El pasado 10 de noviembre de 2016, ocurrió un ciberataque a gran escala. Consistía en múltiples denegaciones de servicio sobre un conocido proveedor de DNS (Dyn). Este ataque dejó inaccesibles los servicios de internet a usuarios de todo el mundo y a empresas conocidas como Twitter, eBay y Spotify. El ataque se llevó a cabo mediante una botnet que abarcaba desde impresoras en internet, hasta neveras inteligentes, incluyendo monitores de bebés.

¿Cómo lidiar con los ataques DDoS?

Escalado – AWS ofrece Route 53, el cual está alojado en múltiples ubicaciones situadas en extremos del globo, creando una superficie global capaz de absorber grandes cantidades de tráfico DNS. Amazon CloudFront y AWS Web Application Firewall también son capaces de manejar grandes cantidades de tráfico.

Tolerancia a fallos – Cada localización tiene muchas conexiones a internet. Esto permite la multiplicidad de rutas aislando así los fallos. Route 53 utiliza «shuffle sharding» y «anycast striping» para incrementar la disponibilidad. Con el shuffle sharding, cada DNS en tu delegación corresponde a un único conjunto de ubicaciones. Esto incrementa la tolerancia a fallos y minimiza la solapación entre consumidores de AWS. Si un servidor no está disponible, el sistema cliente redireccionará la respuesta a otro servidor en otra ubicación. Con anycast striping se dirigen las peticiones a los DNS con mejor ubicación. Esto separa la carga y reduce la latencia DNS.

Mitigación – AWS Shield Standard nos protege contra el 96% de los ataques habituales. Esto incluye «SYN/ACK floods» y «HTTP Slow read». El servicio estándar viene incorporado de manera automática y transparente en los balanceadores de carga, distribuciones CloudFront, AWS WAF y Route 53 sin ningún coste extra. AWS Shield Advanced incluye protección adicional para mitigar ataques DDoS, un acceso 24×7 a un equipo responsable de los DDoS y métricas e informes a tiempo real.