Mitigación DDoS

Técnicas de mitigación frente a los principales ataques en internet

Los ciberdelincuentes que lanzan los ataques por denegación de servicio distribuidos utilizan diferentes vectores, siendo la distribución de los dispositivos de ataque uno de los más conocidos. Para ello, los atacantes utilizan botnets o red de bots de todo el mundo, es decir, un gran número de ordenadores y otros dispositivos como cámaras, objetos conectados (IoT) o DRV. Este tipo de ataques puede saturar toda la infraestructura incluso antes de llegar al servidor de destino, haciendo que la situación sea imposible de controlar en único punto de destino o por un único usuario. Para combatir los ataques DDoS, OVHcloud combina su presencia mundial con el sobreaprovisionamiento de su capacidad de red, una lógica de detección distribuida y dispositivos de filtrado de alto rendimiento. Basándose en su experiencia y utilizando la última tecnología, OVHcloud le ofrece un sistema con el que podrá centrarse en lo realmente importante sin tener que preocuparse por los ataques de red.

Más información
Anti-DDOS_Mitigation

Antes de mitigar

Created with Sketch.
Análisis y detección

Los ataques a la red pueden detectarse mediante un análisis en tiempo real de los datos enviados por los routers con protocolos como NetFlow o sFlow, entre otros. Si se detecta tráfico sospechoso, los mecanismos de enrutamiento internos redirigen el tráfico a través de varios nodos VAC distribuidos (desde la aspiración o vacuuming) para un análisis más profundo y un filtrado más preciso.

Created with Sketch.
Diagnóstico pormenorizado

Una vez que el tráfico se dirige a nuestros nodos de infraestructura VAC, se realiza un análisis en profundidad de forma simultánea en todos nuestros datacenters, combinando la potencia de procesamiento de todas nuestras regiones (más de 17 Tb/s en 2021). Para garantizar un nivel de calidad óptimo, OVHcloud establece múltiples conexiones de red por región y mantiene su capacidad de red sobreaprovisionada. De este modo, es posible procesar los ataques sin ningún impacto para las actividades legítimas.

Created with Sketch.
Mitigación real

Por último, la mitigación consiste en filtrar el tráfico en diferentes etapas para que solamente el tráfico legítimo llegue al servidor. Esta es la parte más complicada y la que hace el trabajo más difícil. OVHcloud diseña este sistema utilizando la popular tecnología ACL con innovaciones en la arquitectura x86 e implementación del código en dispositivos FPGA ultrarrápidos.

Cómo funciona la mitigación DDoS en OVHcloud

Anti-DDOS_migration

Cuando se recibe una solicitud o un simple paquete de red desde internet, el primer lugar en el que queda registrado es el punto de presencia o PoP, donde la red de OVHcloud se conecta con la de otros proveedores. Para una protección óptima en estos PoP, OVHcloud instala Hardware Client Amplitude Policiers (HCAP), un componente de su sistema anti-DDoS mundial. A continuación, los paquetes se enrutan hacia el interior de nuestro backbone y se entregan en nuestros datacenters.

Los centros de datos de OVHcloud están equipados con un stack de hardware especial de alto rendimiento, que incluye un nodo de mitigación DDoS VAC. Este sistema funciona a nivel local, pero también como parte de un sistema mundial, por lo que puede utilizarse en otras ubicaciones durante los ataques más intensos. Los paquetes pueden ir directamente hacia los racks y servidores del datacenter o someterse a un análisis más profundo y una posterior mitigación por el VAC, en caso de tráfico sospechoso.

Por último, pero no por ello menos importante, en los productos con protección adicional a nivel de la aplicación (como la gama de servidores Bare Metal Game con protección anti-DDoS GAME), existe un sistema de filtrado adicional para un análisis detallado de la aplicación y una mitigación precisa del tráfico en caso de ataque.

HCAP

El componente Hardware Client Amplitude Policer (HCAP) es el primer elemento de esta línea de defensa que protege los servicios de todos los clientes. Permite liberar los nodos VAC del datacenter en caso necesario para conseguir un mayor rendimiento y una mejor distribución de la carga durante el ataque. Este componente también puede limitar la tasa de transferencia.

Anti-DDOS_HCAP
Anti-DDOS_network_firewall

Edge Network Firewall

El primer componente del VAC, el Edge Network Firewall, es una solución que limita la exposición a ataques en la capa de red desde la red pública. Este sistema se activa automáticamente en cuanto comienza un ataque DDoS. Además, es posible configurar hasta 20 reglas de subconjuntos para el cliente que permiten filtrar los paquetes de la forma más precisa y adaptada a la actividad del servidor. Cada regla es una autorización específica que puede utilizarse para optimizar la protección del servicio y proteger el ancho de banda de red dentro de un datacenter. Este firewall se activa automáticamente siempre que comienza un ataque DDoS y permanece activo durante todo el ataque (también es posible configurarlo para que esté activado de forma permanente). Para más información, consulte nuestra guía técnica sobre cómo configurar el firewall de red.

Shield y Armor

Las soluciones de hardware Shield y Armor permiten realizar una detección avanzada de amenazas para evitar la saturación de los recursos (principalmente ciclos de CPU) del servidor. Shield interviene en los ataques que funcionan por amplificación (DNS Amp, NTP Amp), suplantación de IP o vectores de ataque de reflexión. Armor, como último componente de la línea de defensa, es el filtro más avanzado de nuestro sistema VAC y se encarga de mitigar los ataques más avanzados: autenticación handshake TCP/SYN/cookie, detección de dispositivos zombies, mitigación de flujos TCP/UDP/GRE/AH/ESP, entre otros.

Anti-DDOS_shield_armor

¿Empezamos?

Cree una cuenta y lance sus servicios en cuestión de minutos

Empezar ahora

Más información sobre la mitigación

¿En qué consiste la mitigación?

La mitigación hace referencia al proceso de depuración automática: la avanzada tecnología de OVHcloud analiza minuciosamente los paquetes, eliminando el tráfico malicioso (DDoS u otras vulnerabilidades conocidas) y permitiendo el paso al tráfico legítimo.

¿Puedo activar la mitigación permanente?

Por definición, sus servicios están protegidos por la mitigación automática (detección permanente), que se activa en cuestión de segundos al detectar un ataque. Al activar la mitigación permanente, se aplicará de forma constante un primer nivel de filtrado a través de nuestro hardware Shield, así como de las reglas de filtrado definidas en el Edge Network Firewall. La mitigación automática se aplica en todas las fases del VAC. Por motivos de seguridad y de disponibilidad del servicio, solo los servidores de la gama Game pueden tener activado de forma permanente este sistema de análisis de los paquetes (protección anti-DDoS GAME). Si lo desea, puede activar la mitigación permanente en el resto de soluciones de OVHcloud directamente desde su área de cliente.

¿Qué es el VAC?

El VAC, uno de los principales componentes de la infraestructura anti-DDoS de OVHcloud, combina diferentes tecnologías desarrolladas por OVHcloud y especialmente diseñadas para mitigar ataques DDoS. Así pues, este componente permite filtrar el tráfico entrante para que solo los paquetes de datos legítimos puedan pasar y llegar al servidor, mientras que se bloquea el tráfico ilegítimo. El VAC de OVHcloud está compuesto por el Edge Network Firewall y los componentes Shield y Armor.

¿Puedo personalizar el Edge Network Firewall (ENF)?

Sí, es posible crear reglas de filtrado en el área de cliente de OVHcloud o por API para definir reglas de permiso o denegación basadas en protocolos específicos. Estas reglas se aplicarán automáticamente cuando se active el Edge Network Firewall o la mitigación automática. De este modo, podrá trasferir parte del trabajo de las reglas de firewall de su servidor al perímetro de red, protegiendo así el enlace de red frente a una posible saturación. Para más información sobre la configuración del Edge Network Firewall, consulte la siguiente guía: Configurar el firewall de red.

¿Cómo puedo saber si mi servicio es víctima un ataque DDoS?

Si OVHcloud detecta un ataque en sus servicios, le enviaremos un mensaje de correo electrónico informándole. Además, podrá seguir el progreso de la situación y consultar diferentes estadísticas del ataque desde el área de cliente de OVHcloud. Del mismo modo, cuando el ataque termine, volveremos a enviarle un mensaje de correo electrónico. Si cree que sus servicios han sido objeto de un ataque DDoS y que su rendimiento se está viendo afectado, puede ponerse en contacto con nuestro equipo de soporte para un análisis más exhaustivo.