¿Cómo funcionan los ataques DDoS?

Los ataques DDoS (Distributed Denial of Service) forman parte del arsenal de los ciberdelincuentes desde hace 20 años, y cada vez están más extendidos y son más fuertes. Por eso es importante conocerlos y aprender a combatirlos.

0
182

Un ataque DDoS (Distributed Denial of Service) se produce cuando uno o varios atacantes intentan hacer imposible la prestación de un servicio bloqueando el acceso a prácticamente todo: servidores, dispositivos, servicios, redes, aplicaciones e incluso transacciones específicas dentro de las aplicaciones. Un ataque DoS, es un sistema que envía datos o peticiones maliciosas; un ataque DDoS, en cambio, procede de múltiples sistemas.

Normalmente, estos ataques funcionan inundando un sistema con solicitudes de datos. Esto podría ser el caso de un servidor web que recibe tantas peticiones para servir una página que se bloquea en función de la demanda, o podría ser un golpe a la base de datos con un alto volumen de consultas. El resultado es que el ancho de banda de Internet, la CPU y la capacidad de memoria RAM disponibles se sobrecargan. El impacto podría ir desde una pequeña molestia hasta aplicaciones o incluso actividades enteras fuera de línea.

¿Cómo funcionan los ataques DDoS?
Las redes de bots DDoS están en el centro de cualquier ataque DDoS. Una red de bots se compone de cientos o miles de máquinas, llamadas zombis o bots, de las que un hacker malintencionado ha obtenido el control. Los atacantes cosechan redes de bots identificando sistemas vulnerables que pueden infectar con malware a través de ataques de phishing, ataques de malvertising y otras técnicas de infección masiva. Las máquinas infectadas pueden ser desde ordenadores domésticos o de oficina ordinarios hasta dispositivos de IoT (la red de bots Mirai tenía como objetivo un ejército de cámaras de vídeovigilancia pirateadas) y es casi seguro que sus propietarios no saben que han sido infectadas, ya que siguen funcionando con normalidad en la mayoría de los casos.

Las máquinas infectadas esperan una orden remota desde el llamado servidor de mando y control, que actúa como centro de mando del ataque y a menudo es una máquina hackeada. Una vez emitido el comando, todos los bots intentan acceder a algún recurso o servicio que la víctima pone a disposición en línea. Individualmente, las peticiones y el tráfico de red dirigidos por cada bot a la víctima serían inofensivos y normales. Pero al ser tantos, las peticiones suelen sobrecargar la capacidad del sistema de destino, y como los bots suelen ser ordenadores normales y corrientes ampliamente distribuidos en Internet, puede ser difícil o imposible bloquear su tráfico sin cortar al mismo tiempo a los usuarios legítimos.

Hay tres clases principales de ataques DDoS, que se distinguen principalmente por el tipo de tráfico que envían a los sistemas de las víctimas:

  • Los ataques basados en el volumen utilizan enormes cantidades de tráfico falso para saturar un recurso como un sitio web o un servidor. Incluyen ataques de inundación ICMP, UDP y paquetes falsificados. El tamaño de un ataque basado en el volumen se mide en bits por segundo (bps).
  • Los ataques DDoS a nivel de protocolo o de red envían un gran número de paquetes a las infraestructuras de red y a las herramientas de gestión de la infraestructura objetivo. Estos ataques de protocolo incluyen SYN flood y Smurf DDoS, entre otros, y su tamaño se mide en paquetes por segundo (PPS).
  • Los ataques a nivel de aplicación se realizan inundando las aplicaciones con peticiones maliciosas. El tamaño de los ataques a nivel de aplicación se mide en solicitudes por segundo (RPS).

Las técnicas utilizadas en todos los tipos de ataques DDoS incluyen:

  • Spoofing: digamos que un usuario malintencionado falsea un paquete IP cuando modifica u oculta información en su cabecera que debería indicar su procedencia. Como la víctima no puede ver el verdadero origen del paquete, no puede bloquear los ataques procedentes de esa fuente.
  • Reflejo: El atacante puede crear una dirección IP falsa para que parezca que realmente se originó en la víctima prevista, y luego enviar ese paquete a un sistema de terceros, que «responde» a la víctima. Esto hace que sea aún más difícil para el objetivo entender de dónde viene realmente un ataque.
  • Amplificación: Algunos servicios en línea pueden ser engañados para que respondan a los paquetes con paquetes muy grandes o con múltiples paquetes.

Estas tres técnicas pueden combinarse en lo que se conoce como un ataque DDoS de reflexión/amplificación, que por cierto se ha vuelto cada vez más común.

Cómo identificar los ataques DDoS
Los ataques DDoS pueden ser difíciles de diagnosticar. Al fin y al cabo, se parecen superficialmente a un flujo de tráfico de solicitudes legítimas de usuarios legítimos. Pero hay formas de distinguir el tráfico artificial de un ataque DDoS del tráfico más «natural» que se espera obtener de los usuarios reales. Aquí hay cuatro síntomas de ataques DDoS a los que hay que prestar atención:

  • A pesar de las técnicas de suplantación (spoofing), muchos ataques DDoS se originan en un estrecho rango de direcciones IP o en un solo país o región, quizás una región desde la que normalmente no se ve mucho tráfico.
  • Del mismo modo, podría notar que todo el tráfico proviene del mismo tipo de cliente, con el mismo sistema operativo y el mismo navegador web mostrado en sus peticiones HTTP, en lugar de mostrar la diversidad que se esperaría de los visitantes legítimos.
  • El tráfico puede llegar a un solo servidor, puerto de red o página web, en lugar de repartirse uniformemente por su sitio.
  • El tráfico puede llegar en oleadas o a través de patrones regularmente programados.

Cómo detener un ataque DDoS
La mitigación de un ataque DDoS es difícil porque, como se ha señalado anteriormente, el ataque toma la forma de tráfico web del mismo tipo utilizado por sus clientes legítimos. Sería fácil «detener» un ataque DDoS en su sitio web simplemente bloqueando todas las peticiones HTTP, y de hecho puede ser necesario hacerlo para evitar que su servidor se caiga. Pero esto también impide que cualquier otra persona visite su sitio, lo que significa que los atacantes han logrado su objetivo.

Si puede distinguir el tráfico DDoS del tráfico legítimo como se describe en la sección anterior, esto puede ayudar a mitigar el ataque manteniendo sus servicios al menos parcialmente en línea Por ejemplo, si sabe que el tráfico de ataque proviene de fuentes de Europa del Este, puede bloquear las direcciones IP de esa región geográfica. Una buena técnica preventiva es detener todos los servicios expuestos públicamente que no esté utilizando. Los servicios que pueden ser vulnerables a los ataques a nivel de aplicación pueden ser desactivados sin afectar su capacidad de servir páginas web.

En general, sin embargo, la mejor manera de mitigar los ataques DDoS es simplemente tener la capacidad de soportar grandes cantidades de tráfico entrante. Dependiendo de la situación, esto podría significar la actualización de su red o el uso de una red de distribución de contenidos (CDN), un servicio diseñado para acomodar enormes cantidades de tráfico. Su proveedor de servicios de red puede tener sus propios servicios de mitigación que puede utilizar.

¿Por qué existen los ataques DDoS?
A diferencia de una infiltración exitosa, un ataque DDoS no le da el control sobre el objetivo que quiere atacar. Simplemente se desconecta la infraestructura informática. Sin embargo, en un mundo en el que tener presencia en la web es imprescindible para cualquier empresa, un ataque DDoS puede ser un arma destructiva dirigida a un enemigo.

La gente podría lanzar ataques DDoS para desconectar a rivales corporativos o políticos: la red de bots Mirai fue diseñada como arma en una guerra entre proveedores de servidores de Minecraft, y hay pruebas de que los servicios de seguridad rusos estaban preparando un ataque similar en algún momento. Y aunque un ataque DDoS no es lo mismo que un ataque de ransomware, los atacantes DDoS a veces se ponen en contacto con sus víctimas y prometen detener el ataque a cambio de algo de Bitcoin.

Herramientas de DDoS: Booters y stressers
A veces, los atacantes DDoS lanzan estos ataques sólo por el dinero; no por el dinero de usted, sino por el de alguien que quiere derribar su sitio web. Las herramientas denominadas booters y stressers están disponibles en la Dark Web y esencialmente proporcionan DDoS-como-servicio a los clientes interesados, ofreciendo por un precio el acceso a redes de bots listas que pueden ser activadas y «desatadas» con un clic del ratón.

¿Es ilegal un ataque DDoS?
No es ilegal enviar tráfico web o peticiones a través de Internet a un servidor, por lo que los ataques DDoS, que no son más que la agregación de una gran cantidad de tráfico web, no pueden considerarse un delito. Sin embargo, se trata de un malentendido legislativo. Dejando de lado por el momento que el acto de piratear un ordenador para convertirlo en parte de una red de bots es ilegal, la mayoría de las leyes contra la delincuencia de Estados Unidos, Reino Unido y muchos otros países penalizan cualquier acto que perjudique el funcionamiento de un ordenador o servicio en línea, en lugar de especificar técnicas concretas. Sin embargo, es legal simular un ataque DDoS con el consentimiento de la organización objetivo con el fin de probar la tensión de su red.

Ataques DDoS en la actualidad
Como se ha mencionado anteriormente, cada vez es más común que estos ataques sean realizados por botnets contratadas, y esta tendencia va a continuar. Otra tendencia es el uso de múltiples vectores de ataque dentro de un ataque, también conocido como Denegación de Servicio Persistente Avanzada (Advanced Persistent Denial-of-Service o APDoS). Por ejemplo, un ataque APDoS puede afectar a la capa de aplicación, pero también puede dirigirse a las bases de datos y actuar directamente sobre el servidor.

Además, los atacantes a menudo no sólo atacan directamente a sus víctimas, sino también a las organizaciones de las que dependen, como los ISP y los proveedores de servicios en la nube. En resumen, estos ataques están bien coordinados, son de gran alcance y de alto impacto, y por lo tanto son mucho más destructivos.

Esta tendencia también está cambiando el impacto de los ataques DDoS en las organizaciones. Las empresas ya no se enfrentan sólo a los ataques DDoS contra ellas mismas, sino a los ataques contra el gran número de socios comerciales y proveedores de los que dependen, afirma Mike Overly, abogado especializado en ciberseguridad de Foley & Lardner LLP. «Un viejo dicho sobre la seguridad dice que una empresa es tan segura como su eslabón más débil. En el entorno actual (como demuestran las recientes violaciones), el eslabón más débil puede ser, y a menudo lo es, uno de los terceros (en este caso un partner).»

Redacción CambioDigital OnLine

Custom Text
Artículo anteriorSASE en el radar de algunas empresas, según informe de AT&T Business
Artículo siguienteDigitel incorpora a BanescOnline y Multipagos Banesco entre sus opciones de recargas y pagos