DDoS (Denegación de servicio distribuida) y DoS (Denegación de servicio) Los ataques se pueden clasificar ampliamente en tres categorías basadas en las capas del modelo OSI al que se dirigen.: Capa de red (Capa 3), Capa de transporte (Capa 4), y capa de aplicación (Capa 7).

Capa 3 y Capa 4 Los ataques suelen ser menos complejos–a pesar de que pueden ser muy difíciles de mitigar–e implican inundar de tráfico la red y la capa de transporte, sobrecargar los recursos del sistema de destino y hacer que no esté disponible para los usuarios legítimos. Este tipo de ataques se pueden lanzar utilizando diversas técnicas, como las inundaciones ICMP, Inundaciones de TCP SYN, o inundaciones UDP.

Una inundación ICMP, por ejemplo, es una capa 3 ataque en el que un gran número de paquetes ICMP se inundan en el sistema de destino, haciendo que no responda. Una inundación TCP SYN, Por otro lado, es una capa 4 ataque que explota las formas en que se establecen las conexiones TCP.

En un ataque de inundación SYN, el atacante envía muchos paquetes SYN al sistema de destino, pero nunca envía un paquete ACK para completar la conexión. Esto hace que el sistema asigne recursos para cada intento de conexión, lo que eventualmente sobrecarga el sistema y hace que no esté disponible para los usuarios legítimos. Una inundación UDP envía un gran número de paquetes UDP a un sistema de destino, consumiendo sus recursos y haciendo que no responda.

Ataques DDoS en la capa de aplicación

Los ataques a la capa de aplicación son más complejos y difíciles de mitigar que los ataques a la capa 3 y capa 4 Ataques. Estos ataques se dirigen a la capa de aplicación (capa 7) del sistema de destino y explotar vulnerabilidades en la propia aplicación. Capa 7 Los ataques pueden causar más daño porque pueden afectar directamente a las aplicaciones y a la infraestructura subyacente. No podrá mitigar la capa 7 Ataques DDoS con capa 3 o capa 4 herramientas como los cortafuegos de red.

Inundaciones HTTP, Ataques de Slowloris, y los ataques de amplificación de DNS son de capa 7 Ataques de denegación de servicio. Estos ataques requieren defensas más sofisticadas, como firewalls de capa de aplicación, Sistemas de prevención de intrusiones, y CDN (Redes de entrega de contenido).

Inundaciones HTTP

Los ataques de inundación HTTP se realizan mediante solicitudes GET o POST para sobrecargar el servidor de destino. Los ataques de inundación que utilizan solicitudes GET suelen ser más sencillos y requieren menos recursos porque solo solicitan información al servidor. Solicitudes POST, Por otro lado, normalmente requieren el envío de grandes cantidades de datos.

Una de las razones por las que los ataques de inundación HTTP son difíciles de mitigar es que a menudo se lanzan desde un gran número de fuentes, lo que dificulta la identificación y el bloqueo de todo el tráfico malicioso. Adicionalmente, Los atacantes pueden utilizar técnicas como la suplantación de IP para disfrazar sus verdaderas identidades y dificultar aún más el rastreo del origen de sus ataques.

Defenderse de los ataques de inundación HTTP puede ser complicado. Los diferentes tipos de ataques requieren diferentes estrategias de mitigación. Las defensas comunes contra los ataques de inundación HTTP incluyen la limitación de velocidad, Listas negras, y firewalls de aplicaciones web. Sin embargo, Estas técnicas pueden consumir muchos recursos y pueden no ser suficientes para frustrar ataques más sofisticados.

Ataques de Slowloris

Slowloris es un tipo de ataque de inundación en el que se ataca la forma en que los servidores web manejan las conexiones de los clientes. Este ataque funciona abriendo un gran número de conexiones al servidor, pero enviando las solicitudes a un ritmo lento, Mantener cada conexión abierta el mayor tiempo posible. Este tipo de ataque puede consumir todos los recursos disponibles del servidor y permite a los atacantes consumir CPU, memoria, o ancho de banda de red, etcetera. sin siquiera activar la limitación de velocidad típica y mecanismos de filtrado de tráfico comúnmente utilizados para detectar y bloquear otros tipos de ataques DDoS.

Para llevar a cabo un ataque de Slowloris, los atacantes suelen utilizar scripts o herramientas que envían solicitudes HTTP a un servidor, pero retrasar deliberadamente el envío de solicitudes posteriores. La solicitud está diseñada para parecerse a una solicitud legítima, pero con un encabezado incompleto que mantiene la conexión abierta indefinidamente. Con el tiempo, El servidor tendrá muchas conexiones abiertas a la espera de datos adicionales del cliente, Hacer que el servidor deje de responder al tráfico legítimo.

Los ataques Slowloris pueden ser difíciles de detectar debido a su diseño encubierto y a su ancho de banda relativamente bajo. Esto lo convierte en una herramienta eficaz para los atacantes que quieren sabotear sus servidores sin activar alertas ni crear sospechas. Para defenderse de los ataques de Slowloris, Los servidores web pueden implementar varias contramedidas. Por ejemplo, limitar el número de conexiones que se pueden establecer desde una sola dirección IP o establecer un tiempo de espera para las solicitudes incompletas. Algunos firewalls de aplicaciones web y servicios de mitigación de DDoS tienen protección integrada contra ataques Slowloris, utilizando algoritmos que puedan detectar y bloquear dicho tráfico en tiempo real.

Capa 7 Mitigaciones de DDoS

Limitación de velocidad

La limitación de velocidad implica establecer un umbral en el número de solicitudes que se pueden realizar desde una dirección IP específica o un agente de usuario en un período de tiempo específico. El concepto es muy similar a la limitación de velocidad en capas 3 pero tiene que implementarse en la capa 7.

El propósito de la limitación de velocidad es evitar que un atacante sobrecargue la aplicación web con un gran número de solicitudes, Causar interrupciones en el servidor. La limitación de velocidad se puede implementar en varias capas de la arquitectura de la aplicación web, en un servidor web, Equilibrador de carga, o firewall de aplicaciones. Las implementaciones suelen implicar el seguimiento del número de solicitudes realizadas por una dirección IP o un agente de usuario en particular y el bloqueo de solicitudes adicionales cuando se alcanza un umbral predefinido.

Un enfoque común para implementar la limitación de velocidad en aplicaciones web es usar middleware o complementos que rastrean el número de solicitudes realizadas por cada cliente y bloquean más solicitudes cuando se supera el umbral. Estos complementos se pueden configurar para aplicar diferentes políticas de limitación de velocidad en función de factores como el tipo de solicitud, Agente de usuario, o dirección IP del cliente.

Por ejemplo, una política de limitación de velocidad simple puede limitar las solicitudes de una sola dirección IP a un máximo de 10 Solicitudes por minuto. Si un cliente supera este umbral, Las solicitudes posteriores se bloquean hasta que expira el período.

Los productos de limitación de velocidad de la capa de aplicación están disponibles para servidores web y servicios en la nube populares, Incluido:

Apache

Apache tiene varios módulos que se pueden utilizar para limitar la velocidad, como mod_limitipconn, que limita el número de conexiones simultáneas desde una dirección IP determinada, Y mod_qos, que proporciona varios controles de calidad de servicio, incluida la limitación de velocidad.

Además, ModSecurity Web Application Firewall tiene una función de limitación de velocidad que puede bloquear a los clientes que superan un umbral definido. Además de los módulos mencionados anteriormente, Apache también proporciona mod_evasive. Este es un módulo que se puede utilizar para limitar la velocidad y bloquear a los clientes que superan un umbral definido. Detecte y bloquee clientes no autorizados utilizando una variedad de técnicas, incluido el seguimiento de IP y agente de usuario.

Nginx

Nginx proporciona Módulo ngx_http_limit_req. Esto se puede utilizar para limitar la tasa de solicitudes de ciertos clientes en función de la dirección IP u otros factores. Este módulo utiliza un algoritmo de bucket de tokens para asignar tokens a cada cliente en función de una política de limitación de velocidad. Además de ngx_http_limit_req módulo, Nginx también proporciona ngx_http_limit_conn módulo. Esto se puede utilizar para limitar el número de conexiones de clientes o direcciones IP específicos. Este módulo utiliza un algoritmo de depósito de tokens para asignar tokens en función de las políticas de limitación de velocidad.

IIS

Servicios de información de Internet de Microsoft (IIS) Incluye un módulo de limitación de IP dinámico que se puede utilizar para limitar la velocidad. Este módulo se puede configurar para bloquear solicitudes de direcciones IP que superen los umbrales predefinidos y también puede proporcionar alertas y registros para el monitoreo. Además del módulo de limitación dinámica de IP, IIS también proporciona un módulo de filtrado de solicitudes que se puede usar para limitar la tasa de solicitudes de clientes específicos en función de varios criterios, como la dirección IP, Agente de usuario, y método de solicitud.

AWS

Servicios web de Amazon (AWS) ofrece varios servicios que se pueden utilizar para la limitación de velocidad, Incluido AWS WAF con limitación de velocidad como característica.

AWS Shield ofrece protección contra DDoS, incluidas reglas basadas en tasas que pueden bloquear solicitudes de direcciones IP por encima de un determinado umbral. Adicional a AWS WAF y AWS Shield, AWS también ofrece AWS Elastic Load Balancer. Incluye varias políticas de limitación de velocidad que se pueden configurar para bloquear clientes por encima de umbrales predefinidos.

Celeste

Microsoft Azure ofrece varios servicios que se pueden usar para la limitación de velocidad, incluyendo Azure Application Gateways. Incluye un firewall de aplicaciones web que se puede configurar para limitar la tasa de solicitudes entrantes. Adicionalmente, Ofertas de Azure Front Door Una función de limitación de velocidad que puede bloquear las solicitudes de direcciones IP por encima de un umbral predefinido. Además de Azure Application Gateway y Azure Front Door, Azure también ofrece Azure Firewall. Esto se puede utilizar para limitar la velocidad y bloquear a los clientes que superan un umbral definido.

GCP

Plataforma en la nube de Google (GCP) ofrece Armadura de nubes, Un firewall de aplicaciones web con capacidades de limitación de velocidad que puede bloquear las solicitudes de los clientes que superan un umbral definido.

Estos productos de limitación de velocidad de la capa de aplicación pueden mitigar eficazmente los ataques de inundación HTTP al limitar el número de solicitudes de clientes no autorizados. Sin embargo, es importante que estén configurados correctamente para no bloquear el tráfico legítimo y que se utilicen junto con otras medidas de seguridad, como firewalls y servicios de mitigación de DDoS, para proporcionar una protección integral contra los ataques DDoS.

Tiempos de espera para solicitudes incompletas

A continuación se muestran algunos métodos de mitigación de la capa de aplicación de Slowloris que se enumeran para Apache, Nginx, y servidores web IIS, y balanceadores de carga y características adicionales para AWS, Celeste, y servicios de GCP:

Apache

Además de los módulos mencionados anteriormente, Apache también proporciona un módulo, mod_reqtimeout, que se puede usar para establecer un tiempo de espera para las solicitudes entrantes. Si el cliente envía una solicitud que tarda más tiempo que el tiempo de espera especificado, El servidor cerrará la conexión. Esto evitará los ataques de slowloris.

Nginx

Además del módulo ngx_http_limit_conn y el módulo ngx_http_limit_req, Nginx también proporciona su módulo ngx_http_request. Esto se puede utilizar para limitar el tiempo que tarda el servidor ascendente en procesar la solicitud. Si el servidor ascendente tarda más tiempo que el tiempo de espera especificado, Nginx cerrará la conexión.

IIS

Adicional a los módulos de Restricciones IP Dinámicas y Filtrado de Solicitudes, IIS también proporciona un controlador en modo kernel HTTP.sys. Esto le permite establecer un tiempo de espera para las solicitudes entrantes. Si el cliente envía una solicitud que tarda más tiempo que el tiempo de espera especificado, El servidor cerrará la conexión.

AWS

Además de AWS WAF y AWS Shield, AWS también ofrece Elastic Load Balancer, que incorpora numerosas reglas de tiempo de espera de conexión que se pueden configurar para cerrar las conexiones que tardan más de un umbral predefinido.

Celeste

Además de Azure Application Gateway y Azure Front Door, Además, Azure proporciona Azure Load Balancer, que incorpora una característica de tiempo de espera de inactividad configurable que se puede utilizar para cerrar conexiones que pueden estar inactivas durante un período predefinido.

GCP

Plataforma en la nube de Google (GCP) ofrece numerosas alternativas de tiempo de espera de conexión para sus servicios, que incluyen el equilibrio de carga en la nube, que incorpora una característica de tiempo de espera configurable que se puede utilizar para cerrar conexiones que tardan más de un umbral predefinido.

Conclusión

En conclusión, Los ataques DDoS y DoS se pueden clasificar en función de las capas del modelo OSI a las que están dirigidos, como la capa de red (Capa 3), Capa de transporte (Capa 4), y capa de aplicación (Capa 7).

Mientras que la capa 3 y capa 4 Los ataques inundan la red y las capas de transporte con tráfico, capa 7 Los ataques son más complejos y explotan vulnerabilidades en las propias aplicaciones. Las inundaciones HTTP y los ataques de Slowloris son ejemplos de 7 Ataques de denegación de servicio. Las contramedidas contra estos ataques incluyen la limitación de velocidad, Listas negras, y firewalls de aplicaciones web. La identificación y contención de los ataques en tiempo real requiere una, Estrategia de defensa de múltiples capas que incluye monitoreo, detección, y capacidades de respuesta.

Adicionalmente, Los atacantes pueden personalizar sus técnicas y adaptar sus ataques para evadir la detección y evadir las medidas de seguridad. por lo tanto, Es imperativo que las organizaciones implementen un plan integral, Estrategia de defensa de múltiples capas que incluye monitoreo, detección, y capacidades de respuesta para identificar y contener rápidamente los ataques en tiempo real. Esto puede incluir el uso de algoritmos avanzados de aprendizaje automático y análisis de comportamiento para detectar y bloquear patrones de tráfico maliciosos.