Un ataque DDoS es como una multitud de curiosos frente a un restaurante que no deja entrar a nadie y dificulta la labor. En la web, en lugar de restaurantes, son los servidores los que sufren.
El principal peligro de los ataques DDoS es que cualquiera puede organizarlos o encargarlos. El costo de un ataque a una IP o sitio web sin protección es desde 90 dólares por 24 horas, esta es la primera tarifa que encontramos en un minuto de búsqueda en Google.
En este artículo, analizaremos la naturaleza de los ataques DDoS, sus causas, variaciones y perspectivas. Revisaremos ejemplos de ataques y pensaremos en los métodos de protección disponibles.
¿Qué son los Ataques DDoS y Cómo se llevan a Cabo?
Un ataque DDoS (Distributed Denial of Service, “denegación de servicio distribuida”) es un intento de los atacantes para limitar el acceso de los usuarios a un sitio web, servidor o red. Atacan el objetivo con paquetes maliciosos desde múltiples dispositivos, sobrecargándolo con grandes volúmenes de tráfico. Como resultado, el servicio puede dejar de funcionar temporalmente, ralentizarse o dejar algunas de las solicitudes de los usuarios sin respuesta.
Es difícil que un recurso sin protección prevenga los ataques DDoS debido a su multihilo y su alto nivel de ocultación. La multihilo dificulta la rápida eliminación de todas las direcciones IP maliciosas, y una planificación adecuada del ataque permite enmascarar el inicio del ataque con tráfico natural.
Imagina un restaurante lleno de gente dentro y fuera, donde los que están fuera apenas dejan pasar a alguien. La gente de dentro distrae a todos los camareros y al personal, pero no pide nada. Esto ocupa a todo el personal del restaurante, pero ninguno atiende a los clientes reales. Esta situación puede continuar hasta que el restaurante cierre o los falsos visitantes se marchen por su cuenta. Esto puede volver a ocurrir si los dueños del restaurante no toman medidas.
Para un ataque DDoS se necesita una computadora principal, computadoras zombis y un objetivo. Desde la computadora principal, el atacante envía una señal a las computadoras zombis, que sobrecargan el objetivo elegido e intentan inhabilitarlo.
La red de computadoras zombis también se conoce como botnet. Son varios dispositivos que, debido a una vulnerabilidad, han sido infectados por un virus del atacante (controlador de botnet). Pueden incluirse cualquier tipo de dispositivo conectado a Internet: portátiles, smartphones, tabletas, servidores, dispositivos de Internet de las cosas (IoT) y cualquier dispositivo inteligente para el hogar.
La mayoría de los dispositivos participan en los ataques DDoS sin querer. Ni siquiera se descarta que tu cafetera inteligente esté pirateando un sitio web por la noche.
Lo más ilógico de los ataques DDoS son las personas que los encargan o llevan a cabo. Algunos lo hacen por diversión o para reafirmarse a sí mismos, simplemente porque pueden. Para otros, es una forma de vengarse de la competencia. Hay muchos que han convertido el chantaje y la extorsión en un negocio completo. Cualquiera que sea la razón, la distribución de programas maliciosos es un delito que puede acarrear hasta varios años de prisión según el Código Penal de un país.
Tipos de Ataques DDoS
Los atacantes pueden crear una sobrecarga en el sistema mediante diferentes solicitudes, paquetes y acciones. Por lo tanto, existen muchos tipos de ataques DDoS que se pueden clasificar en tres categorías principales: ataques a nivel de red, transporte y aplicación de OSI.
El modelo OSI es un conjunto estándar de reglas y protocolos mediante los cuales los ordenadores y otros dispositivos de la red intercambian datos. Incluye siete niveles, cada uno de los cuales proporciona determinados aspectos de la transmisión de información: desde la conexión física hasta las aplicaciones. Esta organización permite que los dispositivos interactúen de forma eficaz y segura entre sí.
Los hackers pueden atacar cada una de las capas, pero suelen elegir las capas de red, transporte y aplicación.
- Nivel de red. El nivel de red está diseñado para transmitir datos entre redes. Funciona con direcciones IP y es responsable de enrutar los paquetes de datos desde el remitente al destinatario a través de Internet. En este nivel, los ataques DDoS están dirigidos a sobrecargar la infraestructura de red, como los routers o los enrutadores de los proveedores de servicios de Internet.
Supongamos que el atacante ha elegido el UDP-flood como vector de ataque. En este caso, intentará agotar el ancho de banda del servidor mediante numerosos paquetes UDP. Todos estos paquetes pasarán por el router, que deberá procesarlos y reenviarlos.
El router utiliza su propio procesador y memoria, que se agotan rápidamente con un gran número de paquetes UDP entrantes. Esto provoca retrasos, ralentiza el funcionamiento de la red o la pérdida de conexión. Como resultado, el tráfico no puede circular normalmente a través del router.
- Nivel de transporte. El nivel de transporte es responsable de la transmisión de datos entre dispositivos y garantiza su entrega sin errores ni daños. En el nivel de transporte existen dos protocolos principales: TCP y UDP.
Los ataques DDoS a nivel de transporte están dirigidos a agotar los recursos del servidor, como la memoria o el tiempo de la CPU. Tomemos como ejemplo el vector de ataque SYN-flood. En este caso, el atacante afectará al protocolo TCP, que utiliza un proceso de handshake de tres pasos:
- El cliente envía un paquete SYN, iniciando una solicitud de conexión.
- El servidor confirma la solicitud y responde al cliente con un paquete SYN-ACK.
- El cliente envía un paquete ACK y confirma la conexión.
El atacante enviará al servidor numerosos pedidos SYN, pero no confirmará la conexión establecida. El servidor asignará memoria a cada solicitud y esperará que la conexión finalice. Pero no terminará. En última instancia, debido a la gran cantidad de conexiones incompletas, el servidor agotará sus recursos y no podrá procesar nuevas solicitudes.
- Nivel de aplicación. El nivel de aplicación es responsable de la interacción de los usuarios con los servicios de red: sitios web, correo electrónico, banca online y otras aplicaciones de Internet. Por ejemplo, aquí se gestionan los datos de los usuarios, incluidos los procesos de autenticación, autorización, mantenimiento de la sesión activa y posterior cierre de la misma. Los principales protocolos del nivel de aplicación son: HTTP, HTTPS, SMTP y FTP.
Los ataques DDoS a nivel de aplicación están dirigidos a agotar los recursos de servicios específicos. Por ejemplo, los atacantes pueden intentar sobrecargar un sitio web obligándolo a procesar un gran número de solicitudes HTTP. Este vector de ataque se denomina HTTP-flood.
Desde el punto de vista del formato, las solicitudes de flood parecen bastante legítimas, pero debido a su número excesivo, el servidor se sobrecarga y no puede gestionar la carga. Debido a esto, las solicitudes de los usuarios reales tampoco se procesan y no pueden acceder al sitio web.
Si te interesa la arquitectura de los ataques DDoS, te recomendamos visitar el sitio web de Netscout. En él encontrarás una descripción de los vectores y métodos de ataque populares, así como un mapa de todos los ataques DDoS que se están rastreando en tiempo real.
Cómo Protegerse de los Ataques DDoS
Para protegerse de los ataques DDoS, se necesita una protección integral y en esta sección discutiremos cómo organizarla. Analizaremos las recomendaciones generales y los servicios que puedes intentar utilizar.
En primer lugar, puedes configurar los filtros de red (firewalls) y limitar el número de solicitudes de una misma dirección IP. Los filtros verificarán los datos y bloquearán los que no cumplan las reglas establecidas. Las reglas de bloqueo de direcciones IP sospechosas se pueden configurar manualmente.
En el siguiente paso, puedes configurar el sitio web para que trabaje con CDN, conectar el monitoreo del tráfico y agregar servidores de reserva en caso de sobrecarga:
- CDN permitirá distribuir la carga entre varios servidores en todo el mundo.
- Mediante el seguimiento regular del tráfico de la red, podrás detectar las actividades sospechosas en las primeras etapas y tomar medidas antes de que el ataque se vuelva crítico.
- En última instancia, tendrás servidores de respaldo a los que puedes redirigir el tráfico para mantener la disponibilidad del recurso.
Ahora analicemos los programas y servicios populares que ayudarán a implementar los pasos enumerados para protegerse de los ataques DDoS.
- Cloudflare. Analiza y filtra el tráfico, bloqueando las solicitudes maliciosas antes de que ataquen tu servidor.
- Akamai. Distribuye la carga y bloquea los ataques utilizando una red global de servidores.
- AWS Shield. Protege las aplicaciones web y la infraestructura de AWS contra los ataques DDoS, detectando automáticamente el tráfico malicioso.
- Google Cloud Armor. Proporciona protección para las aplicaciones web y los servicios de Google Cloud contra diversas amenazas de red. Utiliza su red global para filtrar y bloquear el tráfico no deseado.
- Imperva FlexProtect. Protección integral contra bots, ataques DDoS y otras amenazas. Ofrece CDN para una alta disponibilidad de contenido.
- Sucuri. Protege contra ataques, detecta y elimina código malicioso, proporciona monitoreo de seguridad y recuperación después de incidentes. Es adecuado para WordPress y otros CMS populares.
- Radware. Protege las aplicaciones web y la infraestructura de red mediante algoritmos inteligentes que pueden detectar y mitigar las amenazas en tiempo real.
- ModSecurity. Es una aplicación web que actúa como cortafuegos: puede detectar y prevenir ataques, bloqueando el tráfico sospechoso. Se instala en el servidor.
- Fail2Ban. Es un sistema de prevención de intrusiones que puede escanear los registros y bloquear las direcciones IP maliciosas.
- HAProxy. Es un balanceador de carga de alto rendimiento que protege contra los ataques mediante la distribución y filtrado del tráfico.
- Nginx. Limita el número de solicitudes y equilibra la carga.
- pfSense. Permite administrar los filtros y los routers.
- Snort. Sistema de detección de intrusiones y prevención de ataques.
- Kaspersky DDoS Protection. Sistema de protección integral para detectar y neutralizar los ataques DDoS masivos de cualquier complejidad.
- Netdata. Herramienta de monitoreo que permite rastrear el rendimiento y el tráfico de tu servidor en tiempo real. Permite configurar alertas sobre actividad sospechosa.
- Graylog. Plataforma para el análisis y monitoreo de registros, detección de anomalías. Advierte en caso de actividad sospechosa.
Además, añadiremos algunos plugins de WordPress útiles para tu sitio web:
- Wordfence Security. Es uno de los plugins de seguridad más populares para WordPress. Protege contra ataques DDoS, realiza un escaneo web para detectar vulnerabilidades, bloquea direcciones IP maliciosas y proporciona un firewall a nivel de aplicaciones web.
- Sucuri Security. Supervisa la integridad de los archivos, busca programas maliciosos y proporciona protección mediante un firewall.
- Jetpack. Plugin multifuncional de los desarrolladores de WordPress.com. Protege contra ataques DDoS, realiza un monitoreo de seguridad, organiza copias de seguridad automáticas y escanea en busca de programas maliciosos.
- All In One WP Security & Firewall. Plugin completo para mejorar la seguridad de WordPress. Incluye firewall, bloquea direcciones IP, realiza monitoreo y protege las bases de datos.
- Cloudflare. Es un plugin para integrar el sitio web con el servicio Cloudflare. Protege contra amenazas de red, mejora el rendimiento, proporciona certificados SSL y almacenamiento en caché.
- Solid Security. Plugin popular para la protección de WordPress con numerosas funciones. Entre las principales: autenticación de dos factores, monitoreo del sistema de archivos, firewall.
- WP fail2ban. Plugin para integrar WordPress con el sistema Fail2Ban. Registra los intentos de intrusión en el sistema y bloquea las direcciones IP.
Intenta utilizar las últimas versiones del software y actualízate periódicamente. Si es posible, configura las actualizaciones automáticas. De esta manera, estarás protegido contra nuevos tipos de ataques y vulnerabilidades.
Ejemplos de Ataques DDoS
A pesar de las precauciones, es difícil protegerse de los ataques DDoS y no siempre se logra incluso para grandes empresas con grandes presupuestos de seguridad. Veamos algunos ejemplos de estos ataques y sus consecuencias.
En 2000, un joven de 15 años con el apodo de Mafiaboy atacó a varias empresas importantes: CNN, Dell, E-Trade, eBay, Amazon y Yahoo.
El verdadero nombre del hacker es Michael Calce. Lanzó el proyecto Rivolta, que en italiano significa “revolución”. Michael irrumpió en las redes informáticas de varias universidades, creó una botnet a partir de ellas y dirigió el tráfico a los recursos de las empresas. El ataque duró ocho días.
Las acciones de Calce provocaron el caos en el mercado de valores, los analistas estiman los daños en 1.200 millones de dólares. El ataque fue tan masivo que se necesitó un equipo de expertos y una cumbre sobre seguridad en la Casa Blanca, que tuvo que convocar el presidente Bill Clinton.
Hoy en día, Michael Calce es un hacker de sombrero blanco que ayuda a las empresas a detectar las deficiencias de seguridad en sus sistemas y organizar la protección. Ha escrito un libro sobre su historia de hacking que se vende en Amazon.
En febrero de 2018, el servicio GitHub sufrió uno de los ataques DDoS más poderosos de la historia. El ataque duró unos 20 minutos, alcanzó un volumen de tráfico de 1,35 Tb/s y se llevó a cabo mediante el método de amplificación memcached.
Los atacantes enviaron pequeñas solicitudes a los servidores Memcached, falsificaron las direcciones IP, provocaron que el servidor respondiera a las solicitudes y, de esta manera, aumentaron significativamente el volumen de tráfico para atacar GitHub.
Para reflejar el ataque, el equipo de GitHub redistribuyó la carga y dirigió el tráfico excesivo a través del servicio Akamai Prolexic. Como resultado, GitHub estuvo inaccesible desde las 17:21 hasta las 17:26 y parcialmente inestable desde las 17:26 hasta las 17:30.
Este ataque no causó daños significativos, pero sirvió como recordatorio para las empresas de la necesidad de mejorar constantemente los sistemas de seguridad.
En octubre de 2016, los hackers realizaron un ataque DDoS a gran escala contra la empresa Dyn, que gestiona la infraestructura DNS. Como resultado, muchos sitios web populares quedaron inaccesibles, entre ellos Twitter, Reddit, Netflix y otros. El ataque se llevó a cabo utilizando la botnet Mirai, que controlaba miles de dispositivos de Internet de las cosas.
El ataque se desarrolló en varias etapas. La primera ola comenzó a las 11:10 y afectó a la costa este de Estados Unidos. La segunda ola comenzó a las 17:00 y afectó a las regiones centrales y occidentales de Estados Unidos. El ataque provocó interrupciones significativas en el funcionamiento de numerosos sitios web y servicios, ya que los usuarios no podían resolver las solicitudes DNS para estos dominios.
Dyn colaboró con los proveedores de servicios de Internet y los servicios de protección contra DDoS para reducir el volumen de tráfico. Algunas empresas lograron cambiar temporalmente los sitios web a proveedores DNS de respaldo. Sin embargo, muchas de ellas sufrieron pérdidas debido a la interrupción de los ingresos por publicidad, suscripciones y otras formas de monetización. Otras empresas tuvieron que pagar indemnizaciones a sus clientes por las molestias causadas.
Pingback: Ciberdelito: Significado, Qué Quieren Obtener y Tipos » CM