Blog

Detección de ataques DDoS usando NetFlow Analyzer

 • Categorías: Monitoreo, , Todos,

Una denegación del servicio distribuida (Distributed Denial of Service - DDoS) es básicamente una inundación de tráfico ilegítimo que se envía a un recurso de red de una dirección IP o un grupo de direcciones IP, haciendo que el recurso de red no esté disponible. Un ataque DDoS es una amenaza seria a la seguridad frente a todo tipo de redes, desde la red más simple de la empresa hasta la red corporativa más compleja. Afortunadamente, NetFlow Analyzer puede ayudarle a detectar ataques DDoS y mitigar el daño que de otro modo podrían causar.

Los ataques DDoS se aprovechan del handshake de tres vías que se lleva a cabo para cada conexión establecida mediante el protocolo TCP. No es sorprendente que los hackers han encontrado una serie de maneras de anular el handshake de tres vías.

En un ataque DDoS (también conocido como inundación), los atacantes alteran la secuencia del handshake de tres vías, ya sea por no responder al SYN-ACK del servidor o mediante el envío de un paquete SYN continuamente desde una IP no existente (IP simulada).

En el handshake de tres vías, el servidor que responde mantiene una cola para enviar los SYN-ACKs. Durante el ataque, el cliente no responde al SYN-ACK enviado desde el servidor para que el servidor se tomado como no disponible. El servidor mantiene una cola de SYN-ACK para todos los paquetes SYN recibidos de la dirección de IP falsa. En un cierto tiempo, la cola se desborda y el servidor se torna no disponible.

Hay varios tipos de ataques DoS, como el ataque Network Time Protocol (NTP) DDoS, inundaciones ICMP, teardrop, peer-to-peer, slow read, y reflected/spoofed.

Uno de nuestros estimados clientes es James Braunegg de Micron21. James ha hecho un gran trabajo de investigación sobre los ataques DDoS, y ha escrito y publicado muchos blogs en su página web donde detalla sus hallazgos, incluyendo la manera de identificar y mitigar un ataque DDoS. Y, cabe señalar, James usa ManageEngine NetFlow Analyzer para identificar y mitigar las anomalías en la red de sus centros de datos, y conseguir que funcione de manera eficiente con alta disponibilidad.

Para darle una idea de la experiencia de James, él cuenta con un postgrado de maestría de la Universidad de Monash (MBMS) y se unió a Micron21 en 2004 para establecer las operaciones técnicas de la compañía. Los antecedentes de James implican la dirección de una compañía de hardware de TI muy exitosa durante los últimos 20 años, junto con el apoyo a las redes corporativas y soluciones de software desarrolladas a medida del usuario final, enfocándose en el soporte personalizado al cliente. Su enfoque principal en Micron21 es la gestión del centro de datos y su infraestructura de apoyo.

En un episodio reciente, James utilizó NetFlow Analyzer para analizar los picos anormales en el tráfico del centro de datos (ver imagen abajo). Mediante el uso de alertas de NetFlow Analyzer, fue capaz de identificar las anomalías y mitigar el ataque DDoS fácilmente.

Al ser un especialista en la gestión de centros de datos, el trabajo de James es asegurar una alta disponibilidad a los clientes de Micron21. Usando NetFlow Analyzer, pudo identificar un ataque NTP DDoS en otro cliente.

James también ha documentado su experiencia sobre el uso de NetFlow Analyzer, análisis de seguridad y detección de anomalías. Puede descargar el estudio de caso aquí.

 

Referencias:

https://blogs.manageengine.com/network/netflowanalyzer/2014/04/02/ddos-attack-detection-using-netflow-analyzer.html

 

Publicado May 16, 2016