{"id":946,"date":"2026-03-03T13:00:03","date_gmt":"2026-03-03T05:00:03","guid":{"rendered":"https:\/\/www.ddosgj.com\/?p=946"},"modified":"2026-03-03T13:00:03","modified_gmt":"2026-03-03T05:00:03","slug":"la-cdn-de-alta-defensa-responde-a-las-ralentizaciones-con-la-configuracion-del-tiempo-de-espera-de-las-peticiones-y-la-identificacion-de-comportamientos-anomalos","status":"publish","type":"post","link":"https:\/\/www.ddosgj.com\/es\/946-html","title":{"rendered":"La CDN de alta defensa ataja los ataques lentos con ajustes de tiempo de espera de las peticiones e identificaci\u00f3n de comportamientos an\u00f3malos"},"content":{"rendered":"<p>Recientemente, he ayudado a una estaci\u00f3n de comercio electr\u00f3nico para hacer la respuesta de emergencia, y me encontr\u00e9 con una cosa mala - el servidor no se cay\u00f3, el ancho de banda no se ejecut\u00f3 completo, pero el sitio web estaba tan atascado que ni siquiera pod\u00eda iniciar sesi\u00f3n en el fondo. Despu\u00e9s de medio d\u00eda de investigaci\u00f3n, me encontr\u00e9 con que los hackers en estos d\u00edas est\u00e1n empezando a jugar \"trabajo lento\": cada conexi\u00f3n con usted para moler media hora, miles de usuarios falsos pueden ocupar el grupo de conexi\u00f3n simult\u00e1nea, los usuarios serios simplemente no puede ser exprimido pulg<\/p>\n<p>Este ataque lento (Slowloris) se aprovecha de los puntos d\u00e9biles de los cortafuegos tradicionales. WAFs ordinarios se centran en los picos de tr\u00e1fico y la frecuencia de las solicitudes, pero este ataque cada solicitud se disfraza de tr\u00e1fico leg\u00edtimo, como el agua que gotea a trav\u00e9s de la piedra como drenar lentamente sus recursos. He probado un firewall corriente, la configuraci\u00f3n por defecto es en realidad un solo cliente con un ataque POST lento arrastrado hacia abajo el servidor back-end.<\/p>\n<p>Si una CDN de alta defensa puede o no evitar esto depende de dos puntos clave: si puede identificar con precisi\u00f3n la solicitud de \"molienda\", y si se atreve a tomar la iniciativa para cortar las conexiones anormales. La siguiente parte de la integraci\u00f3n real del programa de CDN5, CDN07 dos vendedores de la l\u00f3gica subyacente, por cierto, escupir algunos vendedores de fantas\u00eda, pero no el uso de la funci\u00f3n.<\/p>\n<p>Empecemos por el ajuste del tiempo de espera de las peticiones. Esto no es un simple conjunto de un tiempo de espera global en el extremo de la cuesti\u00f3n, debe ser controlado en diferentes niveles. Los clientes frontales a los nodos de borde CDN, los nodos de borde a la estaci\u00f3n de origen, la pol\u00edtica de tiempo de espera de los dos enlaces tienen que ajustarse por separado. No crea a esos vendedores que alardean de \"tiempo de espera inteligente\", he rastrillado la configuraci\u00f3n por defecto de CDN07, el tiempo de espera por defecto del front-end est\u00e1 relajado a 300 segundos, es simplemente una puerta trasera para ataques lentos.<\/p>\n<p>Esta es la forma recomendada de segmentar la configuraci\u00f3n (usando Nginx como ejemplo):<\/p>\n<p>Preste especial atenci\u00f3n al par\u00e1metro client_body_timeout - ataque POST lento es pasando lentamente el cuerpo de la solicitud para consumir recursos. La prueba encontr\u00f3 que m\u00e1s de 30 segundos no ha terminado de transferir el cuerpo de la solicitud, 99,9% es una conexi\u00f3n maliciosa. Hay un pozo para recordar: algunos proveedores de CDN ajustes de tiempo de espera de la consola ocultos en la \"configuraci\u00f3n avanzada\", el valor predeterminado es demasiado alto, recuerde bajar manualmente.<\/p>\n<p>Sin embargo, s\u00f3lo confiar en el tiempo de espera para interceptar da\u00f1ar\u00e1 err\u00f3neamente la carga normal de archivos grandes. El a\u00f1o pasado, cuando realizamos pruebas de penetraci\u00f3n para 08Host, descubrimos que establec\u00edan el tiempo de espera de forma demasiado agresiva, lo que provocaba que el dise\u00f1ador no pudiera cargar archivos PSD todo el tiempo. M\u00e1s tarde, a\u00f1adimos una pol\u00edtica de tiempo de espera din\u00e1mico: la ruta \/content\/upload se relaja a 120 segundos, mientras que otras rutas mantienen 30 segundos. Este movimiento CDN5 hacer bastante inteligente, el apoyo para el establecimiento de umbrales de tiempo de espera por ruta URL.<\/p>\n<p>Una jugada m\u00e1s avanzada es la identificaci\u00f3n de comportamientos an\u00f3malos. Los ataques lentos, aunque imitan a los usuarios normales, exponen caracter\u00edsticas en la capa de protocolo. Por ejemplo, un usuario normal no enviar\u00eda un byte s\u00f3lo cada 30 segundos ni mantendr\u00eda 500 conexiones inactivas continuamente. Hemos desplegado un conjunto de reglas de detecci\u00f3n en CDN07, y la l\u00f3gica central consiste en contar la \"eficacia de conexi\u00f3n\" de cada IP:<\/p>\n<p>Este conjunto de reglas es particularmente precisa en la captura de ataques lentos, pero hay que tener cuidado de distinguir entre los rastreadores y los usuarios reales. Algunos rastreadores de motores de b\u00fasqueda se ralentizar\u00e1 deliberadamente para evitar molestar al sitio, hemos sufrido la p\u00e9rdida de err\u00f3neamente bloqueado - m\u00e1s tarde a\u00f1adi\u00f3 una lista blanca, el Googlebot verificado para relajar la pol\u00edtica.<\/p>\n<p>Lo que realmente me salva son los m\u00f3dulos de programaci\u00f3n inteligente de CDN5. No se limitan a mirar el tiempo de espera, sino que tambi\u00e9n lo combinan con el an\u00e1lisis del estado de la pila TCP. Por ejemplo, si de repente hay un gran n\u00famero de conexiones TCP atascadas en el estado LAST_ACK, o la cola SYN_RECV sigue llena, el sistema activar\u00e1 autom\u00e1ticamente el modo de limpieza de ataque lento. Esta caracter\u00edstica se mide para reducir 70% intervenci\u00f3n manual, es el precio es un poco hermoso.<\/p>\n<p>Respuesta de emergencia tambi\u00e9n encontr\u00f3 una operaci\u00f3n de mal gusto: algunos atacantes utilizar\u00e1n HTTP lento + baja velocidad CC ataque combo. El primero dio cuenta de la piscina de conexi\u00f3n no deja ir, al mismo tiempo con los ataques de CC de baja velocidad para consumir la CPU, esta vez a CDN07 mecanismo de defensa de vinculaci\u00f3n entr\u00f3 en juego - cuando la detecci\u00f3n de conexiones lentas y solicitudes de baja frecuencia desde el mismo segmento IP, directamente negro todo el segmento C, en lugar de matar err\u00f3neamente no ser perdonados.<\/p>\n<p>Por \u00faltimo, una sugerencia real: no espere confiar \u00fanicamente en la CDN para evitar todos los ataques lentos. En el lado del cliente, hemos hecho tres capas de defensa: capa de borde CDN para el bloqueo de tiempo de espera, capa WAF para el an\u00e1lisis de comportamiento, e iptables para la limitaci\u00f3n de conexiones concurrentes en el servidor de origen. En concreto, el ajuste de los par\u00e1metros del kernel de Linux puede triplicar la capacidad del servidor para resistir ataques lentos:<\/p>\n<p>Los ataques lentos no pueden impedir la esencia de la guerra por el consumo de recursos. El a\u00f1o pasado, probamos la capacidad de tres proveedores de CDN para resistir velocidades lentas, y CDN5 gan\u00f3 gracias a los pools de recursos el\u00e1sticos: ampl\u00eda autom\u00e1ticamente el l\u00edmite de conexi\u00f3n cuando se detecta un ataque, y libera recursos despu\u00e9s de que el ataque se detiene.08Host es el m\u00e1s realista, aunque la funci\u00f3n no es tan elegante, pero la configuraci\u00f3n por defecto es m\u00e1s segura que otras, y es adecuada para sitios web peque\u00f1os y medianos que no quieren hacer un gran alboroto.<\/p>\n<p>Los hackers son cada vez m\u00e1s sofisticados y ya utilizan ataques lentos distribuidos: cada broiler s\u00f3lo abre unas pocas conexiones lentas y no se diferencia en nada de un usuario normal. En el futuro, me temo que tendremos que utilizar el aprendizaje autom\u00e1tico para analizar los patrones de comportamiento de los usuarios. En este momento, sin embargo, con la configuraci\u00f3n correcta de los tiempos de espera y la detecci\u00f3n de anomal\u00edas se ha podido acabar con el ataque lento 90%. Recuerda, la pol\u00edtica de seguridad no es tan complicada, la clave est\u00e1 en ser capaz de implementarla.<\/p>\n<p>Para evaluar el CDN de alta defensa, le recomendamos que construya su propio entorno para probar: utilice la herramienta slowhttptest para simular el ataque, para ver si el informe de la consola puede alarmar con precisi\u00f3n, la pol\u00edtica de limpieza es realmente eficaz. No crea en el alarde de ventas \"100% de protecci\u00f3n\", he probado un importante paquete de alta defensa, las reglas por defecto ni siquiera detuvieron el ataque lento b\u00e1sico - al final, usted tiene que ajustar manualmente las reglas.<\/p>\n<p>La seguridad web es un proceso iterativo de ataque y defensa. Una estrategia que funciona hoy puede ser burlada ma\u00f1ana. Mantener la transparencia de la configuraci\u00f3n y ensayar regularmente respuestas de emergencia es mucho m\u00e1s realista que amontonar productos de seguridad. Despu\u00e9s de todo, hoy en d\u00eda, incluso los CDN tienen que \"prevenir a los compa\u00f1eros de equipo\" - algunos vendedores con el fin de reducir la tasa de falsos positivos, relajan intencionadamente las pol\u00edticas de seguridad, las cosas van mal en lugar de volcar el tarro a la mala configuraci\u00f3n del cliente.<\/p>","protected":false},"excerpt":{"rendered":"<p>Recientemente, ayud\u00e9 a una estaci\u00f3n de comercio electr\u00f3nico para hacer la respuesta de emergencia, y me encontr\u00e9 con una cosa malvada - el servidor no se cay\u00f3, el ancho de banda no se agot\u00f3, pero el sitio web estaba tan atascado que ni siquiera pod\u00eda iniciar sesi\u00f3n en el fondo. Despu\u00e9s de medio d\u00eda de investigaci\u00f3n, me encontr\u00e9 con que los hackers en estos d\u00edas han comenzado a jugar \"Slowloris\": cada conexi\u00f3n con usted para moler durante media hora, miles de usuarios falsos ser\u00e1 capaz de tomar el grupo de conexi\u00f3n simult\u00e1nea, los usuarios serios no pueden ser exprimidos pulg. Este tipo de ataque lento (Slowloris) recoge la debilidad de los cortafuegos tradicionales. WAF ordinaria mira a los picos de tr\u00e1fico y la frecuencia de solicitud, pero este ataque cada solicitud se disfraza de tr\u00e1fico leg\u00edtimo, como una gota de agua a trav\u00e9s de la piedra como consumir lentamente sus recursos. He probado un firewall corriente, la configuraci\u00f3n por defecto es en realidad un solo cliente con un ataque POST lento arrastrado hacia abajo el servidor back-end. CDN de alta defensa puede evitar esto, la clave para mirar a dos puntos: se puede afinar la<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-946","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/946","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/comments?post=946"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/946\/revisions"}],"predecessor-version":[{"id":1179,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/946\/revisions\/1179"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/media?parent=946"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/categories?post=946"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/tags?post=946"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/collection?post=946"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}