Suscríbete para recibir notificaciones de nuevas publicaciones:

Novedad: Notificaciones de anomalías de tráfico HTTP

2023-10-31

4 min de lectura
Esta publicación también está disponible en English, 繁體中文, Français, Deutsch, 日本語, 한국어 y 简体中文.

Cuando se trata de gestionar propiedades de Internet, lo que marca la diferencia entre una pequeña dificultad técnica y un incidente grave suele ser la rapidez. Las alertas proactivas desempeñan una función fundamental. Por este motivo, nos complace lanzar las notificaciones de tasa de error HTTP, con las que los administradores pueden ver cuándo los usuarios finales obtienen errores.

Introducing notifications for HTTP Traffic Anomalies

Sin embargo, ¿y si algunos problemas no se muestran como errores, por ejemplo, un pico o una caída repentina del tráfico?

Hoy nos complace anunciar el lanzamiento de las notificaciones de anomalías de tráfico, disponibles para todos los clientes Enterprise. Estas notificaciones se activan cuando Cloudflare detecta cambios inesperados en el tráfico, y ofrecen otra valiosa perspectiva del estado de tus sistemas.

Los cambios inesperados del tráfico pueden indicar muchas cosas. Si operas un sitio de comercio electrónico y observas un pico de tráfico, esto podría ser una buena noticia: quizás los clientes están acudiendo en masa a tu venda o simplemente se acaba de emitir un anuncio tuyo en un conocido programa televisivo. Sin embargo, también podría significar que algo va mal: quizás alguien ha desactivado accidentalmente una regla de firewall, y ahora ves más tráfico malicioso. En cualquier caso, posiblemente desearás saber que algo ha cambiado.

De la misma forma, una caída repentida del tráfico podría significar muchas cosas. Quizás es viernes por la tarde y todos tus empleados están cerrando sus sesiones y han dejado de acceder al sitio web de la empresa. O quizás un enlace a tu sitio no funciona, y ahora los clientes potenciales no pueden acceder a él. Si hay poco tráfico, lo querrás saber lo antes posible a fin de investigar las causas, puesto que cada minuto que pase podría significar la pérdida de ingresos potenciales.

¿Cómo podemos saber cuándo enviar una alerta?

Es difícil calcular bien las anomalías en conjuntos de datos de series temporales. El método más sencillo es mediante umbrales básicos. No obstante, como ya hemos mencionado anteriormente en el blog, los umbrales simples no son muy precisos para intentar determinar cuándo algo realmente falla. Existen demasiados casos límite para que funcionen con eficacia.

Calcular las anomalías en los errores HTTP es relativamente fácil. Sabemos que, en general, debería haber un número muy pequeño de errores, por lo que cualquier pico es malo y por lo tanto motivo de alerta. Por esta razón, utilizamos objetivos de nivel de servicio (SLO) para calcular las anomalías de nuestras notificaciones de tasa de error HTTP.

No obstante, el análisis del tráfico HTTP global es más similar al de los sucesos de seguridad de Cloudflare: hay alguna línea base general de sucesos que se calcula a partir de las tendencias históricas. Cualquier desviación de esa línea base es motivo de alerta. A causa de estas similitudes, hemos decidido utilizar los mismos cálculos para las notificaciones de las anomalías de tráfico que los que hemos utilizado anteriormente para las notificaciones de los sucesos de seguridad: las puntuaciones z. Esto implica comparar el valor actual con la media a lo largo de un periodo de tiempo. La puntuación z indica a cuántas desviaciones estándar de la media está el valor actual.

Gráfico del tráfico HTTP en relación con las puntuaciones z. La línea azul es el tráfico HTTP, la morada es el límite de la puntuación z positiva del tráfico, y la verde es el límite de la puntuación z negativa del tráfico.

Para las notificaciones de las anomalías de tráfico, comparamos el tráfico de los últimos 5 minutos (la ventana corta) con la media del tráfico durante las últimas 4 horas (la ventana larga). Las puntuaciones z positivas indican un pico, y las puntuaciones z negativas indican una caída. Si el valor actual está a más de 3,5 desviaciones estándar de la media, enviamos una alerta. Realizamos la medición cada 5 minutos, por lo que podemos enviar cualquier alerta sobre picos o caídas del tráfico sin demora.

El grupo verde es la ventana larga y el grupo rojo es la ventana corta.

Mientras que nuestras notificaciones de sucesos de seguridad solo se activan cuando hay un pico en los sucesos de seguridad (una caída es casi siempre una buena señal), en el caso de las anomalías de tráfico enviamos notificaciones para picos y para caídas. Esto se debe a que una caída del tráfico HTTP probablemente indica un problema, y un pico podría ser bueno o malo.

Al igual que con los sucesos de seguridad, las anomalías de tráfico admiten los umbrales mínimos. Esto significa que, incluso si determinamos que un suceso esta a más de las 3,5 desviaciones estándar, en el caso de que el número de sucesos no sea significativo, no enviamos ninguna alerta. Ya se trate de un pico o de una caída, estos deben representar al menos 200 solicitudes. Esto reduce el ruido de notificaciones, puesto que no enviamos alertas acerca de picos o caídas pequeños.

Un análisis más detallado

Cloudflare almacena la muestra de estadísticas de las solicitudes que atraviesan su red en Clickhouse. Cada minuto, tomamos el tráfico HTTP de Clickhouse y lo almacenamos en una instancia de VictoriaMetrics, una solución de almacenamiento de datos de series temporales. VictoriaMetrics nos proporciona de forma gratuita funciones algorítmicas listas para usar, y se ajusta a nuestro caso de uso. Elegimos VictoriaMetrics por diversas razones.

En primer lugar, es fácil de configurar y operar. Como equipo, queremos optimizar la carga operativa, y VictoriaMetrics ha sido una gran ayuda hasta la fecha. En segundo lugar, VictoriaMetrics dispone de escalabilidad horizontal, lo que significa que podemos ejecutar esta solución en modo de alta disponibilidad. Para un sistema de este tipo, donde queremos una herramienta fiable para calcular información urgente para nuestros clientes, la alta disponibilidad es un requisito fundamental. Por último, en nuestras pruebas constatamos que VictoriaMetrics, para el mismo caso de uso, utilizaba aproximadamente una tercera parte de la memoria que Prometheus, un producto alternativo similar.

Una vez que tenemos los datos en VictoriaMetrics, podemos ejecutar consultas en ellos y determinar si necesitamos enviar alertas a nuestros clientes, en función de las configuraciones de notificación que estos hayan creado previamente. Para ello, utilizamos nuestro sistema de notificación de alertas existente, acerca del que hablamos por primera vez en el blog en 2019. Sabemos que podemos depender de nuestro sistema de notificación actual en la última milla para la entrega de estas notificaciones críticas a nuestros clientes.

Flujo de datos de una solicitud HTTP a una notificación

Setting up the Notification

Para configurar esta notificación, ve a la pestaña "Notificaciones" del panel de control. Selecciona Anomalías de tráfico como tipo de notificación. Al igual que con todas las notificaciones de Cloudflare, puedes asignar un nombre y una descripción a tu notificación, y elegir cómo deseas recibirla.

Notificación de anomalías de tráfico en el panel de control

Puedes elegir en qué dominios deseas supervisar las anomalías de tráfico, si deseas incluir tráfico que ya mitigan los productos de DoS o WAF de Cloudflare, y si hay códigos de estado específicos que deseas incluir o excluir. También puedes seleccionar si deseas recibir alertas acerca de picos de tráfico, acerca de caídas del tráfico, o en ambos casos.

Nos complace utilizar este sistema para entregar a nuestros clientes Enterprise valiosas notificaciones acerca del estado global de sus sistemas. Ve a la pestaña Notificaciones del panel de control para echar ahora un vistazo a esta nueva notificación.

Protegemos redes corporativas completas, ayudamos a los clientes a desarrollar aplicaciones web de forma eficiente, aceleramos cualquier sitio o aplicación web, prevenimos contra los ataques DDoS, mantenemos a raya a los hackers, y podemos ayudarte en tu recorrido hacia la seguridad Zero Trust.

Visita 1.1.1.1 desde cualquier dispositivo para empezar a usar nuestra aplicación gratuita y beneficiarte de una navegación más rápida y segura.

Para saber más sobre nuestra misión para ayudar a mejorar Internet, empieza aquí. Si estás buscando un nuevo rumbo profesional, consulta nuestras ofertas de empleo.
Noticias de productosNotifications (ES)Network Services

Síguenos en X

Cloudflare|@cloudflare

Publicaciones relacionadas

24 de octubre de 2024, 13:00

Durable Objects aren't just durable, they're fast: a 10x speedup for Cloudflare Queues

Learn how we built Cloudflare Queues using our own Developer Platform and how it evolved to a geographically-distributed, horizontally-scalable architecture built on Durable Objects. Our new architecture supports over 10x more throughput and over 3x lower latency compared to the previous version....