Ataques DDoS: tipos, protección y mitigación

Tipos, protección y mitigación de ataques DDoS

Los ataques DDoS tienen como objetivo provocar la caída de servicios online inundándolos de una enorme cantidad de tráfico entrante, proveniente de múltiples fuentes. Este tipo de ciberataques puede tener muchos efectos negativos en los beneficios de un negocio, así como dañar la reputación de la empresa. Veamos en qué consiste un ataque DDoS y cómo proteger servicios y sistemas de este tipo de ataques.

¿Qué es un ataque DDoS?

Un ataque DDoS o ataque de denegación de servicio distribuido (del inglés Distributed Denial-of-Service) es un tipo de ciberataque en el que un cibercriminal busca interrumpir, de forma temporal o permanente, el acceso a diversos servicios online —sitios web, aplicaciones, redes, APIs, etc.—.

Para interrumpir estos servicios, los ciberatacantes inundan la máquina o recurso de red a los que va dirigido el ataque con solicitudes superfluas que provienen de muchas fuentes distintas. Esto hace que sea imposible parar el ataque bloqueando una única fuente. Como consecuencia de esta sobrecarga de tráfico indeseado, los servicios que son objeto del ataque dejan de estar disponibles para los usuarios finales.

En otras palabras, un ataque DDoS crea una especie de atasco que impide que las solicitudes legítimas puedan avanzar.

Los atacantes DDoS dirigen sus ataques a una amplia variedad de recursos:

  • Plataformas educativas,
  • sitios de comercio electrónico,
  • servicios financieros,
  • aplicaciones bancarias,
  • sitios web gubernamentales,
  • sistemas médicos, etc.

Los ataques DDoS se suelen usar para:

  • Causar un impacto económico o social.
  • Crear una cortina de humo para distraer al equipo de seguridad mientras se lleva a cabo un ataque más sofisticado.
  • Extorsionar a negocios a cambio de dinero.
  • Realizar hacktivismo con fines políticos o sociales.

¿Cómo funciona un ataque DDoS?

Los atacantes DDoS aprovechan redes de dispositivos conectados a Internet que están infectados para perturbar la red o servidor objetivo con una inundación de solicitudes indeseadas que provienen de muchas fuentes diferentes.

Para infectar y conseguir el control sobre esas máquinas y dispositivos conectados a Internet, los ciberatacantes aprovechan vulnerabilidades de seguridad y utilizan malware. Una vez que han infectado un dispositivo, este se convierte en un «bot» que es capaz de propagar el malware a otros dispositivos y, por lo tanto, de amplificar el tamaño del ataque. Este grupo de dispositivos infectados o «bots» se conoce como «botnet» en inglés o «red de robots» en español.

Entonces, para atacar una máquina o red, el atacante indica a cada bot dentro de la botnet que envíe solicitudes a la dirección IP a la que está dirigido el ataque. Esa enorme cantidad de tráfico entrante tiene como resultado una denegación de servicio e impide que el tráfico normal pueda acceder al servicio que está siendo objeto del ataque.

Los ataques DDoS son fáciles de propagar porque los dispositivos infectados no suelen darse cuenta de que lo están y resulta difícil identificar a los atacantes. De modo que no es fácil detectar el tráfico malicioso.

Tipos de ataques DDoS

Los ataques DDoS se pueden clasificar en tres tipos principales: ataques volumétricos o basados en volumen, ataques de protocolo y ataques a la capa de aplicación. Algunos de los ejemplos más comunes de ataques DDoS son los ataques de amplificación de DNS, inundación SYN e inundación UDP.

Además, a veces se utilizan múltiples ataques juntos para atacar varias capas al mismo tiempo. Por ejemplo, combinando un ataque de amplificación de DNS con un ataque de inundación HTTP. Este tipo de ataques que usan múltiples caminos simultáneos se conocen como «ataques DDoS multivector».

Ataques volumétricos

Los ataques volumétricos tienen como objetivo saturar el ancho de banda del recurso o servicio objetivo. También se conocen como «ataques basados en volumen». Al enviar una gran cantidad de tráfico mediante una red de robots o botnet, los atacantes ralentizan o impiden el flujo de tráfico de los usuarios reales.

Estos son algunos tipos habituales de ataques volumétricos o basados en volumen:

  • Amplificación de DNS. En los ataques de amplificación de DNS, los atacantes falsifican la dirección IP de su objetivo para enviar una gran cantidad de solicitudes y conseguir que los servidores DNS respondan. Al responder, los servidores DNS generan una gran cantidad de tráfico que inunda los servicios de la organización.
  • Inundación ICMP. En los ataques de inundación ICMP, los mensajes del protocolo ICMP (protocolo de control de mensajes de Internet o Internet Control Message Protocol, en inglés) se usan para sobrecargar el ancho de banda de la red del objetivo.
  • Inundación UDP. En los ataques de inundación UDP, los ciberatacantes usan paquetes IP que contienen el protocolo de datagrama del usuario (UDP) para colapsar los puertos del host que es objeto del ataque. Este tipo de ataque DDoS se suele elegir para realizar ataques de ancho de banda de mayor tamaño.

Ataques de protocolo

Los ataques de protocolo tienen como objetivo consumir y agotar los recursos reales de los servidores y equipamiento intermedio como firewalls. También se conocen como «ataques basados en protocolo». Para ello los atacantes usan solicitudes de conexión maliciosas para vulnerar las comunicaciones del protocolo.

Estos son algunos tipos habituales de ataques de protocolo o basados en protocolo:

  • Ping of Death. En los ataques Ping of Death o «Ping de la muerte» en español, los ciberatacantes envían un paquete de tamaño superior al máximo permitido para provocar una caída en el servidor al que se dirige el ataque. El paquete de tamaño superior al permitido se fragmenta en partes al ser transmitido al objetivo del ataque de modo que cuando el servidor objetivo intente volver a unir las partes, el tamaño excederá el límite y provocará un desbordamiento de búfer.
  • Ataque DDoS Smurf. En ataques DDoS Smurf, los atacantes transmiten un gran número de paquetes ICMP usando una IP de origen falsificada, que pertenezca al objetivo del ataque, a una red de ordenadores mediante una dirección IP de difusión. Si hay un gran número de dispositivos en la red, las respuestas a la IP de origen podrían inundar de tráfico el ordenador objeto del ataque.
  • Inundación SYN. En ataques de inundación SYN, los ciberatacantes usan un cliente infectado para enviar un gran volumen de paquetes SYN que nunca llegan a ser confirmados. Como el protocolo de control de transmisión (TCP) establece conexiones en varios pasos —sincronización, confirmación de la sincronización y confirmación final—, el servidor permanece a la espera de respuesta de numerosas conexiones TCP incompletas y tarde o temprano se queda sin capacidad para aceptar nuevas conexiones legítimas.

Ataques a la capa de aplicación

Los ataques a la capa de aplicación tienen como objetivo provocar una caída del servidor web con solicitudes aparentemente legítimas. Este tipo de ataque es fácil de implementar y difícil de parar o ralentizar, y suele estar dirigido a aplicaciones específicas. También se conocen como «ataques DDoS de capa 7».

Estos son algunos tipos habituales de ataques a la capa de aplicación o ataques de capa 7:

  • Inundación HTTP. Los ataques de inundación HTTP provocan un efecto similar al de refrescar constantemente un buscador web en un gran número de ordenadores, de forma simultánea. Esta gran cantidad de peticiones HTTP inunda el servidor.
  • Low-and-slow. En los ataques low-and-slow, los atacantes usan un pequeño flujo de tráfico muy lento y no requieren de mucho ancho de banda para llevar a cabo el ataque. Mitigar estos ataques DDoS no es sencillo porque es especialmente difícil distinguir el tráfico malicioso del tráfico normal. Esto facilita que pasen desapercibidos durante un largo período de tiempo y que ralenticen o incluso denieguen el servicio a los usuarios reales.

Cómo defenderse frente a un ataque DDoS

Para estar protegido frente ataques DDoS, las organizaciones necesitan contar con una buena estrategía anti-DDoS. Estos son algunos de los métodos que más se usan habitualmente para proteger servicios y aplicaciones frente a ataques DDoS:

  • Difusión con red anycast. Usar una red anycast para diseminar el tráfico malicioso a través de una red de servidores distribuidos para que resulte razonable y se pueda gestionar.
  • Filtración de agujeros negros (blackhole filtering, en inglés). Crear una ruta de agujeros negros a través de la cual canalizar el tráfico a una ruta inválida o un «agujero negro», haciendo así que abandone la red.
  • Limitación de velocidad. Limitar el número de solicitudes que un servidor puede aceptar a lo largo de una ventana de tiempo. Cuando se detecta un elevado nivel de tráfico en el host, este solo será capaz de aceptar el tráfico que pueda gestionar, sin afectar a la disponibilidad.
  • Reducción de la superficie del área expuesta a ataques. Minimizar la superficie del área que puede ser atacada para limitar los puntos de ataque y centrar la protección en un único lugar. Esto se puede hacer, en algunos casos, colocando los recursos detrás de balanceadores de carga o de una CDN. También restringiendo el tráfico de Internet directo a ciertas partes de la infraestructura.
  • Despliegue de un firewall de aplicaciones web (WAF, por las siglas en inglés Web Application Firewall). Utilizar un firewall de aplicaciones web —defensa del protocolo de capa 7— para filtrar y monitorizar el tráfico HTTP entre una aplicación web e Internet.

No obstante, según la complejidad del ataque, podría ser necesaria una solución más compleja para hacer frente a un ataque DDoS.

Cómo mitigar ataques DDoS

Como cortar todo el tráfico no es una opción, distinguir el tráfico malicioso del tráfico normal es una de las preocupaciones principales a la hora de mitigar ataques DDoS. Además, diferenciar el tráfico proveniente del ataque del tráfico de los clientes reales puede convertirse en una misión casi imposible cuando se trata de un ataque DDoS multivector complejo. Así que, las soluciones de mitigación variarán considerablemente según el tipo y la complejidad del ataque.

¿Tu empresa está sufriendo un ataque?

En caso de emergencia o ciberataque, no dudes en contactar con nosotros rellenando este formulario o llamándonos al +34 911 091 090.

Si te ha gustado, compártelo en redes sociales