Estoy sufriendo un ataque DDoS, ¿qué hago?

Este documento detalla cómo puedes defender o proteger tu propiedad web rápidamente ante un ataque DDoS (denegación distribuida de servicio). Si estás sufriendo un ataque DDoS o si crees que tu propiedad web va a ser atacada, debes adoptar las siguientes medidas para una protección máxima.

Pasos esenciales

Paso 1: suscríbete a Cloudflare para la mitigación de uso no medido de DDoS
Paso 2: activa el modo I’m Under Attack
Paso 3: activa el WAF (firewall de aplicación web)
Paso 4: configura tus registros DNS para una seguridad máxima
Paso 5: no limites la velocidad ni las solicitudes de las IP de Cloudflare
Paso 6: bloquea países y visitantes concretos, y/o implementa Rate Limiting de Cloudflare

Pasos recomendados una vez que el sitio vuelva a estar en línea

Paso 7: crea una Page Rule
Paso 8: personaliza las páginas de desafío
Paso 9: consulta las direcciones IP de visitante originales en los registros
Paso 10: comprueba el ASN concreto en la sección Firewall
Paso 11: bloquea direcciones IP no deseadas y agentes de usuario maliciosos con el bloqueo de URL  y las reglas de agentes de usuario


Si tu sitio permanece sin conexión o necesita medidas de protección de seguridad adicionales 

Paso 12: solicita a tu proveedor de host una nueva IP de servidor
Paso 13: ejecuta el correo electrónico en un servidor o servicio independiente



Paso 1: suscríbete a Cloudflare para la mitigación de uso no medido de DDoS

Tiempo: 2 minutos. Dificultad: fácil

Mitigación de uso no medido de Cloudflare de la protección DDoS de todos los ataques: Ataques de DNS, ataques de Capa 3/4 y ataques de Capa 7, independientemente del tamaño, tipo o duración del ataque.

Todos los planes de Cloudflare incluyen protección ilimitada frente a ataques DDoS, sin temor a quedar fuera de servicio. Una vez realizado el registro, la protección avanzada de DDoS es automática. Cloudflare no factura en función del tamaño del ataque ni dispone de un límite para los ataques.

¿Acabas de adquirir Cloudflare? Regístrete en línea aquí. Nota: el proceso de registro requiere un cambio en el DNS que en promedio conlleva 15 minutos para la mayoría de clientes, aunque podría tardar hasta 3 días.

Recursos adicionales:


Paso 2: activa el modo I’m Under Attack
Tiempo: 1 minuto. Dificultad: fácil

El modo «I’m Under Attack» permite mitigar los ataques DDoS de Capa 7. El modo I’m Under Attack habilita una protección adicional para detener el tráfico HTTP potencialmente malicioso con el fin de que no pase al servidor. Durante la primera visita, los visitantes legítimos verán brevemente una página intersticial mientras se realizan comprobaciones adicionales:



Ejemplo de página intersticial que los visitantes de su sitio web pueden ver en caso de ataque.

Puede personalizar esta página (consulte el paso 7). Para activar la función, diríjete a la información general de tu dominio y haga clic en «Quick actions» y, a continuación, en I'm Under Attack.




Paso 3: activa el WAF (firewall de aplicación web)
Tiempo: 1 minuto. Dificultad: fácil

El Firewall de Aplicación Web (WAF) de Cloudflare está disponible en todos los planes de pago. El control del WAF se encuentra en la sección Firewall del panel de control de Cloudflare.


 
Más allá del conjunto de reglas fundamentales, Cloudflare ofrece un gran número de paquetes de reglas y normas individuales.

Más información acerca del WAF de Cloudflare


Paso 4: configura tus registros DNS para una seguridad máxima
Tiempo: 10 minutos. Dificultad: media

En la configuración DNS de Cloudflare, puedes optar por activar la seguridad y el funcionamiento de Cloudflare en función de cada uno de los registros. La seguridad se activa cuando la nube es naranja. La seguridad se desactiva si la nube es gris, lo que indica que el atacante puede evadir la seguridad de Cloudflare y atacar a tu servidor web directamente.

A continuación te indicamos cómo configurar tus registros DNS para una protección máxima:

  1. Habilita las funciones de seguridad de Cloudflare (nube naranja) en todos los registros DNS posibles. 
  2. Utiliza tu IP de origen directamente para realizar acciones como FTP y SSH y elimina los registros DNS para FTP/SSH (todos los servicios aparte del correo electrónico que no pueden marcarse con la nube naranja, p. ej., los servicios protegidos).
  3. Elimina todos los registros comodín, a menos que se necesiten, ya que estos dejarán expuesta tu dirección IP de origen (solo el plan Enterprise puede proteger los registros DNS comodín).
  4. Elimine los registros de correo electrónico que dejen expuesta tu dirección IP del servidor de origen.


Marca con la nube naranja todos los registros que reciban tráfico web.
Los protocolos como correo, FTP, SSH y cPanel tienen nubes grises de forma predeterminada. Si habilitas Cloudflare para estos subdominios, los protocolos dejarán de funcionar. No obstante, si aparecen nubes grises, un atacante puede buscar tu IP de servidor de origen si conoce estos subdominios y evadir la solución de seguridad DDoS de Cloudflare. Para solucionar este problema, habilita las nubes naranjas en los subdominios.

Utiliza tu dirección IP para realizar FTP, SSH, etc.
Una vez hayas habilitado las nubes naranjas en todos tus registros DNS, deberás utilizar la dirección IP directa para acceder a determinados protocolos, como correo, FTP, SSH y cPanel. Por ejemplo, en FTP tendrías que utilizar ftp.example.com, o bien ftp://yourserverIP (coloca la dirección IP del servidor).

Nota: si no aparece ninguna nube, no se le puede aplicar un proxy al registro, lo que significa que apunta a otro servicio y que no deberías preocuparte.

Nota: Cloudflare ofrece un servicio de DNS autoritario para sus clientes directos; este paso solo se aplica en el caso de aquellos registros que se delegan a Cloudflare. Si has habilitado Cloudflare a través de un socio de host o configuración de CNAME, tu DNS se controla en otra parte. Si el atacante ataca directamente tu servidor, es posible que debas registrarte a través de Cloudflare y volver a empezar por el paso 1.



Paso 5: no limites la velocidad ni las solicitudes de las IP de Cloudflare
Tiempo: 10 minutos. Dificultad: media

Cloudflare actúa como proxy inverso de forma que todas las conexiones provengan de una de nuestras direcciones IP. Es importante garantizar que tu servidor acepte las conexiones de Cloudflare en todo momento. Los rangos de IP de Cloudflare se incluyen en http://www.cloudflare.com/ipsy dicha página incluye enlaces a archivos de texto simple destinados al análisis automático. Cloudflare añadirá los nuevos rangos a las listas públicas al menos un mes antes de que se empiece a utilizar el nuevo rango, y utilizará una gran cantidad de métodos para divulgar los nuevos rangos que se creen.



Paso 6: bloquea o comprueba países y visitantes específicos, y añada Rate Limiting de Cloudflare

Tiempo: 10 minutos. Dificultad: media

El control de amenazas de Cloudflare te permite bloquear las direcciones IP y definir desafíos en países enteros. Una vez que añadas una IP o un país, la regla de seguridad tendrá efecto en 2 minutos y descargará el tráfico de tu servidor. Para decidir qué país o direcciones IP se van a añadir al firewall de IP, deberás comprobar los archivos de registro o seguir los pasos que se indican a continuación debajo de consejos avanzados. Puedes encontrar el firewall de IP en la sección Firewall del panel de control Cloudflare. Nota: el bloqueo por país solo se encuentra disponible en el plan Enterprise.

Para comprobar los países, diríjase a Firewall > Firewall de IP > Access Rules

Screen_Shot_2018-02-10_at_9.20.59_PM.png

Para bloquear direcciones IP, diríjete a Firewall > Firewall de IP > Access Rules

Screen_Shot_2018-02-10_at_10.38.48_AM.png

Para bloquear un rango de direcciones IP, diríjase a Firewall > Firewall de IP > Access Rules

Screen_Shot_2018-02-10_at_10.40.49_AM.png

 

Asimismo, ofrecemos Rate Limiting para facilitar el control del flujo de solicitudes al servidor. Esto resulta muy útil para asegurarse de que los visitantes (incluso los buenos) no sobrecarguen tu servidor con solicitudes. Puedes encontrar más información sobre Rate Limiting de Cloudflare aquí.

Consejo avanzado: para obtener una lista de los visitantes que acceden a tu sitio en las últimas 48 horas mediante una cantidad de solicitudes, sigue estos pasos. Puedes utilizar la información para identificar las direcciones IP que desees añadir manualmente a tu lista de bloqueo de control de amenazas de Cloudflare.



Si tu propiedad web está en línea, continúa con el paso 7. Si tu propiedad sigue estando desconectada del ataque, continúa con el paso 10.



Paso 7: crea una Page Rule
Tiempo: 10 minutos. Dificultad: media

Si tu sitio vuelve a estar en línea, puedes descargar más tráfico en tu servidor mediante la creación de una Page Rule. Las Page Rules ofrecen un control detallado de las políticas de caché predeterminadas de CDN de Cloudflare. Si es apropiado, crea una Page Rule para las páginas web esenciales y cambie la política de almacenamiento en caché a «Almacenar todo en la memoria caché (Cache Everything)». Esto significa que Cloudflare almacenará en la memoria caché la página completa para los visitantes, lo que ahorrara las solicitudes a tu servidor.

Ejemplo: crea una Page Rule y habilite la opción Almacenar todo en la memoria caché para esta estructura de dominio: *example.com/name-of-a-specific-page. El * abarcará tanto la raíz como cualquier subdominio de tipo www.

Screen_Shot_2018-02-14_at_3.51.20_PM.png

Screen_Shot_2018-02-14_at_3.51.08_PM.png

Nota: crea una Page Rule únicamente cuando el servidor vuelva a estar en línea; de lo contrario, Cloudflare almacenará en la memoria caché un error para todas las solicitudes futuras. Además, deberás asegurarte de que no haya información personalizada en la página, ya que el HTML también se almacena en la memoria caché con la opción Almacenar todo (Cache Everything) en la memoria caché. Si creas una Page Rule y decides eliminarla, los cambios tendrán efecto en 2 minutos. Las Page Rules se aplican según el orden de aparición en la lista.

Avanzado: en el caso de que una página de inicio de sesión o administración se almacenara en la memoria caché, esta se podría servir a un visitante diferente al previsto. Puedes solucionar este problema creando una Page Rule de prioridad más alta con un ajuste de omisión de nivel de caché para la dirección URL de administración o inicio de sesión (p. ej., example.com/admin/*) y dejando activada la Page Rule Almacenar todo (Cache Everything) en la memoria caché en el resto de la página web o carpeta.

Tutorial adicional de Page Rules



Paso 8: personaliza las páginas de desafío
Tiempo: 30 minutos. Dificultad: media

Todos los clientes de pago pueden modificar por completo el HTML de la página de desafío, así como la página del modo I'm Under Attack. La página de desafío aparece para visitantes potencialmente sospechosos que lleguen al umbral de seguridad básico de Cloudflare que hayas configurado. Si el servicio de Cloudflare determina que un visitante de tu sitio web podría ser potencialmente malicioso, le aparecerá una página de «desafío» al visitante solicitándole que introduzca un CAPTCHA. Si el visitante pasa la prueba del CAPTCHA, podrá continuar hacia tu sitio web.

Para personalizar tu página de desafío, ve a la sección de personalización de la interfaz de Cloudflare.

La seguridad funciona tanto si la página se ha personalizado como si no, y resulta de gran utilidad para que la página refleje tu marca y terminología del sitio.



Paso 9: consulta las direcciones IP de visitante originales en tus registros
Tiempo: 15 minutos. Dificultad: media

Cloudflare actúa como un proxy inverso de forma que todas las solicitudes a tu servidor se envían desde nuestra red global. Por lo tanto, las solicitudes procederán de las direcciones IP de Cloudflare, pero Cloudflare siempre incluirá la dirección IP del visitante original en la solicitud como encabezado HTTP. Cloudflare ofrece varias herramientas, como mod_cloudflare para los servidores web de Apache, con el fin de extraer la dirección IP del visitante original del encabezado. Consulta la lista completa aquí: https://support.cloudflare.com/entries/22055137



Si tu sitio sigue estando fuera de línea o deseas adoptar medidas de seguridad adicionales


Paso 10: comprueba el ASN específico en la sección Firewall
Tiempo: 15 minutos. Dificultad: media

También puedes comprobar o bloquear los ASN cuando se detecte un número excesivo de solicitudes de ASN en el sitio.

Screen_Shot_2018-03-07_at_3.15.21_PM.png

 

Paso 11: bloquea direcciones IP y agentes de usuario maliciosos con el bloqueo de URL  y las reglas de agentes de usuario                                    Tiempo: 15 minutos. Dificultad: alta

Las reglas de bloqueo de URL especifican una lista de una o varias direcciones de IP o redes que son las únicas IP que se permiten para acceder a un dominio, subdominio o URL. Se pueden especificar varios destinos en una única regla y se pueden utilizar ambas direcciones de origen IPv4 e IPv6. También se pueden utilizar los rangos CIDR de las direcciones IP. Todas las IP no especificadas en la regla tendrán acceso denegado a la página. Puedes encontrar más información aquí Bloqueo de URL

Las reglas de agentes de usuario coinciden con los encabezados de agentes de usuario enviados por el navegador o la aplicación que accede a tu sitio. Las reglas UA se aplican en todo el dominio. Puedes encontrar más información aquí Reglas de agentes de usuario(UA)

 

Paso 12: solicita a tu proveedor de host una nueva IP del servidor
Tiempo: 15 minutos. Dificultad: alta

Si has realizado todos los pasos anteriores y tu servidor web continúa recibiendo una elevada carga, es porque el atacante tiene la dirección IP de tu servidor de origen. Deberás ponerte en contacto con el proveedor de host y pedirle que te facilite una nueva IP de origen. Posteriormente, deberás actualizarla la página de configuración de DNS de Cloudflare.

Puedes notificar al host web lo siguiente: «Estoy sufriendo un ataque DDoS. Ahora tengo un servicio de protección DDoS configurado denominado Cloudflare. No obstante, el atacante tiene mi dirección IP del servidor de origen y esto anula mi protección DDoS. Facilíteme una nueva IP de servidor de origen para que el atacante deje de atacar mi servidor directamente».

Cuando tengas la nueva dirección IP del servidor, asegúrete de actualizarla la página de configuración de DNS de Cloudflare.

Con Cloudflare habilitado para todos los registros web, disfrutarás de la asistencia necesaria para enmascarar las direcciones IP del servidor de forma que el atacante no pueda obtener la nueva dirección IP.



Paso 13: ejecute el correo electrónico en un servidor o servicio independiente
Tiempo: 60 minutos. Dificultad: alta

Si estás ejecutando tu correo electrónico en el mismo servidor que su sitio web, el atacante siempre podrá encontrar tu IP del servidor de origen. Para solucionar esta posible brecha de seguridad, puedes usar un servicio de correo electrónico en un servidor independiente al de tu sitio web, ya sea a través de tu proveedor de host o a través de un servicio externo (p. ej., Google Apps).

Para usuarios de Mac: puedes ejecutar este comando en Terminal para ver qué IP se notifica en los registros MX: dig +short $(dig mx +short WEBSITE)

Por ejemplo, si te preocupara example.com, deberás escribir: dig +short $(dig mx +short example.com). El resultado sería una dirección IP. Esta es la dirección IP que un atacante siempre puede encontrar. Debes asegurarte de que esta dirección IP sea diferente de la dirección IP de tu servidor web. De lo contrario, independientemente de cuántas veces cambies tu servidor web, si tu correo electrónico también está en el mismo servidor, el atacante siempre podrá encontrar la nueva IP.

Para usuarios de PC: puedes ejecutar este comando en la línea de comandos para ver qué IP se incluye en sus registros MX: nslookup -q=mx WEBSITE

Por ejemplo, si le preocupara example.com, deberás escribir: nslookup -q=mx example.com

El resultado será una dirección IP. Esta es la dirección IP que un atacante siempre puede encontrar. Debes asegurarte de que esta dirección IP sea diferente de la dirección IP de tu servidor web. De lo contrario, independientemente de cuántas veces cambies tu servidor web, si tu correo electrónico también está en el mismo servidor, el atacante siempre podrá encontrar la nueva IP.



Esperamos que la información anterior te ayude a protegerse ante un ataque DDoS. Si sigues teniendo problemas y deseas recibir asistencia telefónica 24/7, puedes actualizar tu plan a nuestro plan Enterprise y hablar con un ingeniero de soporte técnica.




Otros recursos:

 

¿No has encontrado una respuesta satisfactoria?

Nuestra herramienta de búsqueda puede contestar el 95% de las preguntas más comunes y es la mejor manera de conseguir una respuesta rápida.

Tecnología de Zendesk