20 de marzo de 2024
Cómo reducir el riesgo ante ataques DDos en AWS
El pasado 10 de noviembre de 2016, ocurrió un ciberataque a gran escala. Consistía en múltiples denegaciones de servicio sobre un conocido proveedor de DNS (Dyn). Este ataque dejó inaccesibles los servicios de internet a usuarios de todo el mundo y empresas conocidas como Twitter, eBay y Spotify. El ataque se llevó a cabo mediante una botnet que abarcaba desde impresoras en internet, hasta neveras inteligentes, incluyendo monitores de bebés.
¿Qué es un ataque de denegación de servicio?
Los ataques de denegación de servicio (DoS) y denegación de servicio distribuido (DDoS) son intentos maliciosos de interrumpir las operaciones normales del servidor, servicio o red atacado, sobrecargando con una inundación de tráfico de Internet.
¿Cuánto puede durar un ataque de este tipo?
La duración de un ataque DDoS varía. Según un informe de Radware, el 33% de estas irrupciones duran una hora, el 60% duran menos de un día completo y el 15% duran hasta un mes. Un ataque de este tipo tiene como objetivo inhabilitar un servidor, un servicio o una infraestructura. Durante un ataque DDoS, se envían simultáneamente múltiples solicitudes desde distintos puntos de la red. La intensidad de este «fuego cruzado» compromete la estabilidad, y, en ocasiones, la disponibilidad del servicio.
¿Cómo lidiar con los ataques DDoS?
Escalado – AWS ofrece Route 53, el cual está alojado en múltiples ubicaciones situadas en extremos del globo, creando una superficie global capaz de absorber grandes cantidades de tráfico DNS. Amazon CloudFront y AWS Web Application Firewall también son capaces de manejar grandes cantidades de tráfico.
Tolerancia a fallos – Cada localización tiene muchas conexiones a internet. Esto permite la multiplicidad de rutas aislando así los fallos. Route 53 utiliza «shuffle sharding» y «anycast striping» para incrementar la disponibilidad. Con el shuffle sharding, cada DNS en tu delegación corresponde a un único conjunto de ubicaciones. Esto aumenta la tolerancia a fallos y minimiza la solapación entre consumidores de AWS. Si un servidor no está disponible, el sistema cliente redireccionará la respuesta a otro servidor en otra ubicación. Con anycast striping se dirigen las peticiones a los DNS con mejor ubicación. Esto separa la carga y reduce la latencia DNS.
Mitigación – AWS Shield Standard nos protege contra el 96% de los ataques habituales. Esto incluye «SYN / ACK floods» y «HTTP Slow read». El servicio estándar viene incorporado de manera automática y transparente en los balanceadores de carga, distribuciones CloudFront, AWS WAF y Route 53 sin ningún coste extra. AWS Shield Advanced incluye protección adicional para mitigar ataques DDoS, un acceso 24×7 a un equipo responsable de los DDoS y métricas e informes a tiempo real.
En conclusión
Los ataques de denegación de servicio pueden afectar a cualquier tipo de empresa, pero las consecuencias variarán mucho dependiendo de las medidas de prevención que se hayan tomado por cada una. Si estas son correctas, las consecuencias del ataque serán imperceptibles, pero en cambio si las medidas de prevención son pocas o casi nulas el sitio web puede quedar inoperativo durante todo el tiempo que dure el ataque.
Y por último, este tipo de ataques en muchas ocasiones tienen su origen en sistemas desactualizados, pues estos son en esencia más vulnerables.
Share