Protección de DDoS

Los ataques de denegación de servicio distribuidos (DDoS) amenazan a las empresas con tiempos de inactividad que pueden dañar su marca e incluso provocar pérdidas económicas. Con las numerosas redes de robots alimentadas por dispositivos IoT y los servicios DDoS de alquiler, la amenaza de un ataque es mayor que nunca. F5 proporciona protección DDoS que se ajusta a las necesidades de su arquitectura.

¿Se encuentra bajo ataque? Llame al teléfono (866) 329-4253 o al teléfono +1 (206) 272-7969

Ataques de DDoS volumétricos

Volumétricos

Ataques que consumen todo el ancho de banda disponible a través del enlace de red que conecta una aplicación a Internet u otras redes.

Ataques de DDoS de aplicación

Aplicación

Ataques que imitan las solicitudes de aplicaciones legítimas pero que intentan sobrecargar los recursos del servidor web, como la CPU o la memoria.

Ataques de DDoS computacionales

Computacional

Ataques que intentan agotar los recursos de la infraestructura, como las tablas de estado de los cortafuegos, lo que conduce a un fallo o a un rendimiento reducido.

ATAQUES DE DDOS

Explore los diferentes niveles de la aplicación para conocer cómo los diferentes ataques de DDoS se dirigen a cada parte de la aplicación.

Servicios de aplicaciones

Inundación de HTTP

En una inundación de HTTP, el atacante explota solicitudes HTTP GET o POST aparentemente legítimas para atacar a un servidor o una aplicación web. Estos ataques suelen consumir menos ancho de banda que otros, pero se centran en desencadenar un complejo procesamiento del lado del servidor para hacer caer el sitio o la aplicación objetivo. Las inundaciones de HTTP a veces pueden desencadenar respuestas de los servidores web que pueden convertirse en un ataque volumétrico de saturación de distribución.

Slowloris

Slowloris funciona abriendo varias conexiones a un servidor web y enviando solicitudes HTTP, ninguna de las cuales se ha completado. Periódicamente, el atacante envía cabeceras HTTP posteriores para cada solicitud, pero nunca completa la solicitud. En última instancia, el grupo máximo de conexiones simultáneas del servidor de destino se alcanza y se rechazan las conexiones legítimas.

URL pesada

Durante la fase de reconocimiento, un atacante mapeará las URL más caras desde el punto de vista computacional en un sitio o aplicación, también conocidas como URL pesadas. Las URL pesadas incluyen cualquier URL que provoque una mayor carga en el servidor tras su solicitud. La solicitud inicial de HTTP es relativamente pequeña, pero puede tardar mucho tiempo en completarse o producir grandes tamaños de respuesta. Estas solicitudes pueden requerir que el servidor cargue varios archivos grandes o que ejecute consultas de base de datos que requieren muchos recursos.

Ataque del tipo Slow Post

Un atacante comienza enviando una petición HTTP POST legítima a un servidor web, en la que el encabezado especifica el tamaño exacto del cuerpo del mensaje que sigue. Sin embargo, el cuerpo del mensaje se envía a un ritmo extremadamente lento. Debido a que el mensaje es técnicamente correcto y completo, el servidor objetivo intenta seguir todas las reglas especificadas. Si un atacante establece suficientes de estos ataques POST simultáneamente, consume recursos del servidor en la medida en que se deniegan las solicitudes legítimas.

Arrow

Acceso

Ataque de inicio de sesión por fuerza bruta

Un atacante intenta múltiples combinaciones de nombre de usuario y contraseña, a menudo utilizando un diccionario de palabras o contraseñas de uso común, en un intento de obtener acceso no autorizado a una aplicación o sitio web.

Una medida de mitigación común es bloquear temporalmente las cuentas de usuario con múltiples intentos de inicio de sesión fallidos. Sin embargo, esto puede resultar en una denegación de servicio para las cuentas afectadas.

Arrow

TLS

Renegociación de SSL

Este ataque aprovecha una carga de trabajo asimétrica solicitando una conexión segura y renegociándola continuamente. Esto requiere mucha potencia de CPU del servidor y puede ralentizar las conexiones actuales o nuevas, o incluso destruir el servidor.

Inundación de SSL

Los atacantes envían numerosas solicitudes de conexión TLS/SSL sin que el cliente cierre nunca la conexión. Una vez alcanzado el límite de conexiones simultáneas, el punto de terminación TLS detiene el procesamiento del tráfico, incluidas las solicitudes legítimas.

Compresión SSL

Una variante de un ataque de renegociación de SSL, el ataque de compresión intenta continuamente renegociar el acuerdo de conexión, forzando al servidor a descifrar las peticiones “junk”.

Los típicos ataques de renegociación son los acuerdos de SSL multiplexados, que pueden mitigarse desactivando la renegociación en el servidor. Sin embargo, la compresión SSL abre nuevas conexiones TCP para cada solicitud, consumiendo eventualmente E/S.

Arrow

DNS

Inundación de DNS

Los servidores DNS dependen del protocolo UDP para la resolución de nombres, que (a diferencia de las consultas TCP) no tiene conexión. Debido a que no se requiere la confirmación de que se han recibido los paquetes UDP, la suplantación es tarea fácil.

Este ataque de red de robots con secuencias de comandos intenta abrumar los recursos del servidor, afectando en última instancia la capacidad de los servidores DNS para dirigir las solicitudes legítimas. El ataque puede consistir en tráfico UDP válido de múltiples fuentes o datos en paquetes aleatorios. Esto ayuda a este tipo de ataques a evadir técnicas básicas de protección DDoS como el filtrado IP.

Inundación de DNS NXDomain

Es una variante de la inundación de DNS en la que un atacante inunda el servidor DNS con solicitudes de registros inválidos o inexistentes. Entonces, el servidor DNS gasta sus recursos buscando algo que no existe en lugar de dar respuesta a las solicitudes legítimas. El resultado es que la caché del servidor DNS se llena de solicitudes erróneas y los clientes no pueden encontrar los servidores que están buscando.

Amplificación de DNS

La amplificación de DNS es un tipo de ataque reflejo que manipula los servidores de DNScon conexión a Internetvulnerables, haciendo que inunden un recurso de Internet con una afluencia de paquetes UDP de gran tamaño.

Una red de robots controlada por un atacante está programada para enviar consultas DNS pequeñas, pero con un formato especial, a cualquier solucionador de DNS disponible públicamente. Esto provoca una respuesta desproporcionada del solucionador de DNS. Las cabeceras de paquetes también incluyen una dirección IP suplantada, la dirección IP del objetivo de DDoS. Al recibir la consulta, los solucionadores de DNS abiertos proporcionan una respuesta extremadamente amplia al objetivo del ataque, que finalmente consume el ancho de banda del recurso de Internet.

Arrow

Red

Inundación SYN

Cada conversación cliente-servidor comienza con un acuerdo estándar tridireccional. El cliente envíaun paqueteSYN, el servidor responde conun SYN/ACKy se establece la conexión TCP con un cliente final ACK. Enun ataquede inundaciónSYN,el cliente envía un número masivo de solicitudes SYN, y nunca responde a los mensajes SYN/ACK desde el servidor.

Esto deja al servidor con conexiones abiertas esperando las respuestas del cliente. Cada una de estas conexiones semiabiertas se rastrea en la tabla de conexiones TCP, llenando finalmente la tabla y bloqueando intentos de conexión adicionales, legítimos o no.

Amplificación de Memcached

Un ataque de amplificación es un tipo de ataque de reflexión que aprovecha la capacidad de enviar pequeños paquetes falsificados a servicios que, como parte de su funcionamiento normal, responderán al objetivo con una respuesta mucho mayor.

Memcached es un sistema de almacenamiento en caché de bases de datos para acelerar sitios web y redes. Los atacantes pueden falsificar las solicitudes a un servidor de Memcached vulnerable que se encuentra en Internet, el cual inunda de tráfico un objetivo, lo que potencialmente abruma sus recursos. Mientras la infraestructura del objetivo está sobrecargada, no se pueden procesar nuevas solicitudes y el tráfico normal no puede acceder a los recursos de Internet, lo que da como resultado una denegación del servicio.

Otros tipos de ataques de amplificación incluyen NTP, SSDP, SNMPv2, CharGEN, QOTD, y más.

Inundación UDP

UDP es un protocolo de comunicación estándar a través de redes IP. Debido a que los paquetes UDP no tienen estado, requieren menos comprobación y validación de errores que TCP. Un ataque de inundación UDP intenta sobrecargar un servidor con solicitudes saturando las tablas de conexiones en cada puerto de servidor accesible.

Rellenar la tabla de conexiones con estas solicitudes evita que se procesen las solicitudes legítimas.

Fragmentación de IP

La fragmentación IP es un proceso establecido por el diseño del protocolo IP que rompe los paquetes o datagramas en fragmentos más pequeños, para que puedan pasar a través de enlaces de red que tienen un límite de unidad máxima de transmisión (MTU) más pequeño. El host o los dispositivos de seguridad de estado que reciben los fragmentos los vuelven a ensamblar en el datagrama original. La cabecera IP de los paquetes o datagramas le indica al receptor cómo volver a ensamblar el datagrama.

Estos ataques vienen en varias formas, pero todas las variaciones intentan utilizar la fragmentación para abrumar al servidor o nodo de red de destino.

Arrow

¿QUÉ DEFENSA ES LA APROPIADA?

Al considerar qué modelo de protección es el mejor para su negocio,pienseen la facilidad de implementación dependiendo del lugar donde están alojadas sus aplicaciones: en la nube, en las instalaciones o en una combinación de ambas.Además,tenga en cuenta el número de expertos internos y el nivel de gestión práctica que prefiera. Su solución puede evolucionar con el tiempo a medida que cambian las necesidades de protección de la infraestructura de aplicaciones.

En las instalaciones

EN LAS INSTALACIONES

Se mantiene el control directo de la mitigación de DDoS mediante dispositivos propios y operados, pero se sigue siendo vulnerable a los grandes ataques que abruman la capacidad de ancho de banda.

en la nube

EN LA NUBE

Todo el tráfico fluye a través de F5 Silverline con supervisión experta 24x7 y mitigación de ataques.

defensa híbrida

HÍBRIDA

Mantenga el control de los tiempos y las técnicas de mitigación, pero disponga de ayuda automatizada bajo demanda de F5 Silverline para los grandes ataques que consumen ancho de banda.

Elija el modelo adecuado

Una guía para la protección de DDoS

Soluciones de DDoS

F5 proporciona soluciones flexibles y fáciles de implementar que permiten una respuesta rápida, sin importar el tipo de ataque de DDoS al que se encuentre sometido.

Ver opciones de compra

PROTEGER LA INFRAESTRUCTURA DE APLICACIONES

Proteja la red, el DNS y el TLS

Su red, DNS y TLS no suelen considerarse parte de una aplicación. Pero los ataques de DoS o DDoS contra estos niveles pueden hacer que sus redes, aplicaciones u otra infraestructura de soporte sean inaccesibles. Nuestras soluciones de protección de DDoS aseguran que los ataques contra estos niveles no suponen deterioro alguno para el rendimiento o el tiempo de inactividad.

PRODUCTOS DE PROTECCIÓN DE DDOS

Productos de protección de DDoS

La suite de productos DDoS de F5 ofrece una protección completa y se adapta fácilmente al entorno que mejor le conviene a su organización.

DDoS Hybrid Defender (DHD) >

Una solución de hardware que protege contra ataques de red combinados y sofisticados ataques de aplicaciones, a la vez que permite el descifrado completo de SSL, capacidades antirrobots y métodos avanzados de detección, todo en un solo dispositivo. DDoS Hybrid Defender también proporciona una opción para la señalización automatizada de subida para eliminar el tráfico malo antes de que llegue a su centro de datos.

Silverline DDoS Protection >

Silverline DDoS Protection es un servicio de protección totalmente gestionado y basado en la nube que detecta y mitiga los ataques a gran escala, SSL/TLS o dirigidos a aplicaciones en tiempo real.

GESTIÓN DE SU SOLUCIÓN

Gestión de su solución

F5 ofrece varias opciones para gestionar su solución de DDoS. Varios factores, como dónde está alojada la aplicación y el número de expertos técnicos internos que tiene, pueden ayudarle a decidir qué es lo correcto para su organización.

TOTALMENTE GESTIONADO

Un servicio de limpieza basado en la nube, gestionado por expertos en DDoS de F5. Este servicio detecta y mitiga los ataques a gran escala dirigidos a las capas 3-7, devolviendo el tráfico limpio a su sitio o aplicación.

AUTOGESTIONADO

Un dispositivo para su centro de datos local o colocado que le proporciona control directo sobre la mitigación de ataques de DDoS. Impleméntelo como una solución híbrida y aproveche nuestro servicio de depuración basado en la nube para los ataques volumétricos que saturan el ancho de banda.

IMPLEMENTACIÓN DE SU SOLUCIÓN

Implementación de su solución

Las soluciones de DDoS de F5 están disponibles en varias opciones de implementación, por lo que no se requieren cambios en la arquitectura para mitigar los ataques de DDoS.

¿Necesita ayuda para implementar su solución de F5?

Póngase en contacto con F5: 1-888-882-7535

BASADO EN LA NUBE: SIEMPRE ACTIVO

Un servicio gestionado que procesa continuamente todo el tráfico a través de los servicios de limpieza de nube Silverline, devolviendo sólo el tráfico limpio a su sitio o aplicación.

BASADO EN LA NUBE: A DEMANDA

Un servicio gestionado basado en la nube que está preconfigurado para sus sistemas y se ejecuta en modo de espera. La mitigación puede iniciarse cuando se encuentra bajo ataque.

LOCAL: EN LÍNEA

Implemente su dispositivo de mitigación de DDoS local en línea para todo el tráfico, de modo que esté posicionado para analizar inmediatamente el tráfico anómalo y bloquearlo si es necesario.

LOCAL: FUERA DE RUTA

Implemente su dispositivo de mitigación de DDoS fuera de la ruta del tráfico para asegurarse de que el tráfico pasa por el menor número de dispositivos posible. Cuando se reconoce un ataque, su dispositivo indica a su enrutador que desvíe el tráfico a través del dispositivo de mitigación de DDoS y así evitar cualquier degradación del servicio. A medida que el ataque disminuye, el flujo de tráfico volverá a su ruta normal.

HÍBRIDO

Añada nuestro servicio de limpieza de nube a su implementación local para hacer frente a los ataques volumétricos que saturan el ancho de banda. La solución local indica automáticamente a nuestro servicio de depuración totalmente gestionado, bajo demanda y basado en la nube, que se encargue de la mitigación.

CÓMO COMPRAR

Cómo comprar

SUSCRIPCIÓN

Especifique el número de instancias que necesita y regístrese por un plazo de 1, 2 ó 3 años que incluye mantenimiento y soporte para actualizaciones.

PERPETUA

Determine el número de instancias que necesita y establezca un acuerdo de licencia. Las licencias perpetuas se extienden durante toda la vida útil del producto y están disponibles por servicio individual o en paquetes.

ACUERDO DE LICENCIA DE EMPRESA (ELA)

Disponibles en plazos de 1, 2 o 3 años, los ELA ofrecen flexibilidad para que las grandes organizaciones puedan hacer girar las instancias virtuales hacia arriba o hacia abajo según sea necesario. El mantenimiento y soporte del producto están incluidos.

PROTEGER LAS APLICACIONES

Los ataques de capa 7 son mucho más comunes en el panorama actual de amenazas. Los atacantes están utilizando cada vez más ataques lentos y de baja intensidad cuyo objetivo es a la potencia computación de una aplicación para degradar el rendimiento o hacer caer una aplicación. Estos ataques evitan la detección a nivel de red y a menudo son exclusivos de una aplicación en particular.

PRODUCTOS DE PROTECCIÓN DE DDOS

Productos de protección de DDoS

La suite de productos DDoS de F5 ofrece una protección completa y se adapta fácilmente al entorno que mejor le conviene a su organización.

DDoS Hybrid Defender (DHD) >

Una solución de hardware que protege contra ataques de red combinados y sofisticados ataques de aplicaciones, a la vez que permite el descifrado completo de SSL, capacidades antirrobots y métodos avanzados de detección, todo en un solo dispositivo. DDoS Hybrid Defender también proporciona una opción para la señalización automatizada de subida para eliminar el tráfico malo antes de que llegue a su centro de datos.

Silverline DDoS Protection >

Silverline DDoS Protection es un servicio de protección totalmente gestionado y basado en la nube que detecta y mitiga los ataques a gran escala, SSL/TLS o dirigidos a aplicaciones en tiempo real.

GESTIÓN DE SU SOLUCIÓN

Gestión de su solución

F5 ofrece varias opciones para gestionar su solución de DDoS. Varios factores, como dónde está alojada la aplicación y el número de expertos técnicos internos que tiene, pueden ayudarle a decidir qué es lo correcto para su organización.

SERVICIO GESTIONADO BASADO EN LA NUBE

Un servicio de limpieza basado en la nube, gestionado por expertos en DDoS de F5. Este servicio detecta y mitiga los ataques a gran escala dirigidos a las capas 3-7, devolviendo el tráfico limpio a su sitio o aplicación.

HARDWARE LOCAL

Un dispositivo para su centro de datos local o colocado que le proporciona control directo sobre la mitigación de ataques de DDoS.

HÍBRIDO

Un dispositivo local que le da control sobre la mitigación de ataques de DDoS. Para los ataques volumétricos que saturan el ancho de banda y que no se pueden manejar mediante una solución local, el dispositivo señala automáticamente a nuestro servicio de depuración basado en la nube y totalmente gestionado.

IMPLEMENTACIÓN DE SU SOLUCIÓN

Implementación de su solución

Las soluciones de DDoS de F5 están disponibles en varias opciones de implementación, por lo que no se requieren cambios en la arquitectura para mitigar los ataques de DDoS.

¿Necesita ayuda para implementar su solución de F5?

Póngase en contacto con F5: 1-888-882-7535

BASADO EN LA NUBE: SIEMPRE ACTIVO

Un servicio gestionado basado en la nube que procesa continuamente todo el tráfico a través de los servicios de limpieza de nube Silverline, devolviendo sólo el tráfico limpio a su sitio o aplicación.

BASADO EN LA NUBE: SIEMPRE DISPONIBLE

Un servicio gestionado basado en la nube que está preconfigurado para sus sistemas y se ejecuta en modo de espera. La mitigación puede iniciarse cuando se encuentra bajo ataque.

LOCAL: EN LÍNEA

Implemente su dispositivo de mitigación de DDoS local en línea para todo el tráfico, de modo que esté posicionado para analizar inmediatamente el tráfico anómalo y bloquearlo si es necesario.

LOCAL: FUERA DE RUTA

Implemente su dispositivo de mitigación DDoS fuera de larutadel tráfico para asegurarse de que el tráfico pasa por el menor número de dispositivos posible. Cuando se reconoce un ataque, su dispositivo indica a su enrutador que desvíe el tráfico a través del dispositivo de mitigación de DDoS y así evitar cualquier degradación del servicio. A medida que el ataque disminuye, el flujo de tráfico volverá a su ruta normal.

CÓMO COMPRAR

Cómo comprar

SUSCRIPCIÓN

Especifique el número de instancias que necesita y regístrese por un plazo de 1, 2 ó 3 años que incluye mantenimiento y soporte para actualizaciones.

PERPETUA

Determine el número de instancias que necesita y establezca un acuerdo de licencia. Las licencias perpetuas se extienden durante toda la vida útil del producto y están disponibles por servicio individual o en paquetes.

ACUERDO DE LICENCIA DE EMPRESA (ELA)

Disponibles en plazos de 1, 2 o 3 años, los ELA ofrecen flexibilidad para que las grandes organizaciones puedan hacer girar las instancias virtuales hacia arriba o hacia abajo según sea necesario. El mantenimiento y soporte del producto están incluidos.

Contenido relacionado

Proteja sus aplicaciones

Informe sobre la protección de las aplicaciones de 2018

Esté preparado

Diez pasos para combatir los ataques de DDoS en tiempo real

Preparar el GDPR

Cómo reforzar su programa de seguridad

HISTORIA DE CLIENTE

LA UNIVERSIDAD DE HANSUNG MEJORA LA POSICIÓN DE SEGURIDAD Y CONSOLIDA LOS EQUIPOS DE RED CON F5

Comenzar

Productos de seguridad

Conozca nuestra sólida cartera de productos para sus necesidades de seguridad de aplicaciones.

Pruébelo antes de comprar

Obtenga una prueba gratuita de 90 días.

Inteligencia de amenazas en aplicaciones

Inteligencia de amenazas de aplicaciones procesable que analiza quién, qué, cuándo, por qué, cómo y qué es lo siguiente en ataques cibernéticos.