Blog sobre la Gestión de TI

En este blog encontrarás información relevante acerca de temas relacionados con las soluciones de ManageEngine y TI. Es un medio importante para estar actualizado y encontrar respuestas a preguntas frecuentes.
Tamaño de fuente: +

Detección de ataques DDoS usando NetFlow Analyzer

Detección de ataques DDoS usando NetFlow Analyzer

Una denegación del servicio distribuida (Distributed Denial of Service - DDoS) es básicamente una inundación de tráfico ilegítimo que se envía a un recurso de red de una dirección IP o un grupo de direcciones IP, haciendo que el recurso de red no esté disponible. Un ataque DDoS es una amenaza seria a la seguridad frente a todo tipo de redes, desde la red más simple de la empresa hasta la red corporativa más compleja. Afortunadamente, NetFlow Analyzer puede ayudarle a detectar ataques DDoS y mitigar el daño que de otro modo podrían causar.

Los ataques DDoS se aprovechan del handshake de tres vías que se lleva a cabo para cada conexión establecida mediante el protocolo TCP. No es sorprendente que los hackers han encontrado una serie de maneras de anular el handshake de tres vías.

http://blogs.manageengine.com/wp-content/uploads/2014/04/diagram-v-28.gif

En un ataque DDoS (también conocido como inundación), los atacantes alteran la secuencia del handshake de tres vías, ya sea por no responder al SYN-ACK del servidor o mediante el envío de un paquete SYN continuamente desde una IP no existente (IP simulada).

En el handshake de tres vías, el servidor que responde mantiene una cola para enviar los SYN-ACKs. Durante el ataque, el cliente no responde al SYN-ACK enviado desde el servidor para que el servidor se tomado como no disponible. El servidor mantiene una cola de SYN-ACK para todos los paquetes SYN recibidos de la dirección de IP falsa. En un cierto tiempo, la cola se desborda y el servidor se torna no disponible.

 http://blogs.manageengine.com/wp-content/uploads/2014/04/diagram-v-29.gif

 

Hay varios tipos de ataques DoS, como el ataque Network Time Protocol (NTP) DDoS, inundaciones ICMP, teardrop, peer-to-peer, slow read, y reflected/spoofed.

Uno de nuestros estimados clientes es James Braunegg de Micron21. James ha hecho un gran trabajo de investigación sobre los ataques DDoS, y ha escrito y publicado muchos blogs en su página web donde detalla sus hallazgos, incluyendo la manera de identificar y mitigar un ataque DDoS. Y, cabe señalar, James usa ManageEngine NetFlow Analyzer para identificar y mitigar las anomalías en la red de sus centros de datos, y conseguir que funcione de manera eficiente con alta disponibilidad.

Para darle una idea de la experiencia de James, él cuenta con un postgrado de maestría de la Universidad de Monash (MBMS) y se unió a Micron21 en 2004 para establecer las operaciones técnicas de la compañía. Los antecedentes de James implican la dirección de una compañía de hardware de TI muy exitosa durante los últimos 20 años, junto con el apoyo a las redes corporativas y soluciones de software desarrolladas a medida del usuario final, enfocándose en el soporte personalizado al cliente. Su enfoque principal en Micron21 es la gestión del centro de datos y su infraestructura de apoyo.

En un episodio reciente, James utilizó NetFlow Analyzer para analizar los picos anormales en el tráfico del centro de datos (ver imagen abajo). Mediante el uso de alertas de NetFlow Analyzer, fue capaz de identificar las anomalías y mitigar el ataque DDoS fácilmente.

 http://blogs.manageengine.com/wp-content/uploads/2014/04/ASAM-1.jpg

 http://blogs.manageengine.com/wp-content/uploads/2014/04/ASAM-2.jpg

Al ser un especialista en la gestión de centros de datos, el trabajo de James es asegurar una alta disponibilidad a los clientes de Micron21. Usando NetFlow Analyzer, pudo identificar un ataque NTP DDoS en otro cliente.

James también ha documentado su experiencia sobre el uso de NetFlow Analyzer, análisis de seguridad y detección de anomalías. Puede descargar el estudio de caso aquí.

 

Referencias:

https://blogs.manageengine.com/network/netflowanalyzer/2014/04/02/ddos-attack-detection-using-netflow-analyzer.html

 

10 Pasos para lograr una auditoria exitosa en FISM...
Malware – La pesadilla de cada empresa

Artículos relacionados

Suscríbete al Blog