Ataque distribuido de denegación de servicio (DDoS)

Un ataque distribuido de denegación de servicio (DDoS) es un intento de hacer que un servicio en línea sea inaccesible al golpearlo con una gran cantidad de tráfico de una variedad de máquinas. Un ataque DDoS puede bloquear el acceso a servidores, dispositivos, bases de datos, redes y aplicaciones.

La diferencia entre un ataque DDoS y un ataque estándar de denegación de servicio es que un ataque DDoS proviene de varias máquinas en lugar de una sola. Veamos cómo se logra esto.

Cómo funcionan los ataques DDoS

Un ataque DDoS comienza con un botnet. Una botnet es una red de computadoras que fueron infectadas con software malicioso diseñado para ataques DDoS y otros usos nefastos. Los usuarios pueden ser engañados para que descarguen el software infectado a través de correos electrónicos de phishing, sitios web infectados e incluso redes sociales aprovechando exploits conocidos en software y sistemas operativos.

Una vez que estas computadoras están infectadas, el botnet “wrangler” puede controlar todas estas máquinas sin el conocimiento del usuario de forma remota desde una aplicación. Una vez que la botnet crece lo suficiente, la red se puede utilizar para lanzar un ataque contra cualquier objetivo.

Una vez que una botnet está lista, el atacante puede enviar un comando de inicio que hará que todas las máquinas de la botnet envíen una avalancha de solicitudes al objetivo previsto. Si el ataque supera las defensas, puede dominar rápidamente la mayoría de los sistemas causando interrupciones del servicio y posiblemente bloqueando los servidores.

Muchos atacantes que han creado botnets ofrecen sus servicios por un precio en los mercados en línea y en la darknet, dando potencialmente a cualquier persona la capacidad de lanzar un ataque DDoS.

Tipos de ataques DDoS

Los ataques DDoS vienen en muchas formas, dependiendo de lo que un atacante esté tratando de hacer. Tres categorías principales son los ataques basados en volumen, los ataques de protocolo y los ataques de capa de aplicación.

Ataque basado en volumen

Este tipo de ataque intenta utilizar todo el ancho de banda disponible entre el objetivo e Internet. Una forma de hacerlo es a través de la amplificación, que implica inundar un servidor DNS con una dirección IP suplantación (la dirección IP del destino), lo que desencadena respuestas DNS mucho más grandes al destino. Los protocolos SNMP y NTP también se utilizan en ataques basados en volumen. Eventualmente, las respuestas que recibe el destino obstruirán la red y bloquearán el tráfico entrante.

Ataque de protocolo

Los ataques de protocolo interrumpen un servicio al agotar los recursos de equipos de red como balanceadores de carga y firewalls. Estos ataques se dirigen a las capas de red y enlace de datos de la pila de protocolos. Un tipo de ataque de protocolo se llama inundación SYN. Este tipo de ataque utiliza el protocolo de enlace TCP para inundar una red. La botnet envía al destino una cantidad masiva de paquetes SYN de solicitud de conexión inicial TCP utilizando direcciones IP suplantación de datos. Los recursos de la máquina de destino se agotan, esperando el paso final de todas estas solicitudes que nunca sucederán.

Ataque a la capa de aplicación

Este tipo de ataque DDoS se dirige a aplicaciones que se ejecutan en su red, específicamente aplicaciones web que responden a solicitudes HTTP. Las solicitudes HTTP son livianas para un cliente, pero pueden requerir muchos recursos del servidor para generar la respuesta. Una solicitud puede implicar la ejecución de código, múltiples solicitudes de imágenes y consultas de bases de datos. Una botnet que utiliza un ataque de capa de aplicación puede derribar un servidor simplemente golpeando la misma página web desde cada uno de sus nodos al mismo tiempo.

Síntomas de un ataque DDoS

Un síntoma de un ataque DDoS es un sitio o servicio que obviamente y repentinamente se ha vuelto lento o no responde, pero no todos los sitios lentos están siendo atacados. Los picos de tráfico y los problemas legítimos del servidor pueden causar el mismo tipo de falta de respuesta.

Para determinar si está bajo un ataque DDoS, tendrá que investigar más a fondo con herramientas de análisis de tráfico para determinar qué tipo de tráfico está recibiendo, de dónde viene y hacia dónde va. Algunos signos de un ataque DDoS incluyen:

  • Cantidades anormales de tráfico proveniente de una sola dirección IP o rango de direcciones
  • PICOS EXTRAÑOS EN EL TRÁFICO QUE OCURREN EN MOMENTOS EXTRAÑOS DEL DÍA, POR UN TIEMPO LIMITADO O QUE SIGUEN UN PATRÓN
  • Una inundación repentina de tráfico a una sola página web o servicio
  • Una avalancha de tráfico de usuarios que tienen un perfil similar, como geolocalización, versión del navegador o tipo de dispositivo

Prevención de ataques DDoS

Proteger una red contra un ataque DDoS no es la tarea más sencilla. No es como el malware o los virus que puedes eliminar de los sistemas infectados. Los ataques DDoS provienen de fuera de una red y pueden parecer tráfico regular hasta que se revisen los detalles. Es importante actuar rápidamente una vez que se detecta un ataque DDoS porque este tipo de ataques pueden derribar un sitio web o servicio en minutos.

Asegure su router

Su router es la puerta de enlace de entrada y salida de su red. Si los bots de una botnet no pueden llegar a través del router, no pueden afectar ningún servicio en él. Es su primera línea de defensa y debe configurarse para filtrar el tráfico por prioridad y bloquear cualquier dato o tráfico amenazante.

Dispositivos IoT seguros

Muchas personas que aseguran sus computadoras portátiles y sus teléfonos no lo piensan dos veces antes de dejar la contraseña predeterminada en sus dispositivos IoT. Muchos dispositivos IoT ejecutan sistemas operativos Linux completos que pueden ser y han sido atacados con malware que los convierte en un bot en una botnet. Son un blanco favorito debido a esto. Asegurar sus dispositivos IoT con una contraseña segura evitará que se conviertan en otro bot en una botnet.

Utilizar Machine Learning

La detección de un ataque DDoS implica un análisis de tráfico. Es posible hacer esto manualmente, pero la tecnología de aprendizaje automático puede detectar tráfico malicioso rápidamente. El tráfico se puede analizar en tiempo real para detectar patrones y anomalías DDoS conocidos, y cualquier tráfico sospechoso puede bloquearse antes de que tenga la oportunidad de ralentizar un servicio o sitio web.

Conclusión

Un ataque de denegación de servicio distribuido o DDoS es un intento de bloquear el acceso a un sitio web o servicio inundándolo con solicitudes para sobrecargar el sistema. Los atacantes logran esto infectando un ejército de máquinas con malware que pueden usar para apuntar a cualquier sitio o servicio que elijan. La resolución de problemas y la prevención de ataques DDoS no es sencillo e implica analizar el tráfico en busca de anomalías, pero con las herramientas adecuadas, los ataques DDoS pueden marginarse o prevenirse.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?