Distributed Denial of Service (DDoS)

Imagina una multitud de compradores el Black Friday tratando de entrar a una tienda a través de una puerta giratoria, pero un grupo de gamberros bloquea a los compradores dando vueltas y vueltas por la puerta como un carrusel. Hay muchos empujones y apretones, y los compradores legítimos no pueden comprar nada. El negocio se detiene.

Un ataque de denegación de servicio (DDoS) sería lo mismo pero en Internet.

Este tipo de ataque es una de las armas más poderosas existentes en Internet. Cuando nos enteramos de que una página web es inutilizada por los hackers, supone que es víctima de un ataque DDoS. Es decir, significa que los ciberdelincuentes pretenden que una página web u ordenador quede indisponible bloqueándolo o llenándolo con demasiado tráfico.

Los expertos prevén que en 2020 el ataque DDoS promedio generará 1.5 Tbps de tráfico de red. Además, advierten sobre la naturaleza repetitiva de estos ataques, explicando que si tu empresa ha sido blanco de un ataque DDoS, existe una posibilidad del 25% de que la ataquen nuevamente dentro de 3 meses y más del 36% de posibilidades de que te vuelvan a atacar en un año.

Vamos a explicar aquí en que consiste un ataque DDoS, los tipos existentes, herramientas usadas y cómo prevenirlos.

¿Qué es un ataque DDoS?

La denegación de servicio hace lo que su nombre sugiere, que un sitio web no esté disponible para los usuarios, pero uno exitoso afectará a toda una base de datos de usuarios en línea.

En un ataque DoS, el atacante puede usar una única conexión a Internet para explotar una vulnerabilidad de software o inundar el objetivo con solicitudes falsas y finalmente hacer que el sitio no esté disponible y evitar que responda a las solicitudes de los usuarios legítimos.

O bien, el ataque puede iniciarse desde múltiples dispositivos conectados que se distribuyen a través de Internet, en un ataque de Denegación de Servicio Distribuido orquestado, o DDoS.

Lo primero que hay que hacer para realizar un ataque de Denegación de Servicio Distribuido (DDoS) es incorporar un ejército de bots. Para convertir una ordenador en un bot, los atacantes desarrollan malware especializado que distribuyen a la mayor cantidad posible de ordenadores vulnerables.

El malware puede propagarse a través de sitios web comprometidos, archivos adjuntos de correo electrónico o a través de la red de una organización. Cualquier usuario engañado para ejecutar dicho malware sin querer convertirá su ordenador en un bot y proporcionará a los atacantes el acceso a su ordenador.

Una vez que un ordenador se convierte en un bot, se conecta a los circuitos de control del atacante y comienza a aceptar órdenes de estas máquinas centralizadas. Las órdenes de los servidores de control al mando incluyen instrucciones para lanzar un ataque de malware de bots a un objetivo particular utilizando métodos de ataque seleccionados.

Un ejército de bots se llama botnet y generalmente consta de miles de bots. Cada vez que los propietarios de botnets desean lanzar un ataque, envían mensajes a los servidores de control de su botnet. Cualquier máquina afectada en la botnet cumplirá lanzando un ataque distribuido coordinado y oportuno conocido como la Denegación de servicio distribuida.

Efectos sobre las empresas

El impacto comercial del ataque DDoS es sustancial. La media del coste de interrupción es de 100,000 dólares por hora. Un ataque DDoS puede costarle a una compañía dependiente de Internet 1 millón de dólares antes de que la compañía incluso comience a mitigar el ataque.

Algunas de las formas en que la denegación de servicio causa estragos en Internet están consumiendo ancho de banda de red, enormes recursos computacionales disponibles como disco, memoria, espacio o tiempo de procesador, alterando la información de configuración o restableciendo la información. Sin mencionar el daño a la reputación, la desconfianza del cliente y las repercusiones legales.

Los que lanzan ataques DDoS pueden ser:

  • Extorsionistas: que deshabilitan el sitio web para exigir dinero de rescate
  • Exfiltradores, que roban datos de los que pueden sacar beneficios, ya sea propiedad intelectual o datos de tarjetas de crédito
  • Hacktivistas, que tienen como objetivo hacer una declaración política
  • Competidores, que pueden deshabilitar el sitio web para obtener ventaja o recopilar información para fijar y mejorar los precios.

Tipos

Los sitios web y las aplicaciones viven fuera del centro de datos en la nube. Hoy en día no es fácil proteger ese perímetro, pero existen formas inteligentes de solucionar estos problemas. Una es comprender la profundidad de estos ataques.

Los ataques DDoS tienen como objetivo la capa de red o la capa de aplicación.

Con los ataques de capa de red, el objetivo es enviar paquetes maliciosos a través de diferentes protocolos de red para consumir el ancho de banda disponible del objetivo y obstruir sus tuberías de Internet.

Sin embargo, con los ataques de la capa de aplicación, el objetivo es consumir los recursos informáticos, la CPU y la RAM, que un servidor web tiene a su disposición para procesar las solicitudes.

Los ataques de capa de red son los que leemos a menudo en los medios y que se atribuyen al servicio de interrupción en muchos sitios web importantes.

Sin embargo, los ataques de capa de aplicación pueden ser pequeños y silenciosos en comparación con los ataques de capa de red, pero igual de disruptivos y, en realidad, más complejos de manejar. Los ataques de la capa de aplicación generalmente requieren muchos menos paquetes y ancho de banda para lograr el mismo objetivo: eliminar una web.

Analicemos cada uno de ellos.

Ataques de capa de red

Dentro de los ataques de capa de red podemos diferenciar los siguientes:

1. SYN Flood

Es un ejemplo popular de un ataque DDoS de capa de red. En su anatomía, el sistema atacante envía una solicitud TCP SYN con una dirección IP de origen falsificada a un host. Si bien la solicitud parece legítima, la dirección falsificada se refiere a un cliente que no existe, por lo que el mensaje ACK final nunca se envía al host víctima.

Un ataque DDoS de inundación SYN explota una debilidad conocida en la secuencia de conexión TCP que generalmente se ejecuta así:

  • El cliente solicita una conexión enviando un mensaje de sincronización (SYN) al servidor
  • El servidor confirma la solicitud enviando un mensaje de confirmación (SYN-ACK) al cliente
  • El cliente responde con un mensaje (ACK) y se establece la conexión.

En un ataque de inundación SYN, el cliente no responderá al servidor con el código ACK esperado, o un servidor enviará el mensaje SYN-ACK a una dirección IP falsificada que no devolverá el ACK. El resultado de un ataque son conexiones medio abiertas en el sitio de la víctima.

Estos también vinculan los recursos del servidor para que no se puedan establecer nuevas conexiones legítimas. Las conexiones estarán medio abiertas y consumirán recursos del servidor. Es por eso que los ataques de inundación SYN a veces también se denominan ataques «medio abiertos».

2. Ataque de inundación de DNS

Los servidores DNS son la hoja de ruta de Internet que ejecuta un software de red de propósito especial, presenta una dirección IP pública y contiene una base de datos de nombres de red y direcciones para hosts de Internet. Se comunican entre sí mediante protocolos de red privados y están organizados en una jerarquía.

En un ataque de inundación de DNS, un atacante apunta a uno o más servidores DNS e intenta dominarlo con tráfico aparentemente válido, abrumando los recursos del servidor e impidiendo la capacidad del servidor de dirigir solicitudes legítimas a los recursos de la zona.

Las inundaciones de DNS son ataques DDoS simétricos que intentan agotar los activos del lado del servidor (p. Ej., Memoria o CPU) con una avalancha de solicitudes UDP, generadas por scripts que se ejecutan en varias máquinas botnet comprometidas.

Para atacar un servidor DNS con una inundación de DNS, el atacante ejecuta un script, generalmente desde múltiples servidores. Estas secuencias de comandos envían paquetes con formato incorrecto desde direcciones IP falsificadas. El atacante puede falsificar toda la información del paquete, incluida la IP de origen, y hacer que parezca que el ataque proviene de múltiples fuentes.

3. Ataque de amplificación de DNS

Los ataques de amplificación de DNS son ataques DDoS asimétricos en los que el atacante envía una pequeña consulta de búsqueda con IP de destino falsificada, lo que hace que el objetivo falsificado sea el destinatario de respuestas DNS mucho más grandes. Con estos ataques, el objetivo del atacante es saturar la red agotando continuamente la capacidad de ancho de banda. Esto, a su vez, derriba los servidores de la víctima.

4. Ping Flood Attacks

Una inundación de ping es un simple ataque de denegación de servicio en el que el atacante abruma a la víctima con ICMP Echo Request, también conocido como pings o paquetes de ping.

La mayoría de las implementaciones de ping requieren que el usuario tenga privilegios para especificar la opción de inundación. El ataque es más exitoso si el atacante tiene más ancho de banda que la víctima. El atacante espera que la víctima responda con los paquetes de respuesta de eco ICMP, consumiendo tanto el ancho de banda saliente como el ancho de banda entrante. Esto agota los canales entrantes y salientes de la red, consume un ancho de banda significativo y da como resultado una denegación de servicio.

5. Ping of Death Attacks

Con este tipo de ataque un atacante intenta bloquear, desestabilizar o congelar el ordenador o servicio objetivo mediante el envío de paquetes malformados o de gran tamaño mientras utiliza un simple comando ping. El comando ping normalmente es usado para demostrar la disponibilidad de un recurso de red. Su funcionamiento se produce dirigiendo pequeños paquetes de datos al recurso de red.

Es decir, se envían paquetes de datos que superan el límite máximo permitido por TCP / IP.

Cuando el ordenador de destino vuelve a ensamblar el paquete con formato incorrecto, se puede producir un desbordamiento del búfer, lo que causa un bloqueo del sistema y posiblemente permite la inyección de código malicioso.

6. Ataque Pitufo

Un ataque de Pitufo es una forma de ataque de denegación de servicio distribuido (DDoS) que hace que las redes de computadoras no funcionen. El programa Pitufo logra esto explotando las vulnerabilidades del Protocolo de Internet (IP) y los Protocolos de mensajes de control de Internet (ICMP). El atacante enviará una gran cantidad de paquetes IP con la dirección de origen falsificada, para que parezca ser la dirección de la víctima. Primero, el malware crea un paquete de red conectado a una dirección IP falsa, una técnica conocida como «suplantación de identidad».

Dentro del paquete hay un mensaje de ping ICMP, que pide a los nodos de la red que reciben el paquete que envíen una respuesta. Estas respuestas se envían nuevamente a las direcciones IP de la red nuevamente, configurando un bucle infinito.

7. Nuke Attack

El ataque nuclear envía paquetes ICMP corruptos y fragmentados a través de una utilidad de ping modificada al objetivo, enviando repetidamente los datos corruptos para ralentizar la computadora afectada hasta que se detiene por completo. Con suficiente volumen, el ataque puede ser exitoso. Finalmente, la máquina de destino se desconecta o da como resultado un bloqueo.

Nuke es un tipo antiguo de ataque DDoS y casi ningún sistema operativo moderno es vulnerable a dicho ataque.

8. Ataque de lágrima

Es un ataque de denegación de servicio dirigido a los códigos de reensamblado de fragmentación TCP / IP. Este ataque hace que los paquetes fragmentados se superpongan entre sí en el recibo del host. El host intenta reconstruirlos durante el proceso pero falla. Como resultado, los paquetes de datos se superponen y abruman rápidamente los servidores de la víctima, lo que hace que fallen.

9. Ataque sofisticado de bajo ancho de banda

Los sofisticados ataques DDoS de bajo ancho de banda usan menos tráfico y aumentan su efectividad al apuntar a un punto débil en el diseño del sistema de la víctima, es decir, el atacante envía tráfico que consiste en solicitudes complicadas al sistema.

Un ataque DDoS de bajo ancho de banda tiene tres ventajas principales en comparación con un ataque de alto ancho de banda:

  • menor coste, ya que utiliza menos tráfico;
  • huella más pequeña, por lo tanto, es más difícil de detectar;
  • capacidad de dañar sistemas que están protegidos por mecanismos de control de flujo.

Un ejemplo de tales ataques es un ataque contra servidores HTTP al solicitar páginas que rara vez se solicitan (obligando al servidor a buscar en el disco).

Ataques de capa de aplicación

Los principales ataques de capa de aplicación son:

1. Slow Loris Attack

Slowloris es un kit de herramientas DDoS que envía solicitudes parciales a un servidor de destino en un esfuerzo por mantener las conexiones abiertas el mayor tiempo posible. Al mismo tiempo que hace esto, envía encabezados HTTP a ciertos intervalos, lo que aumenta las solicitudes, pero nunca establece ninguna conexión. Este tipo de ataque DDoS no tarda mucho en eliminar un sitio web.

Requiere un ancho de banda mínimo para implementar y afecta solo al servidor web del servidor de destino, casi sin efectos secundarios en otros servicios y puertos. Funciona al abrir múltiples conexiones al servidor web de destino y mantenerlas abiertas el mayor tiempo posible.

Envía continuamente solicitudes HTTP parciales, ninguna de las cuales se completa. Finalmente, se llena el grupo de conexiones máximas del servidor de destino y se rechazan los intentos de conexión adicionales.

2. RUDY Attack

RUDY también conocido como «¿Ya estás muerto?». Apunta a las aplicaciones web por inanición de las sesiones disponibles en el servidor web. Es una herramienta popular de ataque bajo y lento que está diseñada para bloquear un servidor web al enviar campos de formulario largo.

El ataque se ejecuta a través de una herramienta DoS que navega por el sitio web de destino y detecta formularios web incrustados. Una vez que se han identificado los formularios, RUDY envía una solicitud HTTP POST legítima con un campo de encabezado de longitud de contenido anormalmente largo y luego comienza a inyectar el formulario con información, un paquete de tamaño de byte a la vez. La información se envía en pequeños fragmentos a una velocidad muy lenta.

3. Ataque XML

Un ataque de denegación de servicio XML es un ataque de denegación de servicio basado en contenido cuyo propósito es cerrar un servicio web o sistema que ejecuta ese servicio. Ocurre cuando se envía un mensaje XML con una multitud de firmas digitales y un analizador ingenuo mira cada firma y usa todos los ciclos de la CPU, consumiendo todos los recursos.

Una red puede inundarse con mensajes XML (en lugar de paquetes), para evitar que los usuarios legítimos se comuniquen en red. Si el atacante inunda el servidor web con solicitudes XML, afectará la disponibilidad de estos servicios web. Y esos atacantes manipulan el contenido del mensaje para que el servidor web resultante se bloquee.

Herramientas usadas para realizar ataques DDoS

Una botnetes una colección de dispositivos u ordenadores infectados con malware que se comunican entre sí y son controlados centralmente por un botmaster.

El botmaster dirige estas máquinas utilizando un servidor de comando y control, una ubicación central desde la cual las máquinas infectadas reciben instrucciones.

Algunas botnets consisten en cientos de miles, o incluso millones de ordenadores. Los bots no siempre significan una mala pieza de software, pero en muchas ocasiones se usan para coordinar un ataque DDoS.

En un caso de ataque DDoS, las llamadas máquinas esclavas se utilizan para bombardear un sitio web con tráfico al mismo tiempo. El botmaster puede aprovechar todos los ordenadores para enviar tantas solicitudes como sea posible a un solo ordenador o servicio de Internet.

Algunas de las herramientas usadas para realizar este tipo de ataques son:

  • Cañón de iones de órbita baja (LOIC): El software ofrece a un atacante potencial una interfaz gráfica de usuario intuitiva. El hacker puede usar esta interfaz para ingresar una URL, elegir un método de ataque (TCP, UDP, HTTP) y enviar la solicitud.
  • Cañón de iones de órbita alta (HOIC): tiene la capacidad de provocar un flujo de inundación HTTP con un bajo número de agentes de usuario. Con tan solo 50 usuarios a los que se les solicita lanzar un ataque con éxito, y la coordinación entre múltiples usuarios conduce a un aumento exponencial en el daño.
  • Brobot: el grupo detrás de esta botnet identifica extensiones de software vulnerables en ordenadores vinculados a sitios web de banda ancha y centros de datos de alojamiento web. Luego compromete y controla estos ordenadores al insertar código incrustado casi invisible en el HTML de las extensiones.

¿Cómo evitar un ataque DDoS?

Las acciones que debemos tener en cuenta para evitar ser víctimas de ataques de denegación de servicio son:

Garantizar suficiente ancho de banda

Los ataques basados ​​en la red tienen el efecto de agotar los recursos del servidor y consumir el ancho de banda disponible. El resultado final es una denegación de servicio a un usuario legítimo.

Por lo tanto, lo primero que debe tener en cuenta al defender una capa de red es garantizar suficiente ancho de banda de red para manejar fácilmente grandes cantidades de tráfico. Si no puede comprar suficiente capacidad por su cuenta porque no se usará la mayor parte del tiempo, muchos servicios en la nube pueden obtener acceso al ancho de banda adicional que necesita para absorber el ataque. Otra cosa es filtrar el tráfico de ataque para permitir tráfico legítimo y descartar uno ilegítimo, como paquetes TCP SYN excesivos.

Configuración segura y actualización de aplicaciones

Los ataques basados ​​en aplicaciones son más comunes que los ataques basados ​​en la capa de red. Estos tipos de ataques pueden ser más difíciles de detectar y más difíciles de mitigar. Muchas vulnerabilidades de la capa de aplicación pueden evitarse mediante la llamada «higiene» de buena aplicación. Esto significa fortalecer las aplicaciones a través de una configuración segura y con actualizaciones y parches oportunos.

En todos los requisitos de la aplicación, la arquitectura y las fases de diseño, se debe tener en cuenta la seguridad. Las protecciones de seguridad deben integrarse en el software y todas las aplicaciones y configuraciones deben probarse a fondo para detectar vulnerabilidades.

Hardware en las instalaciones

Instalar e implementar dispositivos locales, confiar en el hardware o en firewalls instalados en las instalaciones de los centros de datos son otras de las medidas para evitar estos ataques.

Esto requerirá grandes gastos iniciales de capital y la contratación de expertos con el conjunto de habilidades adecuadas para utilizar con éxito este hardware para mitigar los riesgos. Puede ser costoso y difícil, pero es una opción.

Sin embargo, por definición, el hardware local intenta detener un ataque DDoS solo después de haber ingresado al centro de datos.

Pueden combinarse equipos locales con un servicio adicional basado en la nube que se conoce como mitigación híbrida. Con ello los dispositivos locales y los servicios en la nube están totalmente integrados y automatizados. El precio de esto todavía puede estar fuera del alcance de las pequeñas empresas.

Servicios basados en la nube

Los servicios basados ​​en la nube viven fuera de los centros de datos y apuntan a proteger el tráfico incluso antes de que llegue a la infraestructura. Los proveedores suelen tener varios puntos de presencia que ingieren el tráfico destinado al cliente, mitigan los ataques y envían tráfico limpio al cliente.

Existen dos tipos de servicios anti DoS y anti DDoS basados ​​en la nube:

  • aquellos que enrutan el tráfico malicioso a una ubicación centralizada donde luego se filtra este tráfico, y
  • los que utilizan Content Delivery Networks (CDN) para absorber e inspeccionar el tráfico malicioso a través de una red distribuida de servidores en diferentes regiones geográficas.

Los proveedores de mitigación de DDoS utilizan centros de datos privados y tienen equipos, tecnología y recursos humanos para escapar de los ataques de DoS y DDoS. Están equipados con un gran ancho de banda que puede procesar las inundaciones entrantes y mantener los sitios web disponibles.

Proporcionan una mayor protección contra el costoso tiempo de inactividad del sitio. Alternativamente, estos servicios pueden operar «a pedido», lo que significa, en primer lugar, una mayor asequibilidad y luego un mejor rendimiento. Al utilizar un servicio a pedido, su empresa debe definir cuándo activar este servicio y comunicarse con el proveedor para activarlo.

Si bien los servicios siempre activos son más caros, y su inspección continua del tráfico puede, a veces, bajar el rendimiento del sitio, las soluciones a pedido pueden ser incapaces de detectar ataques que ocurren con el tiempo y dejar a las organizaciones expuestas a ataques que se centran en el robo de datos o daño de marca. Por lo tanto, ambos tipos de servicios tienen algunas ventajas y desafíos potenciales a considerar.

Ejemplos de importantes ataques DDoS

En julio de 2009, se produjo una serie de ataques cibernéticos coordinados contra los principales sitios web gubernamentales, financieros y agencias de noticias de los Estados Unidos y Corea del Sur que involucraron la activación de botnet. El número de ordenadores secuestrados varió según las fuentes e incluye 50,000 del Grupo de Respuesta de Tecnología de Seguridad de Symantec, 20,000 del Servicio de Inteligencia Nacional de Corea del Sur y más de 166,000 de investigadores vietnamitas de seguridad informática mientras analizaban los dos servidores utilizados por los invasores.

En diciembre de 2010, el sitio web de archivo de documentos WikiLeaks, utilizado por denunciantes, sufrió una intensa presión para dejar de publicar cables diplomáticos secretos de los Estados Unidos. En respuesta, Anonymous anunció su apoyo a WikiLeaks y lanzó ataques DDoS contra Amazon, PayPal, MasterCard, Visa y el banco suizo PostFinance, en represalia por el comportamiento percibido anti-WikiLeaks. Este segundo frente en la ofensiva de diciembre se realizó bajo el nombre en clave Operation Avenge Assange. Debido a los ataques, tanto el sitio web de MasterCard como el de Visa fueron retirados el 8 de diciembre.

En 2013, parte de la Internet china cayó en lo que el gobierno llama el mayor ataque de denegación de servicio que haya enfrentado. El ataque estaba dirigido al registro que permite a los usuarios acceder a sitios con la extensión «.cn», y China tiene uno de los sistemas de filtrado más sofisticados del mundo.