¿Qué es un ataque DDoS?

Actualmente, los ataques DDoS son la principal preocupación en la seguridad de Internet. Explora los detalles sobre el funcionamiento de los ataques DDoS y cómo detenerlos.

Share facebook icon linkedin icon twitter icon email icon

DDoS

Learning Objectives

After reading this article you will be able to:

  • Definir un ataque DDoS
  • Explicar la estructura general de un ataque DDoS
  • Diferenciar entre las 3 categorías principales de los ataques DDoS
  • Conozca varias estrategias de mitigación de DDoS

¿Qué es un ataque DDoS?

Un ataque por denegación de servicio distribuido (DDoS) es un intento malicioso por interrumpir el tráfico normal de un servidor, una red o un servicio al abrumar el objetivo o la infraestructura circundante con tráfico de Internet. Los ataques DDoS logran la eficacia al utilizar varios sistemas de equipo comprometidos como orígenes del tráfico de ataque. Las máquinas vulnerables pueden incluir computadores y otros recursos en red como dispositivos IoT. Desde un nivel alto, un ataque DDoS es como un embotellamiento que obstruye la autopista y evita que el tráfico regular llegue al destino deseado.

Ataque DDoS

¿Cómo funciona un ataque DDoS?

Un ataque DDoS requiere que un atacante obtenga el control de una red de equipos en línea con el fin de llevar a cabo un ataque. Se infectan computadoras y otros equipos (como dispositivos IoT) con malware que convierte a cada uno en un robot (o zombi). El atacante tiene el control remoto del grupo de robots, que se llama red de robots (botnet).

Una vez establecida la red de robots (botnet), el atacante es capaz de dirigir los equipos mediante el envío de instrucciones actualizadas a cada robot usando un método de control remoto. Cuando la dirección IP de una víctima es el blanco de la red de robots (botnet), cada robot responderá enviando solicitudes al destino, lo que podría hacer que se desbordara la capacidad del servidor o la red, y provocaría una denegación de servicio al tráfico normal. Debido a que cada robot es un dispositivo legítimo de Internet, puede resultar complicado separar el tráfico del ataque del tráfico normal.

¿Cuáles son los tipos más habituales de ataques DDoS?

Los distintos vectores de ataque DDoS fijan como objetivo componentes variados de la conexión de una red. Para comprender el funcionamiento de los diferentes ataques DDoS, es necesario conocer cómo se realiza una conexión de red. Una conexión de red en Internet está compuesta por diferentes componentes o “capas”. Al igual que en la construcción de una casa desde cero, cada paso en el modelo tiene un propósito diferente. El modelo OSI que se muestra a continuación es un marco conceptual utilizado para describir la conectividad de red en 7 capas distintas.

El modelo OSI

Si bien casi todos los ataques DDoS involucran abrumar con tráfico la red o el dispositivo fijado como objetivo, los ataques pueden dividirse en tres categorías. Un atacante puede usar uno o más vectores de ataque diferentes, o hacer que estos funcionen en ciclos que podrían basarse en las contramedidas tomadas por el objetivo.

Ataques a la capa de las aplicaciones

El objetivo del ataque:

Conocidos como ataques DDoS de capa 7 (en referencia a la séptima capa del modelo OSI), su objetivo es agotar los recursos del objetivo. Los ataques se dirigen a la capa donde se generan las páginas web en el servidor y se entregan en respuesta a las solicitudes HTTP. Desde el lado del cliente, ejecutar una sola solicitud HTTP es económico. Sin embargo, para el servidor de destino puede resultar costoso responder, ya que el servidor a menudo tiene que cargar varios archivos y ejecutar consultas de la base de datos para crear una página web. Los ataques de la capa 7 son difíciles de defender, ya que puede resultar difícil marcar el tráfico como malicioso.

Ejemplo de ataque a la capa de aplicación:

Inundación HTTP

Este ataque es similar a pulsar la tecla de actualización de un navegador web una y otra vez en muchos equipos diferentes a la vez: un gran número de solicitudes HTTP inundar el servidor, lo que provoca una denegación del servicio.

Este tipo de ataque va de simple a complejo. Las implementaciones más simples pueden acceder a una URL con el mismo rango de las direcciones IP de ataque, los orígenes de referencia y los agentes de usuario. Las versiones complejas pueden usar una gran cantidad de direcciones IP de ataque y dirigirse a URL aleatorias mediante el uso de orígenes de referencia y agentes de usuario aleatorios.

Ataques de protocolo

El objetivo del ataque:

Los protocolos de ataque, también conocidos como ataques de un estado de agotamiento, provocan una interrupción del servicio por el consumo de toda la capacidad disponible de la tabla de estado de los servidores de aplicaciones web o los recursos intermedios, como los firewall y los equilibradores de carga. Los protocolos de ataque utilizan los puntos débiles de las capas 3 y 4 de la pila de protocolos para dejar inaccesible al destino.

Ejemplo de ataque de protocolo:

Ataque DDoS de inundación SYN

Inundación SYN

Una inundación SYN puede compararse con el trabajador en un depósito que recibe solicitudes del frente de la tienda. El trabajador recibe una solicitud, obtiene el paquete y espera la confirmación antes de llevarlo al frente. Luego, recibe muchas más solicitudes de paquetes sin confirmación hasta que ya no puede cargarlos, se abruma y deja de responder las solicitudes.

Este ataque explota el protocolo de enlace TCP al enviar al objetivo una gran cantidad de paquetes SYN de “solicitud de conexión inicial” TCP con direcciones IP falsificadas. El equipo de destino responde a cada solicitud de conexión y, a continuación, espera al último paso del protocolo de enlace, que nunca se produce, lo que agota los recursos del destino durante el proceso.

Ataques volumétricos

El objetivo del ataque:

Esta categoría de ataques intenta crear una saturación al consumir todo el ancho de banda disponible entre el objetivo e Internet. Se envían grandes cantidades de datos al objetivo mediante el uso de una forma de amplificación u otro medio de creación de tráfico masivo, como solicitudes de una red de robots.

Ejemplo de amplificación:

Ataque de amplificación NTP

Amplificación DNS

Una amplificación DNS es como si alguien fuera a llamar a un restaurante y dijera “tomaré uno de cada uno, llámame y dime todo lo que he pedido”, donde el número de teléfono de devolución de llamada que dan es el número de destino. Con muy poco esfuerzo, se genera una respuesta larga.

Al realizar una solicitud a un servidor DNS abierto con una dirección IP falsificada (la dirección IP real del objetivo), la dirección IP fijada como objetivo recibe una respuesta del servidor. El atacante estructura la solicitud de tal modo que el servidor DNS responde al objetivo con una gran cantidad de datos. Como resultado, el objetivo recibe una amplificación de la consulta inicial de atacante.

¿Cuál es el proceso para mitigar un ataque DDoS?

La preocupación principal al mitigar un ataque DDoS es diferenciar un ataque del tráfico normal. Por ejemplo, si el lanzamiento de un producto llena el sitio web de la empresa de clientes ansiosos, cortar todo el tráfico es un error. Si esa empresa experimenta una sobrecarga del tráfico por parte de actores maliciosos, es probable que se necesiten esfuerzos para disminuir el ataque. La dificultad yace en diferenciar al cliente real del tráfico de ataque.

En el Internet moderno, el tráfico DDoS toma diferentes formas. El diseño del tráfico puede variar de ataques de origen único sin falsificar a ataques de vectores múltiples complejos y adaptables. Un ataque DDoS de vectores múltiples usa varias rutas de ataque para abrumar el objetivo de maneras distintas y, posiblemente, distraer así los esfuerzos de mitigación en alguna de las trayectorias. Un ataque que se dirige a varias capas en la pila de protocolo al mismo tiempo, como una amplificación DNS (dirigida a las capas 3 y 4) junto con la inundación HTTP (dirigida a la capa 7), es un ejemplo de DNS de vectores múltiples.

Mitigar un ataque DDoS de vectores múltiples requiere una variedad de estrategias para contrarrestar trayectorias diferentes. En general, mientras más complejo es el ataque, más probable es que el tráfico sea difícil de separar del tráfico normal. El objetivo del atacante es camuflarse y hacer la mitigación tan ineficaz como sea posible. Los intentos de mitigación que involucran anular o limitar el tráfico de manera indiscriminada pueden sacar el tráfico bueno junto con el malo. Además, el ataque puede modificarse y adaptarse para eludir las tácticas defensivas. Para superar un intento complejo de interrupción, una solución en capas implicará mayores beneficios.

Enrutamiento de agujeros negros

Una solución disponible para prácticamente todos los administradores de red es crear una ruta de agujero negro y encauzar el tráfico en esa ruta. En su forma más simple, cuando el filtrado de agujeros negros se implementa sin especificar criterios restrictivos, tanto el tráfico de red legítimo como el malicioso se redirige a una ruta nula o un agujero negro y se anula desde la red. Si una propiedad de Internet experimenta un ataque DDoS, como defensa, su proveedor de servicios de Internet (ISP) puede enviar todo el tráfico del sitio a un agujero negro.

Rate Limiting

Limitar la cantidad de solicitudes que aceptará un servidor durante cierto margen de tiempo es también una forma de mitigación de ataques por denegación de servicio. Si bien Rate Limiting es útil para ralentizar la velocidad en que los scrapers web roban contenido y mitigar los intentos de inicio de sesión por fuerza bruta, en solitario es probable que sea insuficiente para manejar un ataque DDoS complejo de forma efectiva. Sin embargo, Rate Limiting es un componente útil dentro de una estrategia de mitigación de DDoS efectiva. Más información sobre Rate Limiting de Cloudflare

Firewall de aplicaciones web

Un firewall de aplicaciones web (WAF) es una herramienta que puede ayudar a mitigar un ataque DDoS de capa 7. Al ubicar un WAF entre Internet y un servidor de origen, el WAF puede actuar como un proxy inverso y proteger al servidor fijado como objetivo de ciertos tipos de tráfico malicioso. Al filtrar solicitudes basadas en una serie de reglas usadas para identificar herramientas DDoS, se pueden impedir los ataques a la capa 7. Un valor clave de un WAF eficaz es la capacidad de implementar rápidamente reglas personalizadas como respuesta a un ataque. Más información sobre el WAF de Cloudflare

Difusión de red Anycast

Este enfoque de mitigación usa una red Anycast para esparcir el tráfico de ataque a lo largo de una red de servidores distribuidos hasta que la red absorba el tráfico. Como al canalizar un río caudaloso en diferentes brazos más pequeños, este enfoque extiende el impacto del tráfico de ataque distribuido hasta que se vuelve manejable y esparce cualquier capacidad de interrupción.

La fiabilidad de una red Anycast para mitigar un ataque DDoS depende del tamaño del ataque y del tamaño y de la eficacia de la red. Una parte importante de la mitigación de DDoS que implementó Cloudflare es el uso de una red distribuida Anycast. Cloudflare cuenta con una red de 25 Tbps, que es un orden de magnitud mayor al ataque DDoS más grande que se haya registrado.

Si actualmente te encuentras bajo ataque, hay medidas que puedes tomar para librarte de él. Si ya cuentas con Cloudflare, puedes seguir estos pasos para mitigar el ataque. La protección contra ataques DDoS que implementamos en Cloudflare es multidimensional con el fin de mitigar los posibles vectores de ataque. Más información sobre la protección DDoS de Cloudflare y su funcionamiento.