[04/04/2021] Un ataque de denegación de servicio distribuido (DDoS) es cuando un atacante, o atacantes, intentan hacer imposible la prestación de un servicio. Esto puede lograrse frustrando el acceso a prácticamente cualquier cosa: servidores, dispositivos, servicios, redes, aplicaciones e incluso transacciones específicas dentro de estas. Un ataque DDoS proviene de múltiples sistemas, pero es uno el que envía los datos o peticiones maliciosas.
Generalmente, estos ataques funcionan ahogando un sistema con peticiones de datos. Esto podría ser enviar a un servidor web tantas solicitudes para servir una página que se bloquea bajo la demanda, o una base de datos que es golpeada con un alto volumen de consultas. El resultado es que el ancho de banda de Internet disponible, la CPU y la capacidad de RAM se ven desbordados.
El impacto puede ir desde una pequeña molestia por la interrupción de los servicios hasta la pérdida de sitios web completos, aplicaciones o incluso de toda la empresa.
3 tipos de ataques DDoS
Hay tres clases principales de ataques DDoS:
- Los ataques basados en el volumen utilizan cantidades masivas de tráfico falso para saturar un recurso como un sitio web o un servidor. Incluyen ataques ICMP, UDP y de inundación de paquetes falsos. El tamaño de un ataque basado en el volumen se mide en bits por segundo (bps).
- Los ataques DDoS de protocolo o de capa de red envían un gran número de paquetes a las infraestructuras de red y a las herramientas de gestión de infraestructuras. Estos ataques de protocolo incluyen las inundaciones SYN y el Smurf DDoS, entre otros, y su tamaño se mide en paquetes por segundo (PPS).
- Los ataques a la capa de aplicación se llevan a cabo inundando las aplicaciones con peticiones maliciosamente elaboradas. El tamaño de los ataques a la capa de aplicación se mide en peticiones por segundo (RPS).
Para cada tipo de ataque, el objetivo es siempre el mismo: hacer que los recursos en línea sean lentos o no respondan en lo absoluto.
Síntomas de un ataque DDoS
Los ataques DDoS pueden parecerse a muchas de las cosas no maliciosas que pueden causar problemas de disponibilidad, como un servidor o sistema caído, demasiadas peticiones legítimas de usuarios legítimos o incluso un cable cortado. A menudo se requiere un análisis del tráfico para determinar lo que está ocurriendo exactamente.
Cronología de un ataque DDoS
Fue un ataque que cambiaría para siempre la forma de ver los ataques de denegación de servicio. A principios del año 2000, el estudiante de secundaria canadiense Michael Calce, también conocido como MafiaBoy, atacó a Yahoo! con un ataque de denegación de servicio distribuido (DDoS) que consiguió cerrar una de las principales potencias web de la época. En el transcurso de la semana siguiente, Calce apuntó y logró interrumpir otros sitios web como Amazon, CNN y eBay.
Ciertamente no fue el primer ataque DDoS, pero esa serie de ataques altamente públicos y exitosos transformó los ataques de denegación de servicio de novedad y molestia menor, a poderosos perturbadores de negocios en las mentes de los CISOs y CIOs para siempre.
Desde entonces, los ataques DDoS se han convertido en una amenaza demasiado frecuente, ya que se utilizan habitualmente para vengarse, realizar extorsiones, como medio de activismo en línea, e incluso para librar una ciberguerra.
También se han hecho más grandes a lo largo de los años. A mediados de la década del 90, un ataque podía consistir en 150 peticiones por segundo y habría sido suficiente para hacer caer muchos sistemas. Hoy pueden superar los 1000 Gbps. Esto ha sido impulsado por el gran tamaño de las redes de bots modernas.
En octubre del 2016, el proveedor de servicios de infraestructura de Internet Dyn DNS (ahora Oracle DYN) se vio atrapado por una ola de consultas DNS procedentes de decenas de millones de direcciones IP. Ese ataque, ejecutado a través de la red de bots Mirai, supuestamente infectó más de 100 mil dispositivos IoT, incluyendo cámaras IP e impresoras. En su punto álgido, Mirai llegó a tener 400 mil bots. Se interrumpieron servicios como Amazon, Netflix, Reddit, Spotify, Tumblr y Twitter.
A principios del 2018 comenzó a surgir una nueva técnica de DDoS. El 28 de febrero, el servicio de alojamiento de control de versiones GitHub sufrió un ataque masivo de denegación de servicio, con un tráfico de 1,35TB por segundo. Aunque GitHub solo quedó fuera de servicio de forma intermitente y consiguió superar el ataque por completo tras menos de 20 minutos, la magnitud de este fue preocupante, ya que superó al de Dyn, que había alcanzado un máximo de 1,2TB por segundo.
Un análisis de la tecnología que impulsó el ataque reveló que, en cierto modo, era más sencillo que otros. Mientras que el ataque a Dyn fue producto de la red de bots Mirai, que requirió de malware para infestar miles de dispositivos IoT, el ataque a GitHub explotó servidores que ejecutaban el sistema de almacenamiento en caché Memcached, que puede devolver trozos muy grandes de datos en respuesta a simples solicitudes.
Memcached está pensado para ser utilizado solo en servidores protegidos que se ejecutan en redes internas, y por lo general tiene poca seguridad para evitar que los atacantes maliciosos suplanten las direcciones IP y envíen enormes cantidades de datos a víctimas desprevenidas. Desgraciadamente, miles de servidores Memcached se encuentran en la red abierta, y se ha producido un enorme aumento de su uso en ataques DDoS. Decir que los servidores están "secuestrados" no es justo, ya que enviarán alegremente paquetes a donde se les indique sin hacer preguntas.
Apenas unos días después del ataque a GitHub, otro ataque DDoS basado en Memecached golpeó a un proveedor de servicios estadounidense con 1,7TB de datos por segundo.
La red de bots Mirai fue significativa porque, a diferencia de la mayoría de los ataques DDoS, aprovechó dispositivos IoT vulnerables en lugar de PCs y servidores, lo que resulta especialmente aterrador si se tiene en cuenta que para el 2020, según BI Intelligence, habrá 34 mil millones de dispositivos conectados a Internet y la mayoría (24 mil millones) serán dispositivos IoT.
Desafortunadamente, Mirai no será la última red de bots impulsada por IoT. Una investigación llevada a cabo por los equipos de seguridad de Akamai, Cloudflare, Flashpoint, Google, RiskIQ y Team Cymru descubrió una red de bots de tamaño similar, denominada WireX, compuesta por 100 mil dispositivos Android comprometidos en 100 países. Una serie de grandes ataques DDoS dirigidos a los proveedores y a las redes de entrega de contenidos impulsó la investigación.
El 21 de junio de 2020, Akamai informó que había mitigado un ataque DDoS a un gran banco europeo que alcanzó un máximo de 809 millones de paquetes por segundo (Mpps), el mayor volumen de paquetes jamás visto. Este ataque fue diseñado para sobrecargar el equipo de red y las aplicaciones en el centro de datos del objetivo mediante el envío de miles de millones de paquetes pequeños (29 bytes incluyendo la cabecera IPv4).
Los investigadores de Akamai dijeron que este ataque era único debido al gran número de direcciones IP de origen utilizadas. "El número de IPs de origen que registraron el tráfico hacia el destino del cliente aumentó sustancialmente durante el ataque, lo que indica que era de naturaleza altamente distribuida. Vimos un incremento de más de 600 veces el número de IPs de origen por minuto, en comparación con lo que normalmente observamos para este destino del cliente", señalaron los investigadores.
Los ataques DDoS en la actualidad
Aunque el volumen de los ataques DDoS ha disminuido con el tiempo, siguen siendo una amenaza importante. Kaspersky Labs informa que el número de ataques DDoS para el segundo trimestre del 2019 aumentó un 32% con respecto al tercer trimestre del 2018, principalmente debido a un pico de ataques en septiembre. Para el 2020, Cloudflare informó que el volumen de ataques DDoS aumentó cada trimestre, excepto el cuarto.
De acuerdo con Kaspersky, las redes de bots descubiertas recientemente, como Torii y DemonBot, capaces de lanzar ataques DDoS, son preocupantes. Torii es capaz de apoderarse de una serie de dispositivos IoT y se considera más persistente y peligroso que Mirai. DemonBot secuestra clústeres Hadoop, lo que le da acceso a más potencia de cálculo/potencia informática/capacidad de procesamiento/capacidad informática.
Otra tendencia alarmante es la disponibilidad de nuevas plataformas de lanzamiento de DDoS como 0x-booter. Este DDos-como-Servicio aprovecha unos 16 mil dispositivos IoT infectados con el malware Bushido, una variante de Mirai.
Un informe sobre DDoS de Imperva encontró que la mayoría de los ataques DDoS en el 2019 fueron relativamente pequeños. Por ejemplo, los ataques en la capa de red no solían superar los 50 millones de PPS. Los autores del informe atribuyeron esto a los servicios de DDoS por encargo, que ofrecen ataques ilimitados pero pequeños. Imperva sí vio algunos ataques muy grandes en el 2019, incluyendo uno en la capa de red que alcanzó 580 millones de PPS y otro en la capa de aplicación que alcanzó un pico de 292 mil RPS y duró 13 días.
Esa tendencia cambió en el cuarto trimestre del 2020 cuando Cloudflare reportó un "repunte masivo" en el número de ataques de más de 500Mbps y 50K pps. Esos ataques también se volvieron más persistentes, ya que casi el 9% de los observados entre octubre y diciembre duraron más de 24 horas.
Cloudflare también observó lo que llamó una "tendencia desconcertante" en el aumento del número de ataques RDDoS en el 2020, en los que las organizaciones recibían una amenaza de un ataque DDoS que interrumpiría sus operaciones a menos de que se pague un rescate. Las partes maliciosas tienden a dirigirse a las víctimas que son menos capaces de responder y recuperarse de un ataque de este tipo.
Herramientas de ataque DDoS
Normalmente, los atacantes de DDoS se basan en botnets -colecciones de una red de sistemas infectados con malware que se controlan de forma centralizada. Estos puntos finales infectados suelen ser computadoras y servidores, pero cada vez son más los dispositivos móviles y de IoT. Los atacantes cosecharán estos sistemas identificando sistemas vulnerables que pueden infectar a través de ataques de phishing, ataques de malvertising y otras técnicas de infección masiva. Cada vez más, los atacantes también alquilarán estas redes de bots a quienes las hayan construido.
Cómo evolucionan los ataques DDoS
Como ya se ha mencionado brevemente, cada vez es más común que estos ataques sean realizados por botnets alquilados. Es de esperar que esta tendencia continúe.
Otra tendencia es el uso de múltiples vectores de ataque dentro de un ataque, también conocido como APDoS (Advanced Persistent Denial-of-Service). Por ejemplo, un ataque APDoS puede involucrar a la capa de aplicación, tales como ataques contra bases de datos y aplicaciones, así como directamente en el servidor. "Esto va más allá del simple ataque de inundación", señala Chuck Mackey, director general de partner success en Binary Defense.
Además, explica Mackey, los atacantes no suelen dirigirse directamente a sus víctimas, sino también a las organizaciones de las que dependen, como los proveedores de servicios de Internet y los de la nube. "Se trata de ataques de gran alcance e impacto que están bien coordinados", sostiene.
Esto también está cambiando el impacto de los ataques DDoS en las organizaciones y expandiendo su riesgo. "Las empresas ya no se preocupan únicamente de los ataques DDoS contra ellas mismas, sino de los ataques contra el gran número de socios comerciales, vendedores y proveedores de los que dependen", afirma Mike Overly, abogado especializado en ciberseguridad de Foley & Lardner LLP. "Uno de los adagios más antiguos en materia de seguridad es que una empresa es tan segura como su eslabón más débil. En el entorno actual (como demuestran las recientes violaciones), ese eslabón más débil puede ser, y con frecuencia es, uno de los terceros", afirma.
Por supuesto, mientras los delincuentes perfeccionen sus ataques DDoS, la tecnología y las tácticas no se detendrán. Como explica Rod Soto, director de investigación de seguridad de JASK, la incorporación de nuevos dispositivos IoT y el aumento del aprendizaje automático y la IA desempeñarán un papel en el cambio de estos ataques. "Los atacantes acabarán integrando estas tecnologías en estos, haciendo más difícil para los defensores ponerse al día con los ataques DDoS, específicamente aquellos que no pueden ser detenidos por simples ACLs o firmas. La tecnología de defensa DDoS tendrá que evolucionar también en esa dirección", afirma Soto.
Basado en el artículo de Josh Fruhlinger (CSO) y editado por CIO Perú