{"id":985,"date":"2026-03-03T14:53:01","date_gmt":"2026-03-03T06:53:01","guid":{"rendered":"https:\/\/www.ddosgj.com\/?p=985"},"modified":"2026-03-03T14:53:01","modified_gmt":"2026-03-03T06:53:01","slug":"ajedrez-cdn-de-alta-defensa-como-pasar-la-configuracion-de-tiempo-de-espera-de-solicitud-y-la-interceptacion-de-comportamiento-anormal","status":"publish","type":"post","link":"https:\/\/www.ddosgj.com\/es\/985-html","title":{"rendered":"C\u00f3mo las CDN de alta defensa de Chess contrarrestan los ataques lentos con la configuraci\u00f3n del tiempo de espera de las solicitudes y la interceptaci\u00f3n de comportamientos an\u00f3malos"},"content":{"rendered":"<p>Cu\u00e1n profundas son las aguas de la industria del ajedrez, lo saben los que se han metido en ella. Los DDoS golpean como un perro rabioso, pero los m\u00e1s insidiosos suelen ser los ataques lentos que te van machacando poco a poco: no son tan rimbombantes como un ataque por inundaci\u00f3n, sino m\u00e1s bien como hervir una rana en agua tibia, y cuando te quieres dar cuenta, hace tiempo que los servidores est\u00e1n paralizados.<\/p>\n<p>El a\u00f1o pasado, ayud\u00e9 a una plataforma de ajedrez para hacer la respuesta de emergencia, su operaci\u00f3n y mantenimiento en un primer momento tambi\u00e9n conf\u00eda: \u201cancho de banda es suficiente, las reglas de firewall se apilan\u201d. El resultado de una mirada en el monitor, la CPU no explot\u00f3, el tr\u00e1fico no se dispar\u00f3, pero el usuario est\u00e1 atascado maldiciendo. Por \u00faltimo, el an\u00e1lisis de paquetes s\u00f3lo para encontrar que hay una IP lentamente cada 30 segundos para enviar un encabezado de paquete HTTP, pellizco de conexi\u00f3n en manos de los muertos no dejar ir, un servidor por cientos de este tipo de conexiones para agotar los recursos.<\/p>\n<p>Lo desagradable de este ataque HTTP lento es que parece demasiado \u201cnormal\u201d. Un cortafuegos tradicional podr\u00eda dejarlo pasar, porque cada petici\u00f3n por s\u00ed sola se ajusta a la especificaci\u00f3n del protocolo. Pero el atacante se basa en esta \u201clentitud\u201d para agotar su reserva de conexiones, su reserva de hilos y, en \u00faltima instancia, impedir que los usuarios normales accedan.<\/p>\n<p><strong>No cuentes con un cortafuegos de hardware para solucionar esto.<\/strong>. De hecho, he comprobado que cierta marca de cortafuegos de hardware multimillonario con pol\u00edtica predeterminada casi no responde a los ataques de Slowloris, porque detecta picos de tr\u00e1fico, no duraciones de conexi\u00f3n. Lo que realmente puede soportar la carga es tambi\u00e9n una CDN de alta seguridad combinada con un control preciso del tiempo de espera y un an\u00e1lisis del comportamiento.<\/p>\n<p>Vamos a empezar con la configuraci\u00f3n de tiempo de espera de solicitud. No es s\u00f3lo una cuesti\u00f3n de cambiar `keepalive_timeout` en Nginx. Tienes que dividirlo en varias dimensiones basadas en las caracter\u00edsticas del negocio: tiempo de espera de establecimiento de la conexi\u00f3n, tiempo de espera de recepci\u00f3n del encabezado, tiempo de espera de transmisi\u00f3n del cuerpo, tiempo de espera de conexi\u00f3n inactiva. Por ejemplo, para el negocio del ajedrez, la solicitud HTTP general debe ser completado dentro de 2 segundos, WS larga conexi\u00f3n puede mantener el nivel de minutos, pero debe haber un mecanismo de latido del coraz\u00f3n bajo el cap\u00f3.<\/p>\n<p>Tomando como ejemplo la configuraci\u00f3n de Nginx, suelo ponerla en capas de la siguiente manera:<\/p>\n<p>Pero eso por s\u00ed solo no basta. Algunos atacantes env\u00edan intencionadamente el cuerpo a una velocidad lenta, como 1 byte por segundo. Esta vez es necesario establecer una pol\u00edtica de control de flujo global en el nodo de borde CDN. Como CDN5 esta casa ha hecho el desglose: 10 segundos no pas\u00f3 el tama\u00f1o del cuerpo por defecto (como 1KB) directamente desconectado, y no ocupa la piscina de conexi\u00f3n back-end.<\/p>\n<p>A\u00fan m\u00e1s despiadada es la interceptaci\u00f3n de comportamientos an\u00f3malos. Los ataques lentos son dif\u00edciles de defender porque una sola petici\u00f3n parece inofensiva. Pero si se observan varias peticiones en contexto, el diablo est\u00e1 en los detalles.<\/p>\n<p>Normalmente capto anomal\u00edas en tres dimensiones:<strong>velocidad de conexi\u00f3n<\/strong>(Los usuarios normales no siguen creando nuevas conexiones sin enviar solicitudes),<strong>velocidad de transmisi\u00f3n<\/strong>(Los usuarios normales no tardan 10 minutos en pasar un paquete de inicio de sesi\u00f3n),<strong>Distribuci\u00f3n del tiempo de supervivencia<\/strong>(Mientras que las sesiones de usuarios de ajedrez suelen fluctuar, las conexiones de ataque tienden a ser inusualmente estables).<\/p>\n<p>El equipo de algoritmos de CDN07 ha desarrollado un conjunto de bibliotecas de funciones espec\u00edficamente dise\u00f1adas para detectar este tipo de comportamiento de \u201cfalsa lentitud\u201d. Por ejemplo, se detecta una IP que establece una conexi\u00f3n cada 10 segundos, pero cada conexi\u00f3n s\u00f3lo env\u00eda 5 bytes y luego permanece en silencio, m\u00e1s de 10 veces consecutivas directamente en el proceso de desaf\u00edo. La tasa de eliminaci\u00f3n medida es inferior a 0,1%, pero puede interceptar variantes de ataque lento de 99%.<\/p>\n<p>Otro truco es hacer una suma de comprobaci\u00f3n de la integridad del protocolo. Muchas herramientas de ataque lento tienen en realidad implementaciones de protocolo defectuosas (por ejemplo, omiten deliberadamente ciertos campos de cabecera). Podemos preconstruir la l\u00f3gica de la suma de comprobaci\u00f3n en la CDN:<\/p>\n<p>Por supuesto, la estrategia anterior debe aplicarse con flexibilidad. Por ejemplo, las interfaces API y las conexiones largas WS deben tratarse de forma diferente. Los nodos espec\u00edficos de ajedrez de 08Host hacen una identificaci\u00f3n inteligente: utilizan un tiempo de espera estricto (10 segundos) para la ruta \/api\/, y permiten conexiones largas para la ruta \/ws\/, pero exigen que el intervalo entre paquetes heartbeat no sea superior a 25 segundos.<\/p>\n<p><strong>Nunca te dejes llevar por una \u00fanica soluci\u00f3n<\/strong>. Hubo una vez un cliente que compr\u00f3 un CDN de un fabricante importante y pens\u00f3 que todo ir\u00eda bien, pero fue penetrado por Slowloris. M\u00e1s tarde, descubri\u00f3 que la configuraci\u00f3n de tiempo de espera por defecto de la CDN era demasiado floja (se permit\u00edan 120 segundos de conexi\u00f3n inactiva). M\u00e1s tarde, trabajamos con la pol\u00edtica personalizada de CDN5 para reducir el umbral de tiempo de espera a 15 segundos y, al mismo tiempo, habilitamos su \u201cModo de aprendizaje de conexi\u00f3n lenta\u201d: primero deja pasar 24 horas para establecer una l\u00ednea de base y, despu\u00e9s, intercepta autom\u00e1ticamente las IP que se desv\u00edan del comportamiento de la l\u00ednea de base.<\/p>\n<p>Por \u00faltimo, me gustar\u00eda mencionar un escollo: una configuraci\u00f3n demasiado agresiva del tiempo de espera puede perjudicar err\u00f3neamente a los usuarios lentos de la red. Mi experiencia es combinar la pol\u00edtica geogr\u00e1fica, por ejemplo, para los usuarios nacionales con un tiempo de espera uniforme de 10 segundos, para los usuarios del sudeste asi\u00e1tico relajar a 20 segundos, al mismo tiempo con el centro de gravedad algoritmo para determinar - si la IP del usuario est\u00e1 muy lejos de la distancia f\u00edsica, pero la latencia es muy baja, la probabilidad de que se trata de una falsificaci\u00f3n de tr\u00e1fico transfronterizo.<\/p>\n<p>En la pr\u00e1ctica tambi\u00e9n me gusta enterrar algunas estacas ocultas. Por ejemplo, en la configuraci\u00f3n de la CDN mezclar unos pocos dominios fr\u00edos como cebo, estos dominios s\u00f3lo ser\u00e1n escaneados por los atacantes, los usuarios normales nunca los visitar\u00e1n. Una vez que se descubre que estos dominios tienen intentos de conexi\u00f3n lentos, bloquea directamente todo el segmento ASN. Este truco me ha ayudado a detener varias oleadas de ataques dirigidos.<\/p>\n<p>Al final, la prevenci\u00f3n de ataques lentos es como la captura de lochas, no s\u00f3lo puede confiar en el bloqueo duro, tienes que aprender a \u201cescuchar el sonido de la posici\u00f3n\u201d.ventaja de CDN es que puede ver el tr\u00e1fico global, combinado con el control de tiempo de espera y an\u00e1lisis de comportamiento, y con frecuencia se puede encontrar en el ataque temprano en la pl\u00e1ntula. Pero recuerde, no hay una soluci\u00f3n de una vez por todas, las reglas eficaces de hoy pueden ser eludidas el pr\u00f3ximo mes, as\u00ed que aseg\u00farese de dejar un canal para la investigaci\u00f3n manual y el juicio - el juicio de la m\u00e1quina 70% sospechoso en el empuje de alarma, para que la gente tome la decisi\u00f3n final.<\/p>\n<p>Si utiliza CDN07 o 08Host, recuerde indagar en el backend para encontrar su m\u00f3dulo de protecci\u00f3n contra ataques lentos (algunos de ellos est\u00e1n ocultos en \u201cSeguridad avanzada\u201d o \u201cReglas personalizadas\u201d). La mayor\u00eda de los clientes ni siquiera saben que existen estas funciones, y es un desperdicio de la prima anual. Despu\u00e9s de todo, en estos d\u00edas, incluso el CDN tiene que \u201cevitar que los compa\u00f1eros de equipo\u201d - no para evitar que los atacantes, es para evitar que su propia no va a utilizar.<\/p>","protected":false},"excerpt":{"rendered":"<p>Cu\u00e1n profundas son las aguas en la industria del ajedrez, los que han trabajado en ella lo saben. ddoS golpea como un perro rabioso, pero los m\u00e1s insidiosos suelen ser esos ataques lentos que te van machacando poco a poco - no es como un ataque de inundaci\u00f3n como un bombardeo, sino como una rana hervida en agua tibia, y as\u00ed, cuando te enteras, el servidor lleva tiempo paralizado. El a\u00f1o pasado ayud\u00e9 a una plataforma de ajedrez a dar una respuesta de emergencia, y su O&amp;M se mostr\u00f3 confiado al principio: \u201cHay suficiente ancho de banda, y las reglas del cortafuegos est\u00e1n apiladas\u201d. El resultado de un vistazo al monitor, la CPU no explot\u00f3, el tr\u00e1fico no se dispar\u00f3, pero el usuario est\u00e1 atascado maldiciendo. Por \u00faltimo, el an\u00e1lisis de paquetes s\u00f3lo para encontrar que hay una IP lenta cada 30 segundos para enviar un encabezado de paquete HTTP, pellizco de conexi\u00f3n en manos de los muertos no dejar ir, un servidor por cientos de este tipo de conexiones para agotar los recursos. Este tipo de ataque HTTP lento (Ataque HTTP lento)<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-985","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/985","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/comments?post=985"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/985\/revisions"}],"predecessor-version":[{"id":1140,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/985\/revisions\/1140"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/media?parent=985"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/categories?post=985"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/tags?post=985"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/collection?post=985"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}