Capítulo 26. Defenderse de la denegación de servicio

DoS Los ataques suelen implicar el uso de recursos del sistema, lo que puede dificultar un poco su detección sin un registro robusto del servidor. Puede ser difícil detectar un ataque DoS ocurrido en el pasado si llegó a través de canales legítimos (como un punto final de API).

Por ello, una primera medida contra los ataques de tipo DoS debería ser crear en tu servidor un sistema de registro lo suficientemente completo como para que todas las peticiones queden registradas junto con su tiempo de respuesta. También deberías registrar manualmente el rendimiento de cualquier tipo de función asíncrona tipo "trabajo", como una copia de seguridad que se llame a través de tu API pero que se ejecute en segundo plano y no genere una respuesta una vez finalizada. Hacer esto te permitirá encontrar cualquier intento (accidental o malintencionado) de explotar una vulnerabilidad DoS (del lado del servidor) que, de otro modo, habría sido difícil y te habría llevado mucho tiempo.

Como ya se ha comentado, los ataques DoS se estructuran con uno o más de los siguientes resultados en mente:

• Agotar los recursos del servidor

• Agotar los recursos del cliente

• Solicitar recursos no disponibles

Las dos primeras son más fáciles de explotar sin un conocimiento directo del ecosistema del servidor o del cliente. Debemos tener en cuenta ...