A medida que el volumen de datos que existe en Internet crece exponencialmente, los ataques distribuidos de denegación de servicio (DDoS) son cada vez más comunes.

Un ataque DDoS tiene como objetivo hacer que un servidor, servicio o infraestructura no esté disponible. Un ataque puede adoptar diferentes formas. Puede saturar el ancho de banda del servidor para hacerlo inalcanzable, o puede abrumar los recursos del sistema de la máquina, impidiendo que responda al tráfico legítimo.

Durante un ataque DDoS, las solicitudes se envían en grandes cantidades al mismo tiempo desde múltiples puntos de Internet. La intensidad de este «fuego cruzado» hace que el servicio sea inestable y, en ocasiones, no esté disponible.

GRUPOABHOST creó la solución anti-DDoS precisamente para luchar contra estos ataques distribuidos de denegación de servicio. Con todos nuestros servicios, incluimos una solución de migración basada en una tecnología única, que combina tres tecnologías para:

• Analizar paquetes de datos rápidamente en tiempo real
• Desviar el tráfico entrante de su servidor
• Separar las solicitudes no legítimas de otras y dejar pasar el tráfico legítimo

Se puede acceder a los servicios a través de Internet. El tráfico viaja a través de la  columna vertebral  de nuestra red, llega a nuestros centros de datos y luego es procesado por el servidor, que envía respuestas a Internet.

El ataque se lanza desde uno o más sitios web y llega a nuestra  columna vertebral. Gracias a nuestra gran capacidad de ancho de banda, no se satura ningún enlace. El ataque luego llega al servidor, que comienza a procesarlo. Al mismo tiempo, el análisis de tráfico detecta que ha comenzado un ataque DDoS y se activa la mitigación.

La mitigación comienza en unos segundos. Nuestra solución VAC aspira el tráfico entrante del servidor. El hardware del VAC tiene una capacidad total de 4 Tbit / s. Luego, el ataque se bloquea sin ninguna limitación en su volumen o duración, independientemente de la técnica que utilice. El tráfico legítimo no se bloquea y llega al servidor. Este proceso también se denomina auto mitigación y está totalmente gestionado por GRUPOABHOST.

Un ataque DDoS es caro de lanzar, especialmente si resulta ineficaz. Después de cierto tiempo, llegará a su fin. Nuestra solución anti-DDoS se desactiva automáticamente cuando finaliza el ataque y permanece lista para mitigar un nuevo ataque inmediatamente después.

Un ataque se detecta mediante el análisis en tiempo real del netflow enviado por los enrutadores, que analizan 1/2000 del tráfico que pasa por ellos. El VAC analiza los informes y los compara con las características de los ataques DDoS. Si se detecta una similitud, la mitigación se activa automáticamente.

El análisis de características se mide en paquetes por segundo o en bytes en varios protocolos, que incluyen:

• DNS;
• ICMP;
• Fragmentación de IP, nula y privada;
• TCP nulo, RST, SYN, ACK;
• UDP.

La aspiración es una de las principales características que distinguen a la solución anti-DDoS de GRUPOABHOST. Canalizar un ataque DDoS requiere una gran capacidad para soportar la carga. Con su red de 15 Tbit / s, las infraestructuras de GRUPOABHOST pueden absorber un volumen de tráfico muy elevado durante los ataques DDoS. Otra característica específica de GRUPOABHOST VAC es su replicación en 10 centros de datos de tres continentes. El VAC se activa simultáneamente en todos estos centros de datos, para que todas las regiones puedan combinar su poder y absorber el tráfico. Tienen una capacidad combinada de más de 4 Tbit / s.

La mitigación se refiere a los métodos y técnicas implementados para reducir los efectos negativos en un servidor o servicio objetivo de un ataque DDoS. La mitigación consiste en filtrar el tráfico, de modo que solo el tráfico legítimo llegue al servidor.

El VAC, una tecnología diseñada por GRUPOABHOST, realiza varias tareas de filtrado, cada una de las cuales tiene una finalidad específica. El VAC desvía el tráfico para analizarlo y solo permite que el tráfico legítimo llegue al servidor.

El pre-firewall es el primer componente de nuestro sistema VAC. Está totalmente gestionado por GRUPOABHOST y aplica reglas que definen los filtros que dirigen los paquetes de datos a la Red de Cortafuegos. Estas reglas son aplicables a todas las soluciones de GRUPOABHOST. Cuando se lanza un Ataque DDoS, el pre-firewall administra parte del filtrado y envía el resto a la red de firewall, que tiene reglas personalizables. Nuestro pre-firewall se basa en un Arista 7508R, que puede alcanzar una capacidad de comunicación de 28,8 Tbit / s. El aislamiento por VRF luego enruta el tráfico a través de las etapas sucesivas de nuestro sistema.

Este es el segundo componente del VAC. Firewall Network es una solución que limita la exposición a los ataques de la red pública. Se activa automáticamente tan pronto como comienza un Ataque DDoS. Puede configurarlo creando hasta 20 reglas, que filtrarán los paquetes con mayor precisión y se pueden adaptar para adaptarse a la actividad de su servidor. Cada regla es una autorización específica que puede utilizar para optimizar la protección de su servicio. Este cortafuegos se activa automáticamente cada vez que comienza un Ataque DDoS y no puede desactivarlo hasta que termine el ataque.

El hardware Shield y Armor interviene si un ataque es más dirigido y descarga parte del filtrado del procesador del servidor. The Shield interviene si un ataque utiliza una técnica de amplificación (amplificador DNS, amplificador NTP). La armadura es el filtro más avanzado de nuestro VAC e interviene para mitigar los ataques más fuertes.