¿Qué es un Ataque DDoS y qué se puede hacer al respecto?

¿Qué son los ataques distribuidos de denegación de servicio?
Los ataques de denegación de servicio distribuidos se dirigen a sitios web y servicios en línea. El objetivo es saturarlos con más tráfico del que el servidor o la red puedan soportar, y hacerlo inoperable.
El tráfico puede consistir en mensajes entrantes, solicitudes de conexiones o paquetes falsos. En algunos casos, las víctimas afectadas son amenazadas con un ataque de este tipo o atacadas a un nivel bajo. Esto puede combinarse con una amenaza de extorsión de un ataque más devastador, a menos que la compañía pague un rescate de criptomoneda. En 2015 y 2016, un grupo criminal llamado Armada Collective extorsionó repetidamente a los bancos, proveedores de alojamiento web y otros de esta manera.
Ejemplos de Ataque DDoS
En el 2000, Michael Calce, un niño de 15 años que usó el nombre en línea «Mafiaboy», lanzó uno de los primeros ataques DDoS registrados. Calce hackeó las redes de computadoras de varias universidades. Utilizó sus servidores para operar un ataque DDoS que estrelló varios sitios web importantes, como CNN, E-Trade, eBay y Yahoo. Calce fue condenado por sus crímenes en la Corte Juvenil de Montreal. Como adulto, se convirtió en un «hacker de sombrero blanco» que identifica vulnerabilidades en los sistemas informáticos de las principales empresas.
Más recientemente, en 2016, Dyn, uno de los principales proveedores de sistemas de nombres de dominio (o DNS) recibió un ataque DDoS masivo que derribó los principales sitios web y servicios, incluidos AirBnB, CNN, Netflix, PayPal, Spotify, Visa, Amazon, The New York Times, Reddit, y GitHub.
La industria del juego también ha sido blanco de ataques DDoS, junto con software y compañías de medios.
Los ataques DDoS a veces se realizan para desviar la atención de la organización objetivo. Mientras ésta se enfoca en el ataque DDoS, los delincuentes cibernéticos pueden perseguir una motivación principal, como instalar software malicioso o robar datos.
Los ataques DDoS se han utilizado como un arma de elección paro los ciberdelincuentes con fines de lucro, estados nacionales e incluso, especialmente en los primeros años de los ataques DDoS, equipos informáticos que buscan hacer un gran gesto.
¿Cómo funcionan el ataque DDoS?
La teoría detrás de un ataque DDoS es simple, aunque los ataques pueden variar en su nivel de sofisticación. Aquí está la idea básica. Un DDoS es un ataque cibernético en un servidor, servicio, sitio web o red que lo inunda con el tráfico de Internet. Si el tráfico supera al objetivo, el servidor, el servicio, el sitio web o la red se vuelven inoperables.
Las conexiones de red en Internet consisten en diferentes capas del modelo de Interconexión de Sistemas Abiertos (OS). Los diferentes tipos de ataques DDoS se enfocan en capas particulares. Algunos ejemplos:
- Capa 3, la capa de red. Los ataques se conocen como Smurf Attacks, ICMP Floods y IP / ICMP Fragmentation.
- Capa 4, la capa de transporte. Los ataques incluyen SYN Floods, UDP Floods, y TCP Connection Agotamiento.
- Capa 7, la capa de aplicación. Principalmente, los ataques cifrados HTTP.
Botnets
La principal forma de realizar una DDoS es a través de una red de computadoras o bots pirateados y controlados de forma remota. Estos a menudo se conocen como «computadoras zombie». Forman lo que se conoce como «botnet» o red de robots. Estos se utilizan para inundar sitios web, servidores y redes con más datos de los que pueden alojar.
Las botnets pueden enviar más solicitudes de conexión que las que un servidor puede manejar o enviar cantidades abrumadoras de datos que exceden las capacidades de ancho de banda de la víctima objetivo. Los botnets pueden variar desde miles hasta millones de computadoras controladas por ciberdelincuentes. Éstos utilizan botnets para una variedad de propósitos, incluido el envío de correo no deseado y formas de malware como ransomware.
Tu ordenador puede ser parte de una botnet, sin que lo sepas
Cada vez más, los millones de dispositivos que constituyen la Internet de las Cosas (IoT) en constante expansión se están pirateando y se utilizan para convertirse en parte de las redes de bots que se utilizan para realizar ataques DDoS. La seguridad de los dispositivos que conforman el Internet de las cosas generalmente no es tan avanzada como el software de seguridad que se encuentra en los ordenadores. Eso puede dejar a los dispositivos vulnerables para que los cibercriminales puedan explotar al crear botnets más expansivos.
El ataque Dyn 2016 se realizó a través del malware Mirai, que creó una red de bots de dispositivos IoT, que incluye cámaras, televisores inteligentes, impresoras y monitores para bebés. La botnet Mirai de los dispositivos de Internet de las cosas puede ser incluso más peligrosa de lo que parecía. Eso es porque Mirai fue la primera botnet de código abierto. Eso significa que el código utilizado para crear la botnet está disponible para los criminales que pueden mutarlo y evolucionarlo para usarlo en futuros ataques DDoS.
Inundación de tráfico
Las botnets se utilizan para crear una inundación HTTP o HTTPS. La botnet de las computadoras se usa para enviar lo que parecen ser solicitudes HTTP o HTTPS legítimas para atacar y saturar un servidor web. HTTP (abreviatura de HyperText Transfer Protocol) es el protocolo que controla cómo se formatean y transmiten los mensajes. Una solicitud HTTP puede ser una solicitud GET o una solicitud POST. Aquí está la diferencia:
- Una solicitud GET es aquella en la que la información se recupera de un servidor.
- Una solicitud POST es aquella en la que se solicita que la información se cargue y almacene. Este tipo de solicitud requiere un mayor uso de recursos por parte del servidor web de destino.
Mientras que las inundaciones de HTTP que usan solicitudes POST usan más recursos del servidor web, las inundaciones de HTTP que usan solicitudes GET son más simples y más fáciles de implementar.
El ataque DDoS se puede «comprar» en mercados negros
El ensamblaje de las botnets necesarias para llevar a cabo un ataque DDoS puede llevar mucho tiempo y ser difícil.
Los ciberdelincuentes han desarrollado un modelo de negocio que funciona de esta manera: los hackers más sofisticados crean botnets y los venden o arriendan a otros menos sofisticados en la web oscura, esa parte de Internet donde los delincuentes pueden comprar y vender productos como botnets y números de tarjetas de crédito robadas anónimamente.
Generalmente se accede a la web oscura a través del navegador Tor, que proporciona una forma anónima de buscar en Internet. Los botnets se alquilan en la web oscura por tan solo unos cientos de dólares. Varios sitios web oscuros venden una amplia gama de productos ilegales, servicios y datos robados.
De alguna manera, estos sitios web oscuros operan como minoristas en líneas convencionales. Pueden proporcionar garantías al cliente, descuentos y calificaciones de los usuarios.
¿Cuáles son los síntomas de un Ataque DDoS?
El ataque DDoS tiene síntomas definitivos. El problema es que los síntomas son muy parecidos a otros problemas que puedes tener con su ordenador, que van desde un virus hasta una conexión de Internet lenta, que puede ser difícil de detectar sin un diagnóstico profesional. Los síntomas de un DDoS incluyen:
- Acceso lento a los archivos, ya sea local o remotamente.
- Una incapacidad a largo plazo para acceder a un sitio web en particular.
- Desconexión de internet.
- Problemas para acceder a todos los sitios web.
- Cantidad excesiva de correos spam.
La mayoría de estos síntomas pueden ser difíciles de identificar como inusuales. Aun así, si ocurren dos o más durante largos períodos de tiempo, podrías ser víctima de un ataque DDoS.
Tipos de Ataque DDoS
Los ataques DDoS generalmente consisten en ataques que caen en una o más categorías, con algunos ataques más sofisticados que combinan otros en diferentes vectores. Estas son las categorías:
- Los ataques basados en el volumen. Estos envían enormes cantidades de tráfico para saturar el ancho de banda de una red.
- Ataques de protocolo. Estos están más enfocados y explotan vulnerabilidades en los recursos de un servidor.
- Aplicación de ataques. Son la forma más sofisticada de ataque DDoS, centrándose en aplicaciones web particulares.
Aquí hay una mirada más cercana a los diferentes tipos de ataques DDoS.
Ataques de conexión TCP
Los ataques de conexión TCP o las inundaciones SYN aprovechan una vulnerabilidad en la secuencia de conexión TCP, comúnmente conocida como la conexión de enlace de tres vías con el host y el servidor.
Así es, cómo el servidor de destino recibe una solicitud para comenzar el handshake. En un SYN Flood, el apretón de manos nunca se completa. Eso deja el puerto conectado como ocupado y no disponible para procesar más solicitudes. Mientras tanto, los delincuentes cibernéticos continúan enviando más y más solicitudes colapsando todos los puertos abiertos y cerrando el servidor.
Ataques de aplicación
Los ataques de la capa de aplicación, a veces denominados ataques de Capa 7, apuntan a las aplicaciones de la víctima del ataque de una manera más lenta. De esa manera, pueden aparecer inicialmente como solicitudes legítimas de los usuarios, hasta que sea demasiado tarde, y la víctima se sienta abrumada e incapaz de responder. Estos ataques están dirigidos a la capa donde un servidor genera páginas web y responde a las solicitudes de http.
A menudo, los ataques de nivel de aplicación se combinan con otros tipos de ataques DDoS dirigidos no solo a las aplicaciones, sino también a la red y el ancho de banda. Los ataques de la capa de aplicación son particularmente amenazantes. ¿Por qué? Son económicos de operar y más difíciles de detectar para las compañías que los ataques enfocados en la capa de red.
Ataques de fragmentación
Los ataques de fragmentación son otra forma común de un ataque DDoS. El delincuente cibernético explota las vulnerabilidades en el proceso de fragmentación de los datagramas, en el cual los datagramas IP se dividen en paquetes más pequeños, se transfieren a través de una red y luego se vuelven a ensamblar. En los ataques de fragmentación, los paquetes de datos falsos que no se pueden volver a montar, superan al servidor.
En otra forma de ataque de fragmentación llamada ataque de lágrima, el malware enviado evita que los paquetes se vuelvan a ensamblar. La vulnerabilidad explotada en los ataques de lágrima ha sido parcheada en las versiones más recientes de Windows, pero los usuarios de versiones obsoletas aún serían vulnerables.
Ataques volumétricos
Los ataques volumétricos son la forma más común de ataques DDoS. Utilizan una botnet para inundar la red o el servidor con tráfico que parece legítimo, pero que supera las capacidades de la red o del servidor para procesar el tráfico.
Tipos de Amplificación DDoS
En un ataque de DDoS Amplification, los delincuentes bloquean al servidor de Sistema de Nombres de Dominio (DNS) con lo que parecen ser solicitudes legítimas de servicio. Utilizando diversas técnicas, el hacker puede ampliar las consultas de DNS, a través de una red de bots, en una gran cantidad de tráfico dirigido a la red de destino. Esto consume el ancho de banda de la víctima.
Reflexión de Chargen
Una variación de un ataque DDoS Amplification explota a Chargen, un antiguo protocolo desarrollado en 1983. En este ataque, los paquetes pequeños que contienen una IP falsificada de la víctima objetivo se envían a dispositivos que operan Chargen y forman parte de la Internet de las cosas. Por ejemplo, muchas copiadoras e impresoras conectadas a Internet utilizan este protocolo. Luego, los dispositivos inundan el destino con paquetes de Protocolo de datagramas de usuario (UDP) y el destino no puede procesarlos.
Reflexión de DNS
Los ataques de Reflexión de DNS son un tipo de ataque DDoS que los cibercriminales han usado muchas veces. La susceptibilidad a este tipo de ataque generalmente se debe a que los consumidores o las empresas tienen enrutadores u otros dispositivos con servidores DNS mal configurados para aceptar consultas desde cualquier lugar en lugar de servidores DNS configurados adecuadamente para proporcionar servicios solo dentro de un dominio confiable.
Los delincuentes luego, envían consultas de DNS falsificadas que parecen provenir de la red del objetivo, de modo que cuando los servidores de DNS responden, lo hacen a la dirección de destino. El ataque se magnifica mediante la consulta de un gran número de servidores DNS.
Echa un vistazo al mapa de ataque digital DDoS
El mapa de ataque digital fue desarrollado por Arbor Networks, el sistema global de inteligencia de amenazas ATLAS. Utiliza datos recopilados de más de 330 clientes de ISP que comparten de forma anónima el tráfico de red y la información de ataques
Echa un vistazo al mapa de ataque digital . Te permite ver en un mapa global donde ocurren los ataques DDoS con información actualizada cada hora.
¿Cómo protegerse de un ataque de denegación de servicio?
Protegerse de un ataque DDoS es una tarea difícil. Las empresas tienen que planificar para defender y mitigar tales ataques. La determinación de sus vulnerabilidades es un elemento inicial esencial de cualquier protocolo de protección.
Método 1: Obtenga un producto de protección para su negocio
La protección distribuida de denegación de servicio (DDoS) de Look Around puede proporcionar una protección significativa contra los ataques DDoS para su empresa.
La protección que ofrece Look Around es fácil de implementar y no requiere ningún software de hardware en el sitio, y no es necesario realizar cambios en su proveedor de hosting o aplicaciones.
La protección DDoS de Look Around detiene los ataques en una red con capacidad de contención, elimina el tráfico falso, mientras que sus usuarios legítimos mantienen el acceso a su sitio web sin interrupciones.
La protección DDoS de Look Around brinda protección integral contra una variedad de amenazas DDoS como ataques de fuerza bruta, suplantación de identidad, ataques DDoS de día cero y ataques dirigidos a servidores DNS.
Método 2: Toma acción rápida
Cuanto antes se identifique un ataque DDoS en progreso, más fácilmente se podrá contener el daño. Las compañías deben usar tecnología o servicios anti-DDoS que pueden ayudarlo a reconocer picos legítimos en el tráfico de red y un ataque DDoS.
Si descubre que su compañía está bajo ataque, debe notificar a su proveedor de ISP tan pronto como sea posible para determinar si su tráfico puede ser redirigido. Tener una copia de seguridad ISP también es una buena idea. Además, considere los servicios que dispersan el tráfico DDoS masivo entre una red de servidores que hacen que el ataque sea inefectivo.
Los proveedores de servicios de Internet utilizarán el enrutamiento Black Hole, que dirige el tráfico a una ruta nula, a la que a veces se hace referencia como un agujero negro cuando se produce un tráfico excesivo, lo que evita que el sitio web o la red objetivo se bloquee, pero el inconveniente es que tanto el tráfico legítimo como el ilegítimo se desvían de este modo.
Método 3: Configurar firewalls y enrutadores
Los firewalls y enrutadores deben configurarse para rechazar el tráfico falso y debe mantener sus enrutadores y firewalls actualizados con los últimos parches de seguridad. Estos siguen siendo su línea inicial de defensa.
El hardware frontal de la aplicación, que se integra en la red antes de que el tráfico llegue a un servidor, analiza y analiza los paquetes de datos que clasifican los datos como prioritarios, regulares o peligrosos a medida que ingresan en un sistema y se pueden usar para bloquear datos amenazadores.
Método 4: Considerar la inteligencia artificial
Si bien las defensas actuales de los firewalls avanzados y los sistemas de detección de intrusos son comunes, la IA se está utilizando para desarrollar nuevos sistemas.
Los sistemas que pueden enrutar rápidamente el tráfico de Internet a la nube, donde se analiza, y el tráfico web malintencionado se pueden bloquear antes de que llegue a las computadoras de la empresa. Dichos programas de IA podrían identificarse y defenderse contra patrones indicativos DDoS conocidos. Además, las capacidades de autoaprendizaje de la IA ayudarían a predecir e identificar futuros patrones DDoS.
Los investigadores están explorando el uso de Blockchain, la misma tecnología detrás de Bitcoin y otras criptomonedas para permitir que las personas compartan su ancho de banda no utilizado para absorber el tráfico malicioso creado en un ataque DDoS y hacerlo ineficaz.
Método 5: Asegure sus dispositivos de Internet de las cosas
Este es para los consumidores. Para evitar que sus dispositivos se conviertan en parte de una botnet, es inteligente asegurarse de que sus computadoras tengan un software de seguridad confiable. Es importante mantenerlo actualizado con los últimos parches de seguridad.
Si tiene dispositivos IoT, debe asegurarse de que sus dispositivos estén formateados para la máxima protección. Se deben usar contraseñas seguras para todos los dispositivos. Los dispositivos de Internet de las cosas han sido vulnerables a contraseñas débiles, y muchos dispositivos funcionan con contraseñas predeterminadas que se pueden descubrir fácilmente. Un firewall fuerte también es importante.