MTE explica: cómo funciona la protección DDoS

MTE explica: cómo funciona la protección DDoS

A lo largo de los años, la denegación de servicio distribuida (DDoS) ha sido una forma muy fiable de asegurarse de que un servicio alojado (como un sitio web o algún servicio como PlayStation Network) no ve la luz del día al menos por un tiempo.

El poder que ejercen estos ataques despierta la curiosidad de las personas acerca de los mecanismos detrás de ellos, razón por la cual nos hemos tomado el tiempo de explicar cómo funcionan e incluso llegamos a demostrar minuciosamente cuán enormes pueden llegar a ser algunos de estos ataques, hasta el punto de que uno de ellos puede incluso acabar con sectores enteros de Internet para millones de personas. Sin embargo, hay poca discusión pública sobre cómo funciona la contramedida (por ejemplo, la protección DDoS).

El problema de discutir la protección DDoS

Internet es una gran variedad de redes conectadas a través de un vacío gigante y desordenado. Hay trillones de pequeños paquetes que viajan casi a la velocidad de la luz en todas partes del mundo. Para dar sentido a su desconcertante y misterioso funcionamiento interno, Internet se divide en grupos. Estos grupos a menudo se dividen en subgrupos, y así sucesivamente.

En realidad, esto hace que la discusión sobre la protección DDoS sea un poco complicada. La forma en que una computadora doméstica se protege de DDoS es similar y ligeramente diferente de la forma en que lo hace el centro de datos de una empresa multimillonaria. Y aún no hemos llegado a los proveedores de servicios de Internet (ISP). Hay tantas formas de clasificar la protección DDoS como de clasificar las distintas piezas que componen Internet con sus miles de millones de conexiones, sus clústeres, sus intercambios continentales y sus subredes.

Habiendo dicho todo eso, intentemos un enfoque quirúrgico que toque todos los detalles relevantes e importantes del asunto.

El principio detrás de la protección DDoS

ddosprotection-mapa

Si está leyendo esto sin un conocimiento claro de cómo funciona DDoS, le sugiero que lea la explicación a la que vinculé anteriormente o, de lo contrario, puede resultar un poco abrumador. Hay dos cosas que puede hacer con un paquete entrante: puede ignoralo o redirigirlo. No puede simplemente evitar que llegue porque no tiene control sobre la fuente del paquete. Ya está aquí y su software quiere saber qué hacer con él.

Esta es una verdad universal que todos respetamos e incluye a los ISP que nos conectan a Internet. Es por eso que tantos ataques tienen éxito: dado que no puede controlar el comportamiento de la fuente, la fuente puede enviarle suficientes paquetes para abrumar su conexión.

Cómo lo hacen el software y los enrutadores (sistemas domésticos)

enrutador de protección ddos

Si ejecuta un firewall en su computadora o su enrutador tiene uno, generalmente está atascado siguiendo un principio básico: si el tráfico DDoS llega volando, el software crea una lista de IP que ingresan con tráfico ilegítimo.

Lo hace al notar cuando algo le envía un montón de datos basura o solicitudes de conexión a una frecuencia no natural, como más de cincuenta veces por segundo. Luego bloquea todas las transacciones que provienen de esa fuente. Al bloquearlos, su computadora no tiene que gastar recursos adicionales para interpretar los datos contenidos en su interior. El mensaje simplemente no llega a su destino. Si está bloqueado por el firewall de una computadora e intenta conectarse a él, obtendrá un tiempo de espera de conexión porque cualquier cosa que envíe simplemente será ignorada.

Esta es una manera maravillosa de proteger contra ataques de denegación de servicio (DoS) de IP única ya que el atacante verá un tiempo de espera de conexión cada vez que se registre para ver si su obra está progresando. Con una denegación de servicio distribuida, esto funciona porque se ignorarán todos los datos provenientes de las direcciones IP atacantes.

Hay un problema con este esquema.

En el mundo de Internet, no existe el «bloqueo pasivo». Necesita recursos incluso cuando ignora un paquete que se le acerca. Si está utilizando software, el punto de ataque se detiene en su computadora pero aún atraviesa su enrutador como una bala a través del papel. Eso significa que su enrutador está trabajando incansablemente para enrutar todos los paquetes ilegítimos en su dirección.

Si está utilizando el firewall del enrutador, todo se detiene allí. Pero eso aún significa que su enrutador está escaneando la fuente de cada paquete y luego iterando la lista de IP bloqueadas para ver si debe ignorarse o permitirse el paso.

Ahora, imagine que su enrutador tiene que hacer lo que acabo de mencionar millones de veces por segundo. Su enrutador tiene una cantidad finita de potencia de procesamiento. Una vez que alcance ese límite, tendrá problemas para priorizar el tráfico legítimo, independientemente de los métodos avanzados que utilice.

Dejemos todo esto a un lado para discutir otro tema. Suponiendo que tiene un enrutador mágico con una cantidad infinita de potencia de procesamiento, su ISP aún le brinda una cantidad finita de ancho de banda. Una vez que se alcanza ese límite de ancho de banda, tendrá dificultades para realizar incluso las tareas más simples en la Web.

Entonces, la solución definitiva para DDoS es tener una cantidad infinita de potencia de procesamiento y una cantidad infinita de ancho de banda. Si alguien descubre cómo lograr eso, ¡somos dorados!

Cómo las grandes empresas manejan sus cargas

ddosprotection-centro de datos

La belleza de cómo las empresas manejan DDoS radica en su elegancia: utilizan sus infraestructuras existentes para contrarrestar cualquier amenaza que se les presente. Por lo general, esto se hace a través de un equilibrador de carga, una red de distribución de contenido (CDN) o una combinación de ambos. Los sitios web y servicios más pequeños pueden subcontratar esto a un tercero si no tienen el capital para mantener una gama tan amplia de servidores.

Con un CDN, el contenido de un sitio web se copia en una gran red de servidores distribuidos en muchas áreas geográficas. Esto hace que el sitio web se cargue rápidamente sin importar en qué parte del mundo te encuentres cuando te conectes a él.

Los balanceadores de carga complementan esto al redistribuir datos y catalogarlos en diferentes servidores, priorizando el tráfico por el tipo de servidor más adecuado para el trabajo. Los servidores de menor ancho de banda con grandes discos duros pueden manejar grandes cantidades de archivos pequeños. Los servidores con conexiones de gran ancho de banda pueden manejar la transmisión de archivos más grandes. (Piense en «YouTube».)

Y así es como funciona

¿Ves a dónde voy con esto? Si un ataque aterriza en un servidor, el equilibrador de carga puede realizar un seguimiento del DDoS y dejar que continúe golpeando ese servidor mientras redirige todo el tráfico legítimo a otra parte de la red. La idea aquí es utilizar una red descentralizada a su favor, asignando recursos donde se necesitan para que el sitio web o el servicio puedan seguir funcionando mientras el ataque se dirige a un «señuelo». Bastante inteligente, ¿eh?

Debido a que la red está descentralizada, obtiene una ventaja significativa sobre los firewalls simples y cualquier protección que la mayoría de los enrutadores puedan ofrecer. El problema aquí es que necesita mucho efectivo para iniciar su propia operación. Mientras crecen, las empresas pueden confiar en proveedores especializados más grandes para brindarles la protección que necesitan.

Cómo lo hacen los gigantes

fibra de protección ddos

Hemos recorrido pequeñas redes domésticas e incluso nos hemos aventurado en el ámbito de las mega corporaciones. Ahora es el momento de entrar en la etapa final de esta búsqueda: vamos a ver cómo las mismas empresas que te dan una conexión a Internet se protegen de caer en un oscuro abismo. Esto está a punto de complicarse un poco, pero trataré de ser lo más conciso posible sin una tesis que haga babear sobre varios métodos de protección DDoS.

Los ISP tienen sus propias formas únicas de manejar las fluctuaciones del tráfico. La mayoría de los ataques DDoS apenas se registran en sus radares, ya que tienen acceso a una cantidad de ancho de banda casi ilimitada. Su tráfico diario de 7 a 11 p. m. (también conocida como la «hora pico de Internet») alcanza niveles que superan con creces el ancho de banda que obtendría de una transmisión DDoS promedio.

Por supuesto, dado que estamos hablando de Internet, hay (y ha habido a menudo) ocasiones en las que el tráfico se convierte en algo mucho más que una señal luminosa en el radar.

Estos ataques vienen con vientos huracanados e intentan abrumar la infraestructura de los ISP más pequeños. Cuando su proveedor levanta las cejas, rápidamente recurre a un arsenal de herramientas a su disposición para combatir esta amenaza. Recuerde, estos muchachos tienen enormes infraestructuras a su disposición, por lo que hay muchas maneras en que esto puede fallar. Aquí están los más comunes:

  • Agujero negro disparado remotamente – Suena como algo sacado de una película de ciencia ficción, pero RTBH es algo real. documentado por Cisco. Hay muchas maneras de hacer esto, pero le daré la versión «rápida y sucia»: un ISP se comunicará con la red de la que proviene el ataque y le indicará que bloquee todo el tráfico saliente que se dirija en su dirección. Es más fácil bloquear el tráfico que sale que bloquear los paquetes entrantes. Claro, todo, desde el ISP de destino, ahora aparecerá como si estuviera fuera de línea para las personas que se conectan desde la fuente del ataque, pero hace el trabajo y no requiere muchas molestias. El resto del tráfico mundial no se ve afectado.
  • Depuradores – Algunos ISP muy masivos tienen centros de datos llenos de equipos de procesamiento que pueden analizar patrones de tráfico para separar el tráfico legítimo del tráfico DDoS. Dado que requiere mucha potencia informática y una infraestructura establecida, los ISP más pequeños a menudo recurrirán a la subcontratación de este trabajo a otra empresa. El tráfico en el sector afectado pasa a través de un filtro y la mayoría de los paquetes DDoS se bloquean mientras se permite el paso del tráfico legítimo. Esto asegura el funcionamiento normal del ISP a costa de enormes cantidades de potencia informática.
  • Un poco de vudú de tráfico – Usando un método conocido como “configuración de tráfico”, el ISP simplemente cargará todo lo que el ataque DDoS trae consigo en su IP de destino mientras deja a todos los demás nodos solos. Básicamente, esto arrojará a la víctima debajo del autobús para salvar al resto de la red. Es una solución muy fea y, a menudo, la última que utilizará un ISP si la red está en una crisis grave y necesita una acción rápida y decisiva para garantizar la supervivencia del conjunto. Piense en ello como un escenario de «las necesidades de muchos superan las necesidades de unos pocos».

El problema con DDoS es que su efectividad va de la mano con los avances en la potencia de las computadoras y la disponibilidad de ancho de banda. Para luchar realmente contra esta amenaza, tenemos que utilizar métodos avanzados de modificación de la red que superan con creces las capacidades del usuario doméstico medio. ¡Probablemente sea bueno que los hogares no sean a menudo objetivos directos de DDoS!

Por cierto, si quieres ver dónde están ocurriendo estos ataques en tiempo real, echa un vistazo a la Mapa de ataque digital.

¿Alguna vez ha sido víctima de este tipo de ataques en su hogar o en su lugar de trabajo? ¡Cuéntanos tu historia en un comentario!

Experto Geek - Tu Guía en Tendencias Tecnológicas