Seidor
Contacto
  • Talento
  • Home >
  • Com reduir el risc davant atacs DDoS a AWS
AWS

20 de març de 2024

Com reduir el risc davant atacs DDoS a AWS

El passat 10 de novembre de 2016, va ocórrer un ciberatac a gran escala. Consistia en múltiples denegacions de servei sobre un conegut proveïdor de DNS (Dyn). Aquest atac va deixar inaccessibles els serveis d'internet a usuaris de tot el món i empreses conegudes com Twitter, eBay i Spotify. L'atac es va dur a terme mitjançant una botnet que abastava des d'impressores a internet, fins a neveres intel·ligents, incloent-hi monitors de nadons.

Cybersecurity

Què és un atac de denegació de servei?

Els atacs de denegació de servei (DoS) i denegació de servei distribuït (DDoS) són intents maliciosos d'interrompre les operacions normals del servidor, servei o xarxa atacada, sobrecarregant amb una inundació de tràfic d'Internet.

Quant pot durar un atac d'aquest tipus?

La durada d'un atac DDoS varia. Segons un informe de Radware, el 33% d'aquestes irrupcions duren una hora, el 60% duren menys d'un dia complet i el 15% duren fins a un mes. Un atac d'aquest tipus té com a objectiu inhabilitar un servidor, un servei o una infraestructura. Durant un atac DDoS, s'envien simultàniament múltiples sol·licituds des de diferents punts de la xarxa. La intensitat d'aquest «foc creuat» compromet l'estabilitat, i, en ocasions, la disponibilitat del servei.

Com gestionar els atacs DDoS?

Escalat – AWS ofereix Route 53, el qual està allotjat en múltiples ubicacions situades en extrems del globus, creant una superfície global capaç d'absorbir grans quantitats de trànsit DNS. Amazon CloudFront i AWS Web Application Firewall també són capaços de gestionar grans quantitats de trànsit.

Tolerància a fallades – Cada localització té moltes connexions a internet. Això permet la multiplicitat de rutes aïllant així les fallades. Route 53 utilitza «shuffle sharding» i «anycast striping» per incrementar la disponibilitat. Amb el shuffle sharding, cada DNS en la teva delegació correspon a un únic conjunt d'ubicacions. Això augmenta la tolerància a fallades i minimitza la superposició entre consumidors d'AWS. Si un servidor no està disponible, el sistema client redirigirà la resposta a un altre servidor en una altra ubicació. Amb anycast striping es dirigeixen les peticions als DNS amb millor ubicació. Això separa la càrrega i redueix la latència DNS.

Mitigació – AWS Shield Standard ens protegeix contra el 96% dels atacs habituals. Això inclou «SYN / ACK floods» i «HTTP Slow read». El servei estàndard ve incorporat de manera automàtica i transparent en els balancejadors de càrrega, distribucions CloudFront, AWS WAF i Route 53 sense cap cost extra. AWS Shield Advanced inclou protecció addicional per mitigar atacs DDoS, un accés 24×7 a un equip responsable dels DDoS i mètriques i informes a temps real.

En conclusió

Els atacs de denegació de servei poden afectar qualsevol tipus d'empresa, però les conseqüències variaran molt depenent de les mesures de prevenció que s'hagin pres per cadascuna. Si aquestes són correctes, les conseqüències de l'atac seran imperceptibles, però en canvi si les mesures de prevenció són poques o gairebé nul·les el lloc web pot quedar inoperatiu durant tot el temps que duri l'atac.

I per últim, aquest tipus d'atacs en moltes ocasions tenen el seu origen en sistemes desactualitzats, ja que aquests són en essència més vulnerables.