Tecnología

Inicio

Denegación de Servicio de prevención de ataques

April 8

Denegación de Servicio de prevención de ataques


Ataques de denegación de servicio hacen de un recurso informático, como un sitio web, disponible para los usuarios mediante la vinculación de ancho de banda. La mayoría de los ataques de denegación de servicio son ataques DDoS, o, hechos por varios equipos a la vez distribuidos. Los propietarios de estos equipos pueden incluso no ser conscientes de su papel en el ataque; computadoras secuestradas por el malware pueden participar en un ataque de denegación de forma automática. Los ataques DoS violan las políticas de uso aceptable para casi todos los proveedores de Internet y pueden dañar seriamente los recursos de Internet. Los propietarios de sitios pueden utilizar varias técnicas para proteger contra una denegación de servicio.

Los cortafuegos

La mayoría de los cortafuegos pueden prevenir ataques DoS sencillos. Pueden permitir o denegar direcciones IP, puertos o protocolos específicos, pero no pueden distinguir diferentes tipos de tráfico. Eso significa que, si bien un firewall puede impedir que una denegación de servicio en un puerto de poco uso, no se puede hacer nada acerca de un ataque a los puertos importantes, como el puerto 80, que proporciona servicios web, o el puerto 110, que proporciona servicios de correo electrónico POP3 . Si el servidor de seguridad se cierra estos puertos, los usuarios legítimos pierden el acceso al recurso, también. Los cortafuegos proporcionan una manera barata de prevenir los ataques de inundación simples.

Conmutadores y routers

Estas piezas de hardware también ofrecen algunas opciones de prevención de denegación de servicio integradas. Por ejemplo, la mayoría de los conmutadores y enrutadores pueden limitar la velocidad del tráfico y crear una lista de control de acceso, o ACL, que especifica los usuarios que pueden acceder y los procesos que los objetos. Estos controles suelen requerir ajuste manual. Algunos conmutadores proporcionan tasa de limitación automática, puede inspeccionar los paquetes de datos de características sospechosas y puede detectar las direcciones IP falsas, lo que reduce aún más el riesgo de un ataque DoS. Estas piezas de hardware prevenir ataques DoS sencillos, pero a menudo más lento durante el ataque. Muchos ataques complejos abrumar del router y de prevención de cambiar de táctica.

Análisis de paquetes

piezas especializadas de hardware llamado hardware extremo delantero de aplicaciones pueden analizar los paquetes de datos a medida que entran en el sistema y antes de que alcancen el propio servidor. El hardware clasifica los paquetes tan regular, peligrosos o de alta prioridad. Este hardware puede ser costoso y puede ralentizar el sistema. Sistemas de prevención de intrusiones, o IPS, también analizan datos que se mueven a través de la red. Identifican la actividad maliciosa, bloquean la actividad, e informar de ello y crear un registro de los malos datos que se mueven a través de la red. Un IPS puede funcionar mediante la identificación de contenido perjudicial o comportamiento sospechoso. Cada tipo de IPS tiene problemas para identificar y bloquear los ataques de DoS que los otros bloques fácilmente.

Sistemas de defensa

Un sistema de defensa DoS, o DDS, se centra específicamente en el bloqueo de ataques de denegación de servicio. Estos sistemas pueden filtrar los ataques que contengan contenidos legítimos, pero que se comportan con recelo. También pueden bloquear ataques que utilizan tasa de transferencia de datos contra el recurso de Internet y los ataques que utilizan protocolos específicos. Al igual que las técnicas de análisis de paquetes, el DDS requiere un cuidado extra y cuesta más que el uso de servidores de seguridad de hardware y normal, pero también es más eficaz.

Los sumideros

Esta técnica consiste en dirigir el tráfico a una "trampa" en la red. A partir de aquí, el proveedor de servicios puede controlar y analizar el tráfico, el rechazo de datos sospechosos. Una técnica relacionada, "la formación de vacíos negro" dirige todo el tráfico a un lugar que no existe. Este método bloquea el tráfico legítimo, así como los paquetes en el ataque DoS, pero impide que los datos dañados de conseguir a través.