1. Principal
  2. Blog
  3. Seguridad
  4. ¿Qué es un ataque distribuido de denegación de servicio (DDoS) y qué peligro supone para el servidor?
¿Qué es un ataque distribuido de denegación de servicio (DDoS) y qué peligro supone para el servidor?

¿Qué es un ataque distribuido de denegación de servicio (DDoS) y qué peligro supone para el servidor?

Nataliya Oteir Leer 21 minutos
19 03 2021
Nataliya
Nataliya Oteir
Copywriter

Cada vez aparecen más informes sobre las actividades de los hackers y los intentos de pirateo de software. Los ataques DDoS aparecen a menudo en estos informes. Desafortunadamente, a menudo se mencionan sin explicar qué son los ataques DDoS y cómo pueden dañar a los servidores.

En este artículo, discutiremos qué son exactamente los ataques DDoS y por qué han sido una gran preocupación para los profesionales de la seguridad en Internet hasta ahora. Además, aprenderá cómo funcionan los ataques DDoS y cómo detenerlos.

¿Qué es un ataque DDoS?

El término ataque DDoS proviene de la abreviatura "Distributed Denial of Service", que significa ataque distribuido de denegación de servicio. El objetivo de un ataque DDoS es interrumpir el funcionamiento normal de un servidor, servicio o red local. El objetivo principal de un ataque de este tipo es provocar el fallo de su servicio o dificultar el acceso de los usuarios habituales al mismo. Para lograrlo, se genera una avalancha de tráfico de Internet que es demasiado para que un sistema informático normal pueda manejarlo.

El tráfico de ataque es generado por múltiples ordenadores, redes locales y dispositivos IoT. Las acciones maliciosas de un individuo o grupo generan muchas peticiones al sistema atacado, lo que permite a los atacantes obtener acceso no autorizado a información valiosa. Podría tratarse de una base de datos sensible, el código de un programa o una versión de software.

En la vida cotidiana, un ataque DDoS es análogo a un atasco provocado por múltiples vehículos. Como resultado, los conductores normales no pueden llegar a sus destinos.

¿Cómo se lleva a cabo un ataque distribuido de denegación de servicio?

Sólo los sistemas informáticos que disponen de conexión a Internet pueden ser objeto de un ataque DDoS. Una red global se compone de muchos ordenadores y otros dispositivos que disponen de conexión a Internet.

Hay muchas formas de introducir un software malicioso (virus) en una red informática. Los ataques DDoS logran su efectividad utilizando múltiples sistemas informáticos comprometidos como fuentes de tráfico de ataque. Las máquinas explotadas suelen denominarse "zombis" en el argot, y sus grupos reciben el nombre respectivo de botnet.

Inmediatamente después de crear un sistema botnet, un hacker tiene la oportunidad de organizar un ataque DDoS, que se lleva a cabo de la siguiente manera.

  • Se desarrolla una instrucción especial para cada bot individual, que se le transmite a través de la red.
  • Tras recibirla, el ordenador o sistema gestionado comienza a formar y enviar peticiones a las direcciones IP de la red local o servidor atacado.
  • Esto provoca que el procesamiento del tráfico se ralentice y que un equipo sobrecargado comience a fallar. Como resultado, se deniega el servicio a todo el tráfico, incluido el de los usuarios normales.

El principal problema para contrarrestar los ataques DDoS distribuidos es que resulta extremadamente difícil distinguir el tráfico atacante del tráfico normal. Cada uno de los bots utilizados por los hackers son dispositivos legítimos de Internet y es extremadamente difícil separar las peticiones maliciosas de las ordinarias.

Las principales señales de un ataque DDoS al servidor

Una ralentización repentina del servidor, la falta de acceso al servicio o a un sitio independiente pueden indicar acciones ilegales de piratas informáticos. Al mismo tiempo, pueden surgir dificultades como resultado de causas naturales como, por ejemplo, un fuerte aumento del tráfico normal. 

Los servicios de análisis disponibles públicamente permiten identificar un ataque DDoS por una serie de rasgos característicos:

  • Cantidad significativa de tráfico procedente de una o varias direcciones IP pertenecientes al mismo rango.
  • Un gran número de usuarios que reciben solicitudes de acceso a las páginas web analizadas tienen los mismos perfiles de comportamiento (geolocalización, versión del navegador o tipo de dispositivo).
  • Un fuerte aumento del tráfico a determinados intervalos, por ejemplo, cada dos o tres horas o según un horario diferente.
  • Un aumento explosivo del número de solicitudes a uno de los servicios de Internet o páginas web.

Además de éstas, existen otras señales inherentes a ciertos tipos de ataques DDoS distribuidos. En estos casos, las capacidades de las herramientas convencionales de análisis de Internet pueden no ser suficientes y se requerirá un software especializado para identificarlos.

Clasificación de los ataques DDoS: los tipos más comunes

Los hackers utilizan diversas herramientas para irrumpir en los sitios web. Algunos tipos de ataques DDoS tienen como objetivo componentes específicos de los recursos de Internet, servidor, u ordenadores. Para hacerse una idea de cómo funcionan sus algoritmos es necesario entender cómo funciona una conexión de red específica.

Un software especial proporciona la conexión a Internet, que consta de muchos componentes denominados "capas". Cada componente está diseñado para servir a un propósito específico y juntos son capaces de formar el modelo. Por ejemplo, como soporte, apoyo y cerramiento de estructuras en construcción.

El modelo OSI de siete niveles se utiliza para describir la estructura de conexión de red:

  • La capa de aplicación Este nivel es utilizado por clientes de correo electrónico, mensajeros y navegadores para procesar datos directamente.
  • El nivel de vistas El propósito de la preparación de datos (compresión, traducción y cifrado) es preparar los datos para su uso en aplicaciones.
  • Nivel de sesión Establece un canal de comunicación entre dos dispositivos de la red y lo cierra al final del tiempo de sesión.
  • Nivel de transporte Se encarga de gestionar los flujos de datos y el control de errores entre dispositivos específicos, así como de garantizar la comunicación de extremo a extremo entre dispositivos específicos.
  • La capa de red Facilita la transferencia de datos entre dispositivos que pertenecen a redes diferentes. Esta capa proporciona un encaminamiento óptimo, la separación de la información en paquetes con su posterior ensamblaje en el punto de destino.
  • El nivel del canal de transmisión de datos De forma similar a la capa de red, facilita el intercambio de datos entre dispositivos dentro de una red.
  • El nivel físico Incluye los equipos utilizados para el intercambio de datos entre dispositivos (cables, conmutadores, etc.). En este nivel, los paquetes de información se transforman en un flujo de bits y las señales se emparejan.

La mayoría de los ataques DDoS tienen como objetivo sobrecargar un servidor o una red específicos. Según el número y la naturaleza de los vectores de ataque, estas acciones pueden clasificarse en tres categorías:

  • único;
  • múltiple;
  • cíclico.

Este último se utiliza principalmente en respuesta a las contraacciones utilizadas para proteger un recurso de Internet.

Ataques DDoS realizados a nivel de aplicación

Basándose en el modelo anterior, este tipo de ataques se denominan ataques DDoS de séptimo nivel. Su objetivo es sobrecargar el sitio y crear condiciones en las que sea imposible dar servicio al tráfico normal.

Los ataques de este tipo se llevan a cabo en el nivel en el que se forma la página web en el servidor. Los ataques se transmiten en respuesta a peticiones HTTP. En el lado del cliente, estas peticiones no requieren grandes recursos para crear y procesar la información. Al mismo tiempo, el servidor tiene que utilizar importantes recursos informáticos. En el transcurso de este proceso, se pueden procesar muchas solicitudes de bases de datos en el servidor objetivo y se pueden descargar varios archivos para crear la página web solicitada. La protección contra los ataques distribuidos de 7º nivel es difícil debido a que no es fácil distinguir el tráfico malicioso del tráfico normal.

Inundación HTTP

Un ataque de este tipo simula múltiples actualizaciones de un navegador web, que se realizan simultáneamente en varios ordenadores. Es como si muchos usuarios estuvieran pulsando constantemente el botón de reinicio, lo que da lugar a un gran número de peticiones HTTP. Debido a ello, el servidor se sobrecarga, lo que provoca fallos en el servicio. Dependiendo del nivel de complejidad del ataque, los ataques DDoS del tipo HTTP flood se pueden clasificar en:

  • Simples. En un ataque DDoS de este tipo, se utilizan acciones coordinadas desde direcciones IP del mismo rango para proporcionar acceso no autorizado a la misma URL, que se implementan utilizando los mismos agentes de usuario y fuentes de transición.
  • Complejos. Para piratear varias páginas web simultáneamente, el atacante utiliza tanto direcciones IP, tomadas de fuentes de tráfico aleatorias, como agentes de usuario.

La gestión de ataques DDoS complejos requiere ordenadores con las características adecuadas, así como software que consuma muchos recursos.

Ataque por protocolo

Los especialistas se refieren a este tipo de hackeos como ataques y agotamiento. Al consumir demasiados recursos de servidores o equipos de red específicos, los ataques de protocolo pueden interrumpir el trabajo de distintos servicios. En estos casos, los atacantes suelen apuntar a equilibradores de carga o cortafuegos.

Para hacer inaccesible la página web objetivo, el ataque de protocolo explota vulnerabilidades en las Capas 3 y 4 (pila de protocolos).

SYN-flood

Durante un ataque de este tipo, se envían muchos paquetes TCP con direcciones IP falsas desde bots. Los mencionados paquetes SYN están destinados a iniciar conexiones de red. La máquina objetivo responde a estas peticiones y espera su confirmación, que no recibe. En consecuencia, los recursos de la página web atacada se agotan y deja de responder a las peticiones entrantes.

SYN-flood puede compararse con el trabajo de un gran almacén, en el que los empleados del departamento de suministros reciben instrucciones de la sala de operaciones para la entrega de un producto concreto. Van al almacén, encuentran lo que necesitan, pero sin recibir una confirmación del pedido, no entienden qué hacer a continuación. El resultado es que dejan de trabajar hasta que se aclaran las circunstancias.

Ataques DDoS de tipo masivo

Las acciones de los hackers en estos casos tienen como objetivo crear una carga tal que se utilice todo el ancho de banda disponible de la conexión a Internet. Al ejecutar ataques DDoS a gran escala, se envían grandes paquetes de datos al recurso objetivo utilizando diversos medios de generación de gran tráfico u otros medios de amplificación. Durante el ataque, se utilizan tanto bots individuales como redes enteras de bots, desde las que se generan muchas peticiones a la página web objetivo o al servidor individual.

Fortalecimiento de DNS

Durante un ataque hacker, se envían peticiones a servidores DNS públicos que contienen la dirección IP del dispositivo objetivo. Éste responde con un paquete que supuestamente contiene big data. Como resultado, se generan muchas de estas peticiones falsas, lo que provoca sobrecargas en el objetivo y denegación de servicio.

Un ejemplo de amplificación DNS es cuando una persona llama a un restaurante o supermercado y solicita la entrega de comida o productos y pide que le devuelvan la llamada. Mientras tanto, recibe el número de teléfono del vecino. Un gran número de usuarios realiza este tipo de llamadas al objetivo, lo que sobrecarga definitivamente el servicio de entrega.

Métodos de prevención de ataques DDoS

Para proporcionar protección contra los ataques de hackers, es esencial distinguir entre el atacante y el tráfico normal. En las campañas publicitarias de nuevos productos, muchos usuarios pueden visitar el sitio web del desarrollador. Esto puede provocar un cierre de emergencia del tráfico y errores. Si este recurso web tiene una oleada de tráfico de grupos de hackers conocidos, es necesario tomar medidas para reducir el impacto de un ataque DDoS distribuido.

Los intentos de pirateo pueden adoptar diversas formas, desde las más sencillas con una única fuente de tráfico sospechoso hasta las más complejas con efectos multivectoriales. En este último caso, se utilizan varios tipos diferentes de ataques DDoS simultáneamente para obligar al bando defensor a dispersar sus fuerzas y fondos.

Un ejemplo de tal impacto multivectorial es un ataque DDoS simultáneo que se produce en varios niveles. Tal efecto se consigue mediante el refuerzo de DNS que va en combinación con un gran número de peticiones HTTP. Para evitar este tipo de ataques, es necesario utilizar varias estrategias de contraacción a la vez.

Cuando los atacantes utilizan ataques distribuidos de denegación de servicio con una combinación de diferentes métodos de ataque, la complejidad de contrarrestarlos aumenta enormemente.

Los hackers tienden a mezclar el tráfico de ataque con el tráfico normal en la medida de lo posible para reducir la eficacia de las medidas de protección a indicadores cercanos a cero.

Los intentos de simplemente desactivar o restringir el tráfico sin filtrar rara vez dan un resultado positivo. Al mismo tiempo, el ataque DDoS se adapta y busca formas de eludir las contramedidas adoptadas. En estos casos, la mejor solución es utilizar una estrategia de protección multinivel.

Enrutamiento de agujeros negros

Uno de los métodos de protección contra DDoS más accesibles para los administradores de red consiste en crear un "agujero negro" para el tráfico sospechoso. En su forma más simple, el enrutamiento Blackhole garantiza el redireccionamiento de todas las peticiones sin dividirlas en normales y maliciosas a una ruta cero, seguido de la eliminación de estas peticiones de la red. Si se detecta un ataque DDoS en un determinado sitio, el proveedor tiene la posibilidad de cancelar todo el tráfico como medida de protección. Esta solución no es la mejor, porque el atacante consigue su objetivo y hace que todos los recursos no estén disponibles.

Limitar la velocidad de un ataque DDoS

Cada servidor puede recibir y procesar un número determinado de peticiones durante un periodo de tiempo concreto. Limitar la velocidad de un ataque DDoS permite reducir significativamente su eficacia. Al mismo tiempo, debe entenderse que este método proporciona una ralentización significativa del robo de contenido y código de programa por parte de los analizadores web y bloquea los intentos de inicio de sesión mediante el uso de la fuerza bruta. Sin embargo, no es lo suficientemente eficaz contra los complejos ataques combinados de denegación de servicio.

Características del uso de cortafuegos de aplicaciones Web

El uso de productos de software especiales puede mitigar significativamente los ataques DDoS de séptimo nivel. Hay un cortafuegos (WAF) entre Internet y el servidor protegido que funciona como proxy inverso. Se utiliza para bloquear el tráfico malicioso de ciertos tipos. Las solicitudes entrantes se filtran de acuerdo con las reglas establecidas, lo que permite identificar las herramientas DDoS y prevenir los ataques de séptimo nivel. Una de las principales ventajas de este método es la posibilidad de establecer sus propias reglas para contrarrestar un ataque.

Principios de la distribución Anycast en la red

Este método reduce las consecuencias perjudiciales de los ataques DDoS redistribuyendo el tráfico por la red de servidores.

Si un mismo servidor recibe muchas peticiones al mismo tiempo, se sobrecargará de tráfico y no podrá responder eficazmente a las peticiones entrantes adicionales. En la red Anycast, en lugar de que un único servidor de origen se lleve la peor parte del tráfico, la carga se distribuirá entre otros centros de datos disponibles, cada uno de los cuales cuenta con servidores capaces de procesar y responder a una solicitud entrante. Este método de enrutamiento puede evitar la ampliación de la capacidad del servidor de origen y evitar que se interrumpa el servicio de los clientes que le solicitan contenidos.

La mejor analogía del método de distribución Anycast en la red es la separación del caudal de un gran río con una fuerte corriente a lo largo de ramas separadas. Como resultado de la redistribución del tráfico de un ataque DDoS, su capacidad destructiva se reduce al mínimo y se vuelve completamente manejable.

facebook Path telegram telegram-1 linkedin Shape

How useful was this post?

Click on a star to rate it!
Рейтинг: 0/5 - 0 голосов
Nataliya
Nataliya Oteir
Copywriter

Nataliya is a skilled content marketer and writer with great experience in a variety of niches.
She is prompt in delivering the best result with the essence of uniqueness. In addition to creating the website copy and blog content for our website, Nataliya is passionate about solving problems. In her prior role at INTROSERV, she was the communications manager.

Content

  1. ¿Qué es un ataque DDoS?
  2. ¿Cómo se lleva a cabo un ataque distribuido de denegación de servicio?
  3. Las principales señales de un ataque DDoS al servidor
  4. Ataques DDoS realizados a nivel de aplicación
  5. Inundación HTTP
  6. Ataque por protocolo
  7. SYN-flood
  8. Ataques DDoS de tipo masivo
  9. Fortalecimiento de DNS
  10. Métodos de prevención de ataques DDoS
  11. Enrutamiento de agujeros negros
  12. Limitar la velocidad de un ataque DDoS
  13. Características del uso de cortafuegos de aplicaciones Web
  14. Principios de la distribución Anycast en la red
Nuevos puestos
El código abierto puede más. Router OS alternativo para infraestructuras remotas
29.02.2024
Acceso remoto - Oficina en casa
13.09.2023
Las 10 principales amenazas a la ciberseguridad a las que se enfrentan hoy las pequeñas empresas
31.08.2023
TOP 30 Herramientas de seguridad para Linux
30.08.2023
Alternativas a VPN para acceso remoto
28.08.2023
Qué es la seguridad en la nube y sus ventajas
20.07.2023
Las 5 mejores herramientas para evitar ataques de fuerza bruta
07.06.2023
Protocolo SSH: ¿Qué es? ¿Cómo funciona?
22.05.2023
Tiempo de inactividad del servidor: Lo que toda empresa debe saber para seguir en líne
25.04.2023
Te han pirateado: Qué hacer para evitar ser hackeado de nuevo
29.03.2023
Ver más
Cómo realizar una auditoría de seguridad de servidores
Cómo realizar una auditoría de seguridad de servidores
6 minutos
20.12.2017
El código abierto puede más. Router OS alternativo para infraestructuras remotas
El código abierto puede más. Router OS alternativo para infraestructuras remotas
7 minutos
29.02.2024
Qué es la seguridad en la nube y sus ventajas
Qué es la seguridad en la nube y sus ventajas
16 minutos
20.07.2023
Protocolo SSH: ¿Qué es? ¿Cómo funciona?
Protocolo SSH: ¿Qué es? ¿Cómo funciona?
11 minutos
22.05.2023
Te han pirateado: Qué hacer para evitar ser hackeado de nuevo
Te han pirateado: Qué hacer para evitar ser hackeado de nuevo
27 minutos
29.03.2023
TOP 30 Herramientas de seguridad para Linux
TOP 30 Herramientas de seguridad para Linux
37 minutos
30.08.2023
Las 5 mejores herramientas para evitar ataques de fuerza bruta
Las 5 mejores herramientas para evitar ataques de fuerza bruta
41 minutos
07.06.2023
El código abierto puede más. Router OS alternativo para infraestructuras remotas
29.02.2024
Acceso remoto - Oficina en casa
13.09.2023
Las 10 principales amenazas a la ciberseguridad a las que se enfrentan hoy las pequeñas empresas
31.08.2023
TOP 30 Herramientas de seguridad para Linux
30.08.2023
Alternativas a VPN para acceso remoto
28.08.2023
Qué es la seguridad en la nube y sus ventajas
20.07.2023
Las 5 mejores herramientas para evitar ataques de fuerza bruta
07.06.2023
Protocolo SSH: ¿Qué es? ¿Cómo funciona?
22.05.2023
Tiempo de inactividad del servidor: Lo que toda empresa debe saber para seguir en líne
25.04.2023
Te han pirateado: Qué hacer para evitar ser hackeado de nuevo
29.03.2023