En una entrada anterior de la presente bitácora se ha hablado de las múltiples técnicas para atacar a un sistema informático. Una de estas técnicas es el ataque distribuido de denegación de servicio.
El ataque DDoS (“Distributed Denial of Service”, en inglés) se produce cuando un grupo de personas o automatismos atacan a un servidor u ordenador desde muchos equipos a la vez. Este flujo masivo de datos hace que los recursos del servidor acaben no siendo suficientes, lo que provoca que colapse y deje de funcionar. Esto hace que si se trata de un equipo que mantiene una página de red, servicio o comunidad, esta caiga junto al servidor.
Los ataques DDoS aprovechan las redes de dispositivos conectados a Internet para bloquear el acceso de los usuarios a un servidor o recurso de red, como un sitio de red o una aplicación a la que se accede con frecuencia.
Para lanzar este tipo de ataque, los atacantes utilizan programas maliciosos o aprovechan las vulnerabilidades de seguridad para infectar de forma maliciosa los equipos y los dispositivos y adquirir el control sobre ellos. Cada ordenador o dispositivo infectado, denominado "bot" o "zombi", adquiere la capacidad de seguir propagando el programa malicioso y de participar en los ataques DDoS. Estos bots forman ejércitos de bots, denominados "botnets", que aprovechan su superioridad numérica y amplifican el tamaño de un ataque. Y como la infección de los dispositivos con Internet de las cosas a menudo pasa inadvertida, los propietarios de dispositivos legítimos se convierten en víctimas secundarias o participantes involuntarios, mientras que la organización que sufre el ataque sigue sin poder identificar a los atacantes.
Una vez que el atacante haya creado una botnet, podrá enviar instrucciones remotas a cada bot para dirigir un ataque DDoS al sistema objetivo. Cuando una botnet ataca una red o un servidor, el atacante ordena a cada bot que envíe solicitudes a la dirección IP de la víctima. Al igual que los seres humanos tenemos huellas digitales únicas, nuestros dispositivos tienen una dirección única que los identifica en Internet o en una red local. La sobrecarga de tráfico resulta en una denegación de servicio, lo que impide que el tráfico normal acceda al sitio web, la aplicación web, la API o la red.
En ocasiones, las botnets, con sus redes de dispositivos afectados, se alquilan para otros posibles ataques a través de servicios de "alquiler para ataques". Esto permite que cualquiera que no tenga buenas intenciones y carezca de formación o experiencia pueda perpetrar ataques DDoS fácilmente.
TIPOS DE ATAQUES DDOS
Existen muchos tipos de ataques DDoS distintos y los atacantes suelen utilizar más de un tipo para causar estragos en sus objetivos. Los tipos clave son:
- Volumétrico: Su finalidad es sobrecargar una red con grandes cantidades de tráfico saturando el ancho de banda del recurso objetivo; las grandes cantidades de tráfico del ataque bloquean el acceso de los usuarios legítimos a la aplicación o el servicio, cortando el tráfico de entrada y salida; independientemente de la organización, bloquear el acceso de las personas a un servicio en línea tiene un impacto negativo. Los ataques volumétricos utilizan botnets creadas con ejércitos de sistemas y dispositivos individuales infectados con programas maliciosos; los bots, que están controlados por un atacante, se utilizan para provocar el colapso entre un objetivo e Internet en general con tráfico malintencionado que satura todo el ancho de banda disponible. Un ataque imprevisto con tráfico de bots puede disminuir considerablemente la velocidad o impedir el acceso a un recurso de red o servicio en línea; como los bots asumen el control de dispositivos legítimos para amplificar los ataques DDoS que consumen un gran ancho de banda, normalmente sin que los usuarios se percaten de ello, es difícil para la organización objetivo detectar el tráfico malintencionado. Existen una serie de vectores volumétricos que los ciberdelincuentes utilizan para sus ataques DDoS; muchos aprovechan las técnicas de ataque de reflexión y amplificación para sobrecargar una red o servicio objetivo.
- Ataque de inundación Protocolo de datagrama de usuario: Las inundaciones PDU ["User Datagram Protocol" ("UDP"), en inglés] se suelen elegir para ataques DDoS que consumen un mayor ancho de banda. Los atacantes intentan sobrecargar los puertos en el anfitrión objetivo con paquetes IP que contienen el protocolo PDU sin estado. A continuación, el anfitrión objetivo busca aplicaciones que estén asociadas con los paquetes PDU y, cuando no las encuentra, envía el mensaje "Destino inalcanzable" al remitente. Las direcciones IP a menudo se falsifican para que el atacante permanezca anónimo y, una vez que el anfitrión objetivo se inunda con el tráfico del ataque, el sistema deja de responder y de estar disponible para usuarios legítimos.
- Ataque de reflexión/amplificación del sistema de nombres de dominio: Este tipo de ataques son un tipo de vector común de ataque en el que los ciberdelincuentes falsifican la dirección IP de su objetivo para enviar una gran cantidad de solicitudes a los servidores de sistema de nombres de dominio [“Domain Name System” (“DNS”), en inglés] abiertos. En respuesta, los servidores de SND responden a las solicitudes malintencionadas a través de la dirección IP falsificada, creando así un ataque al objetivo previsto a través de una inundación de respuestas de SND. El gran volumen de tráfico creado a partir de las respuestas de SND sobrecarga rápidamente los servicios de la organización objetivo, lo que hace que no estén disponibles e impide que el tráfico legítimo llegue a su destino previsto.
- Ataque de inundación de mensajes de Internet: El protocolo de control de mensajes de Internet ["Internet Control Message Protocol" ("ICMP"), en inglés] se utiliza principalmente para los mensajes de error y, por lo general, no intercambia datos entre sistemas. Los paquetes PCMI a veces se incluyen en los paquetes de protocolo de control de mensajes (TCP), que permiten que las aplicaciones y los dispositivos informáticos intercambien mensajes a través de una red cuando se conectan a un servidor. Una inundación PCMI es un método de ataque DDoS con una infraestructura de capa 3 que utiliza mensajes PCMI para sobrecargar el ancho de banda de la red objetivo.
- Ataque de protocolo: Este tipo de ataques intentan consumir y agotar la capacidad informática de diversos recursos de infraestructura de red, como servidores o cortafuegos, a través de solicitudes de conexión malintencionadas que vulneran las comunicaciones del protocolo; la inundación Synchronization (SYN) y el ataque Pitufo son dos tipos comunes de ataques DDoS basados en protocolos; los ataques de protocolo se pueden calcular en paquetes por segundo (pps), así como en bits por segundo (bps). Una de las principales maneras en las que las personas se conectan a las aplicaciones de Internet es a través del protocolo de control de transmisión (TCP), lo cual requiere un protocolo de negociación en tres pasos a partir de un servicio TCP, como un servidor de red; los pasos incluyen enviar un paquete SYN (sincronización) desde el lugar en que el usuario se conecta al servidor, después devolver un paquete SYN-ACK (confirmación de sincronización), y finalmente recibir un mensaje ACK (confirmación) final como respuesta para completar el protocolo de negociación de TCP; pues bien, durante el ataque de inundación SYN, un cliente malintencionado envía un gran volumen de paquetes SYN (primer paso de una negociación normal), pero nunca llega a enviar la confirmación para completar la negociación; por tanto, el servidor espera una respuesta a estas conexiones TCP semiabiertas y finalmente se agota su capacidad para aceptar nuevas conexiones para servicios que rastrean los estados de conexión. El ataque Pitufo ("Smurf", en inglés) se basa en el concepto de que numerosos atacantes pequeños pueden paralizar a un oponente mucho más grande por el gran volumen de tráfico. Así, una gran cantidad de paquetes de PCMI con la IP de origen falsificada de un destino se transmiten a una red de ordenadores mediante una dirección IP de difusión; de modo predeterminado, la mayoría de los dispositivos de una red responderán enviando una respuesta a la dirección IP de origen; según el número de equipos de la red, puede que el ordenador de la víctima se ralentice en extremo debido a la inundación de tráfico.
- Ataque DDoS a la capa de aplicaciones: Se miden en solicitudes por segundo ["Requests Per Second" ("RPS"), en inglés] y se realizan mediante la inundación de aplicaciones con solicitudes malintencionadas. Estos ataques, también llamados ataques DDoS de capa 7, se dirigen a aplicaciones de red específicas, no redes completas. Aunque son difíciles de prevenir y mitigar, se encuentran entre los ataques DDoS más fáciles de lanzar.
DEFENSA CONTRA ESTE TIPO DE ATAQUE
Además de los procedimientos genéricos contra los ataques informáticos explicados en entradas anteriores de la presente bitácora, existen métodos más específicos para defenderse de los ataques DDoS.
Así pues, gracias a una sólida estrategia contra este tipo de cibertataques y un runbook (rutina de compilación de los procedimientos y operaciones realizados por el administrador o el operador del sistema) vigentes, los usuarios pueden protegerse y limitar los daños de los ataques DDoS. La protección DDoS de alta capacidad, alto rendimiento y siempre activa de las soluciones basadas en la nube puede evitar que el tráfico malintencionado llegue a un sitio de red o interfiera en las comunicaciones por medio de una aplicación de red. Un servicio de barrido basado en la nube puede mitigar rápidamente los ataques dirigidos a recursos no en línea, como infraestructuras de red, a escala.
Una protección contra DDoS a través de un proveedor de mitigación que adopta un enfoque de defensa exhaustivo puede mantener a las organizaciones y a los usuarios finales seguros. Un servicio de mitigación de DDoS detectará y bloqueará los ataques DDoS lo más rápido posible, idealmente de inmediato o unos pocos segundos después de que el tráfico del ataque llegue a los centros de barrido del proveedor de mitigación. Dado que los vectores de ataque cambian constantemente y la magnitud de los ataques es cada vez mayor, es necesario que un proveedor invierta continuamente en su defensa para una mejor protección contra DDoS. Para hacer frente a los complejos ataques, se necesitan tecnologías capaces de detectar el tráfico malintencionado y poner en marcha sólidas medidas defensivas para mitigar los ataques rápidamente.
Los proveedores de mitigación de DDoS filtran el tráfico malintencionado para evitar que llegue al recurso objetivo previsto. El tráfico del ataque se bloquea mediante un servicio de barrido de DDoS, un servicio SND basado en la nube o un servicio de protección de red basado en red de distribución de contenido [“Content Delivery Network” (“CDN”), en inglés]. La mitigación basada en la nube elimina el tráfico de ataque antes de que alcance el objetivo.
Así, mediante el barrido de DDoS, la actividad en línea de una empresa o servicio no se verá interrumpida aunque se produzca un ataque puesto que puede proteger todos los puertos, protocolos y aplicaciones en el centro de datos, incluidos los servicios basados en IP y red.
Las organizaciones dirigen su tráfico de red de uno de estos dos modos: A través de un cambio de anuncio de ruta del protocolo de puerta de enlace de frontera ["Border Gateway Protocol"("BGP"), en inglés] o una redirección de SND {registro A o nombre canónico [“Canonical Name” (“CNAME”), en inglés]} a la infraestructura de barrido del proveedor de mitigación. El tráfico se supervisa e inspecciona en busca de actividad malintencionada y se mitiga si se identifican ataques DDoS. Habitualmente, este servicio está disponible tanto en configuraciones bajo demanda como siempre activas, según la estrategia de seguridad elegida por la organización, aunque cada vez más organizaciones están adoptando un modelo de implementación siempre activa para obtener una respuesta defensiva de forma más rápida.
Por otra parte, una red de distribución de contenido (RDC) avanzada y correctamente configurada puede ayudar a cualquier tipo de usuario a defenderse de los ataques DDoS. Cuando un proveedor de servicios de protección de sitios de red utiliza su RDC para acelerar específicamente el tráfico mediante protocolos HTTP y HTTPS, todos los ataques DDoS dirigidos a esa URL se pueden detener en el límite de la red.
Esto significa que los ataques DDoS de capa 3 y capa 4 se mitigan al instante, ya que este tipo de tráfico no está destinado a los puertos de red 80 y 443. Como un proxy en la nube, la red se sitúa delante la infraestructura de tecnología de la información (TI) del cliente y distribuye el tráfico de los usuarios finales a los sitios de red y aplicaciones. Debido a que estas soluciones operan en línea, los recursos de red están protegidos en todo momento contra los ataques DDoS a la capa de red sin necesidad de que intervenga nadie.
En el caso de la defensa específica de la capa de aplicaciones, las organizaciones deben implementar un cortafuegos de aplicaciones de red para combatir ataques avanzados, incluidos algunos tipos de ataques DDoS, como solicitudes HTTP, inundaciones HTTP GET y HTTP POST, que tienen por objeto interrumpir los procesos de aplicaciones de capa 7 del modelo OSI.
IMPEDIMENTO DEL ATAQUE
Durante la mitigación, un proveedor de protección contra DDoS implementará una secuencia de medidas destinadas a detener y disminuir el impacto de un ataque de este tipo. A medida que los ataques modernos se vuelven más avanzados, la protección para mitigación de ataques DDoS basada en la nube ayuda a garantizar una defensa en profundidad a gran escala, manteniendo la infraestructura de back-end y los servicios en línea disponibles y funcionando de manera óptima.
Mediante los servicios de protección contra ataques DDoS, las organizaciones pueden:
- Reducir la superficie de ataque y el riesgo empresarial asociados a los ataques DDoS.
- Evitar que la víctima vea interrumpida su actividad.
- Proteger contra páginas de red desde que se desconecta.
- Aumentar la velocidad de respuesta ante un ataque DDoS y optimizar los recursos de respuesta a incidentes.
- Acortar el tiempo para reconocer e investigar una interrupción del servicio.
- Prevenir la pérdida de productividad de los empleados.
- Implementar medidas con mayor rapidez para defenderse de un ataque DDoS.
- Prevenir daños a la reputación de la marca y a su rentabilidad.
- Mantener el tiempo de actividad y el rendimiento de todos los recursos digitales.
- Minimizar los costes asociados a la seguridad de red.
- Defender contra la extorsión, los programas maliciosos de rescate ("ransomware", en inglés) y otras nuevas amenazas en evolución.
Espero que la presente entrada haya sido interesante para el lector. De ser así, aguardo que éste la comente y/o la comparta, por favor.
No hay comentarios:
Publicar un comentario
Deje aquí su comentario, si no puede comentar, pruebe a hacerlo desde otro navegador de red u otro equipo.