Por Chris Gatlin, Ingeniero de Soporte Senior, Opmantek 

Los ataques DDoS (Distributed Denial of Service) se han convertido en algo común, que parecen venir de todas partes y tienen como objetivo infraestructuras públicas populares. Normalmente hay algo único o común en cada ataque DDoS. Este elemento común puede utilizarse para clasificar el tráfico y eliminarlo. Dependiendo de la topología y del vector de ataque, la organización objetivo puede ser capaz de bloquear eficazmente el tráfico. En algunos casos, puede ser necesario ponerse en contacto con el proveedor de origen para que lo abandone. Si la organización objetivo puede comunicar eficazmente el vector de ataque, los proveedores ascendentes serán más receptivos.

opFlow es muy adecuado para determinar el vector de ataque.

La página por defecto de opFlow muestra las 10 principales fuentes. Si el ataque sospechoso es del tipo DDoS, cambie la página para que muestre las 10 principales aplicaciones. Esto se hace haciendo clic en la palabra "Avanzado" que se encuentra en la barra de menú superior.

avanzado - 700

Figura 1 - Ventana avanzada

Se mostrará la ventana avanzada. Cambie el tipo de resumen a "Fuentes de aplicaciones". Además, cambie la sección "Tiempo específico" para que coincida con el período de tiempo que es relevante. Haga clic en "Aplicar selección" y la página de inicio se actualizará adecuadamente.

 

top10App - 650

Figura #2 - Las 10 principales aplicaciones

 

En el ejemplo anterior vemos UDP:32760 en la segunda fila, esto es tráfico normal para esta red en particular. El tráfico de dominio en la primera fila es muy inusual. Ahora tenemos una idea de que el tráfico de ataque está relacionado con el puerto de destino UDP 53. Para obtener un vector más ajustado de este tráfico, navegue a 'Vistas->Mapa de Conversaciones'. El intervalo de tiempo se mantendrá.

La tabla de datos de caudal se encuentra debajo del mapa. Haga clic en la cabecera de la tabla de datos de caudal para ordenarla en función de la hora. A continuación, cambie los registros por página a 500. El mapa de conversación cambiará para representar los 500 registros de flujo mostrados. Haga clic en una página de datos de flujo que represente bien el tiempo de DDoS.

zoom2 - 700

Figura 3 - Mapa de la conversación

 

El mapa de conversación de arriba está indicando que todo el tráfico se centra en un destino. Desactiva el 'Bloqueo del Zoom' en el mapa, y luego haz zoom en el centro para determinar cuál es el objetivo del ataque.

zoomin - 700

Figura 4 - Tabla de datos de flujo

 

Observamos que el tráfico de ataque se centra en el servidor DNS, 10.248.114.10.

Mirando los datos del flujo vemos que todos los flujos son un solo paquete, UDP y destinado al puerto 53. También podemos decir que ninguna de ellas es una petición DNS válida porque el paquete es demasiado grande, 1.308 bytes. Las respuestas de DNS pueden ser grandes, pero una sola solicitud de DNS no debería tener más de 150 bytes.

Basándose en esto, se podría escribir una política de entrada que descartara cualquier paquete mayor de 150 bytes destinado al servidor DNS en el puerto UDP 53.