Fran 🐝 Brizzolis

hace 7 años · 5 min. de lectura · ~100 ·

Blogging
>
Blog de Fran 🐝
>
Ataques DDoS: ¿Cómo se puede proteger una aplicación WEB ante ataques de Denegación de Servicio? Algunos consejos importantes

Ataques DDoS: ¿Cómo se puede proteger una aplicación WEB ante ataques de Denegación de Servicio? Algunos consejos importantes

Mor 000
vos gn

la iid v fil

Datace: ters Ge Macca
vo Seg

 

 

Wiseman Worse ws Wowss


La denegación de servicio consiste en intentar consumir los recursos del servicio evitando el funcionamiento normal del mismo. El ataque más común y ampliamente utilizado es el que se conoce con el nombre de inundación (Flood), es un ataque que consiste en solicitar la información a una página web (HTTP Request) de manera masiva y sin esperar a la respuesta (HTTP_Response).


Una manera efectiva, es bloquear la IP de origen desde la que se está produciendo un comportamiento anómalo, en cuanto al número de peticiones por segundo que se realizan a la página WEB, sin embargo, esta práctica tan simple que resulta muy efectiva contra ataques DoS puntuales y centralizados, no surge efecto en el momento que se utilizan técnicas de ataque distribuidas (DDoS), pues el número de peticiones que se reciben masivamente provienen desde múltiples direcciones IP.


¿No podemos bloquear todos una por una? Si el volumen de equipo (atacando al mismo tiempo es excesivo podría ahogar los recursos hardware (CPU / Memoria) del dispositivo cortafuegos que se encuentra bloqueando miles de direcciones IP. Pero, sin embargo, suponiendo que se dispone de la capacidad suficiente para ello, ¿Quién nos asegura que no estamos bloqueando peticiones legitimas de usuarios del portal Web?


c84504d9.jpg


Se recomienda, llevar a cabo otro tipo de prácticas adicionales, tales como:


  • Utilizar balanceadores de carga e incrementar los recursos activando servidores WEB auxiliares para hacer frente a la demanda de tráfico, así como el caudal de ancho de banda necesario.
  • Si con ello no es suficiente, se puede realizar un ajuste en la configuración TCP (Hardening TCP/IP Stack) del Sistema Operativo que soporta al servicio WEB para aumentar los tiempos de respuesta a un valor lo suficientemente largo, como para minimizar (ralentizar el funcionamiento del servicio) los efectos sobre el servicio que se ofrece a sus usuarios mientras dure el ataque.


Las técnicas más efectivas son aquellas que disponen de un modelo combinado en cuanto a las medidas de protección, es decir, disponen de sistema de protección automático para bloquear direcciones IP en los sistemas de seguridad perimetral (FW), activación de recursos latentes y ajustes de configuración para controlar algunos parámetros en particular del protocolo TCP como, por ejemplo:


En Sistemas Windows:

Para hacer frente a los ataques de DoS (TCP Flood, mediante SYN Attack) Microsoft proporciona una sería de recomendaciones (guía) de seguridad para configurar adecuadamente los parámetros de la torre de protocolos TCP/IP.


Esta configuración se lleva a cabo mediante el acceso al registro de windows, concretamente bajo la clave de registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpIp\Parameters.


Lo primero es activar la protección frente ataques TCP-SYN (Peticiones incompletas del protocolo TCP) para ello se dispone de un parámetro específico para activar las medidas de protección: SynAttackProtect con valor 2.


Este parámetro realiza un reajuste en el valor de "tiempo de espera", es decir, realiza una reducción del tiempo (timeout) para responder más rápidamente a este tipo de eventos / peticiones. La activación de este reajuste se controla mediante los umbrales definidos en los parámetros: TcpMaxHalfOpen y TcpMaxHalfOpenRetried. Los valores recomendados para esos parámetros son 500 y 400 respectivamente. Si se exceden los valores umbrales se activará la protección SYN-Attack y reajustará automáticamente los valores para tratar de hacer frente a este tipo de ataques.


Además, se puede configurar otros parámetros que ayudan a proteger el sistema y evitar el consumo excesivo de recursos (CPU, Ancho de banda, Memoria RAM) ante este tipo de ataques:


  • TcpMaxConnectResponseRetransmissions (2): 2 significa el número de reintentos de envio SYN-ACK antes de cancelar la respuesta SYN-Request.
  • TcpMaxDataRetransmissions (2):  2 significa el número de reintentos antes de abortar la conexión.
  • EnablePMTUDiscovery (0)
  • KeepAliveTime (300000)


Las pequeñas y medianas empresas a menudo cometen el error de ignorar los ataques de denegación de servicio distribuidos (DDoS) como un vector potencial amenaza, pero eso no es así. Debido a la naturaleza de un ataque DDoS, las empresas pueden perder oportunidades de negocio críticas mientras que sus sistemas permanecen caídos y los servidores no responden. Es por ello, que las organizaciones de todos los tamaños deben dar prioridad a la adopción de medidas de precaución para evitar ataques DDoS.


Los ataques DDoS son amenazas de acción rápida que simplemente sobrecargan los recursos de red. El primer paso en la lucha contra estos ataques es equipar tu entorno con herramientas que permitan detectarlas rápidamente. La capacidad de identificar un ataque tan pronto como sea posible dará el tiempo necesario para poner en cuarentena el ataque y hacer frente a los sistemas afectados antes de que se produzca un daño irreparable.


La monitorización de hardware y software que permita analizar el tráfico de red en tiempo real te dará la visión necesaria para rastrear potenciales problemas. Añadiendo una pizca de automatización a estos análisis a través de la presentación de informes y alertas automáticas te asegurarás de que siempre recibirás una notificación de manera oportuna. También debes tratar de mantener la mayor visibilidad del rendimiento del entorno, como por ejemplo de los tiempos de carga de las páginas.


Los ataques DDoS operan inundando sitios web y servidores abiertos con peticiones de cientos o miles de direcciones IP únicas, y a menudo se puede predecir su punto de entrada. Por esta razón, el segundo paso en la prevención de ataques DDoS gira en torno a la separación de los activos críticos del negocio. Mantener los recursos de TI críticos en redes físicas independientes te dará la capacidad de mantener el negocio funcionando si se produce un ataque DDoS.


Estos ataques también pueden ser engañosamente creativos. Hay campañas DDoS dirigidas a los servidores de correo que pueden paralizar los negocios que alojan su correo electrónico en redes internas. La creación de capas de redes y redes virtuales de área local, que separan recursos en función de la importancia y el uso, te darán una ventaja sobre los cibercriminales.


Después de asegurar la visibilidad de los recursos de la red y la adecuada separación de la infraestructura crítica, hay un último paso para la prevención de ataques DDoS: prepararse para una interrupción. En otras palabras, debes tener un plan de backup para cuando el servicio se vea comprometido.


Cuando se trate de sitios web críticos, debes replicar los datos del sitio a un host secundario que está separado físicamente del host principal. Del mismo modo, los recursos internos expuestos a ataques deben tener copias de seguridad offline en el caso de una interrupción inducida por DDoS. El objetivo es reducir el tiempo de inactividad y prevenir la pérdida de datos.


A los clientes de alojamiento web y diseño web es muy recomendable tener una política de buenas prácticas para evitar ataques a su sitio y perder su información.


Estas reglas me parecen sumamente importantes:


  • Tener siempre una copia de seguridad de todo el sitio web y las bases de datos.
  • Cambiar contraseña cPanel mensualmente. Usar contraseñas fuertes (con mayúsculas y minúsculas baja y símbolos especiales), le recomendamos que cambie las contraseñas para todas sus cuentas de correo electrónico también.
  • No guardar las contraseñas en el equipo local en formato de documento o texto plano, ni en el navegador.
  • Actualizar todos los scripts de terceros para las versiones más recientes (por ejemplo, Joomla, WordPress, Magento o cualquier otro CMS) No cargar el sitio web con todos los scripts. Cualquiera de ellos podría permitir que un ataque su sitio. Antes de usar algo nuevo, leer siempre el informe de vulnerabilidades que puedan tener los scripts web.
  • Habilitar CloudFlare en cPanel. CloudFlare es una solución de seguridad amplio, que está diseñada para proporcionar protección frente a múltiples formas de actividad maliciosa, incluyendo: los comentarios no deseados, la recolección de correo electrónico, inyección SQL, cross-site scripting, piratería credencial, vulnerabilidades de software web y los ataques DDoS (denegación de servicio).
  • Examinar nuestro propio PHP o código HTML para buscar agujeros de seguridad. Las siguientes funciones de PHP puede ser comprometidas con un script malicioso desde un servidor remoto, y ejecutarlo como parte del script nuestro que nosotros ya estamos ejecutando: include ($ variable); require ($ variable); include_once ($ variable); require_once ($ variable).
  • Encontrar y reparar todos los cambios maliciosos que se hicieron.
  • Usar Htaccess o cPanel para bloquear el acceso HTTP malicioso a su sitio Si hemos identificado dirección IP del atacante, podemos obtener más información sobre él usando: www.whois.domaintools.com.








Referencias:


https://www.staminus.net/a-ddos-attack-explained-tcp-fin-flood/

https://www.juniper.net/documentation/en_US/junos12.1x44/topics/concept/denial-of-service-network-syn-flood-attack-understanding.html

https://es.wikipedia.org/wiki/Ataque_de_denegaci%C3%B3n_de_servicio

https://es.wikipedia.org/wiki/Ping_de_la_muerte

https://www.iplocation.net/ddos

https://www.cloudflare.com/es/ddos/

https://www.cnet.com/how-to/what-is-a-ddos-attack/

https://es.wikipedia.org/wiki/Mitigaci%C3%B3n_de_DDoS

http://www.securitybydefault.com/2010/10/como-mitigar-ataques-de-denegacion-de.html

http://www.securitybydefault.com/2010/02/syn-flood-que-es-y-como-mitigarlo.html

https://seohacks.es/ddos/

https://ayudawp.com/todo-sobre-htaccess/


""
Comentarios

Artículos de Fran 🐝 Brizzolis

Ver blog
hace 5 años · 2 min. de lectura

¡Hpla abejas! · En los últimos tiempos hemos asistido a la publicación de infinidad de información y ...

hace 5 años · 3 min. de lectura

La seguridad de la información está cada día entrando, poco a poco en la pequeña y mediana empresa. ...

hace 5 años · 12 min. de lectura

Hola abejas, es en estas fechas cuando se cumplen (¡ya!) 2 "intensos" años desde que me incorporé a ...

Puede que te interesen estos puestos de trabajo

  • Cronoshare

    Presupuesto de servicios de ciberseguridad para asociacion

    Encontrado en: Cronoshare ES C2 - hace 4 días


    Cronoshare Sevilla (Sevilla), España

    Normalmente, nuestro servidor se queda colgado y hay que reiniciarlo manualmente. A través de la webs nos hacen ataques que hacen que el servidor deje de funcionar o nos lo anulen hasta para los ataques¿Qué servicio de ciberseguridad se necesita? · Auditoría de seguridad web, pla ...

  • Cronoshare

    Psicóloga para tratar ataque euforicos

    Encontrado en: Cronoshare ES C2 - hace 6 días


    Cronoshare Manises (Valencia), España

    Si tengo trastorno bipolar pero estoy bien con la me dicaciin sólo que cuan el me dice eso salto porque prefiero que me lo diga con antelacion¿Qué siente el paciente? · Ataque euforicos · ¿Qué tipo de especialista necesita? · Reaccionar mal ante que mi novio me diga que se va a b ...

  • beBee Professionals

    Desarrollador/a de Aplicaciones Web

    Encontrado en: beBee Professionals - hace 1 día

    Aplicar directamente

    beBee Professionals Valencia, España Desarrolladores Freelance

    beBee Professionals, empresa líder en el desarrollo de aplicaciones web, busca un/a Desarrollador/a de Aplicaciones Web para unirse a su equipo de trabajo en Valencia. · Estamos buscando a alguien con una pasión por la programación y una actitud proactiva para desarrollar aplicac ...