¿Qué es un ataque distribuido de denegación de servicio (DDoS) y qué peligro supone para el servidor?

¿Qué es un ataque distribuido de denegación de servicio (DDoS) y qué peligro supone para el servidor?

Leer 21 minutos

Cada vez aparecen más informes sobre las actividades de los hackers y los intentos de piratería informática. Los ataques DDoS aparecen a menudo en estos informes. Por desgracia, a menudo se mencionan sin explicar qué son los ataques DDoS y cómo pueden dañar los servidores.

En este artículo, discutiremos qué son exactamente los ataques DDoS y por qué han sido una gran preocupación para los profesionales de la seguridad en Internet hasta ahora. Además, aprenderá cómo funcionan los ataques DDoS y cómo detenerlos.

¿Qué es un ataque DDoS?

El término ataque DDoS proviene de la abreviatura "Distributed Denial of Service", que significa ataque distribuido de denegación de servicio. El objetivo de un ataque DDoS es interrumpir el funcionamiento normal de un servidor, servicio o red local. El objetivo principal de un ataque de este tipo es provocar el fallo de su servicio o dificultar el acceso de los usuarios habituales al mismo. Para lograrlo, se genera una avalancha de tráfico de Internet, que es demasiado para que un sistema informático normal pueda manejarlo.

El tráfico de ataque es generado por múltiples ordenadores, redes locales y dispositivos IoT. Las acciones maliciosas de un individuo o grupo generan muchas peticiones al sistema atacado, lo que permite a los atacantes obtener acceso no autorizado a información valiosa. Puede tratarse de una base de datos sensible, el código de un programa o una versión de software.

En la vida cotidiana, un ataque DDoS es análogo a un atasco de tráfico provocado por múltiples vehículos. Como resultado, los conductores normales no pueden llegar a sus destinos.

¿Cómo se lleva a cabo un ataque distribuido de denegación de servicio?

Sólo los sistemas informáticos que disponen de conexión a Internet pueden ser objeto de un ataque DDoS. Una red global está formada por muchos ordenadores y otros dispositivos que tienen conexión a Internet.

Hay muchas formas de introducir un software malicioso (virus) en una red informática. Los ataques DDoS logran su efectividad utilizando múltiples sistemas informáticos comprometidos como fuentes de tráfico de ataque. Las máquinas explotadas suelen denominarse "zombis" en el argot, y sus grupos se denominan respectivamente botnet.

Inmediatamente después de crear un sistema botnet, un hacker tiene la oportunidad de organizar un ataque DDoS, que se lleva a cabo de la siguiente manera.

  • Se desarrolla una instrucción especial para cada bot individual, que se le transmite a través de la red.
  • Tras recibirla, el ordenador o sistema gestionado comienza a formar y enviar peticiones a las direcciones IP de la red local o servidor atacado.
  • Esto hace que el procesamiento del tráfico se ralentice y que un equipo sobrecargado comience a fallar. Como resultado, se deniega el servicio a todo el tráfico, incluido el de los usuarios normales.

El principal problema para contrarrestar los ataques DDoS distribuidos es que resulta extremadamente difícil distinguir el tráfico atacante del tráfico normal. Cada uno de los bots utilizados por hackers son dispositivos legítimos de Internet y es extremadamente difícil separar las peticiones maliciosas de las ordinarias.

Los principales signos de un ataque DDoS al servidor

Una ralentización repentina del servidor, la falta de acceso al servicio o a un sitio independiente pueden indicar acciones ilegales de los piratas informáticos. Al mismo tiempo, pueden surgir dificultades por causas naturales como, por ejemplo, un fuerte aumento del tráfico normal.

Los servicios de análisis disponibles públicamente permiten identificar un ataque DDoS por una serie de rasgos característicos:

  • Cantidad significativa de tráfico procedente de una o varias direcciones IP pertenecientes al mismo rango.
  • Un gran número de usuarios que reciben solicitudes de acceso a las páginas web analizadas tienen los mismos perfiles de comportamiento (geolocalización, versión del navegador o tipo de dispositivo).
  • Un fuerte aumento del tráfico a determinados intervalos, por ejemplo, cada dos o tres horas o según un horario diferente.
  • Un aumento explosivo del número de peticiones a uno de los servicios de Internet o páginas web.

Además de estos, hay otros signos inherentes a ciertos tipos de ataques DDoS distribuidos. En estos casos, las capacidades de las herramientas convencionales de análisis de Internet pueden no ser suficientes y será necesario un software especializado para identificarlos.

Clasificación de los ataques DDoS: los tipos más comunes

Los piratas informáticos utilizan diversas herramientas para entrar en los sitios web. Algunos tipos de ataques DDoS tienen como objetivo componentes específicos de los recursos de Internet, servidores u ordenadores. Para entender cómo funcionan sus algoritmos es necesario comprender cómo funciona una conexión de red específica.

Un software especial proporciona la conexión a Internet, que consta de muchos componentes denominados "capas". Cada componente está diseñado para servir a un propósito específico y juntos son capaces de formar el modelo. Por ejemplo, soportar, soportar y encerrar estructuras en construcción.

El modelo OSI de siete niveles se utiliza para describir la estructura de conexión de la red:

  • El nivel deaplicaciónEstenivel es utilizado por clientes de correo electrónico, mensajeros y navegadores para procesar datos directamente.
  • El nivel devistas El propósito de la preparación de datos (compresión, traducción y cifrado) es preparar los datos para su uso en aplicaciones.
  • Nivel desesión Establece un canal de comunicación entre dos dispositivos de la red y lo cierra al final del tiempo de sesión.
  • Nivel detransporte Se encarga de gestionar los flujos de datos y el control de errores entre dispositivos específicos, así como de garantizar la comunicación de extremo a extremo entre dispositivos específicos.
  • La capa de red Facilita la transferencia de datos entre dispositivos que pertenecen a redes diferentes. Esta capa proporciona un encaminamiento óptimo, la separación de la información en paquetes con su posterior ensamblaje en el punto de destino.
  • El nivel delcanal de transmisión de datos De forma similar a la capa de red, facilita el intercambio de datos entre dispositivos dentro de una red.
  • El nivelfísico Incluye los equipos utilizados para el intercambio de datos entre dispositivos (cables, conmutadores, etc.). En este nivel, los paquetes de información se transforman en un flujo de bits y las señales se emparejan.

La mayoría de los ataques DDoS tienen por objeto sobrecargar un servidor o una red específicos. Según el número y la naturaleza de los vectores de ataque, estas acciones pueden clasificarse en tres categorías:

  • único
  • múltiples;
  • cíclico.

Esta última se utiliza principalmente en respuesta a las contra-acciones utilizadas para proteger un recurso de Internet.

Ataques DDoS realizados a nivel de aplicación

Basándose en el modelo anterior, este tipo de ataques se denominan ataques DDoS de séptimo nivel. Su objetivo es sobrecargar el sitio y crear condiciones en las que sea imposible dar servicio al tráfico normal.

Los ataques de este tipo se llevan a cabo en el nivel en el que se forma la página web en el servidor. Los ataques se transmiten en respuesta a peticiones HTTP. En el lado del cliente, estas peticiones no requieren grandes recursos para crear y procesar la información. Al mismo tiempo, el servidor tiene que utilizar importantes recursos informáticos. En el transcurso de este proceso, pueden procesarse muchas solicitudes de bases de datos en el servidor objetivo y pueden descargarse varios archivos para crear la página web solicitada.
La protección contra los ataques distribuidos de 7º nivel es difícil debido a que no es fácil distinguir el tráfico malicioso del tráfico normal.

Inundación HTTP

Un ataque de este tipo simula múltiples actualizaciones de un navegador web, que se realizan simultáneamente en varios ordenadores. Es como si muchos usuarios estuvieran pulsando constantemente el botón de reinicio, lo que da lugar a un gran número de peticiones HTTP. Debido a ello, el servidor se sobrecarga, lo que provoca fallos en el servicio. Dependiendo del nivel de complejidad del ataque, los ataques DDoS del tipo HTTP flood se pueden clasificar en:

  • Simples. En un ataque DDoS de este tipo, se utilizan acciones coordinadas desde direcciones IP del mismo rango para proporcionar acceso no autorizado a la misma URL, que se implementan utilizando los mismos agentes de usuario y fuentes de transición.
  • Complejos. Para piratear varias páginas web simultáneamente, el atacante utiliza tanto direcciones IP, tomadas de fuentes de tráfico aleatorias, como agentes de usuario.

La gestión de ataques DDoS complejos requiere ordenadores con las características adecuadas, así como un software que consuma muchos recursos.

Ataque de protocolo

Los especialistas se refieren a este tipo de ataques como ataques y agotamiento. Al consumir demasiados recursos de servidores o equipos de red específicos, los ataques de protocolo pueden interrumpir el trabajo de diferentes servicios. En estos casos, los atacantes suelen apuntar a equilibradores de carga o cortafuegos.

Para hacer inaccesible la página web objetivo, el ataque de protocolo explota vulnerabilidades en las Capas 3 y 4 (pila de protocolos).

Inundación SYN

Durante un ataque de este tipo, los bots envían muchos paquetes TCP con direcciones IP falsas. Dichos paquetes SYN están destinados a iniciar conexiones de red. La máquina objetivo responde a estas peticiones y espera su confirmación, que no recibe. En consecuencia, los recursos de la página web atacada se agotan y deja de responder a las peticiones entrantes.

SYN-flood puede compararse con el trabajo de un gran almacén, en el que los empleados del departamento de suministros reciben instrucciones de la sala de operaciones para la entrega de un producto concreto. Van al almacén, encuentran lo que necesitan, pero sin recibir una confirmación de pedido, no entienden qué hacer a continuación. El resultado es que dejan de trabajar hasta que se aclaran las circunstancias.

Ataques DDoS de tipo masivo

Las acciones de los hackers en estos casos tienen como objetivo crear una carga tal que se utilice todo el ancho de banda disponible de la conexión a Internet. Al ejecutar ataques DDoS a gran escala, se envían grandes paquetes de datos al recurso objetivo utilizando diversos medios de generación de gran tráfico u otros medios de amplificación. Durante el ataque, se utilizan tanto bots individuales como redes enteras de bots, desde las que se generan muchas peticiones a la página web objetivo o al servidor individual.

Refuerzo de DNS

Durante un ataque hacker, se envían peticiones a servidores DNS públicos que contienen la dirección IP del dispositivo objetivo. Éste responde con un paquete que supuestamente contiene big data. Como resultado, se generan muchas de estas peticiones falsas, causando sobrecargas en el objetivo y denegación de servicio.

Un ejemplo de amplificación DNS es cuando una persona llama a un restaurante o supermercado y solicita la entrega de comida o productos y pide que le devuelvan la llamada. Mientras tanto, recibe el número de teléfono del vecino. Un gran número de usuarios realiza este tipo de llamadas al objetivo, lo que sobrecarga definitivamente el servicio de entrega.

Métodos de prevención de ataques DDoS

Para protegerse de los ataques de piratas informáticos, es esencial distinguir entre el tráfico de atacantes y el tráfico normal. En las campañas publicitarias de nuevos productos, muchos usuarios pueden visitar el sitio web del desarrollador. Esto puede provocar un corte de emergencia del tráfico y errores. Si este recurso web tiene una oleada de tráfico de grupos de hackers conocidos, es necesario tomar medidas para reducir el impacto de un ataque DDoS distribuido.

Los intentos de pirateo pueden adoptar diversas formas, desde las más sencillas con una única fuente de tráfico sospechoso hasta las más complejas con efectos multivectoriales. En este último caso, se utilizan simultáneamente varios tipos diferentes de ataques DDoS para obligar al bando defensor a dispersar sus fuerzas y fondos.

Un ejemplo de tal efecto multivectorial es un ataque DDoS simultáneo que se produce en varios niveles. Tal efecto se consigue mediante el refuerzo de DNS que va en combinación con un gran número de peticiones HTTP. Para evitar este tipo de ataques, es necesario utilizar varias estrategias de contraataque a la vez.

Cuando los atacantes utilizan ataques de denegación de servicio distribuidos con una combinación de diferentes métodos de ataque, la complejidad de contrarrestarlos aumenta enormemente.

Los hackers tienden a mezclar en la medida de lo posible el tráfico de ataque con el tráfico normal para reducir la eficacia de las medidas de protección a indicadores cercanos a cero.

Los intentos de simplemente desactivar o restringir el tráfico sin filtrar rara vez dan un resultado positivo. Al mismo tiempo, el ataque DDoS se adapta y busca formas de eludir las contramedidas adoptadas. En estos casos, la mejor solución es utilizar una estrategia de protección multinivel.

Enrutamiento de agujeros negros

Uno de los métodos de protección contra DDoS más accesibles para los administradores de red consiste en crear un "agujero negro" para el tráfico sospechoso. En su forma más simple, el enrutamiento Blackhole garantiza el redireccionamiento de todas las peticiones sin dividirlas en normales y maliciosas a una ruta cero, seguido de la eliminación de estas peticiones de la red. Si se detecta un ataque DDoS en un determinado sitio, el proveedor tiene la posibilidad de cancelar todo el tráfico como medida de protección. Esta solución no es la mejor, porque el atacante consigue su objetivo y hace que todos los recursos no estén disponibles.

Limitar la velocidad de un ataque DDoS

Cada servidor puede recibir y procesar un cierto número de peticiones durante un periodo de tiempo determinado. Limitar la velocidad de un ataque DDoS permite reducir significativamente su eficacia. Al mismo tiempo, debe entenderse que este método proporciona una ralentización significativa del robo de contenido y código de programa por parte de los analizadores web y bloquea los intentos de inicio de sesión mediante el uso de la fuerza bruta. Sin embargo, no es suficientemente eficaz contra los complejos ataques combinados de denegación de servicio.

Características del uso de cortafuegos de aplicaciones Web

El uso de productos de software especiales puede mitigar significativamente los ataques DDoS de séptimo nivel. Existe un cortafuegos (WAF) entre Internet y el servidor protegido que funciona como proxy inverso. Se utiliza para bloquear el tráfico malicioso de determinados tipos. Las peticiones entrantes se filtran según las reglas establecidas, lo que permite identificar las herramientas DDoS y prevenir los ataques de séptimo nivel. Una de las principales ventajas de este método es la posibilidad de establecer sus propias reglas para contrarrestar un ataque.

Principios de la distribución Anycast en la red

Este método reduce las consecuencias perjudiciales de los ataques DDoS redistribuyendo el tráfico por la red de servidores.

Si un mismo servidor recibe muchas peticiones al mismo tiempo, se sobrecargará de tráfico y no podrá responder eficazmente a las peticiones entrantes adicionales. En la red Anycast, en lugar de que un único servidor de origen se lleve la peor parte del tráfico, la carga se distribuirá entre otros centros de datos disponibles, cada uno de los cuales dispone de servidores capaces de procesar y responder a una solicitud entrante. Este método de enrutamiento puede evitar que se amplíe la capacidad del servidor fuente y que se interrumpa el servicio de los clientes que le solicitan contenidos.

La mejor analogía del método de distribución Anycast en la red es la separación del caudal de un gran río con una fuerte corriente a lo largo de ramas separadas. Como resultado de la redistribución del tráfico de un ataque DDoS, su capacidad destructiva se reduce al mínimo y se vuelve completamente manejable.