Digital_Attack_Map

Comprender los ataques de denegación de servicio distribuido

Las organizaciones de todo el mundo se enfrentan a cientos de ataques de denegación de servicio distribuido cada mes. El más largodura díasy puede alcanzar hasta 1.7 Tbits. Gracias a un número cada vez mayor de dispositivos conectados a Internet con baja seguridad, el tamaño, la escala y la frecuencia de los ataques DDoS están aumentando. Puede verlos en este mapa. Pero, ¿qué son exactamente los ataques DDoS y cómo funcionan?

DoS vs. DDoS

Es importante distinguir entre ataques de denegación de servicio (DoS) y ataques DDoS. Ambos niegan el servicio a su objetivo ya que intentan interrumpir el tráfico normal a un servidor, servicio o red. La diferencia es que un ataque DoS se origina a partir de una sola máquina y un ataque DDoS tiene múltiples fuentes. Un ataque DoS es más fácil de defender que un ataque DDoS. Es por eso que a los atacantes les gusta usar botnets que les permiten involucrar múltiples fuentes en su ataque.

¿Qué es una Botnet?

Una botnet es una red de máquinas infectadas con malware que obedecen a un dispositivo único. Un atacante puede usar su propia botnet, pero es muy común alquilarlas. El precio para alquilar una botnet que ha sido pirateada ha bajado a 30 dólares en algunos foros rusos. Sin embargo, el crecimiento de la Internet de las cosas significa que las botnets son cada vez más grandes incluso más baratas.

¿Cómo funciona un ataque DDoS?

La víctima es inundada de tráfico entrante procedente de muchas fuentes diferentes. Esto hace que el ataque sea difícil de detener, ya que la víctima no puede bloquear una sola fuente. Por supuesto, la víctima tampoco puede bloquear todas las fuentes, porque entonces estaría bloqueando el tráfico legítimo. Imagine un montón de gente llegando en una tienda y bloqueando la entrada para que los clientes no puedan entrar. Así es como funcionan los ataques DDoS.

Por supuesto, esa analogía es muy simplista. Hay docenas de formas de lanzar ataques DDoS. Estos son algunos de los más comunes.

Ataque DDoS de Capa 7: Este ataque se dirige a la capa OSI (Interconexión de sistemas abiertos), donde se generan páginas web en el servidor y se entregan en respuesta a las peticiones HTTP.  Es fácil generar una petición HTTP pero muy difícil de cumplir, ya que el servidor puede tener que cargar múltiples archivos y ejecutar consultas a la base de datos para crear la página web.

Un ejemplo de esto es una inundación HTTP. Esto es algo así como presionar el botón de actualización en un sitio web una y otra vez, solo que a través de cientos de ordenadores a la vez. Recuerde, las peticiones HTTP son fáciles de crear pero requieren mucho esfuerzo para ejecutarlas. Una simple inundación HTTP puede implicar que el atacante solicite la misma URL una y otra vez, mientras que una más compleja puede implicar la petición de URLs diferentes de todo el sitio.

Imagine une pizzería. Un atacante llama, espera a que un miembro del personal responda y diga su parte inicial, y luego cuelgue, sólo para repetir. Cuesta poco esfuerzo para el atacante marcar el número una y otra vez, pero le cuesta a la pizzería tiempo y capacidad del personal para responder las llamadas. Por lo tanto, los clientes legítimos no pueden comunicarse con la pizzería.

Ataques Volumétricos: Estos ataques buscan ocupar todo el ancho de banda entre el objetivo y el resto de Internet.

Un ejemplo de esto es la amplificación DNS. Esto ocurre cuando un atacante realiza una petición a un servidor DNS abierto con una dirección IP falsificada, utilizando la dirección IP de su objetivo. La petición se organiza de forma que el servidor DNS responda con muchos datos, amplificando la petición inicial.

Por analogía, imagínese a un atacante llamando a una tienda de provisiones de restaurantes y diciendo: “Necesito cotizaciones de cada pieza de equipo que me pueda ofrecer; llámeme”. El atacante deja el número de teléfono de su verdadero objetivo, una pizzería. La pizzería recibe entonces una llamada que no pidieron y que es más larga que la llamada inicial, manteniendo de hecho su línea telefónica como rehén.

Ataques de protocolo: Un ataque de protocolo niega el servicio al utilizar la capacidad de la red y las capas de transporte de una conexión.

Un ejemplo de esto es una inundación SYN (sincronizar). Este tipo de ataque envía un gran número de paquetes SYN de petición de conexión inicial TCP (Protocolo de control de transmisión).  La víctima responde a cada solicitud y espera a que la negociación concluya, lo que nunca ocurre. Eventualmente la víctima se siente abrumada.

Imagine una pizzería recibiendo una llamada telefónica ordenando una pizza para pasar a recogerla. Aceptan la orden, hacen la pizza y esperan a que la recojan. Esto sucede una y otra vez, pero nadie llega a recogerla. Eventualmente, el restaurante se ve abrumado por la pizza no vendida.

¿Cómo pueden impedirse los ataques de DDoS?

Como puede ver, los ataques DDoS involucran a toda una familia de métodos y técnicas. La complejidad del ataque dicta la complejidad de la respuesta.

Para obtener más información sobre cómo proteger su empresa de los ataques DDoS visite, contáctenos hoy mismo.