Introducción
Los ataques distribuidos de denegación de servicio (DDoS) son cada vez más frecuentes. Con el aumento de las tensiones geopolíticas, como las actividades de los Estados-nación y el hacktivismo en respuesta a las guerras en curso, incluidas las guerras entre Rusia y Ucrania e Israel y Hamás, así como los próximos acontecimientos de gran repercusión y las elecciones en Europa y Estados Unidos, el riesgo de ataques DDoS va a aumentar aún más.
En Excedo Networks hemos seguido y supervisado de cerca el creciente riesgo de ataques DDoS para mejorar el rendimiento de nuestros sistemas basándonos en los últimos vectores y patrones de ataque, con el fin de garantizar que las empresas y organizaciones de Europa puedan protegerse adecuadamente en este panorama en constante evolución. Sin embargo, el primer paso antes de invertir en tecnologías de protección es comprender los ataques DDoS y cómo funcionan.
Veamos más de cerca qué es un ataque DDoS, cómo puede ser y qué se necesita para evitar ser atacado.
¿Qué es un ataque DDoS?
Un ataque DDoS es cualquier intento realizado directamente por una persona o a través de botnets creadas por humanos (redes de dispositivos conectados a Internet, como teléfonos inteligentes, ordenadores, routers y servidores, que están infectados con malware) para denegar a los usuarios el acceso a los servicios en línea saturando sitios web, servidores, API o recursos de red con tráfico malicioso.
El objetivo de un ataque DDoS es inundar el sistema objetivo con tanto tráfico y tantas solicitudes que se bloquee o no pueda funcionar, denegando el servicio a los usuarios legítimos e impidiendo que el tráfico legítimo llegue a su destino previsto.
A continuación se muestran algunos ejemplos de cómo pueden ser los ataques DDoS.
Tipos de ataques DDoS
Hay cuatro tipos principales de ataques DDoS. La mayoría de los hackers no se ciñen a un solo tipo, sino que intentan saturar y atacar tantos sistemas como sea posible combinando los diferentes tipos en lo que se conoce como ataques DDoS multivectoriales.
A continuación, puede leer más detalles sobre cada tipo de ataque DDoS:
Ataques DDoS volumétricos
Los ataques DDoS volumétricos son, con diferencia, el tipo más común de ataque DDoS y funcionan saturando al objetivo con un aluvión de tráfico procedente de múltiples fuentes. Esto acaba consumiendo el ancho de banda disponible del objetivo, lo que provoca que se ralentice o se bloquee.
En este tipo de ataque, los hackers pueden, por ejemplo, distribuir código malicioso a tantos equipos como sea posible que se ejecuten en los ordenadores de usuarios desprevenidos y utilizar el código para tomar el control de esos equipos y vincularlos al host central que coordina el ataque. A continuación, los hackers pueden utilizar el control obtenido para ordenar a las «máquinas secuestradas» que envíen gran cantidad de solicitudes (como pings no deseados o spam) para saturar el servidor objetivo y provocar su cierre.
Los ataques volumétricos también pueden utilizar botnets formadas por dispositivos IoT. Estos dispositivos suelen carecer de seguridad básica, pero pueden ser «secuestrados» a través de su conexión a Internet para enviar solicitudes a los servidores objetivo.
Ataques DDoS en la capa de aplicación
Los ataques DDoS en la capa de aplicación se dirigen a las vulnerabilidades de las aplicaciones web, concretamente a los protocolos de comunicación que intervienen en el intercambio de datos entre dos aplicaciones a través de Internet. A menudo, los ataques en la capa de aplicación consisten en solicitudes aparentemente inocentes que podría realizar un usuario legítimo (como solicitudes http para cargar un sitio web) y que, con un volumen suficiente, pueden saturar la CPU y la memoria de una aplicación, ralentizando el sistema o provocando su bloqueo.
Ataques DDoS de protocolo
Los ataques DDoS de protocolo se dirigen a las debilidades y vulnerabilidades de los protocolos de comunicación de Internet. Estos ataques intentan consumir y agotar la capacidad de cálculo de diversos recursos de infraestructura de red, como servidores o cortafuegos, enviando solicitudes de conexión maliciosas que explotan los protocolos TCP (Transmission Control Protocol) o ICMP (Internet Control Message Protocol).
En este tipo de ataque, los hackers pueden, por ejemplo, utilizar varios ordenadores para enviar muchos paquetes ICMP «ping» a un objetivo lo más rápido posible para sobrecargar la conexión a Internet, los servidores, los equilibradores de carga o los cortafuegos. La eliminación de cualquiera de estos componentes provoca que la red se «atasque» y niega el acceso a los usuarios autorizados.
Ataques DDoS de amplificación/reflexión de DNS
Los ataques de amplificación de DNS son un tipo específico de ataque volumétrico que se dirige al Sistema de Nombres de Dominio (DNS) suplantando la dirección IP de un objetivo para enviar solicitudes a servidores DNS abiertos. Los servidores DNS responden a la dirección IP suplantada, creando así un ataque al objetivo previsto mediante una avalancha de respuestas DNS. Por eso, este tipo de ataque también se conoce como ataque de reflexión. El gran volumen de respuestas DNS satura los servicios objetivo, haciéndolos inaccesibles e impidiendo que el tráfico legítimo llegue a los servicios previstos. Por lo tanto, es esencial que los proveedores de DNS cuenten con funciones básicas de seguridad y supervisión del tráfico para evitarlo.
Prevención de ataques DDoS
Los ataques DDoS aprovechan las vulnerabilidades de las diferentes capas que componen las redes informáticas, desde el nivel estructural hasta el de comunicación. Esto significa que la protección contra los DDoS debe ser holística y tener en cuenta todos los posibles vectores y combinaciones de ataque. Lo más importante es que la solución anti-DDoS pueda supervisar, detectar y bloquear el tráfico malicioso, al tiempo que permite el paso del tráfico legítimo y garantiza la continuidad del servicio. Esto requiere una enorme capacidad.
Para alcanzar el nivel de capacidad necesario, es importante construir la red más grande posible, con componentes eficientes en los routers de Internet para las mitigaciones de las capas 3 y 4, y una capa de inspección profunda de paquetes/almacenamiento en caché/limpieza en el núcleo de la red para una mitigación más avanzada en las capas 4 a 7.
Por último, también es importante disponer de suficiente capacidad de servidor y que estos estén ajustados para ofrecer el mejor rendimiento con cargas elevadas.
Conclusión
El número de ataques DDoS seguirá aumentando, y las combinaciones de ataques serán cada vez más elaboradas y difíciles de detectar. En este panorama, es importante invertir en la defensa más sólida posible, especialmente si su organización proporciona servicios esenciales. Sin una defensa adecuada, no se trata de si será atacado, sino de cuándo.
¿Sabe si su organización está debidamente protegida contra los ataques DDoS?
Póngase en contacto con nosotros para una consulta gratuita y una revisión de sus sistemas.
