Protección DDoS en Baehost

Un ataque de denegación de servicio DoS (Denial of Service, de acuerdo con sus siglas en inglés) tiene la intención de sobrecargar los sistemas y las redes para degradar los sistemas hasta el punto en que dejan de responder. Los ataques más comunes son los del tipo distribuido -con alto volumen de tráfico- llamados DDoS (Distributed Denial-of-Service). Pueden provocar la pérdida de conectividad con la red por el consumo del ancho de banda o sobrecargar los recursos del servidor atacado. Se utilizan botnets (máquinas infectadas que son controladas remotamente por el atacante) para generar tráfico desde diferentes puntos del mundo. Adicionalmente, servicios vulnerables como DNS y memcached, entre otros, le permiten a los hackers generar ataques de amplificación.

La defensa contra ataques DDoS de BAEHOST dispone de dos barreras: la protección y la mitigación. Con estos dos niveles logramos minimizar el impacto de dichos ataques.

Hay que tener en cuenta que cada ataque es diferente en tipo, protocolo, patrones y volumen. El objetivo principal de nuestra mitigación es mantener la estabilidad de la red y la continuidad del servicio.

Protección: con routers propios de última generación que utilizamos en cada Datacenter de forma local, protegemos de forma activa cada conexión y protocolo contra floods, scanneos, paquetes mal formados y violaciones de protocolo. De este modo, los ataques pequeños son prevenidos localmente. La protección suele evitar sobrecargas en servidores y minimiza los floods, sweeps y scanneos. Adicionalmente se realiza una inspección de estado en las conexiones TCP para controlar la secuencia y el inicio de conexiones (SYN). Estas inspecciones pueden ser desactivadas a pedido en casos especiales, aunque no es recomendado hacerlo.

Mitigación: cuando los ataques crecen utilizamos nuestro sitio de limpieza y mitigación remoto. De esta manera se entrenan filtros para limpiar el tráfico y  bloquear el ataque. Dependiendo del tipo de ataque y la magnitud del mismo hasta que se aplican los filtros por primera vez puede demorar unos segundos en procesar los cambios en la red, este tipo de situaciones es normal y sucede únicamente por única vez.

Cuando los ataques son sostenidos y hay algunos paquetes que aún pasan la mitigación y saturan el ancho de banda del servicio, es necesario establecer un firewall para dejar fuera de la red paquetes no deseados. BAEHOST dispone de un servicio de Cloud Firewall que actúa a nivel de borde de red para bloquear, permitir y limitar la velocidad de las conexiones filtradas. Más información https://baehost.com/servicios/cloud-firewall/

vea también: https://blog.baehost.com/proteccion-tcp-en-baehost/

Deja una respuesta