¿Qué es la mitigación de DDoS?

La mitigación de DDoS implementada adecuadamente es lo que permite que los sitios web permanezcan en línea durante un ataque. xplora el proceso de mitigación de DDoS y las características importantes que se deben buscar en un servicio de mitigación.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Explorar las estrategias de mitigación para ataques DDoS
  • Obtener información sobre el rango de ataques DDoS
  • Destacar ataques comunes

Contenido relacionado


¿Quieres saber más?

Suscríbase a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar enlace del artículo

¿Qué es la mitigación de DDoS?

La mitigación de DDoS hace referencia al proceso de proteger correctamente a un servidor o una red de destino de un ataque de denegación de servicio distribuido (DDoS). Al utilizar equipos de red especialmente diseñados o un servicio de protección basado en la nube, la víctima es capaz de mitigar la amenaza entrante.

Etapas de la mitigación de DDoS

Existen 4 etapas de mitigación de un ataque DDoS con un proveedor basado en la nube:

  1. Detección: para poder detener un ataque distribuido, un sitio web debe poder distinguir entre un ataque y un volumen elevado de tráfico normal. Si el lanzamiento de un producto u otro anuncio hacen que el sitio web esté desbordado de nuevos visitantes legítimos, lo último que el sitio querrá hacer es restringirlos o de otro modo impedirles que visualicen el contenido. La reputación de IP, los patrones de ataque comunes y los datos previos ayudan a la detección adecuada.
  2. Respuesta: en este paso, la red de protección de DDoS responde a una amenaza entrante identificada anulando de manera inteligente el tráfico de bots maliciosos y absorbiendo el resto del tráfico. Al usar Page Rules de WAF contra los ataques de capa de aplicación (L7) y otros procesos de filtración para controlar ataques de nivel inferior (L3/L4) como memcached o amplificación NTP, la red es capaz de mitigar el intento de interrupción.
  3. Enrutamiento: al enrutar el tráfico de manera inteligente, una solución de mitigación de DDoS efectiva dividirá el tráfico restante en trozos manejables para prevenir denegaciones de servicio.
  4. Adaptación: una buena red analiza el tráfico en busca de patrones, como bloques de IP infractores repetitivos, ataques específicos que provienen de determinados países o protocolos específicos que se usan de forma inapropiada. Al adaptarse a los patrones de ataque, un servicio de protección puede verse reforzado para ataques futuros.
¿Estás bajo ataque?
Protección completa contra los ciberataques

Cómo elegir un servicio de mitigación de DDoS

Las soluciones de mitigación de DDoS tradicionales implicaban comprar equipos que se instalaban en las instalaciones y filtraban el tráfico entrante. Este enfoque implica la compra y el mantenimiento de equipos costosos, y también depende de poseer una red capaz de absorber un ataque. Si un ataque DDoS es lo suficientemente grande, puede apoderarse de toda la infraestructura de red ascendente e impedir que las soluciones locales sean efectivas. Al contratar un servicio de mitigación de DDoS basado en la nube, se deben evaluar ciertas características.

  1. Escalabilidad: una solución efectiva debe poder adaptarse a las necesidades de un negocio en crecimiento y responder al aumento de tamaño de los ataques DDoS. Se han dado ataques de más de 2 terabits por segundo (Tbps) y no hay nada que indique que la tendencia en el tamaño del tráfico de ataque vaya a disminuir. La red de Cloudflare es capaz de controlar ataques DDoS considerablemente mayores que los ocurridos.
  2. Flexibilidad: la capacidad de crear patrones y políticas ad hoc permite que las propiedades web puedan adaptarse a las amenazas entrantes en tiempo real. La capacidad de implementar Page Rules y propagar esos cambios en toda la red es una función fundamental para mantener un sitio en línea durante un ataque.
  3. Fiabilidad: al igual que el cinturón de seguridad, la protección contra DDoS es algo que solo necesitas cuando lo necesitas, pero que, llegado el momento, tiene que funcionar. La fiabilidad de una solución de DDoS es esencial para el éxito de cualquier estrategia de protección. Asegúrate de que el servicio posea altas tasas de tiempo de actividad e ingenieros de fiabilidad del sitio que trabajen las 24 horas para mantener la red en línea e identificar nuevas amenazas. La redundancia, el failover y una amplia red de centros de datos deben ser primordiales en la estrategia de la plataforma.
  4. Tamaño de red: los ataques DDoS poseen patrones que ocurren por todo Internet mientras que los protocolos y vectores de ataque particulares van cambiando con el tiempo. Contar con una red amplia con una transferencia de datos extensa permite al proveedor de mitigación de DDoS analizar y responder a los ataques de manera rápida y eficaz, a menudo deteniéndolos antes de que ocurran. La red de Cloudflare ejecuta solicitudes de Internet para millones de sitios web, esto crea una ventaja en el análisis de datos del tráfico de ataque en todo el mundo.
  5. Preguntas frecuentes

    ¿Cuál es el objetivo principal de la mitigación de DDoS?

    La mitigación de DDoS protege una red o un servidor contra un ataque de denegación de servicio distribuido. El objetivo es garantizar la disponibilidad de un sitio web o un servicio, descartando el tráfico de ataque y absorbiendo el tráfico legítimo.

    ¿Cómo diferencia un servicio de protección contra DDoS entre un ataque y un visitante real?

    Las soluciones de mitigación de DDoS utilizan varios factores para identificar el tráfico legítimo, como los patrones de ataque comunes, la reputación de IP y los datos históricos. Esto garantiza que cuando un sitio recibe un aumento de visitantes reales estos no se bloquearán o limitarán accidentalmente.

    ¿Cuáles son las principales etapas de una respuesta a una amenaza DDoS?

    Una vez que se identifica una amenaza, la red de protección elimina el tráfico de bots maliciosos y absorbe el tráfico restante. Una solución eficaz también enrutará el tráfico en segmentos manejables para evitar la denegación de servicio en caso de un volumen de tráfico inusual.

    ¿Por qué es importante el tamaño de la red a la hora de elegir un proveedor de mitigación?

    Una red más grande permite a un proveedor analizar datos de millones de sitios web en todo el mundo para identificar los protocolos y los vectores de ataque, que cambian constantemente. Una amplia capacidad de transferencia de datos ayuda a los proveedores a responder y detener los ataques con más eficiencia, a veces incluso antes de que comiencen.

    ¿Cómo gestionan los servicios basados en la nube los ataques DDoS volumétricos a gran escala?

    Las soluciones escalables en la nube para la mitigación de DDoS están diseñadas para gestionar ataques grandes que pueden superar los 2 Tb/s. A diferencia del hardware local, que puede verse desbordado por los ataques grandes que afecten la infraestructura ascendente, las redes basadas en la nube son lo suficientemente grandes como para absorber estos volúmenes masivos de tráfico. La mitigación de DDoS basada en la nube también evita la latencia que genera el uso de centros de filtrado: centros de datos remotos por los que debe pasar todo el tráfico de red para el filtrado del tráfico malicioso.

    ¿Qué papel desempeña la adaptación en la protección contra DDoS a largo plazo?

    Una red de mitigación de DDoS eficaz analiza constantemente el tráfico para identificar patrones de ataque, como el uso indebido de protocolos específicos o bloques de direcciones IP infractoras reincidentes. Al adaptarse a estos patrones, el servicio puede reforzar sus defensas contra futuras amenazas.

    ¿Qué funciones garantizan la fiabilidad de un servicio de mitigación de DDoS?

    La fiabilidad está garantizada gracias a una combinación de unas altas tasas de tiempo activo, la redundancia y una red global de centros de datos. Además, para el éxito de una estrategia de protección es fundamental contar con ingenieros de fiabilidad del sitio disponibles las 24 horas del día para identificar las nuevas amenazas.