Protección - Respuesta de emergencia DDoS

Los procedimientos tratados en este artículo requieren el plan de suscripción Expert WEDOS.protection, o superior. Para obtener más información, consulte el artículo Protección - Plan de suscripción.

En este artículo aprenderá:

Diagnóstico DDoS

Los ataques DDoS son un tipo común de ciberataque, que intentan saturar un sitio web o una aplicación con un alto volumen de peticiones. Estas peticiones suelen originarse en varias regiones, pero también pueden proceder de una única dirección IP, rango o proveedor. Algunas pueden tener un UserAgent común, que puede utilizarse para filtrarlas eficazmente.

El primer paso para responder adecuadamente a un ataque DDoS en curso es averiguar quiénes son los atacantes y bloquearlos, sin restringir el tráfico legítimo a su sitio. La mejor herramienta para el análisis del tráfico es la interfaz Grafana, que puedes configurar según el manual Protection - Grafana.

Cuando sospeche que su sitio web o su aplicación están siendo atacados, siga estos pasos:

  1. Inicie sesión en su interfaz de Grafana ⧉.
  2. En el filtro Request host de la parte superior izquierda, seleccione el dominio que está siendo atacado. Si es necesario, cambie también el intervalo de tiempo de en la parte superior derecha a 5 minutos.
  3. Busca comportamientos sospechosos en los registros.
  4. Determine el mejor método de bloqueo según los consejos siguientes.

En caso de emergencia, puede utilizar GeoIP para bloquear rápidamente todos los accesos procedentes de otros países o continentes y disponer de tiempo para analizar el tráfico y establecer filtros más eficaces.

No existe una única forma correcta de realizar el análisis de los registros, pero un consejo general es que compruebes:

  • Anomalías. La tabla Anomalías enumera las solicitudes con códigos de error. Entre ellas se incluyen las solicitudes bloqueadas (456), que el sistema ya está bloqueando activamente. No es necesario que actúe contra ellas.
  • Peticiones de países. Si en esta lista aparece un gran número de solicitudes de países inusuales, utilice GeoIP para bloquear esos países, hasta que el ataque disminuya.
  • TOP10 IPs de clientes. Aunque no es común para un ataque DDoS, puede encontrar un número anormalmente grande de peticiones desde un puñado de IPs. Puede bloquearlas usando Filtros.
  • InformeTOP10 UserAgents y ASN. En algunas circunstancias, los atacantes pueden compartir un UserAgent, o ASN. Puede filtrarlos fácilmente.
Cuadro de mandos de Grafana con áreas de interés marcadas
Cuadro de mandos de Grafana con áreas de interés marcadas

Si no puede localizar y filtrar el origen del ataque, bloquéelo mediante WAF.

Una vez que los ataques DDoS no consiguen derribar un sistema, suelen retirarse en varios minutos. Sigue vigilando la situación y, cuando no detectes más tráfico malicioso, prueba a desactivar de nuevo las medidas de emergencia.

Bloqueo de emergencia

Si los filtros automáticos están tardando demasiado en impedir un ataque DDoS (u otro similar) a su sitio web o aplicación, le recomendamos que los configure:

  • GeoIP funciona mejor para aislar rápidamente el tráfico de su país o continente, o bloquear el tráfico de regiones atacantes.
  • Los filtros bloquean IPs, ASNs o UserAgents específicos.
  • Web Application Firewall (WAF) es capaz de filtrar el tráfico basándose en reglas más estrictas con un nivel de paranoia más alto.

Bloqueo GeoIP

Para configurar GeoIP, siga estos pasos:

  1. Inicie sesión en el panel de administración de WEDOS.global ⧉.
  2. Seleccione el dominio atacado.
  3. En el menú de la izquierda, seleccione GeoIP.
  4. Activar GeoIP personalizada.
  5. Configure GeoIP según sus necesidades (véase más abajo) y guarde.

Normalmente utilizará el bloqueo GeoIP para:

  • Poner el sitio web o la aplicación a disposición de los usuarios sólo en una zona específica. siguiendo estos pasos:
    1. En la sección Configuración de acceso, seleccione el comportamiento Permitir acceso y guarde.
    2. Seleccione la(s) región(es) de destino disponible(s) en el Mapa GeoIP. Se bloqueará el tráfico de las regiones no seleccionadas (en azul).
    3. En la Lista de regiones seleccionadas, haga clic en el botón Guardar regiones seleccionadas.
  • Bloquear el tráfico de países con una gran cantidad o proporción de solicitudes problemáticas desbloqueadas siguiendo estos pasos:
    1. En la sección Configuración de acceso, seleccione el comportamiento Bloquear acceso y guarde.
    2. Seleccione la(s) región(es) de destino disponible(s) en el Mapa GeoIP. Se permitirá el tráfico de las regiones no seleccionadas (azules).
    3. En la Lista de regiones seleccionadas, haga clic en el botón Guardar regiones seleccionadas.
Muestra las restricciones de acceso al Benelux y Alemania, el tráfico desde cualquier otro lugar está bloqueado
Muestra las restricciones de acceso al Benelux y Alemania, el tráfico desde cualquier otro lugar está bloqueado

Para más información sobre GeoIP, consulte el artículo Protección - Filtros, GeoIP, WAF.

Filtrado del tráfico

Los filtros de tráfico disponibles son:

  • IP. Bloquea todas las peticiones procedentes de una dirección IP o rango especificado.
  • ASN. Bloquea todas las solicitudes procedentes de un determinado ASN (Número de Sistema Autónomo, que suele identificar a un proveedor de servicios de Internet).
  • URL. Bloquea todo el tráfico a una URL determinada, independientemente de la fuente. Utilícelo si el ataque se dirige a un recurso específico.
  • UserAgent. Bloquea el tráfico basado en cadenas UserAgent.

Para configurar filtros IP, ASN, URL o UserAgent, siga estos pasos:

  1. Inicie sesión en el panel de administración de WEDOS.global ⧉.
  2. Seleccione el dominio atacado.
  3. En el menú de la izquierda, seleccione Filtros.
  4. Active cualquier filtro personalizado que desee utilizar.
  5. Añadir IPs, ASNs y UserAgents problemáticos.
Añadir una dirección sospechosa de ejemplo al filtro IP
Añadir una dirección sospechosa de ejemplo al filtro IP

Para más información sobre Filtros, consulte el artículo Protección - Filtros, GeoIP, WAF.

Filtrado WAF

Si no hay un indicador claro sobre el origen o el objetivo del tráfico malicioso, le aconsejamos que aumente el nivel de paranoia del WAF mientras dure el ataque.

Para cambiar el Nivel de Paranoia de WAF siga estos pasos:

  1. Inicie sesión en el panel de administración de WEDOS.global ⧉.
  2. Seleccione el dominio atacado.
  3. En el menú de la izquierda, seleccione WAF.
  4. Activar WAF personalizado.
  5. En la sección Nivel de Paranoia , selecciona Nivel 2.
Ajuste del nivel de paranoia WAF a 2
Ajuste del nivel de paranoia WAF a 2

Para más información sobre el Web Application Firewall, consulte el artículo Protección - Filtros, GeoIP, WAF.

PREGUNTAS FRECUENTES

¿Por qué las opciones de este artículo no están disponibles para mí?

Las opciones sólo están disponibles para usuarios con el plan de suscripción Experto o superior. Para más información, consulta el artículo Protección - Plan de suscripción.

¿Cuánto suele durar un ataque DDoS?

Este tipo de ataque suele ser bastante costoso, por lo que si no consigue derribar el objetivo en los primeros minutos, los atacantes suelen interrumpirlo y marcharse.

¿Te ha resultado útil?

Gracias por sus comentarios.
Selectores genéricos
Sólo coincidencias exactas
Buscar en el título
Buscar en el contenido
Selectores de tipo de entrada
Artículo TOC
Examinar categorías