de una petición de ping se agota
- Si utiliza la misma conexión para el software interno, los empleados notan problemas de lentitud
- Las soluciones de análisis de registros muestran un enorme pico de tráfico
La mayoría de estas señales pueden utilizarse para automatizar un sistema de notificación que envíe un correo electrónico o un texto a sus administradores.
Loggly puede enviar este tipo de alertas basadas en eventos de registro y umbrales definidos, e incluso enviar estas alertas a herramientas como Slack, Hipchat o PagerDuty.
Demasiadas solicitudes para una IP
Puede configurar temporalmente el router para que envíe tráfico a rutas NULL desde IPs específicas. Esto esencialmente envía las direcciones IP atacantes a un vacío o callejón sin salida, para que no pueda afectar a sus servidores. Esto es algo difícil, porque puedes bloquear fácilmente una dirección IP legítima mientras intentas detener el ataque. Otro problema es que la IP de origen suele ser falsa, por lo que la conexión nunca se completa entre su servidor y la máquina de origen.
Configurar las alertas del cortafuegos o del sistema de prevención o detección de intrusos puede ser complicado, porque de nuevo algunos bots legítimos serán captados como un ataque. La configuración y los ajustes también dependen del sistema que tenga.
En general, usted quiere establecer una alerta para salir si un rango de direcciones IP envía demasiadas solicitudes de conexión en una pequeña ventana de tiempo. Es probable que tenga que poner en la lista blanca ciertas direcciones IP, porque algunas como Googlebot rastrearán su sitio a un ritmo muy rápido y frecuente. Se necesitará algo de tiempo y ajustes antes de conseguir que esta alerta funcione correctamente, ya que querrá legítimamente que se ejecuten algunos bots y scripts que podrían enviar un falso positivo a su sistema de alertas.
El servidor responde con un 503
En Windows, puede programar alertas cuando ocurre un evento específico en el Visor de Eventos. Puede adjuntar cualquier tarea a un evento, incluyendo errores, advertencias o cualquier otro evento que pueda ayudarle a mitigar un problema antes de que se convierta en una situación crítica.
Para adjuntar una tarea a un evento 503, primero debe encontrar el evento en el Visor de Eventos. Abra el Visor de eventos y haga clic con el botón derecho en el evento.
Esto abre una pantalla de configuración en la que puede configurar el evento para enviar un correo electrónico a un administrador o a un equipo de personas.
Si tienes varios servidores, es eficiente configurar una alerta similar usando Loggly:
TTL Times Out
Puedes hacer ping manualmente a tus servidores para probar el ancho de banda y la conexión, pero esto no ayuda cuando quieres automatizar una alerta antes de que sea crítica. Si usted está haciendo ping al servidor, entonces usted ya sabe que hay algo mal.
Para ayudar a automatizar las alertas de ping, varios servicios en la web ofrecen una manera de hacer ping a su sitio desde todo el mundo. El servicio hace ping a su sitio desde varias regiones del mundo con la frecuencia que usted configure. Si tiene un alojamiento en la nube, podría tener un problema en una región pero no en otra, por lo que estos servicios de ping le ayudan a identificar los problemas en ciertos lugares.
Aquí se enumeran algunos servicios de ping. Con estos servicios, su sitio es monitoreado 24/7 para el tiempo de actividad, por lo que su equipo de TI puede responder si su servidor experimenta problemas. Como un ataque DDoS se come el ancho de banda, el tiempo de ping será demasiado largo o se agotará. El servicio envía una alerta a su equipo, para que puedan poner en marcha técnicas de mitigación y solucionar el problema.
Sistemas de gestión de registros y monitorización de ataques DDoS
Soluciones como Loggly muestran sus estadísticas de tráfico en toda su pila y le ayudan a identificar si hay alguna anomalía 24/7. Usando Loggly, puede identificar un ataque en curso y enviar alertas a sus administradores. La ventaja de utilizar estos registros es que no sólo puede identificar los picos de tráfico, sino que puede identificar los servidores afectados, los errores devueltos a sus usuarios y la fecha y hora precisas en que se produjeron los picos de tráfico. Las herramientas de análisis hacen mucho más que decir que hay un problema. También le indican los servidores afectados para ahorrarle tiempo en la resolución de problemas.
Con los sistemas de gestión de registros, tiene varias ventajas más que las otras soluciones. Puede establecer alertas para cualquier tipo de evento, lo que hace que este tipo de sistema sea mucho más flexible que establecer una alerta sólo para el tráfico.
También puede hacer que sus alertas sean mucho más granulares. Por ejemplo, con una alerta basada en una IP en su cortafuegos, obtendrá varios falsos positivos hasta que ajuste sus configuraciones de alerta para incluir sólo las IPs sospechosas. Con Loggly, puede configurar sus alertas basándose en una combinación de eventos y picos de tráfico, de modo que sólo obtenga aquellas anomalías que deberían interrumpir al personal de TI y hacer que respondan rápidamente.
Una nota sobre las alertas: demasiadas pueden tener un efecto contrario en los equipos de TI. Por ejemplo, suponga que tiene su sistema configurado para enviar alertas sobre varias anomalías que suelen ser benignas. Su equipo recibe cientos de alertas al día basadas en estas configuraciones. Cuando se ven inundados de eventos inofensivos, los informáticos tienden a ignorarlos todos, incluso los importantes. No es intencional, pero cuando se reciben cientos de alertas al día, las importantes pueden quedar enterradas y el resultado es que el departamento de TI tiene un descuido durante una interrupción crítica.
Armarse contra los DDoS
Los eventos de DDoS son difíciles pero esencialmente una gran preocupación de seguridad para los administradores. Pero con un poco de automatización y alertas, puede activar las notificaciones proactivas correctas que limitan el tiempo que se necesita para identificar y detener un ataque DDoS.
Ahora que ha aprendido la monitorización de DDoS y cómo saber si está bajo ataque, regístrese para una prueba GRATIS de Loggly sin necesidad de tarjeta de crédito y vea el rendimiento de la aplicación, el comportamiento del sistema y la actividad inusual en toda la pila. Supervise sus recursos y métricas clave y elimine los problemas antes de que afecten a su servidor y a sus usuarios.
>>Inscríbase ahora para obtener una prueba gratuita de Loggly