¿Una web va a estar siempre disponible?¿Es 100% seguro tener una web en Internet? Quizás este articulo os ayude a conocer mejor su problemática…
Cuando tenemos un negocio a pie de calle debemos contratar un seguro de robo por si entran cuando no estamos y deciden robarnos el material e incluso un desaprensivo podría intentar quemar el local para impedirnos abrir al día siguiente.
Y entonces pensamos que tener un negocio en Internet es más seguro que tener un local físico y en la práctica existen otras formas de producir efectos similares: Impedir la disponibilidad de nuestro proyecto web online con un ataque.
Y uno de los ataques más conocidos son los de denegación de servicio (o DOS) que pueden bloquear que nuestra web no funcione pero incluso que no podamos ponerla en marcha: En AGENCIA LA NAVE nos enfrentamos día a día a estos problemas al tener más de 200 servidores bajo nuestro control con más de 1000 webs repartidas en los servidores.
Los ataques DDOS son realizados por una o varias personas que desde varias IPS, servidores hackeados, y mediante muchos ordenadores en varios sitios remotos hacen imposible distinguir el “tráfico humano y correcto” del de “los atacantes” un uso exagerado de los recursos de las maquinas.
A veces el ataque no pretende solo producir una caída en la red por no tener la maquina recursos para atender más peticiones sino que gastan el tope de “sockets” que permite gestionar un servidor hasta que ya no puede responder a ninguna petición (incluso aunque no se estén usando recursos de maquinas).
A modo de ejemplo, una vez sufrimos un ataque de DDOS sobre la IP de una de nuestras maquinas en la red: Mediante “cat /proc/sys/net/netfilter/nf_conntrack_max” pudimos obtener el tope configurado y al ver el valor del total actual de conexiones mediante el comando “cat /proc/sys/net/netfilter/nf_conntrack_count” pudimos ver que no paraba de crecer hasta que dejo de responder cualquier conexión al servidor.” Basto con quitar esa IP del servidor para repeler el ataque. (los servidores pueden tener varias IPS por suerte). (cambiamos la IP del dominio y solucionado, al cabo de dos días recuperamos la IP y ya no había ataque…)
¿Existen varios tipos de ataques DoS (Denial ofService)? Por supuesto pero todos ellos intentan aprovecharse de vulnerabilidades del protocolo TCP/IP, saturando los puertos con flujo de información, haciendo que el servidor se sobrecargue y no pueda seguir prestando servicios; un ataque que se complica y se convierte en DDoS (Distributed Denial of Service) cuando se lleva a cabo generando un gran flujo de información desde varios puntos de conexión.
El ICMP flood es uno de los DoS más habituales: Básicamente un servidor que no tenga un cortafuegos adecuado responde mediante el protocolo de red a un paquete que le llega de tipo ICMP con una petición de ECHO, y responde con un paquete de vuelta de tipo “Estoy aquí”. Es lo que permite funcionar el comando “PING”. Pero claro un mal uso del protocolo es que se repite el contenido y normalmente suele ser de tamaño pequeño pero el atacante podría usar un paquete grande y enviar de forma continuada un número elevado de paquetes ICMP para que se llegue al limite de ancho de banda disponible por el servidor. (Limite: Su propia tarjeta de red 100MBit/seg, 1GBit/seg… etc)
Este ataque puede ser aún más grave y pasarse a denominarse ataque SMURF cuando existe un intermediario que se encarga de intensificar la acción de paquetes ICMP y solicitan a todos los equipos de la red responder al paquete (enviando a la IP broadcast) : Ya no responde una única maquina sino varias al mismo tiempo lo que consume aún más el ancho de banda.
En el protocolo de Internet TCP/IP se pueden enviar paquetes que circulan por la red por TCP o por UDP y la diferencia es que la conexión no se mantiene en sí: Con UDP, se envía el paquete y se espera respuesta a posteriorí, no se mantiene conectado. Por ello se puede también hacer un ataque por UDP Flood enviando miles de paquetes en este formato suplantando la IP (IP spoofing attack).
El protocolo de Internet utiliza una serie de banderas (flags) o indicadores que permiten definir el estado de las conexiones entre una maquina u otra y no han pensado que podrían ser manipuladas dichas cabeceras para crear un daño: Se trata de un ataque común en denegación de servicio, Inúndación SYN o SYN FLOOD).
En el SYN FLOOD, el atacante envía un flujo de paquetes TCP/SYN (varias peticiones con Flags SYN en la cabecera), muchas veces con la dirección de origen falsificada, haciendo creer al servidor que se trata de varias conexiones desde lugares diferentes, y causando que el servidor intente establecer una conexión al responder con un paquete TCP/SYN-ACK y esperando el paquete de respuesta TCP/ACK (Parte del proceso de establecimiento de conexión TCP de 3 vías) creando un bloqueo debido a que la dirección de origen es falsa o la dirección IP real no ha solicitado la conexión, nunca llega la respuesta y consumiendo recursos que reducen la disponibilidad del servidor para responder peticiones legítimas de conexión.
Muchos gobiernos pretenden penar de forma dura este tipo de ataques que aunque no consiguen modificar el contenido de las webs, si que impiden el acceso a los clientes reales y su solución es bastante complicada: Contar con expertos que sepan en qué consiste y apliquen ideas para filtrar el ataque es fundamental:
- Filtrar el ataque según los países desde dónde se ataca es fundamental para evitar la indisponibilidad de una web.
- Utilizar un CDN puede ayudar a aumentar la disponibilidad de la web.
- Poder cambiar de IP de forma eficiente es fundamental para una web.
- Utilizar un buen cortafuegos con políticas de seguridad es esencial y puede ayudar a resolver el ataque.
En AGENCIA LA NAVE no solo tendrá el mejor hospedaje para su negocio sino que le apoyaremos en todos los problemas que puedan surgir de forma clara y eficiente. Consúltenos sin compromiso.