Ataques DDoS y DoS

En informática se denomina denegación de servicio (denial of service, DoS) a la no disponibilidad de un servicio. Este tipo de bloqueos suelen ser los efectos colaterales de una sobrecarga de componentes de la infraestructura informática. Si este problema tiene una causa intencionada externa, se habla de un ataque de denegación de servicio o DoS. Aquí, el atacante dirige a un sistema más solicitudes de las que puede contestar. De esta forma, puede lograrse que los dispositivos de red, los sistemas operativos y los servidores no sean capaces de responder a las solicitudes regulares o lo hagan solo con retraso. Este ataque resulta especialmente efectivo cuando un sistema se enfrenta a las solicitudes de varios ordenadores. Estos ataques DDoS, a diferencia de los ataques DoS, se basan en extensas redes de bots o botnets.

DDOS: ataques DOS a lo grande

Una forma común de DoS se conoce como distributed denial of service (DDoS), denegación de servicio distribuido en castellano. En esta variante, los ciberdelincuentes no atacan desde un solo equipo, sino que sobrecargan a los sistemas a los que se dirige el ataque con peticiones simultáneas procedentes de varios ordenadores, que pueden llegar a conformar redes gigantes de bots. Con una red así puede generarse mucho más tráfico del que sería posible con un ataque DoS, que parte de un solo equipo. Por lo tanto, un ataque DDoS tiene consecuencias drásticas para los sistemas afectados que, por lo general, tienen pocas probabilidades de identificar a la fuente real del ataque. Esto se debe principalmente a que, para construir estas redes de bots, los atacantes operan agentes especiales de software que a través de Internet y sin el consentimiento del operador, se colocan en los equipos que no cuenten con el sistema de protección adecuado y allí se controlan de forma central. Es común que este tipo de “infección” tenga lugar algunos meses antes del ataque DDoS en sí.

Definición: DDOS (distributed denial of service)

DDOS (distributed denial of service) denomina en la tecnología de la información a la no disponibilidad de un servicio como consecuencia de un gran número de peticiones. Este tipo de caída del servicio suele tener su origen en un ataque concentrado que se conoce como ataque DDOS, si bien también puede resultar de una sobrecarga temporal e imprevista de los recursos.

Anatomía de un ataque DDOS

El punto de partida de un ataque DDOS es un grupo de ordenadores. En teoría el atacante podría estar en posesión de estos equipos pero en la práctica se trata, casi sin excepción, de una red de ordenadores “zombie” o botnet que, a menudo está compuesta por cientos de miles de ordenadores conectados entre sí. Para que los cibercriminales tengan las puertas abiertas se infecta a estos equipos con malware. En la actualidad, los dispositivos de Internet de las cosas tales como routers, cámaras de videovigilancia o grabadoras digitales de vídeo son muy vulnerables a este tipo de ataque, ya que también pueden manipularse para que actúen como bots.

7xGdz5Li9Sw.jpg Para mostrar este video, se requieren cookies de terceros. Puede acceder y cambiar sus ajustes de cookies aquí.

Equipado con una buena red de ordenadores “zombie”, el ciberdelincuente lo tiene realmente fácil para llevar a cabo su plan. Y es que, para cumplir con su objetivo de paralizar un servicio determinado, lo único que necesita es detectar el punto de ataque idóneo en el sistema o la red de su víctima. Tan pronto como encuentre esta “puerta trasera” (backdoor) puede enviar los comandos a su ejército de robots para lanzar su ola de ataque DDOS en el momento justo. Si quieres saber qué acciones y patrones de ataque pueden realizarse con estos bots, sigue leyendo.

¿Cuántos tipos de ataque DDoS hay?

A diferencia de otro tipo de ataques cibernéticos, los ataques DDoS no tratan de infiltrarse en un sistema. Sin embargo, sí pueden formar parte de un ataque de hacking de este tipo para, por ejemplo, distraer la atención sobre un ataque a un sistema paralizando a otro. Si la capacidad de respuesta de un servidor se ve afectada como consecuencia de un ataque DDoS o DoS, los hackers también tienen la opción de utilizar respuestas falsas para manipular las solicitudes a un sistema sobrecargado. Las estrategias en que se basa este tipo de ataque se pueden dividir en tres categorías:

  • sobrecarga del ancho de banda,
  • saturación de los recursos del sistema,
  • explotación de defectos del software y vulnerabilidades.

Sobrecarga del ancho de banda

Un ataque que congestione el ancho de banda tiene como objetivo bloquear la disponibilidad de un equipo. En este caso, los ataques DoS y DDoS se dirigen directamente a la red y a sus dispositivos de conexión. Así, un router solo puede procesar una cierta cantidad de datos de forma simultánea. Si se solicita toda su capacidad por medio de un ataque, otros usuarios ya no pueden disponer de sus servicios. Un ejemplo clásico de este tipo de ataque DDoS es el ataque smurf o ataque pitufo.

  • Ataque pitufo: este ataque DDoS saca provecho del Internet Control Message Protocol (ICMP), utilizado en las redes de ordenadores para el intercambio de información y de mensajes de error. Aquí, el atacante envía paquetes ICMP falsos del tipo echo request (ping) a la dirección de difusión (broadcast address) de una red de ordenadores y utiliza la dirección IP de su víctima como remitente. La petición broadcast se envía a todos los dispositivos conectados en red desde el router, solicitando una respuesta de cada equipo a la dirección del remitente (pong). Una red de gran envergadura puede afectar masivamente a la disponibilidad del ancho de banda.

Saturación de los recursos del sistema

Si el ataque DDoS se dirige a los recursos de un sistema, el atacante se beneficia del hecho de que los servidores web solo pueden establecer un número limitado de conexiones. Como consecuencia, si se saturan con peticiones inválidas o sin sentido, las solicitudes normales realizadas por un usuario se bloquean. En estos casos se habla de flooding (inundación). Los patrones clásicos de ataque DDoS a los recursos de sistema son la inundación HTTP, ping, SYN y UDP:

  • HTTP flood: en la variante más simple de ataque DDoS para copar los recursos del sistema, el atacante satura el servidor web del objetivo con un gran número de peticiones de HTTP. Esto se logra abriendo tantas páginas del proyecto de la víctima que el servidor se colapsa ante tal alud de solicitudes.
     
  • Ping flood: en este tipo de ataques, los cibercriminales también utilizan los paquetes ICMP echo request, que acostumbran a enviarse a gran escala al objetivo del ataque por medio de botnets. Debido a que el sistema atacado debe responder a cada una de estas solicitudes (ping) con un paquete de datos (pong), una ping flood puede ralentizar a sistemas ya de por sí lentos.
     
  • SYN flood: este patrón de ataque constituye un abuso del TCP Threeway Handshake. El TCP (Transmission Control Protocol) es un protocolo de red que, junto al IP, asegura un tráfico de datos sin pérdidas a través de Internet. Una conexión TCP siempre se establece con una autenticación completa de tres pasos. Para este propósito, el cliente envía un paquete de sincronización (SYN) al servidor. Cuando lo recibe, el servidor responde con un paquete de sincronización (SYN) y una confirmación (ACK). La conexión concluye con el acuse de recibo (ACK) por parte del cliente. En caso de que esta no se produzca, los sistemas se pueden paralizar, ya que el servidor no cuenta en su memoria con suficientes conexiones confirmadas. Si por medio de una inundación SYN se reúne un gran número de conexiones incompletas, los recursos disponibles del servidor se ocupan por completo.
     
  • UDP flood: en este ataque, los ciberdelincuentes utilizan el User Datagram Protocol (UDP). A diferencia de una transferencia con TCP, el UDP permite transferir datos sin establecer una conexión. Con los ataques DoS y DDoS se envía una gran cantidad de paquetes UDP a puertos del objetivo escogidos al azar. El sistema objetivo tratará de determinar, sin éxito, qué aplicación está a la espera de los datos enviados y responde al remitente con un paquete ICMP con el mensaje “Dirección de destino no disponible”. Cuando un sistema se sobrecarga con numerosas peticiones de este tipo, se limita la disponibilidad de acceso a los usuarios.

Explotación de fallos en el software y de seguridad

Si un atacante reconoce las vulnerabilidades de un sistema operativo o de un programa, podrá diseñar ataques DoS y DDoS en los cuales cualquier solicitud pueda generar errores en el funcionamiento del software o fallos en el sistema. Ejemplos de ataques que siguen este patrón son el ping de la muerte (ping of death) y los ataques land:

  • Ping de la muerte: este patrón de ataque tiene el objetivo de provocar una caída del sistema. Los atacantes se aprovechan de los errores de implementación del protocolo de internet. Por lo general, los paquetes IP se envían fragmentados. Si durante el proceso se transmite información incorrecta, algunos sistemas operativos podrán ser engañados para que generen paquetes IP que excedan su tamaño máximo de 64 KB. Así, y como consecuencia de un intento de volver a montar el paquete, se produce un buffer overflow (desbordamiento de la memoria).
     
  • Ataque LAND: en este tipo de ataque el cibercriminal envía un paquete SYN como parte del protocolo TCP Threeway Handshakes (ver arriba), cuya dirección de remitente y destinatario corresponde a las del servidor que será víctima del ataque. Esto tiene como consecuencia que el servidor se responda a sí mismo con un paquete SYN/ACK, lo que puede ser interpretado como una nueva solicitud de conexión, que a su vez debe ser respondida con un paquete SYN/ACK. De esta forma, el sistema entra en un círculo vicioso de peticiones y respuestas a sí mismo que conduce a una carga excesiva que puede hacer colapsar al sistema.

Cómo defenderse de ataques DDoS

Se han desarrollado diferentes medidas para contrarrestar la sobrecarga causada por ataques DoS y DDoS. Es fundamental identificar las direcciones IP críticas, así como posibles vulnerabilidades del sistema. También es necesario disponer de recursos de hardware y software que permitan bloquear ataques leves.

  • Lista de IP bloqueadas: las listas negras permiten la identificación de las direcciones IP críticas y el descarte de paquetes. Esta medida de seguridad puede ser implementada de forma manual o automática a través de las listas de bloqueo del cortafuegos.
     
  • Filtros: es posible definir límites en la cantidad de datos procesados simultáneamente para filtrar, así, todo tipo de paquetes anormales. En este punto es importante considerar que, muchas veces, los proxys permiten que muchos clientes se conecten desde una misma dirección IP del servidor, lo que puede generar su bloqueo sin razón aparente.
     
  • SYN cookies: si se utiliza esta medida de seguridad, la información sobre los paquetes SYN ya no se almacena en el servidor, sino que se envía como una cookie encriptada al cliente. De esta forma, un ataque de SYN flood compromete la capacidad del equipo pero no la memoria del sistema.
     
  • Balanceo de carga: una medida eficaz contra la sobrecarga es la distribución de la carga en diferentes sistemas. La utilización de balanceadores de carga permite extender los servicios a múltiples máquinas físicas. De esta forma, y hasta cierto punto, se pueden controlar los ataques DoS y DDoS.
Consejo

¿Buscas la máxima seguridad para tu página web? Descubre aquí todo lo que ofrecen los certificados SSL de IONOS y cómo puedes aumentar la confianza en tu web.

¿Le ha resultado útil este artículo?
Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de navegación. Si continua navegando, consideramos que acepta su uso. Puede obtener más información, o bien conocer cómo cambiar la configuración de su navegador en nuestra. Política de Cookies.
Page top