Atención sobrecarga! Cómo proteger su sitio de ataques DDoS

Según Kaspersky Lab, el 42,9% de las computadoras propiedad de organizaciones comerciales en 2017 fueron objeto de ciberataques.

De este artículo, aprenderá qué son los ataques DDoS, si debe desconfiar de ellos, cómo prepararse para la defensa y cómo comportarse correctamente si ya ha enviado artillería en su dirección.

¿Qué es un ataque DDoS?

DDoS: esta es cualquier acción, cuyo propósito es "poner" el sitio completamente o cargarlo con tareas extrañas para que le recuerde al perezoso de Zveropolis. Pero el término en sí es más para los usuarios que los técnicos. Las últimas operan solo con expresiones claras como "Amplificación de DNS", "Ataque de TCP nulo", "SlowLoris" y otras variaciones sobre el tema. Hay muchos tipos de ataques DDoS, por lo que se debe usar lo siguiente como introducción:

No existe una protección universal contra todos los tipos de ataques DDoS.

Si existiera, "monstruos" como Google o Amazon no gastarían miles de millones de dólares en defensa cibernética y periódicamente no anunciaban concursos para buscar vulnerabilidades con millones en premios.

El principal peligro de los ataques DDoS: en el proceso, los ciberdelincuentes pueden encontrar una vulnerabilidad y lanzar un virus en el sitio. La consecuencia más triste es el robo de datos personales de los usuarios y el retiro de la base de clientes. Entonces se puede vender a sus competidores.

Si los motores de búsqueda encuentran virus, no los curan. Simplemente saque el sitio de la búsqueda o muestre al usuario una ventana de advertencia. La reputación y las posiciones ganadas en la extradición serán por un nocaut durante mucho tiempo, como ocurre después del gancho de izquierda de Sugar Ray Robinson.

Porque atacar

Solo porque los sitios comerciales lo hacen raramente. Existe la posibilidad de que un alumno decida practicar contigo, después de haber visto un video como este:

Tales ataques rara vez son suficientes por más de un par de horas. Pero por defecto, no debes contar con un novato. Las causas más comunes están relacionadas con las actividades comerciales.

  • DDoS a la orden. Si el ataque se produce después del lanzamiento de una campaña publicitaria activa o de actividades de marketing, es posible que haya cruzado el camino hacia los competidores. A veces, la DDoS se convierte en una respuesta a acciones específicas: por ejemplo, una referencia velada a un competidor en un anuncio o promoción en nombre de una marca extranjera en contexto.
  • Extorsión. Opción número 1. Un correo electrónico proviene de un hombre que desea transferirle cierta cantidad en bitcoins o el sitio caerá. La mayoría de las veces, la amenaza no se llevará a cabo, pero puede encontrarse con ladrones reales. Opción número 2. El sitio ya se ha instalado y los estafadores reciben una oferta para pagar la finalización del ataque.
  • El sitio quedó bajo la distribución. El ataque DDoS puede paralizar el trabajo de los servidores de su proveedor, debido a lo cual detiene el trabajo de todos sus sitios. Es poco probable, pero también es posible.

Pavel Arbuzov, CTO, REG.RU

Condicionalmente podemos dividir los ataques en planeados y no intencionados. Por ejemplo, el 18 de marzo de 2013, el proveedor de host de CyberBunker organizó un ataque DDoS en Spamhaus debido a que estaba en la lista negra para enviar correo no deseado. Este es el ataque DDoS más poderoso de la historia, según CloudFlare, alrededor de 300 Gb / s.

A veces, los propietarios de sitios toman el llamado "efecto slashdot" para un ataque DDoS (el término "habraeffect" se encuentra en RuNet). Esto sucede si muchos más usuarios acuden al recurso de lo que puede perderse el alojamiento. Este es un ataque DDoS involuntario. Por ejemplo, antes de las vacaciones de Año Nuevo, las personas realizan compras de forma masiva, el tráfico hacia las compras en línea está aumentando. Débil alojamiento falla y cae. Si esto sucede, necesita cambiar el host o cambiar a una tarifa con un canal más amplio.

Este año escribí material sobre un pequeño pero orgulloso agregador de bienes raíces comerciales en Moscú para una conocida publicación de negocios. Y 3 días después de la publicación, un poderoso ataque DDoS atacó su sitio. No se pudo encontrar el origen, pero no se excluye la conexión de eventos. Quizás la "prueba de fuerza" de los competidores.

Qué hacer durante el ataque.

Si no se toman medidas contra el DDoS por adelantado, es posible que ni siquiera sepa sobre el ataque. A veces los hosters detectan actividades sospechosas y envían una carta al usuario. Más a menudo - no. Sucede, miramos el sitio y vemos algo como:

O encontramos fallos de tráfico en "Métrico". Esto no es DDoS, sino algo similar a esto.

Control de línea de comando

Abra un indicador de comando e ingrese ping {nombre de dominio}.

Al principio hicimos "pinganuli" en nuestro sitio y nos aseguramos de que funcionara; se intercambiaron los 4 paquetes de prueba. Luego realizó la operación en un recurso bloqueado. Los paquetes no son aceptados por el servidor.

Si el sitio no funciona, pero hizo ping: un problema con el navegador. Si no se hace ping, DDoS es posible.

Una información más detallada puede dar seguimiento. Utilice el comando tracert {nombre de dominio}:

En la segunda verificación, vemos el rastreo del recurso bloqueado por Roskomnadzor (dirección IP de terceros). Si no hay intercambio de paquetes en la última etapa (su dirección IP), esto puede indicar DDoS.

Verificación por servicios de terceros.

Seogadget. La herramienta más fácil de verificar rápidamente durante DDoS, puede verificar simultáneamente varios sitios y encontrar las causas de la inaccesibilidad.

El código HTTP 200 indica que no se detectaron problemas de acceso. Si esta línea contiene código HTTP 4 **, hay errores en su lado. El código HTTP 5 ** habla sobre problemas del lado del servidor.

El error 502 de HTTP (puerta de acceso incorrecta) indica que el sitio no puede hacer frente a la carga. Esto puede ser causado por un ataque DDoS.

Herramienta de Ping-Admin.ru. En la configuración, puede elegir verificar solo su región, en Rusia o desde otros países. Ofrece información detallada sobre 9 parámetros, por lo que es útil no solo durante los ataques.

Servicio Who Is. Comprueba el rendimiento del sitio y muestra las características técnicas del dominio.

Conexión FTP

Instale cualquier cliente FTP conveniente. Por ejemplo, Total Commander:

Para agregar un servidor, necesita completar la tarjeta:

Puede averiguar su dirección IP, por ejemplo, a través del servicio Who Is en el enlace anterior. Se le proporcionó un nombre de usuario y contraseña de acceso a FTP en una carta de información del proveedor de servicios después del registro. Si fue hace mucho tiempo, encuéntrelos en los mensajes archivados.

Si FTP funciona y el sitio no, puede indicar un ataque DDoS o problemas con el servidor web.

Es importante Detenga la visualización de banners y anuncios de publicidad contextual, para no perder el presupuesto.

Bloqueo de IP

Este método solo ayuda con un tipo de ataque débil HTTP flood. Pero inútil para ataques como UDP o SYN de inundación. Cada nuevo paquete parasitario viene con una nueva IP, por lo que no será posible filtrar las conexiones.

La inundación de HTTP es la dirección de las solicitudes espurias al puerto, que es responsable de la cita y distribución de los paquetes de datos transmitidos al host.

Inundación de UDP: envío de paquetes UDP con una gran cantidad de datos a diferentes puertos para sobrecargar el servidor y / o desbordar el canal de comunicación.

SYN-flood: desbordamiento de recursos del servidor con solicitudes parásitas sin respuesta para la sincronización con el servidor.

Las direcciones IP se muestran en los archivos de registro del servidor HTTP. Cómo conseguirlos depende de tu anfitrión. La opción más fácil es a través de un enlace rápido en la cuenta en el sitio de alojamiento. Por supuesto, si lo es.

Si no, vaya a las carpetas del sistema. Por ejemplo, en el servidor web apache, el registro se encuentra en:

/ etc / httpd / logs / access_log

Si el proveedor no da acceso allí, puede escribir al soporte técnico con una solicitud para proporcionar dichos datos. En el archivo de registro, busque direcciones IP que se repitan muchas veces. Luego, en la carpeta raíz del sitio, cree un archivo llamado .htaccess sin una extensión. En el archivo ingrese la línea de código:

orden permitir, negar

negar desde 111.111.11.11

negar de ...

permitir de todo

En lugar de 111.111.11.11, ingrese las direcciones IP encontradas. Cada dirección siguiente debe estar en una nueva línea.

Desafortunadamente, los tiempos en que el filtrado de IP fue efectivo han pasado. Hoy en día, esto equivale a intentar reparar Tesla X en la cooperativa de garaje con las teclas 17 y 19. Si el proveedor de alojamiento no da acceso a los registros, no hay direcciones IP duplicadas en los registros o, por el contrario, hay demasiados de ellos, y se aplican medidas más severas.

La historia de un ataque.

Oleg Shestakov, fundador de Rush Analytics.

El 16 de noviembre de 2017, los servidores de Rush Analytics sufrieron un ataque DDoS desde muchas direcciones IP diferentes. En los primeros 20 minutos, nuestro departamento técnico trató de filtrar el tráfico de parásitos por sí solo, pero hubo tanto que la mayoría de ellos pasó a través de los filtros. Después de otros 10 minutos, el hoster nos desconectó. Simplemente apague el servidor, bloqueé el acceso durante 48 horas y borró todos los registros. En las siguientes 2 horas, implementamos un nuevo servidor frontal en otro sitio y dejamos los servidores DNS de Cloudflare.

Desde mi punto de vista, el hoster se comportó de manera extraña y ni siquiera trató de ayudarnos. En el futuro, mantendremos una copia de seguridad del servidor frontal en otro sitio y utilizaremos el sistema de limpieza de tráfico Cloudflare o Incapsula. Recomiendo que cualquier persona que trabaje en mercados altamente competitivos haga lo mismo.

Qué no hacer durante el ataque.

No hay necesidad de aceptar los términos de los estafadores. Los mensajes con una propuesta para detener el ataque por una cierta cantidad son mejores para no responder en absoluto. De lo contrario, serás atacado una y otra vez. Mantener las DDoS poco prometedoras en un sitio comercial durante más de 1 o 2 días no es rentable. Tarde o temprano los criminales se retirarán. Los clientes perdidos durante el ataque son el precio de la atención insuficiente a la seguridad del recurso.

No planee una respuesta de espejo. Si no se han recibido los requisitos de los estafadores, el ataque es ciertamente personalizado. Y es muy posible que tenga un círculo de sospechosos: competidores directos, compañías con las que no hubo relaciones comerciales. A veces la razón - el disgusto personal de alguien. Pero apresurarse a buscar hackers para vengarse no vale la pena.

En primer lugar, si los competidores bajan a DDoS, entonces su negocio se está moviendo en la dirección correcta. Da las gracias por el reconocimiento del mérito. En segundo lugar, en la mayoría de los casos, el DDoS no causa daños graves, ya que se trata de una pérdida de dinero. Y en tercer lugar, es un delito penal. Sí, la probabilidad de capturar a los ciberdelincuentes y sus clientes en las realidades modernas es muy pequeña, pero existe.

Recuerde la historia de Pavel Wroblewski, el propietario del agregador de pagos de Chronopay, quien fue acusado de organizar un ataque DDoS, Assist, que dejó a los servidores de sus competidores durante 9 días.

El cliente fue reconocido como la víctima principal por Assist Aeroflot. Las pérdidas ascendieron a 146 millones de rublos. Más de 9 mil personas durante el ataque no pudieron comprar boletos de avión en línea.

Los clientes y los ejecutantes de ataques DDos pueden ser condenados en virtud del art. 272 del Código Penal. Dependiendo de las consecuencias, un delito es punible con una multa de 100 a 500 mil rublos, por restricción o encarcelamiento por un período de 1 a 7 años.

Lo que es útil DDoS-ataque

Pavel Arbuzov, Director Técnico de REG.RU hosting:

¿Qué problemas de alojamiento son detectados por un ataque DDoS?

Si el proveedor de alojamiento reclama o vende la protección del cliente contra ataques DDoS, y sus recursos atacados se ralentizan o son inestables, esto indica un servicio de mala calidad.

Si el proveedor de servicios no declara o no vende anti-DDoS al cliente, su tarea principal es salvar su infraestructura. Incluso a costa de desconectar a un cliente atacado. En este caso, ralentizar el sitio del cliente debido a DDoS no es un problema del host.

¿Cómo debe comportarse el proveedor de alojamiento si se detecta un ataque en el sitio del cliente?

Idealmente, el proveedor de alojamiento debe tener su propio sistema de compensación de tráfico o estar conectado a un sistema de terceros para filtrar el tráfico "falso". Si es así, los recursos del cliente no deberían sufrir ataques DDoS. Trabajamos con DDos Guard y Stormwall PRO. Protegen contra inundaciones UDP / TCP, que son las más comunes. Si el proveedor de alojamiento no proporciona protección contra DDoS, es más fácil para él deshabilitar completamente el sitio para que el ataque DDoS no afecte a otros clientes.

¿Con qué signos se puede juzgar que el proveedor de alojamiento ha funcionado mal durante un ataque y debería modificarse?

Si el hoster no está completamente disponible debido a un ataque DDoS en un cliente por más de 10 minutos, entonces tiene grandes problemas de seguridad. Es mejor rechazar sus servicios. Es fácil de verificar: vaya al proveedor de alojamiento del sitio principal y verifique si funciona o no.

Preparándose para un ataque: los servicios necesarios.

Verificación de disponibilidad

Debe conocer los problemas de acceso al sitio de inmediato. Use servicios que revisen el sitio a intervalos específicos e informen automáticamente al propietario sobre la inaccesibilidad.

Puede realizar controles rápidamente, deshabilitar la publicidad, notificar sobre los problemas del anfitrión y / o la empresa que realiza el mantenimiento técnico del sitio, monitorear el trabajo de los empleados de tiempo completo o tratar de despejar el tráfico de forma independiente.

  • Monitoreando la accesibilidad desde RU-Centro. Servicio del mayor proveedor de hosting ruso. En la línea de tres aranceles. La más fácil es de 150 rublos por mes, la más cara es de 1 mil rublos. Se diferencian en el número de monitores y tipos de verificación. Comprueba en HTTP, DNS, PING. Informa si el sitio cae bajo los filtros de los motores de búsqueda como portador de virus. Mensaje automático sobre la indisponibilidad del sitio por correo. Hay un modo de prueba de 14 días.
  • Ping-Admin.ru. El servicio de monitoreo de sitios más popular en RuNet. Cuenta con una política de precios flexible. No hay tarifas de suscripción u otros tipos de facturación estándar. Puede elegir entre todos los métodos de verificación que necesita y pagar solo por ellos. Muchas formas de notificar automáticamente: correo, SMS, Telegram, RSS y más. No hay modo de prueba, pero cada nuevo usuario recibe una cuenta de $ 1, que es suficiente por un período de 2 semanas a 1,5 meses (dependiendo del número de servicios conectados).
  • Monitoreo de sitios desde REG.Ru. Existe una versión gratuita permanente con funcionalidad limitada. El sitio está controlado por un monitor con una frecuencia de 1 hora. La notificación de indisponibilidad llega solo al correo electrónico. La tarifa pagada comienza a partir de 99 rublos por mes. Dispone de SMS informando, comprobando con cualquier frecuencia. Al mismo tiempo, puede hacer un seguimiento del cambio en la posición de las palabras clave en los motores de búsqueda.

Cortafuegos

Un firewall es un sistema de filtro completo que ayuda a proteger un sitio del tráfico de basura antes de que llegue al sitio. La función principal del cortafuegos - la lucha contra los virus. Protege contra DDoS mientras sea suficiente para ataques débiles. Además, costará menos que los Anti-DDoS completos.

  • Virusdie. El costo es de 1490 rublos por año y 149 rublos por año por cada sitio subsiguiente. Elimina automáticamente los virus, protege contra el acaparamiento, el código malicioso, mantiene estadísticas de amenazas reflejadas y forma una lista negra por IP. Hay un editor de código a través del cual puede agregar, editar y eliminar scripts. Característica incorporada resaltando código sospechoso. Puede ajustar la frecuencia de la copia de seguridad y restaurar automáticamente un sitio seriamente dañado por el último guardado exitoso.
  • Revisio de protección preventiva. Costo - 4,000 rublos por única vez, garantía - 6 meses. El servicio incluye diagnósticos y escaneo del sitio, instalación de derechos y acceso a funciones seguras e inhabilitantes "peligrosas", que restringen el acceso al panel de administración. El sitio se conecta a un sistema de seguridad que controla las conexiones sospechosas al sitio y genera informes sobre ellas.
  • Detectar virus. Costo - 2000-3000 rublos de una sola vez. Garantía - 1 año. El sistema protege contra el acceso directo a PHP, el acceso al panel administrativo, bloquea las solicitudes sospechosas. Se configuran los permisos para archivos y carpetas, se establece la protección contra la inyección de SQL, ataques XSS, se establecen vulnerabilidades de RFI / LFI.

Protección anti-DDoS

Anti-DDoS es más flexible e inteligente que un cortafuegos normal. El sistema crea automáticamente filtros según el tipo y la potencia del ataque, y puede realizar manipulaciones adicionales con el tráfico.

  • Cloudflare. El servicio anti-DDoS más grande del mundo. Una ventaja importante: existe un modo libre, aunque limitado en funcionalidad. Las tarifas pagadas comienzan en $ 20 por mes. Por este dinero, obtiene una optimización automática de la velocidad del sitio (almacenamiento de imágenes, CSS, Javascript, etc.), firewall, sistema de filtrado de tráfico. Cloudflare tiene un modo de emergencia Estoy bajo ataque, el cual, cuando se active, requerirá un captcha para ingresar al sitio. El modo le permite cortar rápidamente el tráfico de basura, restaurar el sitio y guardar al menos algunos de los clientes. Tenga en cuenta que Cloudflare no tiene una oficina en Rusia, por lo que deberá comunicarse con soporte técnico en inglés. Si su sitio ya está colgado, puede usar el servicio gratuito de cheques de Cloudflare. Si se confirma la DDoS, se le solicitará que se registre y habilite la protección.
  • Anti DDoS de REG.RU. Hay un modo libre que se aplica a la protección que utiliza las tecnologías de capa 3-4 (malformación de IP, inundación de ICMP, inundación de TCP SYN, malformado de TCP, pitido de ICMP). Puede activar un modo de pago que protege contra Layer-7 (HTTP Flood y HTTPS Flood). Costo - de 6 mil rublos a la semana. Usted paga cuando un ataque está en progreso y el riesgo de su renovación persiste.
  • Anti-DDoS.PRO. Costo - a partir de 1500 rublos por mes. Hay un cortafuegos para proteger contra la inyección de SQL y los ataques XSS. No es necesario cambiar de proveedor y cambiar a su alojamiento. Funciona con las tecnologías Layer 3-4 y Layer-7.

Contraataque sistémico a los ataques DDoS.

Y una vez más la tesis principal:

От DDoS нельзя защититься на 100 %, но можно смягчить урон от атаки злоумышленников и сократить вероятность атаки в целом. Лучший способ защиты - комплексный подход к безопасности сайта.

Системный подход подразумевает следующее:

  1. Не экономьте на оборудовании. Потратьте чуть больше денег на более дорогой хостинг и сервер. Обратите внимание на ширину канала и количество CPU. Как правило, при DDoS съедаются именно эти ресурсы. Это не спасёт от крупных и запланированных нападений, но от атаки неопытного хакера или "хабраэффекта" точно защитит. От "хабраэффекта" также можно спастись, используя услугу облачного хостинга. С его помощью в любой момент можно добавить недостающие для вашего проекта ресурсы.
  2. Используйте готовые решения. Базовый уровень защиты обеспечат бесплатные сервисы. Las soluciones técnicas serias requerirán dinero, pero en el caso de una tienda en línea u otro sitio comercial, el tiempo de inactividad puede ser aún más costoso.
  3. Configure el software en su servidor. Utiliza el tráfico compartido entre dos servidores web. Por ejemplo: servidor proxy Apache y Nginx. Póngase en contacto con su proveedor de alojamiento para esto. Normalmente hay soluciones ya hechas.
  4. Tenga cuidado de la optimización de consultas. Intente evitar las consultas pesadas refactorizando el código, agregando los índices faltantes a las bases de datos, etc. Cuando hay demasiados, es probable que el servidor falle incluso sin un ataque DDoS.
  5. Optimizar la velocidad del sitio web. Cuanto más difícil sea su sitio, más fácil será para los atacantes bloquearlo. ¿Estás seguro de que necesitas todos los "hermosos", que consumen muchos recursos? Pero no debe excederse demasiado: un sitio web ascético de los años 90 funcionará rápidamente, pero es poco probable que se convierta bien en 2017.

Y como mosca en el ungüento: la seguridad es seguridad, pero no debe instalar el captcha malicioso en la entrada para cada usuario de forma continua. Esta es la forma más efectiva de eliminar a la mitad de sus clientes. Comience con poco y mejore el sistema de protección de recursos a medida que su empresa crezca.

En el recuadro para los fans de enlaces interesantes:

  • Mapa de ataque nórdico. Hermoso, pero no demasiado informativo mapa interactivo de ataques cibernéticos en línea. Muestra principalmente las guerras virtuales de Estados Unidos con el resto del mundo.
  • Mapear las amenazas cibernéticas "Kaspersky Labs". Sigue las trampas de los virus informáticos. Hay estadísticas sobre la cantidad de infecciones y los tipos de virus en todo el mundo y en los distintos países. Puede instalar el widget en el sitio o descargar el protector de pantalla.
  • Mapa de ataque digital. Desarrollo conjunto de Google y Arbor Networks. Según los creadores, el sistema más grande del mundo cubre aproximadamente un tercio del tráfico global de Internet. Hay una cinta de ataques DDoS desde 2012, puede ver las estadísticas de cualquier día.

Loading...

Deja Tu Comentario