Protección DDoS de Cloudflare
Información general
Un ataque de denegación de servicio distribuido (DDoS) intenta desactivar un servicio en línea utilizado por usuarios finales. Cloudflare ofrece en todos los planes un servicio de mitigación ilimitada de ataques DDoS en las capas 3, 4 y 7. No facturamos por tamaño de ataque y no tenemos un límite de tamaño, tipo o duración de ataque.
La red de Cloudflare está diseñada para supervisar y mitigar ataques DDoS a gran escala de forma automática. Almacenar tu contenido en la memoria caché de Cloudflare también protege tu sitio web de ataques DDoS pequeños, pero los activos no almacenados en la memoria caché requieren una respuesta manual adicional al ataque DDoS.
Además, Cloudflare ayuda a mitigar los ataques DDoS más pequeños:
Para las zonas de cualquier plan, cuando la tasa de errores HTTP está por encima del nivel de sensibilidad Alta (por defecto) del umbral de tasa de 1.000 errores por segundo. Puedes disminuir el nivel de sensibilidad configurando el conjunto de reglas administradas de protección contra ataques DDoS HTTP.
Para las zonas de los planes Business y Enterprise, Cloudflare realiza una comprobación adicional para mejorar la precisión de la detección: la tasa de errores por segundo también debe ser al menos cinco veces superior a los niveles de tráfico normales.
Cloudflare determina la tasa de error basándose en todos los errores HTTP en el rango 52X (error interno del servidor) y en el rango 53X, excepto error 530.
Las mitigaciones de ataques de inundaciones HTTP se muestran en el panel de control de análisis de firewall como eventos DDoS HTTP. Estos eventos también están disponibles en los registros de Cloudflare.
Actualmente, para las mitigaciones de DDoS basadas en la tasa de error HTTP, los clientes no pueden excluir códigos de error HTTP específicos.
Puedes consultar más información sobre ataques comunes de DDoS y DDoS en el Centro de aprendizaje de Cloudflare. También puedes revisar los casos prácticos de DDoS en la sección de recursos relacionados al final de este artículo.
Conjunto de reglas administradas de protección contra ataques DDoS HTTP de Cloudflare
El conjunto de reglas administradas de DDoS HTTP de Cloudflare es un conjunto de reglas preconfiguradas que se utilizan para relacionar los patrones y herramientas de ataques conocidos, así como los patrones sospechosos, los incumplimientos de protocolo, las solicitudes que provocan errores de origen, el tráfico excesivo que llega al origen/memoria caché y los vectores de ataque adicionales en la capa de aplicación en el perímetro. El conjunto de reglas está disponible para los clientes suscritos a cualquier plan de Cloudflare y se activa por defecto.
Si esperas grandes picos de tráfico legítimo, plantéate la posibilidad de personalizar la configuración de tu protección DDoS para evitar falsos positivos, donde el tráfico legítimo se identifica erróneamente como tráfico de ataque y, en consecuencia, se bloquea o cuestiona.
Puedes encontrar más información sobre el conjunto de reglas administradas de DDoS HTTP de Cloudflare y los ajustes de configuración en el portal para desarrolladores de Cloudflare.
Para más información sobre las acciones llevadas a cabo por los sistemas de protección de ataques DDoS HTTP, consulta Parámetros de protección de ataques DDoS HTTP: Acción.
Conjunto de reglas administradas de protección contra ataques DDoS en la capa de red de Cloudflare
El conjunto de reglas administradas de protección contra ataques DDoS en la capa de red de Cloudflare es un conjunto de reglas preconfiguradas que se utilizan para coincidir con vectores de ataque DDoS conocidos en los niveles 3 y 4 del modelo OSI. El conjunto de reglas está disponible para los clientes suscritos a cualquier plan de Cloudflare y se activa por defecto.
Puedes encontrar más información sobre el conjunto de reglas administradas de protección contra ataques DDoS en la capa de red de Cloudflare y los ajustes de configuración en el portal para desarrolladores de Cloudflare.
Para más información sobre las acciones llevadas a cabo por los sistemas de protección contra ataques DDoS a las capas 3 y 4, consulta Parámetros de protección contra ataques DDoS de la capa de red: Acción.
Determina si estás bajo ataque DDoS
Las señales frecuentes de que estás bajo ataque DDoS incluyen:
- Tu sitio está desconectado y responde muy lento a las solicitudes.
- Hay picos inesperados en el gráfico de solicitudes a través de Cloudflare o ancho de banda en tu aplicación Analytics de Cloudflare.
- Hay solicitudes extrañas en los registros de tu servidor web de origen que no coinciden con el comportamiento normal de los visitantes.
¿Me está atacando Cloudflare?
Hay dos escenarios comunes en los que se percibe de manera falsa que Cloudflare está atacando tu sitio:
- A menos que restaures las direcciones IP de los visitantes originales, las direcciones IP de Cloudflare aparecen en los registros de tu servidor para todas las solicitudes proxy.
- El atacante está falsificando las IP de Cloudflare. Cloudflare solo envía tráfico a tu servidor web de origen a través de unos puertos específicos, a menos que utilices Cloudflare Spectrum.
Lo ideal, ya que Cloudflare es un proxy inverso, es que tu proveedor de hospedaje observe el tráfico de ataque que se conecta desde las direcciones IP de Cloudflare. En cambio, si ves conexiones de direcciones IP que no pertenecen a Cloudflare, el ataque se dirige contra tu servidor web de origen. Cloudflare no puede detener los ataques directamente a tu dirección IP de origen porque el tráfico omite la red de Cloudflare.
Recursos relacionados
- Cómo responder a los ataques DDoS
- Prácticas recomendadas: medidas preventivas de DDoS
- Cómo usar los registros de Cloudflare para investigar el tráfico DDoS (solo Enterprise)
- ¿Qué es un ataque DDoS?
- Cómo funcionan los ataques de amplificación DNS
Casos prácticos:
- Cómo lanzar un ataque DDoS de 65 Gbps y cómo detenerlo
- El alto al fuego no detiene un ciberataque
- Reflexiones sobre ataques
- SSPD (Stupidly Simple DDoS Protocol) genera ataques DDoS de 100 Gbps
- Memcrashed: gandes ataques de amplificación desde el puerto UDP 11211
- La causa real de grandes ataques DDoS: usurpación de IP