¿Qué son los ataques DDoS y DoS?
Los ataque de negación de servicio (DoS) y de negación de servicio distribuido (DDoS) son intentos maliciosos de interrumpir los servicios en línea al inundarlos con cantidades masivas de tráfico de múltiples fuentes.
¿Qué son las herramientas para ataques DDoS y DoS?
Las herramientas comunes para ataques DDoS incluyen herramientas para suplantación de direcciones IP, ping de la muerte, ICMP, inundación UDP y ataque de inundación de DNS, ataques de amplificación, inundación de TCP SYN, saturación HTTP, ataques de reflexión, ataques volumétricos y ataques basados en conexión.
Los atacantes utilizan las herramientas para ataque DDoS para explotar redes, sistemas y aplicaciones vulnerables, generalmente para obtener ganancias financieras o por motivaciones políticas. Pueden variar desde secuencias de comandos simples que se dirigen a un solo servidor hasta bots y botnets sofisticados. Las herramientas para ataque DDoS están diseñadas para inundar los sistemas de las víctimas con cantidades excesivas de tráfico de múltiples fuentes.
Los ataques de amplificación son uno de los tipos más comunes de ataques DDoS y aprovechan los protocolos de red vulnerables para amplificar la cantidad de tráfico enviado a un servicio o equipo de destino. En un ataque de amplificación, el atacante envía una pequeña consulta.
Herramientas de ataque para capa de aplicación (L7)
Los ataques de capa de aplicación (capa 7) son un tipo de ataque DDoS que se dirigen a aplicaciones y servicios que constituyen la capa 7 del modelo de interconexión de sistemas abiertos (OSI). Estos ataques aprovechan los servicios que no tienen protección de firewall, como HTTP, FTP y SMTP, para inundar una aplicación con solicitudes o datos maliciosos.
Las herramientas para ataques lentos, en lugar de inundar el objetivo con una gran cantidad de tráfico a la vez, utilizan una tasa de tráfico mucho menor y más lenta durante un período prolongado. Este tipo de ataque utiliza menos ancho de banda para eludir métodos de detección como reglas de firewall, limitadores de velocidad y otras medidas de seguridad.
Slowloris, un tipo de herramienta de ataque DDoS, funciona inundando un servidor con solicitudes HTTP incompletas. Los ataques están diseñados para explotar la cantidad limitada de conexiones que los servidores web pueden admitir y el tiempo que tarda el servidor en cerrarlas. En un ataque de Slowloris, las personas malintencionadas envían numerosas solicitudes parciales al servidor de destino, lo que impide que los usuarios legítimos puedan acceder al mismo.
R.U.D.Y (¿R-U-Dead-Yet?) es otra herramienta de ataque de capa de aplicación que funciona enviando muchos paquetes pequeños a una velocidad lenta con el encabezado HTTP "Content-Length" configurado en un número grande para evitar que el servidor web o el de la aplicación cierre la conexión.
Herramientas de ataque de capa de transporte y de protocolo (L3/L4)
Los atacantes pueden usar inundaciones UDP para saturar los servidores web y el puerto host que está siendo atacado. El host receptor verifica las aplicaciones y los puertos inalcanzables (enviado por diseño del atacante) asociados con estos datagramas y responde con un paquete de respuesta de "Destino inalcanzable". Los atacantes también pueden falsificar la dirección IP de retorno haciéndola inalcanzable también. A medida que se reciben más y más paquetes de este tipo, el host deja de responder a las solicitudes de otros clientes.
Herramientas comunes para ataques DDoS
Muchas herramientas para ataque DDoS como HTTP Unbearable Load King (HULK), Slowloris, PyLoris, DAVOSET, GodenEye, Open Web Application Security Project (OWASP) HTTP Post, Low Orbit ION Cannon (LOIC), High Orbit ION Cannon (HOIC), Xoic , Tor's Hammer, DDoSSIM (simulador de DDoS) y RUDY (R-U-Dead-Yet) están disponibles gratuitamente.
Mitigar las amenazas de los ataques DDoS
Las medidas de seguridad tradicionales, como los firewalls con ACL y las protecciones basadas en firmas estáticas, no son suficientes para proteger contra ataques DDoS sofisticados. Muchos de estos ataques se dirigen a aplicaciones y servicios en la capa de aplicación (capa 4-7) del modelo OSI, explotando servicios no protegidos por firewall como HTTP, FTP y SMTP.
Los ataques que consumen recursos de equipos con estado que necesitan mantener la información y el estado de cada conexión de cliente requieren soluciones para minimizar los recursos asignados lo más cerca posible de la finalización del protocolo de enlace de tres vías.
Uno de los pasos más importantes para mitigar las amenazas de ataques DDoS es asegurarse de que todas las redes y sistemas sean actualizados y parchados regularmente con las últimas actualizaciones de seguridad.
Las mejores prácticas para las redes y aplicaciones de seguridad incluyen cambiar las contraseñas con frecuencia, escanear periódicamente las vulnerabilidades y parchear las vulnerabilidades que se encuentren, implementar antimalware, soluciones y servicios de protección contra DDoS e implementar firewalls de aplicaciones web (WAF) con listas de control de acceso actualizadas.
Las herramientas que brindan capacidades de monitoreo en tiempo real para detectar solicitudes o datos maliciosos antes de que lleguen a su aplicación o servicio son deseables para que pueda tomar medidas rápidamente para mitigar cualquier posible daño.
Las soluciones de protección contra DDoS de Radware (DefensePro, servicio de protección contra DDoS en la nube) y entrega de aplicación (Alteon) mitigan los ataques DDoS de redes y aplicaciones mediante el uso de enfoques que bloquean ataques sin afectar el tráfico legítimo. Mediante el uso de algoritmos de aprendizaje automático y basados en el comportamiento, Radware puede comprender lo que constituye un perfil de comportamiento legítimo y luego bloquear automáticamente los ataques maliciosos. Esto aumenta la precisión de la protección y minimiza los falsos positivos