Debido al aumento exponencial del volumen de datos en la red, los ataques por denegación de servicio distribuidos ( DDoS ) son cada vez más comunes.
El objetivo de un ataque DDoS el de inhabilitar un determinado servidor, una infraestructura o un servicio.
Existen diferentes formas de llevar a cabo un ataque DDoS: por agotamiento de los recursos del sistema o por saturación del ancho de banda del servidor para que no se pueda acceder a él. En ambos casos se envían de manera simultánea una gran cantidad de solicitudes desde diferentes puntos de la red para poner en riesgo la disponibilidad y estabilidad del servicio.
¿Qué es un ataque DDoS?
El término DDoS significa “distributed denial of service”, lo que en español sería traducido como “denegación de servicio distribuida”.
Un ataque DDoS aprovecha los límites de capacidad que tienen todos los servicios e infraestructuras web, buscando su sobrecarga, enviando una gran cantidad de solicitudes desde distinto puntos (como “redes zombies”), que lleguen a colapsar la infraestructura e impedir su correcto funcionamiento.
El ataque se podría llevar desde un único punto, y es conocido como DoS, pero el añadido de distribuida es porque este ataque viene de múltiples lugares al mismo tiempo, y no de un solo equipo o procedencia. Lo que lo hace aún más peligroso.
¿Por qué colapsan los equipos al recibir un ataque DDoS?
Todos los recursos de la red, como los servidores web, tienen un número limitado de solicitudes que pueden atender al mismo tiempo. Este límite de ancho de banda, determinado por las características del propio servidor, o del contratado a una empresa proveedora. Cuando se supera este límite, el servidor no puede dar salida a tantas peticiones, y la respuesta a las solicitudes es mucho más lenta de lo habitual. Hasta poder llegar a no poder responder si el volumen excede sus capacidades.
Esto puede afectar a la reputación online de una compañía, ya que Google considera que el tiempo de carga es uno de los factores más importantes para el posicionamiento SEO. Del mismo modo, los usuarios tampoco están dispuestos a esperar más de tres segundos a que cargue un sitio web. Por lo que una caída prolongada del servidor o servicio lento de un servidor, además del perjuicio en presente de cara a la funcionalidad, puede penalizar también a nivel de posicionamiento de dicha web en los buscadores, y por tanto una bajada de visibilidad en el posicionamiento y por consecuencia, también de tráfico de calidad.
QUIERO UN SERVICIO PARA ESTAR PROTEGIDO ANTE ATAQUES DDOS¿Cómo se ejecuta un ataque DDoS?
En líneas generales, el principal objetivo de los hackers es la total “denegación de servicio”, es decir, evitar que el sitio web funcione.
Para llevar a cabo un ataque DDoS, los hackers utilizan diversos equipos para enviar tráfico malicioso a su objetivo. Estos equipos son parte de una red que han sido infectados con malware y son controlados de forma remota para ejecutar el ataque.
Una técnica muy habitual es la de infectar ordenadores individuales con malware y luego utilizarlos para lanzar un ataque DDoS, lanzando solicitudes masivas de conexión a una determinada dirección IP o a un servidor durante un breve periodo de tiempo. Al recibir una cantidad de peticiones tan grande al mismo tiempo, el servicio no tiene capacidad para dar respuesta a todas ellas, y acaba colapsando.
El primer ataque de este tipo se produjo en el año 2000 de la mano de un adolescente canadiense. No quería conseguir dinero, simplemente ver qué era capaz de hacer. Y Terminó tumbando algunos de los portales más importantes de la época, como Yahoo!, CNN o eBay. Los daños alcanzaron los 1.200 millones de dólares. Para los más curiosos, os dejamos un enlace a la noticia de ese mismo año: https://www.nytimes.com/2000/04/20/business/canada-arrests-15-year-old-in-web-attack.html
Tipos de ataques DDoS
Existen diferentes tipos de ataques DDoS, y es importante conocer algunos de los más frecuentes.
Ping de la muerte
Se trata crear un datagrama IP cuyo tamaño supere el máximo autoridado. y para ello lo que hacen los hackers es enviar lo que se conoce como herramienta de medición de latencia (ping) a un sistema. El envío se lleva a cabo de manera maliciosa y masiva, con el objetivo de colapsar el recurso web.
Slowloris
El Slowloris es un ataque de denegación de servicio HTTP. Su funcionamiento es sencillo y lo hacen uno de los más habituales y a la vez difíciles de combatir. Se envían multitud de solicitudes HTTP, se envían los encabezados de forma periódica para mantener estas conexiones abiertas, y no se cierran en ningún momento a no ser que el servidor lo haga. Si esto ocurre se envían nuevas conexiones. Así que hasta que se agota la capacidad del servidor para responder de nuevas.
Inundación mediante paquetes anómalos
Y, por último, el ataque en el que los servidores quedan inutilizados por la presencia de paquetes con algún tipo de anomalía que generan una gran sobrecarga. En este caso, es más fácilmente controlable a través de firewalls o dispositivos IPS.
¿Cuál es el propósito de un ataque DDoS?
Cuando un ataque DDoS colapsa a la víctima con una gran cantidad de fuentes distintas de tráfico, es muy complicado saber cuáles son las direcciones IP que están causando el problema y bloquearlas para resolver el problema. Hay demasiados puntos de origen y, además, los ataques DDoS que se lanzan en la actualidad son cada vez más complejos y grandes.
Los motivos por los que se lleva a cabo un ataque de este tipo son muy variados. Uno de los más frecuentes en los últimos años es el ciberactivismo. Esto es, una manera de protestar contra una determinada organización con la que los hackers no estén de acuerdo, y hacen que su sitio web deje de funcionar. Claro que también puede ser un intento de extorsión, una amenaza de rescate, e incluso una forma de distracción para realizar un ciberataque más peligroso y serio.
Otra de las razones que puede explicar un ataque DDoS es la competencia. Un competidor puede decidir cerrar el sitio web de una compañía durante un periodo de ventas clave para dañar su reputación.
¿Cómo protegerse de ataques DDoS?
En la actualidad es importante que todas las empresas, con independencia de su tamaño y sector de actividad, tengan un plan de acción DDoS. Un protocolo que guíe al equipo operativo cuando se produzca un ataque de este tipo, sea cual sea su envergadura.
INFORMAME CÓMO PROTEGERME ANTE ATAQUES DDOSTécnicas de protección contra un ataque DDoS
En lo que respecta a la implementación de una herramienta defensiva de ataque DDoS que sea sostenible, es esencial mantener un enfoque diferenciado en forma general. Se trata de establecer un sistema que sea capaz de reconocer a tiempo un volumen grande de peticiones y repelerlo. Los sistemas administrados con protección ante ataque DDoS son muy útiles.
Firewall
Un firewall de aplicaciones web es una herramienta que puede resultar de gran utilidad para mitigar algunos ataques DDoS. De lo que se trata es de implementar el WAF (Web Application Firewall) entre el servidor de origen e Internet para proteger el servidor del tráfico malicioso. Lo que hace es filtrar las peticiones y, ante un ataque, tiene capacidad para poner en marcha reglas previamente definidas.
Protección de las aplicaciones
Aplicando un modelo de protección en las aplicaciones se mantiene el control directo de la mitigación DDoS a través de dispositivos operados y propios, pero se sigue siendo vulnerable ante ataques de gran envergadura que exceden la capacidad de ancho de banda,
Red de difusión Anycast
Lo que se busca al aplicar una red de difusión Anycast es mitigar ataques de denegación de servicio porque, al dispersar el tráfico malicioso, se puede enviar a través de un conjunto de servidores hasta una red externa. La efectividad de esta herramienta depende en gran medida de la eficiencia de la red interna y del tamaño del ataque.
Seguridad multinivel
Cuando los ataques DDoS son pequeños, la defensa contra los mismos no supone un desafío demasiado grande. Sin embargo, cuando los ataques de denegación de servicios son de gran escala el firewall de aplicaciones web puede alcanzar sus límites rápidamente, tanto a nivel de software como de hardware. En este caso es muy recomendable tener soluciones de varias capas para defenderse contra ataques escalables.
¿Qué hacer cuando sufres un ataque DDoS?
Cuando se sufre un ataque DDoS, es fundamental seguir los siguientes pasos de mitigación:
- Verificación: no todas las interrupciones se deben a un ataque DDoS, de manera que el primer paso es verificar que efectivamente se está llevando a cabo el ataque. Para ello, hay que descartar errores humanos o configuraciones erróneas de DNS, entre otros problemas comunes.
- Jerarquización: los recursos son limitados, de manera que es el momento de tomar decisiones de jerarquización. Las aplicaciones de menor valor deben ser deshabilitadas.
- Protección: a continuación, hay que añadir las direcciones IP de los asociados a una lista blanca. Es muy posible que la lista blanca deba ser distribuida en distintos sitios dentro de la red para que el tráfico desde y hacia esas direcciones no se vea afectado.
- Identificación: llega el momento de determinar la naturaleza y el tipo de ataque DDoS. En base a esta información se pueden bloquear direcciones IP en función de la ubicación geográfica. Ahora bien, la decisión de bloquear regiones enteras debe tomarse como una decisión corporativa.
- Mitigación: si el ataque DDoS es muy sofisticado, hay que habilitar o construir defensas al nivel de gestión de aplicaciones.
- Limitación de recursos: si todos los pasos anteriores resultan inefectivos, hay que limitar recursos, y para ello hay que rechazar el tráfico tanto legítimo como malicioso. Limitar la capacidad en muchos casos rechaza hasta el 99% del tráfico.
En los últimos años el número de ciberataques ha aumentado a nivel global, así que es importante establecer los mecanismos que sean oportunos para detectar y protegerse de un ataque DDoS de forma fiable. Los hackers son cada vez más sofisticados y no hay que subestimarlos.
