Tipos de ataques que mitiga Azure DDoS Protection
Azure DDoS Protection puede mitigar los tipos de ataque siguientes:
Ataques volumétricos: estos ataques desbordan la capa de la red con una gran cantidad de tráfico aparentemente legítimo. Incluyen ataques de tipo "flood" de UDP, de amplificación y otros ataques de tipo "flood" de paquetes falsificados. DDoS Protection mitiga estos posibles ataques de varios gigabytes, ya que los absorbe y los limpia automáticamente aprovechando la escala de red global de Azure. Los tipos de ataque comunes se enumeran en la siguiente tabla.
Tipo de ataque Descripción Desbordamiento de Protocolo de mensajes de control de Internet (ICMP) Sobrecarga al destino con paquetes de solicitud de eco de ICMP (ping), causando interrupciones. Fragmentación de IP o ICMP Aprovecha la fragmentación de paquetes IP para sobrecargar al destino con paquetes fragmentados. Desbordamiento de IPsec Desborda el destino con paquetes IPsec, lo que sobrecarga la capacidad de procesamiento. Desbordamiento de UDP Envía un gran número de paquetes UDP a puertos aleatorios, lo que provoca el agotamiento de recursos. Ataque de amplificación por reflexión Usa un servidor de terceros para ampliar el tráfico de ataque hacia el destino. Ataques a protocolos: estos ataques representan un destino inaccesible al aprovechar una vulnerabilidad en la pila de protocolo en los niveles 3 y 4. Incluyen ataques de tipo "flood" de congestión del servidor de SYN, ataques de reflejo y otros ataques de protocolo. DDoS Protection mitiga estos ataques al diferenciar entre el tráfico malintencionado y el legítimo. Para ello, interactúa con el cliente y bloquea el tráfico malintencionado. Los tipos de ataque comunes se enumeran en la siguiente tabla.
Tipo de ataque Descripción Desbordamiento de SYN Aprovecha el proceso de protocolo de enlace TCP para sobrecargar el destino con solicitudes de conexión. Ataque de paquetes fragmentados Envía paquetes fragmentados al destino, lo que provoca el agotamiento de recursos durante el reensamblaje. Ping de muerte Envía paquetes con formato incorrecto o sobredimensionados para bloquear o desestabilizar el sistema de destino. Ataque de pitufo Usa solicitudes de eco ICMP para desbordar el destino con tráfico explotando los dispositivos de red. Ataques de nivel de recurso (aplicación) : estos ataques van dirigidos a paquetes de aplicaciones web y su objetivo es interrumpir la transmisión de datos entre hosts. Incluyen las infracciones de protocolo HTTP, inyección de código SQL, scripts de sitios y otros ataques de nivel 7. Use un firewall de aplicaciones web, por ejemplo el firewall de aplicaciones web de Azure Application Gateway y DDoS Protection, para la defensa frente a estos ataques. También existen ofertas de firewall de aplicaciones web de terceros disponibles en Azure Marketplace. Los tipos de ataques comunes se enumeran en la siguiente tabla.
Tipo de ataque Descripción Secuestro de BGP Implica tomar el control de un grupo de direcciones IP dañando las tablas de enrutamiento de Internet. Slowloris Mantiene abiertas muchas conexiones al servidor web de destino y las mantiene abiertas siempre que sea posible. Publicación lenta Envía encabezados HTTP POST que están incompletos, haciendo que el servidor espere por el resto de los datos. Lectura lenta Lee las respuestas del servidor lentamente, lo que hace que el servidor mantenga abierta la conexión. Desbordamiento de HTTP(/s) Inunda el destino con solicitudes HTTP, lo que sobrecarga la capacidad del servidor para responder. Ataque bajo y lento Usa algunas conexiones para enviar o solicitar datos lentamente, evadiendo la detección. Carga grande de POST Envía cargas grandes en solicitudes HTTP POST para agotar los recursos del servidor.