Una guía completa sobre ataques DDoS: qué son y cómo protegerte
En esta guía, discutiremos una amplia variedad de temas relacionados con los ataques DDoS, incluido qué es un ataque DDoS, cómo funcionan, los tipos de ataques DDoS, los impactos de los ataques DDoS y cómo defenderte contra ellos.
- ¿Qué es un ataque DDoS?
- ¿Cómo funciona un ataque DDoS?
- Impactos de los ataques DDoS
- Tipos básicos de ataques DDoS
- Estilos de ataque DDoS
- ¿Cómo detectar un ataque DDoS?
- ¿Cómo protegerse contra ataques DDoS?
Resumen rápido
Los ataques de denegación de servicio distribuido (DDoS) han sido un arma poderosa en Internet durante veinte años.
Han evolucionado para ser más frecuentes y potentes con el tiempo, y ahora se han convertido en una de las principales amenazas para cualquier empresa que opere en línea.
En general, los ataques DDoS funcionan abrumando un sitio web o servicio en línea con más tráfico del que su servidor o red pueden manejar.
El objetivo de un ataque DDoS es hacer que ese sitio web o servicio en línea no esté disponible para los usuarios.
Los atacantes suelen depender de botnets, redes compuestas por computadoras infectadas con malware que están controladas de forma centralizada.
¿Qué es un ataque DDoS?
Un ataque de denegación de servicio distribuido (DDoS) es un intento de un atacante de interrumpir la entrega de un servicio en línea a los usuarios. Esto se puede hacer bloqueando el acceso a prácticamente cualquier cosa, como servidores, redes, dispositivos, servicios, aplicaciones e incluso transacciones específicas dentro de las aplicaciones.
Los ataques DDoS pueden considerarse una variante de los ataques de denegación de servicio (DoS) en los que un atacante o grupo de atacantes utilizan varios dispositivos para llevar a cabo un ataque DoS simultáneamente.
La principal diferencia entre los ataques DoS y DDoS es que mientras usan un solo sistema para enviar datos maliciosos o solicitudes, un ataque DDoS se envía desde múltiples sistemas, aumentando su fuerza y efectividad.
Los ataques DDoS apuntan a las víctimas en todos los niveles, bloqueando por completo su acceso a los sistemas e incluso recurriendo a la extorsión para detener el ataque.
Bancos, sitios web, minoristas en línea y canales de noticias se encuentran entre los principales objetivos de los atacantes, lo que dificulta garantizar que la información confidencial se pueda acceder y publicar de manera segura.
Es difícil detectar y bloquear estos ataques DDoS, ya que el tráfico que generan es difícil de rastrear y se confunde fácilmente con el tráfico legítimo.
¿Cómo funciona un ataque DDoS?
La mayoría de los ataques DDoS se llevan a cabo a través de botnets, que son grandes redes de dispositivos inteligentes IoT, computadoras infectadas con malware y otros dispositivos con conexión a Internet bajo el control de los hackers.
El atacante instruye a las máquinas en la botnet para enviar grandes cantidades de solicitudes de conexión a un sitio web específico o la dirección IP de un servidor.
Esto abruma al sitio web o servicio en línea con más tráfico del que su servidor o red pueden manejar. El resultado final será que esos sitios web o servicios en línea queden inaccesibles para los usuarios debido al colapso del ancho de banda de Internet, la capacidad de la memoria RAM y la CPU.
El impacto de estos ataques DDoS puede variar desde una leve indignación y servicios interrumpidos hasta sitios web, aplicaciones o incluso negocios completos fuera de línea.
Impactos de los ataques DDoS
Los ataques DDoS pueden afectar a las víctimas de varias maneras.
- Pérdida financiera
- Daño a la reputación
- Pérdida de datos
- Daño a la confianza del cliente
- Impacto en servicios esenciales
- Costos directos e indirectos involucrados en la restauración de sistemas
- Impacto en terceros
Tipos básicos de ataques DDoS
Los ataques DDoS generalmente se incluyen en una o más categorías, y algunos ataques avanzados combinan ataques en diferentes vectores. A continuación, se presentan las tres categorías principales de ataques DDoS.
1. Ataques volumétricos
Este es el tipo clásico de ataque DDoS, que emplea métodos para generar grandes volúmenes de tráfico falso para inundar completamente el ancho de banda de un sitio web o servidor. Este tráfico falso hace imposible que el tráfico real fluya hacia o desde el sitio objetivo. Estos ataques incluyen inundaciones de UDP, ICMP y paquetes falsificados. El tamaño de los ataques basados en volumen se mide en bits por segundo (BPS).
2. Ataques de protocolo
Estos ataques son más enfocados y utilizan las vulnerabilidades de los recursos en un servidor. Consumen recursos del servidor existentes o equipos de comunicación intermedia como cortafuegos y balanceadores de carga y les envían paquetes grandes. Estos ataques generalmente incluyen inundaciones SYN, Ping of Death, ataques de paquetes fragmentados, Smurf DDoS, etc., y su tamaño se mide en paquetes por segundo (PPS).
3. Ataques de capa de aplicación
Estos son el tipo de ataques DDoS más sofisticados, que se dirigen a aplicaciones web específicas. Se llevan a cabo abrumando las aplicaciones con solicitudes maliciosas. El tamaño de estos ataques se mide en solicitudes por segundo (RRS).
Estilos de ataques DDoS
1. Inundaciones de UDP e ICMP
Estos son los estilos de ataque más comunes que se encuentran en los ataques volumétricos. Las inundaciones de UDP ahogan los recursos del anfitrión con paquetes del protocolo de datagramas de usuario (UDP).
Por otro lado, las inundaciones de ICMP hacen lo mismo con paquetes de solicitud de eco del protocolo de mensajes de control de Internet (ICMP) hasta que el servicio se ve abrumado.
Además, los atacantes suelen utilizar ataques de reflexión para aumentar el flujo devastador de estas inundaciones, donde se falsifica la dirección IP de la víctima para hacer la solicitud UDP o ICMP.
La respuesta se envía de vuelta al servidor en sí, ya que el paquete malicioso parece provenir de la víctima. De esta manera, estos ataques consumen tanto el ancho de banda entrante como el saliente.
2. Amplificación de DNS
Como su nombre indica, estos ataques implican que los delincuentes envíen numerosas solicitudes de búsqueda de DNS para dejar inoperable una red.
La amplificación agota el ancho de banda del servidor al expandir el flujo de tráfico saliente.
Esto se hace enviando solicitudes de información al servidor que generan grandes cantidades de datos como respuesta y luego dirigiendo esos datos directamente de vuelta al servidor mediante la falsificación de la dirección de respuesta.
Entonces, el atacante envía numerosos paquetes relativamente pequeños a un servidor DNS de acceso público a través de muchas fuentes diferentes de una botnet.
Todos son solicitudes de una respuesta extensa, como solicitudes de búsqueda de nombres DNS.
Luego, el servidor DNS responde a cada una de estas solicitudes dispersas con paquetes de respuesta que incluyen muchas órdenes de datos más grandes que el paquete de solicitud inicial, y todos esos datos se envían directamente de vuelta al servidor DNS de la víctima.
3. Ping of Death
Este es otro ataque de protocolo en el que el atacante envía varios pings maliciosos o malformados a una computadora.
Aunque la longitud máxima de un paquete IP es de 65.535 bytes, la capa de enlace de datos limita el tamaño máximo de cuadro permitido en una red Ethernet.
Por lo tanto, un paquete IP grande se divide en varios paquetes (llamados fragmentos) y el host receptor vuelve a armar estos fragmentos para crear un paquete completo.
En la situación de Ping of Death, el host termina con un paquete IP de más de 65.535 bytes al intentar volver a armar los fragmentos de los pings maliciosos.
Esto provoca un desbordamiento de los búferes de memoria asignados para el paquete, lo que resulta en una denegación de servicio incluso para paquetes de datos legítimos.
4. SYN Flood
SYN Flood es uno de los ataques de protocolo más comunes que eluden el proceso de saludo de tres vías necesario para establecer conexiones TCP entre clientes y servidores.
Estas conexiones generalmente se establecen con el cliente realizando una solicitud de sincronización inicial (SYN) al servidor, el servidor respondiendo con una respuesta de reconocimiento (SYN-ACK) y el cliente completando el saludo con un reconocimiento final (ACK).
Los SYN Flood funcionan realizando una rápida sucesión de esas solicitudes de sincronización iniciales y dejando al servidor en espera al no responder nunca con un reconocimiento final.
En última instancia, se espera que el servidor mantenga abiertas un montón de conexiones semiabiertas que, finalmente, agotan los recursos hasta que el servidor se bloquea.
5. HTTP Flood
Estos son uno de los tipos más comunes de ataques DDoS en la capa de aplicación. Aquí, el delincuente interactúa de manera aparentemente normal con un servidor web o una aplicación.
Aunque todas estas interacciones provienen de navegadores web y parecen ser actividades normales de los usuarios, están diseñadas para consumir la mayor cantidad de recursos del servidor posible.
La solicitud realizada por el atacante puede incluir desde solicitar URLs de documentos o imágenes utilizando solicitudes GET, hasta hacer que el servidor procese llamadas a una base de datos utilizando solicitudes POST.
Los servicios de ataques DDoS a menudo se venden en la dark web.
Cómo detectar un ataque DDoS
Los ataques DDoS a menudo pueden parecerse a cosas no maliciosas que pueden crear problemas de disponibilidad.
Por ejemplo, pueden parecer un servidor o un sistema caído, demasiadas solicitudes de usuarios reales o, a veces, un cable cortado.
Por lo tanto, siempre necesitarás analizar el tráfico para determinar qué está sucediendo.
Si has sido víctima de un ataque DDoS, notarás un aumento repentino del tráfico entrante, lo que provocará que tu servidor colapse bajo presión.
Además, si visitas un sitio web bajo un ataque DDoS, se cargará extremadamente lento o mostrará el error 503 «servicio no disponible».
Es probable que no puedas acceder a ese sitio hasta que se detenga el ataque.
Síntomas de los ataques DDoS
Un sitio o servicio que se vuelve lento es el síntoma más evidente de un ataque DDoS. Los síntomas comunes de un ataque DDoS incluyen:
- Acceso lento a archivos ubicados localmente o de forma remota
- Incapacidad para acceder a un sitio web específico a largo plazo
- Una gran cantidad de tráfico desde una fuente específica o dirección IP
- Un exceso de tráfico de usuarios que indican un comportamiento similar, tipo de dispositivo, navegador web y ubicación
- Un aumento repentino y anormal en las solicitudes a una página
- Problemas para acceder a todos los sitios web
- Grandes cantidades de correos electrónicos no deseados
- Desconexión de internet
Si bien un aumento legítimo del tráfico también puede causar problemas de rendimiento, es esencial investigar más a fondo. Especialmente, se debe realizar un análisis cuando el tráfico parece anormal.
Ejemplo: una tienda en línea experimenta un aumento en el tráfico justo después de las ventas del Black Friday, Navidad, etc. Además de los síntomas mencionados anteriormente, los ataques DDoS tienen síntomas específicos, dependiendo del tipo de ataque.
Además, si un botnet utiliza tu computadora para llevar a cabo un ataque DDoS, mostrará las siguientes señales de advertencia.
- Una disminución repentina del rendimiento
- Colapsos del sistema
- Mensajes de error frecuentes
- Velocidad de internet extremadamente lenta
Cómo protegerte contra ataques DDoS
Protegerse de un ataque DDoS puede ser una tarea desafiante. Las organizaciones deben planificar bien para defenderse y prevenir estos ataques.
Identificar tus vulnerabilidades es el primer paso clave de cualquier estrategia de protección.
Además de eso, los pasos mencionados a continuación ayudarán a disminuir la superficie de ataque de una organización y a mitigar el daño causado por un ataque DDoS.
- Actúa rápidamente informando al proveedor de ISP, teniendo un ISP de respaldo y redirigiendo el tráfico.
- Configura cortafuegos y enrutadores para ayudar a rechazar el tráfico falso como una capa inicial de defensa.
-
Protege las computadoras individuales instalando antivirus o software de seguridad con los últimos parches de seguridad.
- Analiza la arquitectura e implementación de la aplicación. La aplicación debe implementarse de manera que las acciones del usuario no agoten los recursos del sistema ni consuman en exceso los componentes de la aplicación.
- Monitorea el tráfico de la red para recibir alertas sobre picos inesperados en el tráfico de la red. Esto ayudará a identificar ataques DoS dirigidos a la red. Podrás obtener información adicional analizando el origen del tráfico.
- Monitorea la salud y capacidad de respuesta del sistema realizando controles de salud frecuentes para reconocer ataques DoS dirigidos al sistema.
- Evalúa la salud y capacidad de respuesta de la aplicación realizando controles de salud frecuentes en los componentes de la aplicación. Esto puede ayudar a identificar ataques DDoS dirigidos a la aplicación.
- Crea un plan de mitigación. Diferentes tipos de ataques DDoS requieren diferentes estrategias de mitigación. Muchos proveedores ahora ofrecen estrategias y mecanismos para prevenir ataques DDoS. Por lo tanto, considera si las estrategias y mecanismos de tu proveedor se ajustan bien a tus necesidades.
Además, practicar hábitos de seguridad en Internet evitará que tus dispositivos sean utilizados en botnets.
Utiliza contraseñas fuertes
Usa contraseñas largas, únicas y difíciles de adivinar para todas tus cuentas. Además, puedes utilizar un administrador de contraseñas para almacenar y sincronizar contraseñas de forma segura en tus dispositivos.
Usa software actualizado
El software desactualizado está lleno de vulnerabilidades que los hackers pueden aprovechar para ingresar a tu sistema.
Por lo tanto, actualiza constantemente tu software e instala las actualizaciones y parches publicados por los proveedores de software lo antes posible.
Estas actualizaciones suelen estar diseñadas para abordar diversas vulnerabilidades de seguridad.
Ten cuidado con enlaces y archivos adjuntos extraños
Los ciberdelincuentes intentan hacer que descargues su malware mediante correos electrónicos que contienen enlaces o archivos adjuntos maliciosos.
Por lo tanto, no interactúes con esos correos electrónicos si desconoces al remitente. Además, puedes utilizar una herramienta de seguridad de correo electrónico para verificar si los archivos adjuntos contienen malware.
Usa un cortafuegos
Un cortafuegos puede bloquear el acceso desde y hacia fuentes no autorizadas. Además, un cortafuegos inteligente puede evitar que los hackers se comuniquen con tus máquinas si intentan infectarlas con malware de botnet.
Conclusión
Los ataques DDoS brindan una forma para que los intrusos hagan que un sitio web o servicio en línea no esté disponible por un período determinado o indefinidamente.
Estos ataques varían ampliamente en complejidad y pueden afectar gravemente a las empresas u organizaciones a las que se dirigen.
Por lo tanto, las empresas y organizaciones en línea deben tomar todas las medidas posibles para mitigar los ataques DDoS y proteger sus sistemas.
Preguntas frecuentes
¿Por qué los profesionales de la ciberseguridad deben preocuparse por los ataques DDoS?
Los ataques DDoS pueden dañar gravemente la disponibilidad de recursos críticos en línea y actuar como un mecanismo engañoso para llevar a cabo otras actividades ilegales en la red.
¿Por qué es difícil prevenir los ataques DDoS con las formas tradicionales de filtrado de ciberseguridad?
Dado que los ataques DDoS se llevan a cabo de manera distribuida utilizando múltiples sistemas, es difícil bloquear el tráfico malicioso cerrando un determinado elemento.
¿Cuál es el papel de una botnet en un ataque DDoS?
Las botnets son redes de dispositivos comprometidos controlados por cibercriminales, a veces llamados bots o zombies. Estos dispositivos comprometidos pueden incluir equipos de escritorio, portátiles, servidores y dispositivos IoT. Los atacantes se comunican con estas máquinas y las combinan para generar fuentes distribuidas de tráfico malicioso que abrumen la infraestructura de una empresa.