Toda propiedad de Internet es única, con su propio comportamiento y patrones de tráfico. Por ejemplo, es posible que un sitio web solo espere tráfico de usuarios de determinadas áreas geográficas, y que una red solo espere un conjunto limitado de protocolos.
Comprender que los patrones de tráfico de cada propiedad de Internet son únicos es lo que nos ha llevado a desarrollar el sistema Protección flexible contra DDoS, que pasa a formar parte de nuestro paquete de defensas automatizadas contra DDoS y lo optimiza. El nuevo sistema aprende tus patrones de tráfico únicos y se adapta para protegerte contra sofisticados ataques DDoS.
La Protección flexible contra DDoS ya está disponible a nivel general para todos los clientes Enterprise:
Protección flexible contra DDoS a HTTP: disponible para los clientes de WAF/CDN del plan Enterprise que también estén suscritos al servicio Protección de DDoS avanzada.
Protección flexible contra DDoS a la capa 3 y 4: disponible para los clientes de Magic Transit y Spectrum del plan Enterprise.
La Protección flexible contra DDoS aprende de tus patrones de tráfico
El sistema Protección flexible contra DDoS crea un perfil de tráfico analizando diariamente las velocidades máximas de tráfico de un cliente, durante los últimos 7 días. Los perfiles se recalculan cada día utilizando el historial de los últimos 7 días. A continuación, almacenamos las velocidades máximas de tráfico observadas para cada valor de dimensión predefinido. Cada perfil utiliza una dimensión, y estas dimensiones incluyen el país de origen de la solicitud, el país donde está ubicado el centro de datos de Cloudflare que ha recibido el paquete de IP, el agente de usuario, el protocolo de IP, los puertos de destino, y más.
Así, por ejemplo, para el perfil que utiliza el país de origen como una dimensión, el sistema registrará las velocidades máximas de tráfico observadas por país, p. ej., 2000 solicitudes por segundo para Alemania, 3000 para Francia, 10 000 para Brasil, etc. Este ejemplo es para tráfico HTTP, pero la Protección flexible contra DDoS también crea perfiles de tráfico de las capas 3 y 4 para nuestros clientes Enterprise de Magic Transit y Spectrum.
Otro aspecto a destacar acerca de las velocidades máximas es que utilizamos velocidades con un percentil de 95. Esto significa que analizamos las velocidades máximas y descartamos el 5 % superior de las velocidades más altas. El objetivo es eliminar de los cálculos los valores atípicos.
Los perfiles de tráfico de calculan de forma asíncrona, lo que significa que esto no causa latencia en el tráfico de nuestros clientes. A continuación, el sistema distribuye una representación compacta del perfil en nuestra red, que nuestros sistemas de protección contra DDoS pueden utilizar para detectar y mitigar los ataques DDoS de forma mucho más rentable.
Además de los perfiles de tráfico, la Protección flexible contra DDoS también aprovecha las puntuaciones de bot generadas por el aprendizaje automático de Cloudflare como una señal adicional para diferenciar entre el tráfico del usuario y el tráfico automatizado. El objetivo es diferenciar entre picos legítimos del tráfico del usuario que se desvían del perfil de tráfico y un pico de tráfico automatizado y potencialmente malicioso.
Fácil y sin configuración
La Protección flexible contra DDoS simplemente funciona, sin configuración previa. Crea automáticamente los perfiles y, a continuación, los clientes pueden realizar ajustes según necesiten mediante Reglas administradas contra ataques DDoS. Pueden cambiar el nivel de sensibilidad, aprovechar los campos de expresión para crear anulaciones (p. ej. excluir este tipo de tráfico), y cambiar la acción de mitigación para adaptar el comportamiento del sistema a sus necesidades y patrones de tráfico específicos.
El sistema Protección flexible contra DDoS complementa el sistema de protección contra DDoS existente que aprovecha las huellas digitales dinámicas para detectar y mitigar los ataques DDoS. Ambos funcionan conjuntamente para proteger a nuestros clientes contra los ataques DDoS. Cuando los clientes de Cloudflare incorporan una nueva propiedad de Internet a Cloudflare, las huellas digitales dinámicas les protegen automáticamente, sin necesidad de ninguna acción del usuario. Cuando la Protección flexible contra DDos ha aprendido los patrones de tráfico legítimo de los usuarios y creado un perfil, estos pueden proporcionar una capa adicional de protección.
Reglas incluidas como parte de la Protección flexible contra DDoS
Como parte de este lanzamiento, nos complace anunciar las funciones siguientes como parte de la Protección flexible contra DDoS de Cloudflare:
.tg {border-collapse:collapse;border-spacing:0;} .tg td{border-color:black;border-style:solid;border-width:1px;font-family:Arial, sans-serif;font-size:14px; overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{border-color:black;border-style:solid;border-width:1px;font-family:Arial, sans-serif;font-size:14px; font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-q2ib{background-color:#CFE2F3;font-family:inherit;font-weight:bold;text-align:center;vertical-align:top} .tg .tg-u5z2{font-family:inherit;text-align:center;vertical-align:top}
Profiling Dimension | Availability | |
---|---|---|
WAF/CDN customers on the Enterprise plan with Advanced DDoS | Magic Transit & Spectrum Enterprise customers | |
Origin errors | ✅ | ❌ |
Client IP Country & region | ✅ | Coming soon |
User Agent (globally, not per customer*) | ✅ | ❌ |
IP Protocol | ❌ | ✅ |
Combination of IP Protocol and Destination Port | ❌ | Coming soon |
Creación de perfiles de dimensión
Disponibilidad
Clientes de WAF/CDN del plan Enterprise con Protección avanzada frente a DDoS
Clientes Enterprise de Magic Transit y Spectrum
Errores de origen
✅
❌
País y región de IP de cliente
✅
Próximamente
Agente de usuario (globalmente, no por cliente*)
✅
❌
Protocolo IP
❌
✅
Combinación de protocolo IP y puerto de destino
❌
Próximamente
*La función de agente de usuario analiza, aprende y crea perfiles de los principales agentes de usuario observados en la red de Cloudflare. Esta función nos ayuda a identificar los ataques DDoS que aprovechan agentes de usuario heredados o incorrectamente configurados.
Excepto la Protección contra DDoS de agente de usuario, las reglas de Protección flexible contra DDoS se implementan en el modo "Log". Los clientes pueden observar el tráfico indicado, ajustar la sensibilidad si es necesario y, a continuación, implementar las reglas en el modo de mitigación. Para ello, puedes seguir los pasos descritos en esta guía.
Hacer que el impacto de los ataques DDoS sea cosa del pasado
Nuestra misión en Cloudflare es ayudar a mejorar Internet. La visión del equipo de protección contra DDoS se deriva de esta misión: nuestro objetivo es hacer que el impacto de los ataques DDoS sea cosa del pasado. La Protección flexible contra DDoS de Cloudflare nos acerca a lograr esta visión, haciendo que la protección contra DDoS de Cloudflare sea más inteligente, sofisticada y adaptada a los patrones de tráfico únicos y a las necesidades individuales de nuestros clientes.
¿Quieres saber más sobre la Protección flexible contra DDoS de Cloudflare? Visita nuestro sitio para desarrolladores.
¿Te interesa cambiar de plan para obtener acceso a la Protección flexible contra DDoS? Contacta con tu equipo de cuenta.
¿Eres nuevo en Cloudflare? Habla con un experto de Cloudflare.