Capítulo 32. Defensa contra la denegación de servicio

Ataques DoS suelen implicar el uso de recursos del sistema, lo que puede dificultar un poco su detección sin un registro robusto del servidor. Puede ser difícil detectar un ataque DoS ocurrido en el pasado si llegó a través de canales legítimos (como un punto final de API).

Por ello, una primera medida contra los ataques de tipo DoS debería ser crear en tu servidor un sistema de registro lo suficientemente completo como para que todas las peticiones queden registradas junto con su tiempo de respuesta. También deberías registrar manualmente el rendimiento de cualquier tipo de función asíncrona tipo "trabajo", como una copia de seguridad que se llame a través de tu API pero que se ejecute en segundo plano y no genere una respuesta una vez finalizada. Hacer esto te permitirá encontrar cualquier intento (accidental o malintencionado) de explotar una vulnerabilidad DoS (del lado del servidor) que, de otro modo, habría sido difícil y te habría llevado mucho tiempo.

Como se explica en el Capítulo 14, los ataques DoS se estructuran con uno o más de los siguientes resultados en mente:

• Agotar los recursos del servidor

• Agotar los recursos del cliente

• Solicitar recursos no disponibles

• Denegar el acceso a los recursos

Las dos primeras son más fáciles de explotar sin un conocimiento directo del ecosistema de servidores ...