Prácticas recomendadas: medidas preventivas de DDoS

​​ Información general

Después de unirte a Cloudflare, asegúrate de que tu sitio esté completamente preparado ante posibles ataques DDoS mediante las siguientes recomendaciones.

​​ Redirige mediante proxy tus registros DNS a Cloudflare

Los atacantes intentan identificar tu dirección IP de origen para atacar directamente tu servidor web de origen sin las protecciones de Cloudflare. Oculta su dirección IP de origen del ataque directo con el redireccionamiento mediante proxy del tráfico a Cloudflare.

Configura tus registros DNS para una protección máxima mediante los siguientes pasos:

1. Habilita el proxy de Cloudflare (nube-naranja) Open external link
2. Elimina los registros DNS utilizados para FTP o SSH y utiliza en su lugar tu IP de origen para llevar a cabo directamente solicitudes FTP o SSH. De forma alternativa, redirige mediante proxy el FTP y SSH con Cloudflare Spectrum.
3. Registros de nube-gris A, AAAA o CNAME correspondientes a tu servidor de correo Open external link
4. Elimina los registros comodín en los dominios Free, Pro o Business, ya que revelan tu dirección IP de origen. Cloudflare solo protege los registros comodín para dominios en planes Enterprise Open external link .

​​ No limites la velocidad ni ahogues las solicitudes de las IP de Cloudflare

Una vez que redirijas mediante proxy el tráfico a Cloudflare, las conexiones a tu servidor web de origen provendrán de las  direcciones IP de Cloudflare Open external link . Por tanto, es importante que tu servidor web de origen  incluya en la lista blanca las direcciones IP de Cloudflare Open external link y bloquee de forma explícita el tráfico que no provenga de Cloudflare o de las direcciones IP de tu socio, proveedor o aplicación de confianza.

​​ Reestablece las IP original del visitante en tus registros del servidor de origen

Para ver las IP reales detrás de un ataque,  restaura las IP originales de los visitantes Open external link  en tus registros de servidor de origen. En caso contrario, todo el tráfico enumera las IP de Cloudflare en tus registros. Cloudflare siempre incluirá la dirección IP del visitante original en la solicitud,  como un encabezado HTTP Open external link  Informa a tu proveedor de alojamiento de que usas un proxy inverso y de que todo el tráfico provendrá de direcciones IP de Cloudflare al buscar conexiones actuales.

​​ Cambia las direcciones IP del servidor después de mover el sitio a Cloudflare

Cloudflare oculta las direcciones IP de tu servidor de origen para el tráfico que redirijas mediante proxy a Cloudflare. Como precaución de seguridad adicional, te recomendamos que contactes con tu proveedor de alojamiento y solicites nuevas IP de servidor de origen.

​​ Utiliza Rate Limiting para prevenir ataques de fuerza bruta y DDoS de capa 7

Para frustrar ataques disfrazados de solicitudes HTTP normales, Rate Limiting permite a los administradores de sitios web especificar umbrales específicos en la carga que esperan que reciba su servidor web. Con un simple clic, configura rate limiting básico para que proteja tus páginas de inicio de sesión de ataques de fuerza bruta Open external link .

Los planes Free, Pro y Business de Cloudflare incluyen 10 000 solicitudes gratuitas por mes. Para más detalles, consulta nuestra guía sobre  Rate Limiting de Cloudflare Open external link .

​​ Recursos relacionados

• Cómo comprender la protección DDoS de Cloudflare Open external link
• Cómo responder a los ataques DDoS
• ¿Qué es un ataque DDoS? Open external link