Ataques DDoS: definición, ejemplos y técnicas

[14/02/2022] Un ataque distribuido de denegación de servicio (DDoS) es cuando un atacante, o atacantes, intentan hacer imposible la entrega de un servicio. Esto se puede lograr bloqueando el acceso a prácticamente cualquier cosa: servidores, dispositivos, servicios, redes, aplicaciones, e incluso transacciones específicas dentro de las aplicaciones. En un ataque DoS, un sistema es el que envía datos o solicitudes maliciosas; en un ataque DDoS, proviene de múltiples sistemas.

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

Generalmente, estos ataques funcionan ahogando un sistema con solicitudes de datos. Esto podría implicar el envío desmedido de solicitudes a un servidor web de una página, la cual termina bloqueándose al no poder lidiar con la demanda, o podría ser una base de datos que recibe un gran volumen de consultas. El resultado es que el ancho de banda de Internet disponible, la capacidad de la CPU y la RAM se ven abrumados.

El impacto podría variar desde una molestia menor por la interrupción de los servicios hasta dejar fuera de línea por completo a páginas web, aplicaciones o incluso negocios.

¿Cómo funcionan los ataques DDoS?

Las botnets de DDoS son el núcleo de cualquier ataque DDoS. Una red de bots consiste en cientos o miles de máquinas, llamadas zombis o bots, controladas por un hacker malicioso. Los atacantes recolectarán estos sistemas al identificar sistemas vulnerables que pueden infectar con malware a través de ataques de phishing, ataques de publicidad maliciosa y otras técnicas de infección masiva. Las máquinas infectadas pueden variar desde PCs comunes para el hogar o la oficina hasta dispositivos DDoS -la red de bots Mirai dirigió un ejército de cámaras de vigilancia hackeadas- y es casi seguro que sus propietarios no saben que se han visto comprometidos, ya que las cámaras continúan funcionando normalmente en la mayoría de los casos.

Las máquinas infectadas esperan un comando remoto de un llamado servidor de comando y control, que sirve como centro de comando para el ataque y, a menudo, es en sí mismo una máquina hackeada. Una vez liberados, todos los bots intentan acceder a algún recurso o servicio que la víctima pone a disposición en línea. Individualmente, las solicitudes y el tráfico de red, dirigido hacia la víctima desde cada bot, serían inofensivos y normales. Sin embargo, debido a la cantidad, las solicitudes a menudo abruman las capacidades del sistema de destino, y debido a que los bots son generalmente computadoras ordinarias ampliamente distribuidas en Internet, puede ser difícil o imposible bloquear su tráfico sin cortar a los usuarios legítimos en el proceso.

Existen tres clases principales de ataques DDoS, que se distinguen principalmente por el tipo de tráfico que lanzan a los sistemas de las víctimas:

1. Los ataques basados en volumen usan cantidades masivas de tráfico falso para abrumar un recurso como una página web o un servidor. Incluyen ICMP, UDP y ataques de inundación de paquetes falsificados. El tamaño de un ataque basado en el volumen se mide en bits por segundo (bps).
2. Los ataques DDoS de protocolo o capa de red envían grandes cantidades de paquetes a infraestructuras de red y herramientas de administración de infraestructura específicas. Estos ataques de protocolo incluyen inundaciones SYN y Smurf DDoS, entre otros, y su tamaño se mide en paquetes por segundo (PPS).
3. Los ataques a la capa de aplicación se llevan a cabo inundando las aplicaciones con solicitudes creadas con fines maliciosos. El tamaño de los ataques a la capa de aplicación se mide en solicitudes por segundo (RPS).

Las técnicas importantes utilizadas en todos los tipos de ataques DDoS incluyen:

• Spoofing: decimos que un atacante falsifica un paquete IP cuando cambia u ofusca información en su encabezado que debería decirle de dónde proviene. Debido a que la víctima no puede ver la fuente real del paquete, no puede bloquear los ataques provenientes de esa fuente.
• Reflexión: el atacante puede crear una dirección IP falsificada para que esta aparente provenir de la víctima prevista, luego enviar ese paquete a un sistema de terceros, que "responde” a la víctima. Esto hace que sea aún más difícil para el objetivo comprender de dónde proviene realmente un ataque.
• Amplificación: se puede engañar a ciertos servicios en línea para que respondan a paquetes con paquetes muy grandes o con paquetes múltiples.

Estas tres técnicas se pueden combinar en lo que se conoce como un ataque DDoS de reflexión/amplificación, que se ha vuelto cada vez más común.

Cómo identificar los ataques DDoS

Los ataques DDoS pueden ser difíciles de diagnosticar. Después de todo, los ataques se parecen superficialmente a una avalancha de tráfico procedente de solicitudes legítimas de usuarios legítimos. Pero existen formas de distinguir el tráfico artificial de un ataque DDoS del tráfico más "natural” que esperaría obtener de un usuario real. A continuación, cuatro síntomas de ataques DDoS que debería tener en cuenta:

• A pesar de las técnicas de suplantación de identidad o distribución, muchos ataques DDoS se originarán en un rango restringido de direcciones IP o en un solo país o región -quizás una región en la que normalmente no ve mucho tráfico.
• De manera similar, puede notar que todo el tráfico proviene del mismo tipo de cliente, con el mismo sistema operativo y navegador web que se muestra en sus solicitudes HTTP, en lugar de mostrar la diversidad que esperaría de los visitantes reales.
• El tráfico puede concentrarse en un solo servidor, puerto de red o página web, en lugar de distribuirse uniformemente en su sitio.
• El tráfico podría venir en ondas o patrones cronometrados regularmente.

Cómo detener un ataque DDoS

Mitigar un ataque DDoS es difícil porque, como se señaló anteriormente, el ataque toma la forma de tráfico web del mismo tipo que usan sus clientes legítimos. Sería fácil "detener” un ataque DDoS en su página web simplemente bloqueando todas las solicitudes HTTP y, de hecho, hacerlo puede ser necesario para evitar que su servidor se bloquee. Pero hacer eso también impide que cualquier otra persona visite su página web, lo que significa que sus atacantes han logrado sus objetivos.

Si puede distinguir el tráfico DDoS del tráfico legítimo, como se describe en la sección anterior, eso puede ayudar a mitigar el ataque mientras mantiene sus servicios parcialmente en línea: por ejemplo, si sabe que el tráfico de ataque proviene de fuentes de Europa del Este, puede bloquear Direcciones IP de esa región geográfica. Una buena técnica preventiva es cerrar cualquier servicio expuesto públicamente que no esté utilizando. Los servicios que pueden ser vulnerables a los ataques de la capa de aplicación se pueden desactivar sin afectar su capacidad para servir páginas web.

Sin embargo, en general, la mejor manera de mitigar los ataques DDoS es simplemente tener la capacidad de soportar grandes cantidades de tráfico entrante. Dependiendo de su situación, eso podría significar reforzar su propia red o hacer uso de una red de entrega de contenido (CDN, por sus siglas en inglés), un servicio diseñado para acomodar grandes cantidades de tráfico. Puede que su proveedor de servicios de red ya cuente con sus propios servicios de mitigación que usted podría utilizar.

Razones de los ataques DDoS

Un DDoS es un instrumento contundente de un ataque. A diferencia de una infiltración exitosa, no le brinda ningún dato privado ni le da control sobre la infraestructura de su objetivo. Simplemente deja fuera de línea su infraestructura cibernética. Aún así, en un mundo donde tener presencia en la web es imprescindible para casi cualquier negocio, un ataque DDoS puede ser un arma destructiva dirigida a un enemigo. Las personas pueden lanzar ataques DDoS para dejar fuera de línea a rivales comerciales o políticos -la red de bots Mirai fue diseñada como un arma en una guerra entre los proveedores de servidores de Minecraft, y hay evidencia de que los servicios de seguridad rusos estaban preparando un ataque similar en algún momento. Y aunque un ataque DDoS no es lo mismo que un ataque de ransomware, los atacantes DDoS a veces se ponen en contacto con sus víctimas y prometen apagar los paquetes a cambio de algo de Bitcoin.

Herramientas DDoS: booters y stressers

Y, a veces, los atacantes DDoS solo lo hacen por el dinero -no por su dinero, sino por el de alguien que quiere eliminar su página web. Las herramientas llamadas booters y stressers están disponibles en las partes más indecorosas de Internet, que esencialmente brindan DDoS como servicio a los clientes interesados. Aquí se ofrece acceso a botnets, listos para utilizarse con el clic de un botón, por un precio determinado.

¿Los ataques DDoS son ilegales?

Es posible que vea un argumento que diga algo así: no es ilegal enviar tráfico web o solicitudes a través de Internet a un servidor y, por lo tanto, los ataques DDoS, que solo agregan una cantidad abrumadora de tráfico web, no pueden considerarse un delito. Sin embargo, se trata de un malentendido fundamental de la ley. Dejando de lado por el momento que el acto de hackear una computadora para convertirla en parte de una red de botnets es ilegal, la mayoría de las leyes contra el crimen cibernético en Estados Unidos y el Reino Unido, entre otros países, está extensamente orientadas a criminalizar cualquier acto que perjudique deliberadamente la operación de una computadora o servicio en línea, en lugar de especificar técnicas particulares. Sin embargo, simular un ataque DDoS -con el consentimiento de la organización objetivo y con el fin de realizar pruebas de estrés en su red- es legal.

Ataques DDoS en la actualidad

Como se mencionó anteriormente, cada vez es más común que estos ataques sean realizados por botnets alquilados. Espere que esta tendencia continúe.

Otra tendencia es el uso de múltiples vectores de ataque dentro de un ataque, también conocido como denegación de servicio persistente avanzada (APDoS, por sus siglas en inglés). Por ejemplo, un ataque APDoS puede involucrar la capa de aplicación, como ataques contra bases de datos y aplicaciones, así como directamente en el servidor. "Esto va más allá de una simple 'inundación'”, afirma Chuck Mackey, director gerente de éxito de socios en Binary Defense.

Además, explica Mackey, los atacantes a menudo no solo atacan directamente a sus víctimas, sino también a las organizaciones de las que dependen, como los ISP y los proveedores de la nube. "Estos son ataques de gran alcance y alto impacto que están bien coordinados”, añade.

Esto también está cambiando el impacto de los ataques DDoS en las organizaciones y expandiendo su riesgo. "Las empresas ya no solo se preocupan por los ataques DDoS contra ellas mismas, sino por los ataques contra la gran cantidad de socios comerciales, vendedores y proveedores de los que dependen esas empresas”, señala Mike Overly, abogado de ciberseguridad de Foley & Lardner LLP. "Uno de los adagios más antiguos en seguridad es que una empresa es tan segura como su eslabón más débil. En el ambiente actual (como lo demuestran los delitos recientes), ese eslabón más débil puede ser -y con frecuencia lo es- alguna de las terceras partes involucradas”, agrega.

Basado en el artículo de Josh Fruhlinger (CSO) y editado por CIO Perú

Crédito foto: Google/Clker-Free-Vector-Images/JR Raphael / Pixabay

Puede ver también:

• Ataques DDoS: Cómo han evolucionado
• Los 10 más peligrosos actores de ciberamenazas
• Cómo funcionan los ataques a las API y cómo identificarlos y evitarlos
• 7 nuevas tácticas de ingeniería social
• 5 excelentes herramientas de seguridad integradas en Windows
• 21 herramientas de seguridad gratuitas
• ¿Qué es el cryptojacking? Cómo evitarlo, detectarlo y recuperarse de él
• 8 amenazas a la seguridad móvil que debería tomar en serio
• 6 tecnologías de seguridad para proteger a los trabajadores a distancia