Cómo Detener un Ataque DDoS en Proceso (Estudio de Caso)

Por , Actualizado: agosto 7, 2017
Traducido por Peter Kovacs

ataque ddos

En nuestro último estudio de caso, le mostramos cómo limpiamos un ataque SEO negativo en Kinsta. Hoy vamos a mostrarle algunos pasos de solución de problemas que tomamos para detener un ataque DDoS en un pequeño sitio de e-Commerce de WordPress. Los ataques DDoS pueden venir de la nada y los sitios más pequeños suelen ser aún más vulnerables, ya que no están preparados para lidiar con ello cuando sucede. Déjenos hacerle esta pregunta. Si su sitio fuese atacado el día de mañana, ¿qué haría? Si no tiene ideas, entonces quizás usted debe marcar y leer este artículo.

¿Qué es un ataque DDoS?

DDoS es una abreviatura para ataques de denegación de servicio. El principal objetivo de un ataque DDoS es simplemente abrumar a su servidor web y paralizarlo o llevarlo hacia abajo. Una de las cosas frustrantes con estos tipos de ataque es generalmente que el atacante no gana nada y normalmente nada es hackeado. El gran problema de los ataques DDoS es la abrumadora carga asociada con ellos. Lo más probable es que usted también verá su ancho de banda llegar a pico a una cantidad increíble, y esto le puede costar cientos o incluso miles de dólares. Si usted está en un alojamiento más barato o compartido, esto puede desembocar fácilmente en la suspensión de su cuenta.

El 21 de octubre de 2016, el mayor ataque DDoS (DNS) relacionados en la historia ocurrió, llevando a abajo a grandes empresas como PayPal, Spotify, Twitter, Reddit, y eBay. Algunas incluso lo llamaron el Día del Juicio Final del internet. A medida que la web sigue creciendo, no es de sorprender que los ataques DDoS están aumentando a un ritmo alarmante. De hecho, según datos proporcionados de easyDNS, los ataques DDoS a lo largo del tiempo llegan a ser mucho peores. Para un montón de sitios, podría ser sólo una cuestión de tiempo hasta que llegue su turno.

Los ataques DDoS a lo largo del tiempo

Aquí en Kinsta, en general estamos capaces de defenderse mejor de los ataques que los hosts más baratos, simplemente por precauciones de seguridad adicionales que tenemos en su lugar. Pero también recomendamos la utilización de empresas por ahí que tienen grandes infraestructuras y software desarrollado específicamente para impedir los ataques DDoS. Siempre seremos partidarios de dejar que los expertos hagan lo que saben hacer. Cloudflare y Sucuri son dos que recomendamos para los usuarios de WordPress o cualquier tipo de plataforma. Invertir en protección DDoS decente puede ahorrarle tiempo, dinero y frustración en el camino.

Detener un ataque DDoS en un pequeño sitio EDD

En este estudio de caso, teníamos un pequeño sitio de e-Commerce de WordPress que estaba ejecutando Easy Digital Downloads. El sitio normalmente sólo generaba entre 30-40 MB un día en ancho de banda y un par de cientos de visitantes por día. En junio, se comenzó a utilizar un montón de ancho de banda de la nada, sin que Google Analytics, haya mostrado tráfico adicional. ¡El sitio al instante fue a entre 15-19 GB de transferencia de datos por día! Eso es un aumento de 4650%. No es bueno. Y no cabe duda de que no es sólo un pequeño aumento en el tráfico de bot. Afortunadamente, el dueño fue capaz de detectar rápidamente esto en la analítica de Kinsta.

Alto uso de ancho de banda en el sitio WordPress

Después de ver el aumento, fue una cuestión de control de los registros del servidor para investigar lo que estaba sucediendo. Estos tipos de cosas pueden quedar fuera de control. Los últimos 7 días mostraron que la página de cuenta del sitio había sido solicitada 5,110,00 veces y produjo un total de 66 GB de tráfico. Es decir, desde un sitio que genera normalmente un poco más de 1 GB de datos en total en un mes entero. Así que nosotros sabíamos que algo estaba pasando al instante.

Analizando el top 10 IPs de cliente durante los últimos 7 días en el sitio mostró alguna actividad sospechosa inmediatamente. La mayoría de ellos tenían más de 10,000 solicitudes, y no eran pocas. Recuerde, este es un sitio pequeño que sólo debería estar recibiendo un par de miles de peticiones totales por mes.

Principales 10 IPs del cliente (bloqueadas por motivos de seguridad)

Usted siempre puede confiar en Google ellos le proporcionan los datos. eiempre Introduciendo un par de las principales IPs en búsqueda, pudimos ver fácilmente que la mayoría de ellas eran todas direcciones proxy, es decir alguien trataba de ocultar su tráfico.

IP de proxy

Cambiando direcciones URL

La primera cosa que hicimos fue realmente cambiar la URL de la página a algo diferente. Esta es siempre una buena primera medida. Sin embargo, esto sólo detuvo el ataque durante un corto período de tiempo, hasta que se descubrió la nueva dirección URL. Recuerde, debido a que este es un sitio de comercio electrónico, debe tener una página de cuenta pública. Obviamente en un blog solamente, cambiar la URL de acceso de WordPress y ocultarla completamente impediría un montón de estos tipos de ataques, pero esto no funcionaría en este caso. Lo llamamos WordPress seguridad por oscuridad.

¿Piratería o Intentos de Fuerza Bruta?

Otra cosa que puede confirmar en estas situaciones es que no sea un intento de hackeo, que en este caso no lo fue. WP Security Audit Log es un gran plugin para controlar rápidamente y ver si hay intentos de login no válidos en una página. También puede comprobar los registros para ver si hay algunas acciones POST sucediendo en gran cantidad. Esto parece ser un clásico ataque DDoS en el que simplemente envían un montón de tráfico a una porción del sitio para intentar aplastarlo.

Bloqueo de IP

Si está ejecutando su propio servidor, el siguiente paso sería probablemente instalar un firewall o bloqueo de IP como WordFence plugin. Sin embargo, al igual que la mayoría de los demás WordPress hosts gestionados, no permitimos tal plugins como esos aquí en Kinsta. Por un par de razones. En primer lugar, pueden tener un efecto enorme en su rendimiento, especialmente las capacidades de escaneo. En segundo lugar, utilizamos los equilibradores de carga con Google Cloud Platform, lo que significa que muchas veces su funcionalidad de bloqueo de IP no funcionaría correctamente.

Por supuesto, las IPs siempre pueden ser bloqueadas por el equipo de soporte de Kinsta, pero dependiendo de la longitud y la escala del ataque, este podría ser un proceso sin fin de poner en listas negras las IPs, que en la mayoría de los casos no soluciona el problema con la suficiente rapidez. Muchos de los ataques DDoS cuando son bloqueados en un área, simplemente aparecen en otro, o cambian de IPs y direcciones proxy. Por ello, en este caso, lo mejor es tomar ventaja de una solución DDoS que podría ayudar a automatizar el proceso con sus normas integradas que han sido compiladas basando en años de datos.

Mover el Sitio a Cloudflare No Ayudó

Un montón de veces Cloudflare hace un trabajo decente en detener el tráfico básico de bots, pero cuando se trata del plan libre, su protección DDoS no es la mejor. De hecho, movimos el sitio a Cloudflare y resultó aún más tráfico sospechoso visitando el sitio. Aunque pensamos que esto era simplemente debido al esfuerzo aumentado del atacante. Como se ve a continuación estaba llegando el punto de casi 50,000 solicitudes por hora. Su CDN sección funciona bien, pero si necesita más, es muy probable que usted tenga que pagar.

Solicitudes – Cloudflare

Después implementamos “limitación de velocidad” en el sitio web. La limitación de velocidad permite crear reglas basadas en el tráfico que coinciden con una dirección URL y, después la bloquean/limitan basado en la actividad. Esto puede ser activado en el plan gratuito, y cuesta $0.05 por 10,000 solicitudes. Sin embargo, al ritmo en que estábamos viendo peticiones, habría habido unas 36 millones de solicitudes por mes, lo que habría costado 180 dólares al mes por sí mismo. Así que es obvio que no era una solución que estaba arreglando el problema. Y sí, probamos todos los tipos de reglas específicas.

Limitación de velocidad IP

El siguiente paso, que sabíamos ya estaba llegando, fue buscar un Web Application Firewall (WAF). Muchos usuarios no se dan cuenta de esto, pero el plan gratis de Cloudflare no incluye esto. Y esto es casi necesario para detener los ataques DDoS en la actualidad. Así que la siguiente opción sería actualizar el plan de Cloudflare pro a $20/mes. Sin embargo, aquí es donde usted debe tomar algún tiempo y comparar con otras soluciones de terceros.

Gratis no siempre es mejor, sea para protección DDoS o #WordPress hosting.👍 Haga clic para Tweet

Comparando Cloudflare a Sucuri

En nuestra opinión, dos de las mejores soluciones de firewalls de aplicaciones web que son fáciles de implementar para cualquier tipo de sitio es Cloudflare y Sucuri. Nota: No estamos afiliados con cualquiera de estas empresas. Sin embargo, si realmente analiza estas verá que Sucuri ofrece mucho más por su dinero. Echemos un vistazo, puesto que ambas tienen planes de $20/mes.

Cloudflare

Con el Plan Pro de Cloudflare sólo obtendrá protección DDoS avanzada en las Capas 3 y 4(lea más acerca de los ataques DDOS capa 3 y 4). Esto ayudará a detener automáticamente los ataques SYN de TCP, UDP e ICMP contra sus servidores edge, para que nunca alcancen su servidor de origen. Para obtener la protección de la capa 7 tendrá que actualizar el plan de $200/mes. Recuerde que esta es una muy sitio e-commerce pequeño, así que $200/mes sería muy costoso además de sus tarifas de hosting.

Sucuri

Con el plan de sucuri de $20/mes, usted obtiene protección DDoS avanzada en las capas 3 y 4, junto con la capa 7. Esto ayuda a detectar automáticamente los cambios repentinos en el tráfico y protege contra inundaciones y ataques POSTS basados en DNS, para que nunca alcancen su servidor de origen. Así, justo al principio, probablemente usted va a ver la mejor mitigación de DDoS con Sucuri. Y en este caso, queríamos la capa 7 para los ataques de inundación HTTP.

Un ataque de inundación HTTP es un tipo de ataque de aplicaciones de capa 7 que utiliza las peticiones estándar válidas GET/POST utilizadas para obtener información, como en la URL típica de recuperaciones de datos (imágenes, información, etc.) durante las sesiones SSL. Un diluvio HTTP GET/POST es un ataque volumétrico que no utiliza paquetes mal formados, técnicas de redirección o reflexión. –Sucuri

Sucuri también ofrece equilibrio de carga en su plan de $70/mes mientras que Cloudflare tiene bastantes tasas vinculadas a distintos aspectos de su función de equilibrio de carga, tales como precios la base del uso, si desea geo-equilibrio de carga, etc.

Ambos tienen características similares, como la capacidad de añadir desafíos a ciertas páginas, listas negras de IPs, etc. Sin embargo, en cuanto a la protección DDoS, Sucuri ofrece mucho más. También nos gusta la IU en listas negras de IP de Sucuri y cómo ciertas cosas están configuradas vs Cloudflare.

Y recuerde, ninguna empresa puede prometer un 100% de protección DDoS, todo lo que puede hacer es ayudarle a mitigarlo de forma automática.

Mover el Sitio a Sucuri

Mover el sitio a Sucuri es bastante fácil. Al igual que Cloudflare, técnicamente no hay nada que usted necesite para instalar, ya que actúa como un proxy de servicio completo. Esto significa que usted está apuntando su DNS para ellos y después, ellos están apuntando a su host. Y, fundamentalmente, el firewall de aplicaciones web (WAF) se ubica en el medio.

Su panel de control, en nuestra opinión, no es tan llamativo o de aspecto moderno como Cloudflare, pero cuando se trata de un WAF, usted realmente debe estar simplemente preocupado por lo bien que funciona. Como puede ver a continuación, básicamente detectan la IP de su host actual y le proporcionan un firewall IP. Esta es a la que usted apunta su DNS (récords A y AAAA).

Panel de control – Sucuri

Puede estar funcionando en Sucuri en cuestión de minutos. Lo que es bueno en el caso de un ataque DDoS. El tiempo de espera sólo realmente es la propagación de DNS. Éstas incluyen un HTTP/2 CDN Anycast. Por lo tanto, es algo más que un simple firewall. También puede ayudar a acelerar su sitio WordPress. Pero también puede utilizar opcionalmente su propia CDN como KeyCDN ya que trabajan con Sucuri bien.

Ellos incluyen un certificado SSL gratis con Let’s Encrypt o puede cargar los suyos propios. Un inconveniente es que Let’s Encrypt no está automatizado, debe abrir un ticket. Pero su proceso de certificado SSL es rápido. Otra sugerencia para mejorar el rendimiento es que usted a lo mejor desee habilitar la opción de cache de sitio. Esto preferirá usar la cache de su servidor original en lugar de usar la de Sucuri. Lo más probable es que usted tenga configuración de cache en su WordPress host según como usted prefiere tenerla.

La cache del sitio – Sucuri

Opciones de seguridad avanzada

En la pantalla de seguridad puede bloquear todo el tráfico XML-RPC, bots agresivos, habilitar seguridad adicional los encabezados como HSTS, y mucho más. Nota: el tráfico XML-RPC ya estaba bloqueado en este sitio en particular.

Opciones avanzadas de seguridad – Sucuri

Vista en tiempo real

Una cosa que realmente nos gusta es su protección DDoS en tiempo real. Usted puede fácilmente ir y ver un registro completo de las solicitudes actuales. Puede mandar a lista negra con un clic o a lista blanca cualquier cosa sospechosa, e incluso le dará una razón si ya estaba bloqueada.

Protección DDoS en tiempo real

Otros informes útiles

Hay un montón de otros informes útiles, tales como la gráfica de ataques bloqueados. Esto le permite ver rápidamente un porcentaje de qué tipos de ataques son bloqueados, incluidos los ataques de DDoS. Algunos otros gráficos en esta ventana incluyen el tráfico por tipo de explorador, los dispositivos y los códigos de respuesta HTTP.

Protección DDoS en tiempo real

La gráfica de tráfico promedio por hora es útil para ver cuando las horas pico son para su tráfico y se ve la relación de solicitudes bloqueadas.

El tráfico promedio por hora

La tabla de tráfico por país puede ayudarle a determinar si algo está viniendo de una geolocalización específica. Bajo de sus controles de acceso, usted puede fácilmente bloquear un país completo temporalmente con un solo clic.

Tráfico por país

Otras características bajo control de acceso incluyen la capacidad de lista blanca y lista negra de IPs y rutas, los agentes de bloquear usuarios, bloquear las cookies, bloquear remitentes HTTP, y también proteger una página determinada con un captcha, autenticación de dos factores, o una contraseña simple.

Control de acceso – Sucuri

¿Sucuri ayudó a nuestro pequeño sitio de comercio electrónico de WordPress? De hecho, una hora después de que el DNS terminó propagando, el ancho de banda y las solicitudes descendieron inmediatamente en el sitio (como se muestra a continuación) y no ha habido ni un solo problema desde entonces. Por lo tanto, definitivamente es una inversión buena y ahorra tiempo si llega a tener tal problemas.

Firewall de aplicaciones web añadido

Y aquí está la forma en que el sitio se veía hace un rato después de la mudanza a Sucuri. Como se puede ver ahora se ha vuelto a su estado original de 30-40 MB de transferencia de datos por día.

Uso de ancho de banda bajo

Incluso si usted no está bajo un ataque, quizás sólo quiera una manera fácil de evitar que los bots le roben el ancho de banda del host. Ellos ayudaron a WP Beginner a bloquear más de 450,000 ataques en 3 meses. También hemos notado un comentario interesante sobre esta publicación:

Estamos recibiendo un golpe duro por bots de spam ubicados en AWS de Amazon y Google Cloud. ¿Sabe si Sucuri firewall puede ayudar con eso? Actualmente, utilizamos WPEngine que tiene un firewall integrado (no bloqueando nada) y CloudFlare (también no bloquea el spam) nos estamos quedando sin opciones y realmente espero que Sucuri pueda ayudar. – AJ

Si ya ha probado otras soluciones, quizá dele a Sucuri un intento. Y no nos malinterprete Cloudflare sigue siendo una solución fantástica para un montón de sitios, como los recomendamos para la mayoría de nuestros clientes. Sus planes más caros de 200 dólares/mes probablemente también hayan mitigado el ataque. No obstante, siempre es bueno saber acerca de otras soluciones. Especialmente si usted está en un bajo presupuesto.

Resumen

Esperemos que la información anterior le dé un poco más de información sobre cómo detener un ataque DDoS. Naturalmente, esto es sólo una de muchas maneras diferentes en que podría abordar tal situación. Pero si ya está en modo de emergencia, normalmente la migración sea a Sucuri o a Cloudflare le permite recuperarse sin problemas en cualquier momento. Si usted está tratando de ahorrar dinero en ancho de banda contra los bots de spam, un firewall de aplicaciones web también puede ser una solución muy efectiva.

¿Cuáles son sus pensamientos sobre Cloudflare vs Sucuri? Además, le gustaría ver estos estudios con datos en vivo? Si es así, háganoslo saber a continuación ya que esto nos ayuda a decidir qué tipo de contenido se debe publicar en el futuro.