Anti-DDoS

Proteccion Anti-DDoS

Blinde su infraestructura

La cuestión no es saber si necesita protección anti-DDoS, sino cuándo será víctima de su primer ataque DDoS. Zeus Servers se compromete a proteger con usted su proyecto las 24 horas del día contra cualquier tipo de ataque DDoS, sea cual sea su duración y envergadura.

Anti-DDoS Profesional

La mejor proteccion ante ataques DDoS de cualquier magnitud, disfruta de esta proteccion en todos nuestros servicios.

  • Número de ataques /mesNo limitado

  • Límite de GbpsNo limitado

  • Duración de los ataquesNo limitado

  • Tipo de ataqueTodos

  • Detección y automitigación

  • Mitigación multipunto

  • Mitigación permanente

  • Mitigación bidireccional (L3/L4/L7)

  • Red excedentaria17 Tbps

  • Firewall de red


Anti-DDoS GAME

Proteccion Anti-DDoS totalmente personalizada para su servicio incluyendo asistencia y ayuda ante sus necesidades, adaptable a la mayoria de los juegos.
  • Número de ataques /mesNo limitado

  • Límite de GbpsNo limitado

  • Duración de los ataquesNo limitado

  • Tipo de ataqueTodos

  • Detección y automitigación

  • Mitigación multipunto

  • Mitigación permanente (a petición)

  • Mitigación bidireccional (L3/L4/L7)

  • Red excedentaria17 Tbps

  • Firewall de red (a petición)


¿En qué consiste la protección anti-DDoS?

Funcionamiento de un ataque DDoS

Las probabilidades de tener que enfrentarse a un ataque DDoS son muy altas, y los intentos numerosos.

El objetivo de un ataque DDoS es inhabilitar un servidor, un servicio o una infraestructura sobrecargando el ancho de banda del servidor o acaparando sus recursos hasta agotarlos.

Durante un ataque DDoS, se envían multitud de peticiones simultáneamente desde múltiples puntos de la Red. La intensidad de este "fuego cruzado" desestabiliza el servicio o, aún peor, lo inhabilita.



Lo que ofrecemos para proteger sus servicios

Para proteger sus servicios y servidores de los ataques, OVH ofrece una solución de mitigación basada en la tecnología VAC. Se trata de una combinación exclusiva de técnicas destinadas a:

  • Analizar en tiempo real y a alta velocidad todos los paquetes.
  • Aspirar el tráfico entrante de su servidor.
  • Mitigar, es decir, identificar todos los paquetes IP ilegítimos, dejando pasar los paquetes IP legítimos.

Objetivos del ataque y tipos de ataque

Existen tres estrategias que pueden inhabilitar un sitio web, servidor o infraestructura:

  • Ancho de banda: Ataque que consiste en saturar la capacidad de la red del servidor, haciendo que sea imposible llegar a él.
  • Recursos: Ataque que consiste en agotar los recursos del sistema de la máquina, impidiendo que esta pueda responder a las peticiones legítimas.
  • Explotación de fallos de software: Categoría de ataque que explota fallos en el software que inhabilitan el equipo o toman su control.
Nombre del ataque Nivel OSI Tipo de ataque Explicación del ataque
ICMP Echo Request Flood L3 Recursos También denominado Ping Flood. Envío masivo de paquetes (ping), que implican una respuesta por parte de la víctima (pong) con el mismo contenido que el paquete de origen.
IP Packet Fragment Attack L3 Recursos Envío de paquetes IP que remiten voluntariamente a otros paquetes que nunca se envían, saturando así la memoria de la víctima.
SMURF L3 Ancho de banda Ataque por saturación ICMP que usurpa la dirección de origen para redirigir las múltiples respuestas hacia la víctima.
IGMP Flood L3 Recursos Envío masivo de paquetes IGMP (protocolo de gestión de grupos de internet)
Ping of Death L3 Explotación Envío de paquetes ICMP que explotan fallos del sistema operativo
TCP SYN Flood L4 Recursos Envío masivo de solicitudes de conexión TCP
TCP Spoofed SYN Flood L4 Recursos Envío masivo de solicitudes de conexión TCP usurpando la dirección de origen
TCP SYN ACK Reflection Flood L4 Ancho de banda Envío masivo de solicitudes de conexión TCP a un gran número de máquinas, usurpando la dirección de origen por la dirección de la víctima. En ancho de banda de la víctima queda saturada por las respuestas a dichas peticiones.
TCP ACK Flood L4 Recursos Envío masivo de acuses de recibo de segmentos TCP
TCP Fragmented Attack L4 Recursos Envío de segmentos TCP que remiten voluntariamente a otros que nunca se envían, saturando la memoria de la víctima
UDP Flood L4 Ancho de banda Envío masivo de paquetes UDP (sin necesidad de establecer conexión previa)
UDP Fragment Flood L4 Recursos Envío de datagramas que remiten voluntariamente a otros datagramas que nunca se envían, saturando así la memoria de la víctima
Distributed DNS Amplification Attack L7 Ancho de banda Envío masivo de peticiones DNS usurpando la dirección de origen de la víctima hacia un gran número de servidores DNS legítimos. Como la respuesta tiene un mayor volumen que la pregunta, el ataque se amplifica
DNS Flood L7 Recursos Ataque de un servidor DNS mediante el envío masivo de peticiones
HTTP(S) GET/POST Flood L7 Recursos Ataque de un servidor web mediante el envío masivo de peticiones
DDoS DNS L7 Recursos Ataque de un servidor DNS mediante el envío masivo de peticiones desde un gran número de máquinas controladas por el atacante

Gestión de ataques DDoS: fases

Las 4 fases de la gestión de un ataque:


1) El servidor está operativo (antes del ataque)

Los servicios se utilizan sin problema a través de internet. El tráfico pasa por el backbone de nuestra red, llega al centro de datos y es tratado por el servidor que reenvía las respuestas hacia internet.

InternetEl servidorROUTERS
BACKBONE
ROUTERS
DATACENTER


2) Comienzo del ataque DDoS


El ataque es lanzado desde internet y entra en el blackbone. Debido a que el ancho de banda depende del tráfico en un momento dado, el ataque no provoca la saturación de ningún enlace. El ataque lleva al servidor, que empieza a tratar el comienzo del ataque. Al mismo tiempo, el análisis del tráfico permite detectar que se está produciendo un ataque y se activa la mitigación.


InternetEl servidorROUTERS
BACKBONE
ROUTERS
DATACENTER


3) Mitigación del ataque


La mitigación se activa entre 1 y 60 segundos después del comienzo del ataque. El tráfico que llega al servidor es aspirado por los VAC, que tienen una capacidad total de mitigación de más de 3 Tbps y están alojados en 9 datacenters de OVH. El ataque se bloquea sin límite de tiempo, sin límite de tamaño e independientemente del tipo de que se trate. El tráfico legítimo pasa a través del VAC para finalmente llegar al servidor. El servidor responde directamente sin volver a pasar por el VAC. Este proceso se llama automitigación.


InternetEl servidorROUTERS
BACKBONE
ROUTERS
DATACENTER


4) Fin del ataque


Generar un ataque es caro, y más aún cuando es ineficaz. Al cabo de un cierto tiempo, acaba remitiendo. La automitigación se mantiene durante 26 horas desde la finalización del ataque. Esto permite bloquear nuevos ataques que podrían producirse en los siguientes minutos, horas, o al cabo de 24 horas. Pasadas 26 horas, la automitigación se desactiva, aunque sigue preparada para reactivarse en caso de detectar un nuevo ataque.


InternetEl servidorROUTERS
BACKBONE
ROUTERS
DATACENTER


Powered by WHMCompleteSolution