Un ataque DDoS, o ataque de denegación de servicio distribuido, es una modalidad de delito cibernético bajo la cual actores maliciosos inyectan tráfico artificial en los servidores que hospedan un sitio web o una aplicación para que estos dejen de estar disponibles para los usuarios; existen diferentes tipos de ataques DDoS, todo tienen el mismo fin: abrumar un servidor con tráfico ilegítimo, para detener la operatividad de un servicio en línea de forma temporal o permanente.
¿Sabes cómo funcionan los ataques DDoS? Estos eventos explotan un conjunto de dispositivos infectados con malware llamados bots; a un grupo de bots se le conoce como botnet, los cuales son usados por los piratas informáticos para interrumpir los sistemas que garantizan el funcionamiento de una página web o aplicación sin permiso, conocimiento o consentimiento del propietario.
Hay varios tipos de ataques DDoS dirigidos a diversos componentes de las conexiones de red, estos están agrupados en tres categorías específicas: capas de aplicación, protocolos y ataques volumétricos.
Antes de pasar a conocer un poco más sobre estas categorías, resulta útil comprender cómo podemos configurar una conexión de red.
¿Cómo podemos configurar una conexión de red?
Las conexiones de red están compuestas por múltiples capas, y cada una de ellas tiene un propósito distinto, ya que el modelo de interconexión de sistemas abiertos (OSI) se caracteriza por tener diversas funciones que respaldan la operatividad entre dispositivos, productos y servicios que están en línea.
Según el modelo OSI, estas comunicaciones funcionan de forma conjunta para establecer una conexión de red y contiene siete capas organizadas en un marco específico, tal como el que se detalla a continuación:
Capa 7- Capa de aplicación
Esta es la capa de interacción humano-computadora donde los usuarios finales acceden a los servicios de red.
Capa 6- Capa de presentación
Esta es la capa mantiene los datos en un formato utilizable y donde se define cómo dos dispositivos específicos deben codificar, encriptar y comprimir los datos que transmiten.
Capa 5- Capa de sesión
Esta capa crea un canal de comunicación después de la autenticación de un mensaje y garantiza que las sesiones permanezcan abiertas durante los periodos de transferencia de datos. Una vez finalizada esta operación, la sesión se cierra.
Capa 4- Capa de Transporte
En esta capa se reciben los datos transferidos en la capa de sesión la cual se dividen en «segmentos», los cuales deben ser ensamblados nuevamente en el extremo receptor, es aquí también donde se regula la transferencia de datos de cualquier comunicación.
Capa 3- Capa de red
Aquí se dividen los segmentos en paquetes de red, para luego ser ensamblados nuevamente y enrutados por la vía correcta; esta capa está diseñada para la entrega tramas de la capa 2 a los destinos previstos usando direcciones IP.
Capa 2- Capa de enlace de datos
Esta capa es la responsable de iniciar y finalizar una conexión entre dos nodos conectados físicamente en una red.
Capa 1- Capa física
La capa 1 es la que define el conector y el cable eléctrico usados para transferir datos sin procesar.
Ataques a las capas de aplicación
Los ataques DDoS más comunes incluyen embestidas a las capas de aplicación, los cuales están diseñados para atacar la aplicación en sí y explotar vulnerabilidades específicas del sistema (tales como servicios de voz SIP, servidores web y BGP) con el fin de que las aplicaciones no puedan entregar el contenido solicitado por los usuarios.
Si comparamos estos eventos con los ataques volumétricos y de protocolo, los ataques de capa de aplicación requieren menos recursos para interrumpir las funciones de un servicio o las características específicas de un sitio web, ya que imitan el comportamiento legítimo de los usuarios, lo que hace que estos ataques sean difíciles de identificar.
Como puedes imaginar, este escenario es peligroso ya que las herramientas usadas durante un ataque DDoS pueden acceder a millones de botnets y dañar los sistemas a escalas indescriptibles: la magnitud de este tipo de ataques suele medirse en solicitudes por segundo. Aquí te mostramos dos subcategorías populares de ataques a las capas de aplicación:
Ataques dirigidos a servidores DNS
El DNS o Sistema de Nombres de Dominio es usado para convertir los nombres de dominio en direcciones IP, las cuales son usadas por tu navegador para mostrar resultados. Dado que los servidores DNS están vinculados a la información del nombre de dominio, los piratas informáticos pueden intentar inyecciones de tráfico para llevar a cabo ataques DDoS o Dos.
Los piratas informáticos usan tácticas tales como la suplantación de identidad y la amplificación, haciendo que una pequeña consulta refleje una respuesta más extensa en términos de bytes. Luego proceden a atacar los servidores DNS utilizando bots para generar solicitudes de DNS falsas para sus registros de amplificación.
El servidor emite su propia solicitud a un servidor infectado para así poder acceder al registro de amplificación; todo este proceso implica una suplantación de identidad y se produce en las capas 3 y 4 del modelo OSI.
Los ataques de inundación de DNS abruman a los servidores mediante el envío de solicitudes de información que lucen legítimas desde múltiples direcciones IP falsificadas (bots) con una tasa bastante alta de paquetes de data; las inundaciones de DNS amplificadas son más potentes aún y generalmente son dirigidas a servidores de DNS recursivos con la capacidad de manejar grandes volúmenes de solicitudes para DNS.
Inundación cifrada HTTP/S
Los ataques de inundación cifrada HTTP o HTTPS ocurren en la capa 7 del modelo OSI, tal como su nombre lo indica, estos ataques DDos inundan los servidores con solicitudes HTTP por parte de una o varias URLs que provienen de una red de netbots.
Las inundaciones HTTP tienen como objetivo agotar los recursos de los servidores con el envío de solicitudes continuas que incluyen secuencias de comandos e imágenes (GET), formularios y archivos (POST) o solicitudes HTTP GET y POST combinadas, la versión más sofisticada de este ataque usa solicitudes DELETE, PUT, etc.
La denegación de servicio ocurre una vez que el servidor alcanza la máxima cantidad de conexiones simultáneas que puede soportar y deja de responder a las solicitudes legítimas de los usuarios de la página o plataforma.
Esta modalidad de ataque es difícil de descubrir, pero tener conocimiento acerca de cómo identificar un ataque DDoS de este tipo puede ayudarte a mitigar las repercusiones.
Ataques de protocolo
Los ataques de protocolo tienen como objetivo agotar los recursos del servidor y del equipo de comunicación que funciona como intermediario, es decir, el terminal mediador entre un sitio web y un servidor. Bajo esta modalidad los piratas informáticos trabajan para sobrecargar los recursos del servidor con solicitudes de protocolos falsos y así ocupar los recursos disponibles hasta que estos dejen de funcionar.
Aquí te describimos cuatro tipos de ataques DDoS comunes que caen dentro de esta categoría:
Ping de la muerte
Bajo esta modalidad, los criminales informáticos manipulan los protocolos IP mediante el envío de paquetes de ping al servidor de la víctima, con un tamaño que va más allá del tamaño máximo permitido por el sistema: el ping de la muerte (PoD) es un ataque DDoS obsoleto en la actualidad, pero todavía es usado por algunos hackers nostálgicos para atacar aplicaciones y hardware.
Esta modalidad de ataque también bloquea el acceso a los servidores o fuerza un reinicio, haciendo que los centros de datas colapsen por completo; si bien es cierto que los ataques PoD son menos frecuentes hoy en día, una modalidad de ataque DDoS relacionado a este, conocido como inundación ICMP es mucho más común, puedes leer más sobre esta modalidad de ataques en la sección de ataques volumétricos.
Inundación SYN
El protocolo de control de transmisión o TCP es una estructura de comunicación que interconecta a un cliente, un host y un servidor que operan en la capa 4; en esta modalidad los piratas informáticos se aprovechan de las vulnerabilidades del TCP y envían paquetes SYN al servidor que hospeda una página web determinada usando direcciones IP falsificadas.
SYN es una compresión de paquetes TCP sincronizados y enviados a otra computadora cuando un cliente intenta establecer una conexión TCP con un servidor. Las inundaciones SYN también se conocen como inundaciones TCP o inundaciones SYN-TCP ya que están diseñadas para agotar los recursos de conexión en los servidores back-end.
Los paquetes falsificados se envían hasta que falla la conexión de memoria en la tabla, lo cual cierra el servicio en línea; con la acumulación de TCP saturada, el servidor no puede recibir nuevas conexiones y la página o aplicación queda fuera de servicio.
Inundación Tsunami SYN
Un ataque de inundación Tsunami SYN es una modalidad de ataque DDoS que es mucho más agresiva que la inundación SYN regular, ya que esta contiene pocos datos, pero esta variante del ataque se caracteriza por usar paquetes que contiene alrededor de 1000 bytes cada uno.
Agotamiento de conexión
En los ataques de agotamiento de conexión, los criminales cibernéticos ponen bajo su mira los componentes de la infraestructura de una plataforma determinada, tales como los cortafuegos de próxima generación, los servidores de aplicaciones web y los balanceadores de carga perimetrales para abrumar las tablas de estado de conexión con múltiples datos falsos; esta modalidad de ataque DDoS ayuda a los actores maliciosos a monitorear y ajustar sus ataques con precisión para lograr un impacto de alta intensidad.
Por lo general, los ataques de agotamiento de conexión se planifican usando clientes inteligentes para el envío de paquetes de datos que funcionen de forma discreta y que no pueden ser identificados como solicitudes falsas; es un método de ataque refinado y casi imposible de evitar o mitigarlos si tu infraestructura de enrutadores no está bordeada debidamente.
Esta modalidad de ataque también es conocida como ataques de agotamiento del estado, ya que usan menos ancho de banda (hasta 20 gigabits por segundo), lo que hace que sean considerados menos peligrosos.
Dicho esto, es importante tener en cuenta que en la actualidad los atacantes han adaptado el agotamiento de la conexión estándar, TCP y ataques de inundación para que estos también afectan los servicios de capa de conexión segura (SSL), dado que los protocolos de comunicación de red a menudo usan SSL para encriptar datos y mejorar la seguridad mientras abordan problemas de privacidad.
Los ataques DDoS de agotamiento de estado SSL generalmente se dirigen al protocolo de enlace SSL de dos maneras específicas:
- Al explotar el propio protocolo de enlace SSL con solicitudes continuas que renegocian el cifrado hasta agotar los recursos, lo que hace que los servicios no estén disponibles para los usuarios legítimos de la página o plataforma.
- Al enviar paquetes de datos no válidos a los servidores SSL, los cuales desperdician tiempo y recursos procesando estos datos como legítimos, y causan problemas de conexión para usuarios reales.
La mayoría de los cortafuegos no pueden mitigar estos ataques DDoS, ya que no pueden diferenciar entre los paquetes de datos de protocolo de enlace SSL auténticos y falsos.
Ataques volumétricos
Los ataques volumétricos son aquellos que agotan el ancho de banda de un sitio web usando métodos de amplificación; este tipo de ataque DDoS se mide en Bps o bits por segundo y los tamaños de las solicitudes se miden en cientos de Gbps o Gigabytes por segundo, aunque en la actualidad algunos incidentes recientes han registrado solicitudes de más de 1 Tbps (terabits por segundo).
La razón principal que motiva este tipo de ataques DDoS es su carácter sigiloso.
Estos eventos son increíblemente difíciles de rastrear, ya que se registran como tráfico auténtico generado por múltiples direcciones IP, pero en realidad se generan en la red de bots que maneja el atacante.
Los ataques DDoS volumétricos sirven para detener el tráfico legítimo en una aplicación o para cerrar sitios web completamente; a continuación, te describimos los tipos de ataques volumétricos más notorios:
Amplificación del DNS
La amplificación del DNS es una acción que explota los servidores de DNS públicos para sobrecargar una red provocando una congestión de tráfico. Los piratas informáticos actúan enviando solicitudes de búsqueda de DNS a un servidor público, suplantando la dirección IP de origen con la dirección IP del objetivo que tienen bajo la mira.
Es aquí que la respuesta del registro DNS es enviada al objetivo en su lugar, ya que estas solicitudes falsificadas son del tipo “CUALQUIER”, por lo tanto, todos los detalles de esta se empaquetan en una sola solicitud y generan una amplia cantidad de respuestas para que los recursos de la red de la víctima reciban tráfico amplificado, obstruyéndola y haciéndola inaccesible.
Inundación UDP
Otra forma de ataque DDoS es la inundación UDP, con la cual los criminales cibernéticos apuntan sus bombardeos a puertos aleatorios en un host con una gran cantidad de ataques en miniatura que incluyen pequeños paquetes de protocolo de datagramas de usuario (UDP). UDP es un protocolo de comunicación que establece conexiones de baja latencia y tolerancia a pérdidas entre algunas aplicaciones de Internet.
Un ataque de inundación UDP agota los recursos vitales de una red, sobrecargando el sistema de destino y provocando la denegación de servicio; esta modalidad de ataque se puede manejar usando una dirección IP falsificada para garantizar que los paquetes devueltos no lleguen al host a la vez que asiste al pirata informático a ocultar su identidad.
Inundación ICMP o Ping
ICMP o protocolo de mensajes de control de Internet es usado para comunicar problemas relacionados a la transferencia de datos en línea, dicho sistema también es usado por actores maliciosos para abrumar una red con numerosas solicitudes de eco ICMP. Las solicitudes de eco ICMP (o “pings”) y los mensajes de respuesta a eco son usados para evaluar la potencia de la conectividad de una red. La mayoría de las veces, este tipo de solicitudes reciben respuestas que consumen recursos de la red, por lo que, si un sistema es inundado con estos paquetes de solicitud, los servicios en línea dejan de estar disponibles para los usuarios.
Inundación RST-FIN
En el protocolo de control de transmisión (TCP), los atacantes usan paquetes RST o FIN falsificados para saturar el ancho de banda de una red y ocupar recursos para interrumpir la actividad de esta.
Mientras que los paquetes SYN se envían para establecer nuevas conexiones TCP, los paquetes FIN se envían para cerrar conexiones TCP; mientras tanto, los paquetes RST son usados para restablecer conexiones a la fuerza al ser canceladas cuando hay un problema.
Durante este tipo de ataque DDoS, los criminales cibernéticos envían grandes volúmenes de paquetes RST y FIN falsificados con el fin de agotar los recursos de la red de la víctima, lo cual a su vez, provoca interrupciones que provocan fallas en el sistema.
Aunque las inundaciones RST-FIN no ocurren con frecuencia en la actualidad, los piratas informáticos todavía las usan combinándolas con otros tipos de ataques.
Ataques de pitufos
Un ataque pitufo generalmente ocurre en la tercera capa del modelo OSI y es similar al ataque de inundación ICMP; como puedes imaginar su nombre proviene de una herramienta de ataque DDoS que lleva el nombre de un antiguo programa de dibujos animados llamado Los Pitufos, y que se destaca por tener el poder de afectar enemigos más grandes.
Los ataques de pitufos sobrecargan las redes con solicitudes de eco ICMP o pings maliciosos mientras explotan las vulnerabilidades de tu IP, adjuntando una dirección falsa o suplantada a un paquete de datos para enviar múltiples solicitudes.
Resumen
Los ataques DDoS más comunes se clasifican en ataques de capa de aplicación, ataques de protocolo y ataques volumétricos; estos ocurren en diferentes capas del modelo OSI.
Mientras que los ataques a la capa de aplicación explotan vulnerabilidades específicas y falsifican acciones legítimas del usuario, los ataques de protocolo consumen los recursos de comunicación del servidor con solicitudes inválidas; por su parte los ataques volumétricos se centran en inundar las redes de las víctimas con tráfico que luce auténtico.
Los criminales informáticos de la actualidad a menudo usan una combinación de estos tipos de ataques DDoS y otros métodos de incursión para afectar un sistema. Una de las mejores defensas es estar informado sobre las industrias que son blanco común de los atacantes DDoS, pero es necesario tener presente que ninguna industria u organización está a salvo de este tipo de amenazas.
No es fácil detectar los ataques DDoS hasta que el daño ya se ha consumado, por lo que es mejor reforzar tus protocolos de seguridad e informar a tus empleados sobre los elementos que indican que estos ataques están sucediendo.