¿Qué es un ataque DDoS?
Es probable que hayas oído hablar de páginas web que sufren caídas debido a hackers o de sitios web populares que se bloquean. La mayoría de estos tiempos de inactividad en sitios web populares y de alto tráfico son ocasionados por ataques de Denegación de Servicio Distribuido (DDoS).
Existen límites en la cantidad de tráfico que un dispositivo de red puede manejar. Este límite depende de factores como la capacidad de procesamiento del dispositivo, el límite de datos del nodo de conexión (switch o router), y la máxima velocidad de conexión y ancho de banda permitido por el Proveedor de Servicios de Internet (ISP).
¿Cómo se traduce todo esto en tiempo de inactividad en un sitio web? ¿Cómo ocurren estos ataques? Este artículo será una exposición sobre los ataques DDoS y cómo evitarlos o prevenirlos.
Desglose de un Ataque DDoS Típico
Los hackers inician los ataques DDoS reclutando primero un ejército de computadoras vulnerables, comúnmente conocidas como Botnet. Las Botnets son una serie de computadoras y dispositivos interconectados que han sido comprometidos por malware. Luego, los hackers utilizan las Botnets para enviar simultáneamente solicitudes de recursos que agotan el ancho de banda de la víctima, impidiendo así que los usuarios remotos legítimos de los servicios en el dispositivo tengan acceso a ellos.
Los paquetes de datos utilizados en la ejecución de los ataques DDoS son iguales o similares a los utilizados para la comunicación diaria en internet, excepto que se coordinan en una cantidad abrumadoramente grande por vez. Los servidores en línea que manejan el tráfico de transmisión de video pueden permitir un límite superior de 20 Gigabytes por segundo de ancho de banda. En comparación, los ataques DDoS podrían cargar un solo servidor o dispositivo de red con hasta 1 Terabyte por segundo de datos. Tal volumen de tráfico podría hacer que un servicio tan grande como Google no responda.
¿Quiénes son los objetivos potenciales de los ataques DDoS?
Los ataques DDoS son extremadamente cómodos debido a la vulnerabilidad de varios dispositivos con conexión a internet y la disponibilidad de botnets en la web oscura para el uso de hackers novatos. Muchos usuarios de internet, y sorprendentemente algunas organizaciones, implementan tecnologías habilitadas para internet sin cambiar los detalles de inicio de sesión predeterminados del fabricante que vinieron con el dispositivo. Los hackers recorren internet en busca de tales dispositivos, acceden a ellos e instalan malware que les permite controlar dichos dispositivos de forma remota, sin que los propietarios se den cuenta de que su dispositivo es parte de una botnet.
Las botnets que constan de la red de dispositivos vulnerables no son las víctimas primarias aquí, sino que se utilizan para llevar a cabo un ataque coordinado contra un solo sitio web o servicio en línea, estos han sido las principales víctimas de los ataques DDoS.
Los ataques DDoS contra sitios web y plataformas de servicios en línea pueden tomar la forma de falsos paquetes, mensajes entrantes o solicitudes para iniciar una conexión. La mayoría de las veces se ejecutan como un ataque vengativo ya sea para manchar la reputación de los competidores y consecuentemente causar una caída en la cuota de mercado, un ataque contra adversarios políticos, o a veces como táctica de desmoralización contra movimientos y entidades de derechos humanos.
Amazon Web Services (AWS) experimentó uno de los recientes ataques DDoS en febrero de 2020. Un importante cliente no identificado de AWS fue el objetivo del ataque, afectando sus servicios en línea durante tres días. Un ancho de banda de tráfico que alcanzó un pico de 2.3 Terabytes por segundo hizo que la gran asignación de ancho de banda de AWS pareciera insignificante.
La botnet más popular hasta ahora, Mirai, fue el centro de una cadena de ataques DDoS en 2016. En septiembre de 2016, internet alojó a la botnet Mirai en el ataque DDoS más masivo de la época, con un tráfico que alcanzó un pico de ancho de banda de 620 Gbps golpeando el blog de un analista de ciberseguridad. Después de que se hizo público un fragmento del código Mirai en una reunión DEFCON más tarde ese mes, un ataque de mucho mayor escala golpeó a un importante proveedor de Servicio de Nombres de Dominio, Dyn.
Dyn fue el proveedor de DNS para sitios web como Netflix, GitHub, PayPal, Reddit, Airbnb y HBO en el momento del ataque de Mirai. El ataque DDoS de 1.5 gigabits por segundo a la red de sitios web de Dyn dejó sus servicios irresponsivos mientras duró el ataque. Hubo varios otros ataques de Mirai más tarde en 2016, algunos incluyendo dispositivos IoT secuestrados como cámaras de CCTV, máquinas de hacer café e incluso monitores de bebés.
Tipos de ataques DDoS
Existen diferentes tipos de ataques DDoS. Repasemos algunos de ellos a continuación:
DDoS Zero-Day: DDoS Zero-Day es el término utilizado por los piratas informáticos en sus sitios web clandestinos alojados en la web oscura. El término se refiere a una serie de códigos fuente y ejércitos de botnets reclutados que están a la venta; sin embargo, esto plantea niveles de vulnerabilidad para los cuales aún no se han lanzado parches de seguridad.
Ping of Death: Esto implica que los atacantes envíen múltiples paquetes ping alterados a un nodo de red. Los dispositivos que manejan dispositivos locales (switches y routers) tienen límites de longitud de paquete permitidos a través de ellos por segundo. Inmediatamente, los paquetes largos a menudo son fragmentados, para ser reensamblados por el host receptor. La longitud de datos promedio de un paquete IP es de aproximadamente 1700 bytes; sin embargo, los piratas informáticos que buscan perpetrar un Ping of Death envían pings con tamaños de datos de hasta 71,423 bytes cuando se reensamblan en el extremo receptor. Este tipo de ataque DDoS agota efectivamente la memoria del servidor e imposibilita la respuesta a consultas legítimas mientras dura el hechizo.
Ataque de inundación UDP; Este es un tipo de ataque DDoS que implica inundar a la víctima con corrientes constantes de datos de la clase User Datagram Protocol (UDP). En este tipo de ataque, un host remoto tiene puertos aleatorios que se inundan repetidamente con solicitudes de conexión. Similar a la inundación UDP es la inundación ICMP (ping), que envía paquetes ping rápidos y aleatorios sin esperar feedback para la conexión. La inundación de paquetes agota los recursos y el ancho de banda del host y, a veces, hace imposible establecer un handshake cuando se realizan consultas legítimas de conexión.
Ataque de inundación SYN: Este tipo de ataque explota una vulnerabilidad en las conexiones TCP – El saludo de tres vías. Los saludos de tres vías implican que un ordenador remoto envíe una solicitud de conexión a un servidor; el servidor responde reconociendo la solicitud. El ordenador remoto también tiene que responder al reconocimiento enviando un paquete de inicio de conexión. Lo que los hackers hacen para ejecutar un ataque DDoS por este canal es enviar varias solicitudes de conexión SYN a un solo host utilizando una botnet. Los servidores responden a cada nodo con un mensaje ACK, pero los hackers impiden que las botnets respondan. La falta de respuesta al mensaje ACK deja al servidor atacado suspendido, y se envían más solicitudes de saludo hasta que se agotan todos los recursos de las víctimas.
Ataques de inundación HTTP: Estos implican la explotación de solicitudes legítimas destinadas a las actividades GET y POST de paquetes que van y vienen de un sitio web o servidor. El ataque suele engañar al servidor remoto para que asigne el máximo de recursos a las solicitudes falsas.
Medidas preventivas contra los ataques DDoS
Como se destacó anteriormente, los ataques DDoS se ejecutan en dos etapas, reclutando los nodos que conforman la botnet e inundando la red de la víctima con un tráfico excesivo. Los usuarios cotidianos de las redes de internet en casa pueden protegerse contra la participación en un ataque de botnet eliminando todas las fuentes de vulnerabilidad en los dispositivos personales siguiendo los pasos a continuación:
1. Cambiar las contraseñas en los nuevos dispositivos:
Hardware de red como routers, switches, hubs Wi-Fi y dispositivos IoT vienen con contraseñas predeterminadas. Cambiar las contraseñas predeterminadas es razonable, ya que ese paso aleja a su dispositivo y a todos los demás conectados a su red de posibles compromisos. Una mirada al manual de instrucciones del usuario o al sitio web del fabricante debería revelar pasos sencillos para cambiar la contraseña del dispositivo.
2. Utilice recursos de seguridad actualizados y confiables:
Actualizar el firmware de los dispositivos frontales, cortafuegos y el sistema operativo será la primera pantalla de protección contra la infiltración de malware en los dispositivos de red.
Para las organizaciones que descubren que su infraestructura de red está bajo un ataque DDoS, el siguiente curso de acción debería asegurar que el tiempo de inactividad y la pérdida resultante sean mínimos.
3. Utilice la tecnología de gateway que identifica picos repentinos de tráfico
Un ataque DDoS puede ser fácilmente contenido si se detecta lo suficientemente temprano; esto permitirá suficiente tiempo para contactar al ISP de la empresa, quien luego implementaría su mejor técnica para disipar DDoS. Un ISP podría detener o minimizar el impacto de un ataque DDoS dispersando el tráfico a servidores con ancho de banda disponible o enrutando el tráfico a un Agujero de Sumidero o Agujero Negro. Sin embargo, los Agujeros Negros son más efectivos ya que todo el tráfico, tanto legítimo como ilegítimo, que va a una dirección IP atacada se envía a un ‘interfaz nula’ del agujero. Los Sumideros, por el contrario, intentan filtrar los paquetes de datos.
4. Reconfiguración del back-end de los recursos de red
Es posible limitar el volumen de ancho de banda permitido mediante hardware como conmutadores y enrutadores, lo que también se aplica a los cortafuegos. Con la limitación del tráfico, se protege el enorme ancho de banda del tráfico típico de los ataques DDoS, mientras que se permite la entrada en la red local de paquetes con características regulares.
5. Mantener la seguridad de los dispositivos IoT
Se ha informado de que la vulnerabilidad de una máquina de café fue explotada para piratear la infraestructura de red de un casino. Hay que insistir en el consejo anterior sobre los dispositivos IoT: cambia las contraseñas por defecto en cuanto los saques de la caja y procura actualizar el firmware del dispositivo con regularidad.
Conclusión
Los ataques DDoS pueden parecer intimidantes y bastante complicados, pero ya no. Con su conocimiento recién adquirido o actualizado de los ataques DDoS a través de este artículo, conocer la capacidad de un ISP para proteger su sitio web contra uno debe incluirse en la lista de elementos a revisar al decidir a qué ISP suscribirse.