Ataque de denegación de servicio distribuido (DDoS)

Cómo funcionan los ataques DDoS

Un ataque DDoS comienza con una botnet. Una botnet es una red de computadoras que fueron infectadas con software malicioso diseñado para ataques DDoS y otros usos nefastos. Los usuarios pueden ser engañados para que descarguen el software infectado a través de emails de phishing, sitios web infectados e incluso redes sociales aprovechando exploits conocidos en software y sistemas operativos.

Una vez que estas computadoras están infectadas, el "organizador" de botnets puede controlar todas estas máquinas sin el conocimiento del usuario de forma remota desde una aplicación. Una vez que la botnet crece lo suficiente, la red se puede usar para lanzar un ataque contra cualquier objetivo.

Una vez que una botnet está lista, el atacante puede enviar un comando de inicio que hará que cada máquina de la botnet envíe una avalancha de solicitudes al objetivo previsto. Si el ataque supera las defensas, puede dominar rápidamente la mayoría de los sistemas, causando interrupciones del servicio y posiblemente bloqueando los servidores.

Muchos atacantes que crearon botnets ofrecen sus servicios por un precio en los mercados en línea y de la darknet, lo que le da a cualquier persona la capacidad de lanzar un ataque DDoS.

Tipos de ataques DDoS

Los ataques DDoS vienen en muchas formas, dependiendo de lo que un atacante esté tratando de hacer. Tres categorías principales son los ataques basados en el volumen, los ataques de protocolo y los ataques a la capa de aplicación.

Ataque basado en el volumen

Este tipo de ataque intenta emplear todo el ancho de banda disponible entre el objetivo e Internet. Una forma de hacerlo es a través de la amplificación, que implica inundar un servidor DNS con una dirección IP falsificada (la dirección IP del objetivo), lo que desencadena respuestas DNS mucho más grandes al objetivo. Los protocolos SNMP y NTP también se emplean en ataques basados en volúmenes. Eventualmente, las respuestas que recibe el objetivo obstruirán la red y bloquearán el tráfico entrante.

Ataque de protocolo

Los ataques de protocolo interrumpen un servicio al agotar los recursos de los equipos de red, como equilibradores de carga y firewalls. Estos ataques se dirigen a las capas de red y enlace de datos de la pila de protocolos. Un tipo de ataque de protocolo se denomina inundación SYN. Este tipo de ataque emplea el protocolo de enlace TCP para inundar una red. La botnet envía al objetivo una cantidad masiva de paquetes SYN de solicitud de conexión inicial TCP empleando direcciones IP falsificadas. Los recursos de la máquina de destino se agotan, esperando el paso final de todas estas solicitudes que nunca sucederán.

Ataque a la capa de aplicación

Este tipo de ataque DDoS se dirige a las aplicaciones que se ejecutan en su red, específicamente a las aplicaciones sitio web que responden a las solicitudes HTTP. Las solicitudes HTTP son ligeras para un cliente, pero pueden requerir muchos recursos del servidor para generar la respuesta. Una solicitud puede implicar la ejecución de código, varias solicitudes de imagen y consultas a la base de datos. Una botnet que emplea un ataque a la capa de aplicación puede derribar un servidor simplemente golpeando el mismo sitio web desde cada uno de sus nodos al mismo tiempo.

Síntomas de un ataque DDoS

Un síntoma de un ataque DDoS es un sitio o servicio que obviamente y de repente se volvió lento o no responde, pero no todos los sitios lentos están siendo atacados. Los picos de tráfico y los problemas legítimos del servidor pueden causar el mismo tipo de falta de respuesta.

Para determinar si está bajo un ataque DDoS, tendrá que investigar más a fondo con herramientas de análisis de tráfico para determinar qué tipo de tráfico está recibiendo, de dónde viene y hacia dónde va. Algunos signos de un ataque DDoS incluyen:

• Cantidades anormales de tráfico provenientes de una sola dirección IP o rango de direcciones
• Picos extraños en el tráfico que ocurren en momentos extraños del día, durante un periodo de tiempo limitado o que siguen un patrón
• Una avalancha repentina de tráfico a un solo sitio web o servicio
• Una avalancha de tráfico de usuarios que tienen un perfil similar, como la geolocalización, la versión del navegador o el tipo de dispositivo

Prevención de ataques DDoS

Proteger una red contra un ataque DDoS no es la tarea más sencilla. No es como el malware o los virus que puede eliminar de los sistemas infectados. Los ataques DDoS provienen de fuera de una red y pueden parecer tráfico normal hasta que se analizan los detalles. Es importante actuar rápidamente una vez que se detecta un ataque DDoS porque este tipo de ataques pueden derribar un sitio web o servicio en minutos.

Proteja su enrutador

Su enrutador es la puerta de entrada y salida de su red. Si los bots de una botnet no pueden atravesar el router, no pueden afectar a ningún servicio en él. Es su primera línea de defensa y debe configurar para filtrar el tráfico por prioridad y bloquear cualquier dato o tráfico amenazante.

Dispositivos IoT seguros

Muchas personas que protegen sus computadoras portátiles y sus teléfonos no lo piensan dos veces antes de dejar la contraseña predeterminada en sus dispositivos IoT. Muchos dispositivos IoT ejecutan sistemas operativos Linux completos que pueden ser y fueron atacados con malware que los convertirá en un bot en una botnet. Son un objetivo favorito debido a esto. Proteger sus dispositivos IoT con una contraseña segura evitará que se conviertan en otro bot en una botnet.

Usar el aprendizaje automático

La detección de un ataque DDoS implica el análisis del tráfico. Es posible hacerlo manualmente, pero la tecnología de aprendizaje automático puede detectar rápidamente el tráfico malicioso. El tráfico se puede analizar en tiempo real en busca de patrones y anomalías DDoS conocidos, y cualquier tráfico sospechoso se puede bloquear antes de que tenga la oportunidad de ralentizar un servicio o sitio web.

Conclusion

Un ataque de denegación de servicio distribuido o DDoS es un intento de bloquear el acceso a un sitio web o servicio inundándolo con solicitudes para sobrecargar el sistema. Los atacantes logran esto infectando un ejército de máquinas con malware que pueden usar para atacar cualquier sitio o servicio que elijan. La resolución de problemas y la prevención de ataques DDoS no es sencilla e implica analizar el tráfico en busca de anomalías, pero con las herramientas adecuadas, los ataques DDoS pueden marginar o prevenir.