Introducción
Los ataques distribuidos de denegación de servicio (DDoS) son cada vez más frecuentes. Con el aumento de las tensiones geopolíticas, como las actividades de los estados-nación y el hacktivismo en respuesta a conflictos actuales, como la guerra entre Rusia y Ucrania e Israel y Hamás, así como los próximos eventos de alto perfil y las elecciones en EE.UU, el riesgo de ataques DDoS va a aumentar aún más.
En Centurio International hemos seguido de cerca y monitoreado el creciente riesgo de ataques DDoS para mejorar el rendimiento de nuestros sistemas basándonos en los últimos vectores y patrones de ataque para poder garantizar que las empresas y organizaciones puedan protegerse adecuadamente en este panorama en evolución. Sin embargo, el primer paso antes de invertir en tecnologías de protección es comprender los ataques DDoS y cómo funcionan.
Veamos con más detalle qué es un ataque DDoS, qué aspecto puede tener y qué se necesita para evitar ser atacado.
¿Qué es un ataque DDoS?
Un ataque DDoS es cualquier intento realizado directamente por una persona o a través de botnets creadas por humanos (redes de dispositivos conectados a Internet, como smartphones, ordenadores, routers y servidores, que están infectados con malware) para bloquear el acceso de los usuarios a servicios en línea saturando sitios web, servidores, API o recursos de red con tráfico malicioso.
El objetivo de un ataque DDoS es sobrecargar el sistema de destino con una cantidad extrema de tráfico y solicitudes, hasta el punto de bloquearlo o interrumpir su funcionamiento, denegando el servicio a los usuarios legítimos e impidiendo que el tráfico legítimo llegue al destino previsto.
A continuación se muestran algunos ejemplos de ataques DDoS.
Tipos de ataques DDoS
Existen cuatro tipos principales de ataques DDoS. La mayoría de los hackers no se limitan a un solo tipo, sino que intentan abrumar y atacar tantos sistemas como sea posible mediante la combinación de los diferentes tipos en lo que se conoce como ataques DDoS multivectoriales.
A continuación puede leer sobre cada tipo de ataque DDoS con más detalle:
Ataques DDoS volumétricos
Los ataques DDoS volumétricos son, por mucho, el tipo más común de ataque DDoS y funcionan abrumando un objetivo con una avalancha de tráfico de múltiples fuentes. Esto acaba consumiendo el ancho de banda disponible del objetivo, provocando su ralentización o interrupción.
En este tipo de ataque, los hackers pueden, por ejemplo, distribuir código malicioso a tantas máquinas como sea posible para tomar el control de los ordenadores de usuarios desprevenidos y vincularlos de nuevo al host central que coordina el ataque. Luego, los hackers pueden utilizar el control obtenido para dirigir las «máquinas secuestradas» para que envíen muchas peticiones (como pings no deseados o spam) con el fin de saturar el servidor objetivo y provocar su cierre.
Los ataques volumétricos también pueden aprovechar redes de bots compuestas por dispositivos IoT. Estos dispositivos suelen carecer de seguridad básica pero pueden ser «secuestrados» a través de su conexión a Internet para enviar peticiones a los servidores objetivo.
Ataques DDoS a nivel de aplicación
Los ataques DDoS en la capa de aplicación se centran en las vulnerabilidades de las aplicaciones web, concretamente en los protocolos de comunicación que intervienen en el intercambio de datos entre dos aplicaciones a través de Internet. A menudo, los ataques a la capa de aplicación se componen de peticiones aparentemente inocentes que podría hacer un usuario legítimo (como peticiones http para cargar un sitio web) que, con un volumen suficiente, pueden saturar la CPU y la memoria de una aplicación, ralentizando el sistema o provocando su caída.
Ataques DDoS de protocolo
Los ataques DDoS de protocolo se centran en las debilidades y vulnerabilidades de los protocolos de comunicación de Internet. Estos ataques intentan consumir y agotar la capacidad de cálculo de varios recursos de infraestructura de red, como servidores o cortafuegos, mediante el envío de solicitudes de conexión maliciosas que explotan los protocolos como el Protocolo de Control de Transmisión (TCP) o del Protocolo de Mensajes de Control de Internet (ICMP).
En este tipo de ataque, los hackers pueden, por ejemplo, utilizar varios ordenadores para enviar muchos paquetes ICMP «ping» a un objetivo lo más rápido posible para sobrecargar la conexión a Internet, los servidores, los equilibradores de carga o los cortafuegos. Si se bloquea alguno de estos componentes, la red se «satura» y los usuarios autorizados no pueden acceder a ella.
Ataques DDoS de amplificación/reflexión de DNS
Los ataques de amplificación DNS son un tipo de ataque volumétrico que se dirige al Sistema de Nombres de Dominio (DNS) falsificando la dirección IP de un objetivo para enviar peticiones a servidores DNS abiertos. Los servidores DNS responden a la dirección IP falsificada, creando así un ataque contra el objetivo previsto a través de una avalancha de respuestas DNS. Por este motivo, este tipo de ataque también se conoce como ataque de reflexión. El gran volumen de respuestas DNS abruma los servicios objetivo, haciendo que no estén disponibles e impidiendo que el tráfico legítimo llegue a los servicios previstos. Por lo tanto, es esencial que los proveedores de DNS dispongan de funciones básicas de seguridad y supervisión de tráfico para evitarlo.
Prevención de ataques DDoS
Los ataques DDoS aprovechan las vulnerabilidades de las distintas capas que componen las redes informáticas, desde el nivel estructural hasta el de comunicaciones. Esto significa que la protección contra DDoS debe ser holística y tener en cuenta todos los vectores de ataque y combinaciones de ataque potenciales. Lo más importante es que la solución anti-DDoS pueda supervisar, detectar y bloquear el tráfico malicioso, permitiendo al mismo tiempo el paso del tráfico legítimo y garantizando la continuidad del servicio. Esto requiere una gran capacidad.
Para alcanzar el nivel de capacidad requerido, es importante construir la red más grande posible, con componentes eficientes en los routers hacia Internet para las mitigaciones de las capas 3 y 4, y una capa de inspección profunda de paquetes, almacenamiento en caché y análisis en el núcleo de la red para una mitigación más avanzada en las Capas 4 a 7.
Por último, también es importante tener suficiente capacidad de servidor y que estén ajustados para obtener el mejor rendimiento con cargas elevadas.
Conclusión
El número de ataques DDoS seguirá aumentando, con combinaciones de ataques cada vez más elaboradas y difíciles de detectar. En este panorama, es importante invertir en una defensa lo más sólida posible, especialmente si su organización presta servicios esenciales. Sin una defensa adecuada no es cuestión de si le atacarán, sino de cuándo.
¿Sabe si su organización está debidamente protegida contra ataques DDoS?
Contáctenos para una consulta y revisión gratuita de sus sistemas:
