¿Qué es un ataque DDoS? | Radware Minute
Un ataque de negación de servicio distribuida (DDoS) ocurre cuando varias máquinas están operando juntas para atacar un objetivo e interrumpir el tráfico normal de un servidor, servicio o red objetivo al sobrecargar al objetivo o su infraestructura circundante con una gran cantidad de tráfico de Internet.
La DDoS permite enviar exponencialmente más solicitudes al objetivo, lo que aumenta el poder de ataque. También aumenta la dificultad de atribución, ya que la verdadera fuente del ataque es más difícil de identificar.
Los ataques DDoS pueden ser devastadores para un negocio en línea, por lo que es fundamental comprender cómo funcionan y cómo mitigarlos rápidamente.
Las motivaciones para llevar a cabo una DDoS varían ampliamente, al igual que los tipos de personas y organizaciones que ejecutan ataques DDoS. Algunos ataques son llevados a cabo por personas descontentas y ciberactivistas que desean derribar los servidores de una empresa simplemente para hacer una declaración, divertirse explotando un punto débil o expresar que están en desacuerdo.
Otros ataques de negación de servicio distribuida tienen una motivación financiera, como afectar o cerrar las operaciones en línea de otra empresa competidora para robar sus negocios en ese momento. Otros involucran la extorsión, en la que los perpetradores atacan a una empresa e instalan ransomware en sus servidores, luego los obligan a pagar una gran suma de dinero para revertir el daño.
Un ataque DDoS tiene como objetivo saturar los equipos, los servicios y la red de su objetivo previsto con tráfico de Internet falso, haciéndolos inaccesibles o inútiles para los usuarios legítimos.
Si bien un simple ataque de denegación de servicio involucra una computadora que "ataca" y una víctima, una DDoS se basa en un ejército de computadoras infectadas o "bot" capaces de realizar tareas simultáneamente. Estas botnets, un grupo de equipos conectados a Internet apropiados, son capaces de ejecutar ataques a gran escala. Los atacantes aprovechan las vulnerabilidades de seguridad o las debilidades de los equipos para controlar numerosos equipos mediante software de comando y control. Una vez que tiene el control, un atacante puede ordenar a su botnet que realice una DDoS en un objetivo. En este caso, los equipos infectados también son víctimas del ataque.
Las botnets, formadas por equipos comprometidos, también se pueden alquilar a otros posibles atacantes. A menudo, la botnet se pone a disposición como servicios de "ataque por encargo", que permiten a los usuarios no especializado lanzar ataques DDoS.
En un ataque DDoS, los ciberdelincuentes se aprovechan del comportamiento normal que se produce entre los equipos de red y los servidores, a menudo teniendo como objetivo los equipos de red que establecen una conexión a Internet. Por lo tanto, los atacantes se enfocan en los equipos de la red perimetral (por ejemplo, enrutadores, conmutadores), en lugar de servidores individuales. Un ataque DDoS abruma la conexión de la red (el ancho de banda) o los equipos que proporcionan ese ancho de banda.
La mejor manera de detectar e identificar un ataque DDoS sería a través del monitoreo y análisis del tráfico de red. El tráfico de la red se puede monitorear a través de un firewall o un sistema de detección de intrusión. Un administrador puede incluso configurar reglas que creen una alerta al detectar una carga de tráfico anómala e identificar la fuente del tráfico o descartar paquetes de red que cumplan con ciertos criterios.
Los síntomas de un ataque DoS pueden parecerse a problemas de disponibilidad no maliciosos, como problemas técnicos con una red en particular o un administrador del sistema que realiza el mantenimiento. Sin embargo, los siguientes síntomas podrían indicar un ataque DoS o DDoS:
- Rendimiento de red atípicamente lento
- Un servicio de red y/o sitio web en particular no disponible
- Imposibilidad de acceder a cualquier sitio web
- Una dirección IP realiza una cantidad inusualmente grande de solicitudes en un período de tiempo limitado
- El servidor responde con un error 503 debido a una interrupción del servicio
- El análisis de registro indicó un gran pico en el tráfico de red
- Patrones de tráfico extraños, como picos en horas extrañas del día o patrones que parecen ser inusuales
Principales tipos de ataques DDoS
Los ataques DDoS y de capa de red son tan diversos como sofisticados. Debido a la creciente variedad de mercados en línea, ahora es posible que los atacantes ejecuten ataques DDoS con poco o ningún conocimiento de las redes y los ataques cibernéticos. Las herramientas y los servicios de ataque son de fácil acceso, lo que hace que el grupo de posibles ataques sea más grande que nunca.
Estos son cuatro de los ataques DDoS más comunes y sofisticados que actualmente tienen como objetivo a las organizaciones.
Ataque DDoS de aplicaciones de capa 7
Los ataques DoS de aplicaciones tienen como objetivo el agotamiento de los recursos utilizando el conocido Protocolo de transferencia de hipertexto (HTTP), así como HTTPS, SMTP, FTP, VOIP y otros protocolos de aplicaciones que poseen debilidades explotables, lo que permite ataques DoS. Al igual que los ataques dirigidos a los recursos de la red, los ataques dirigidos a los recursos de las aplicaciones son muy variados, incluidas las inundaciones y los ataques "lentos".
Ataques volumétricos o basados en volumen
Los ataques volumétricos y de reflexión/amplificación aprovechan la disparidad de la relación entre solicitud y respuesta en ciertos protocolos técnicos. Los atacantes envían paquetes a los servidores reflectores con una dirección IP de origen suplantada a la IP de su víctima, por lo tanto, abruman indirectamente a la víctima con los paquetes de respuesta. A altas tasas, estas respuestas han generado algunos de los ataques DDoS volumétricos más grandes hasta la fecha. Un ejemplo común es un ataque reflexivo de amplificación de DNS.
Ataques SSL/TLS y cifrados
Los atacantes utilizan los protocolos SSL/TLS para enmascarar y complicar aún más el tráfico de ataques en amenazas a nivel de red y de aplicación. Muchas soluciones de seguridad utilizan un motor pasivo para la protección contra ataques SSL/TLS, lo que significa que no pueden diferenciar efectivamente el tráfico de ataque cifrado del tráfico legítimo cifrado y solo limitan la tasa de solicitud.
Detener ataques como estos requiere una mitigación de DDoS que combine capacidades de detección y mitigación automatizadas basadas en aprendizaje automático con una protección integral para cualquier infraestructura: local, en la nube privada y en la nube pública.
Ataque DDoS web tipo tsunami
Los ataques DDoS web tipo tsunami combinan vectores de ataque de capa de aplicación, aprovechando nuevas herramientas para crear ataques sofisticados que son más difíciles, y a veces imposibles, de detectar y mitigar con métodos tradicionales.
Para prevenir los ataques DDoS, existen varias capacidades clave que las organizaciones deben considerar para mitigar los ataques DDoS, garantizar la disponibilidad del servicio y minimizar los falsos positivos. Aprovechar las tecnologías basadas en el comportamiento, comprender los pros y los contras de las diferentes opciones de implementación de DDoS y tener la capacidad de mitigar una variedad de vectores de ataque DDoS es esencial para prevenir los ataques DDoS.
Las siguientes capacidades son críticas para prevenir ataques DDoS:
Automatización
Con los ataques DDoS dinámicos y automatizados de la actualidad, las organizaciones no quieren depender de la protección manual. Un servicio que no requiera la intervención del cliente con un ciclo de vida de ataque totalmente automatizado (recopilación de datos, detección de ataques, desvío de tráfico y mitigación de ataques) garantiza una protección de mejor calidad.
Protección basada en comportamientos
Una solución de mitigación DDoS que bloquee los ataques sin afectar el tráfico legítimo es clave. Las soluciones que aprovechen el aprendizaje automático y los algoritmos basados en el comportamiento para comprender qué constituye un comportamiento legítimo y bloquear automáticamente los ataques maliciosos son fundamentales. Esto aumenta la precisión de la protección y minimiza los falsos positivos.
Capacidad de depuración y red global
Los ataques DDoS están aumentando en cantidad, gravedad, complejidad y persistencia. Si se enfrentan a grandes ataques volumétricos o simultáneos, los servicios DDoS en la nube deben proporcionar una red de seguridad global robusta que escala con varios Tbps de capacidad de mitigación con centros de depuración dedicados que separan el tráfico limpio del tráfico de ataques DDoS.
Varias opciones de implementación
La flexibilidad de los modelos de implementación es fundamental para que una organización pueda adaptar su servicio de mitigación de DDoS a sus necesidades, presupuesto, topología de red y perfil de amenazas. El modelo de implementación apropiado (protección en la nube híbrida, bajo demanda o siempre disponible) variará según la topología de la red, los entornos de alojamiento de aplicaciones y la sensibilidad a los retrasos y la latencia.
Protección integral contra una variedad de vectores de ataque
El panorama de las amenazas evoluciona constantemente. Una solución de mitigación de DDoS que ofrezca la protección más amplia, que no se limite solo a la protección contra ataques en la capa de red e incluya protección contra los vectores de ataque antes mencionados, es crucial.
Hay varios pasos y medidas importantes que una organización puede seguir para mitigar un ataque DDoS. Esto incluye una comunicación oportuna tanto con las partes interesadas internas como con proveedores externos, análisis de ataques, activación de contramedidas básicas (como límite de velocidad) y protección y análisis de mitigación DDoS más avanzados.
Estos son los cinco pasos a seguir para mitigar un ataque DDoS.
Paso 1: alerte a las partes interesadas clave
Alerte a las partes interesadas clave dentro de la organización sobre el ataque y los pasos que se están tomando para mitigarlo.
Los ejemplos de partes interesadas clave incluyen el CISO, el centro de operaciones de seguridad (SoC), el director de TI, los gerentes de operaciones, los gerentes comerciales de los servicios afectados, etc. Mantenga la alerta concisa pero informativa.
La información clave debe incluir:
- Lo que sucede
- Cuándo comenzó el ataque
- Qué activos (aplicaciones, servicios, servidores, etc.) se ven afectados
- Impacto en usuarios y clientes
- Qué medidas se están tomando para mitigar el ataque
Paso 2: notifique a su proveedor de seguridad
También querrá alertar a su proveedor de seguridad e iniciar los pasos por su parte para ayudar a mitigar el ataque.
Su proveedor de seguridad podría ser su proveedor de servicio de Internet (ISP), proveedor de alojamiento web o un servicio de seguridad exclusivo. Cada tipo de proveedor tiene diferentes capacidades y alcance de servicio. Su ISP puede ayudarlo a minimizar la cantidad de tráfico de red malicioso que llega a su red, mientras que su proveedor de alojamiento web puede ayudarlo a minimizar el impacto de la aplicación y escalar su servicio en consecuencia. Asimismo, los servicios de seguridad suelen tener herramientas exclusivas para hacer frente a los ataques DDoS.
Incluso si aún no tiene un acuerdo predefinido para el servicio, o no está suscrito a su oferta de protección DDoS, debe comunicarse con ellos para ver cómo pueden ayudarlo.
Paso 3: active las tácticas defensivas
Si ya ha implementado tácticas defensivas anti-DDoS, actívelas. Idealmente, estas tácticas defensivas se iniciarán inmediatamente cuando se detecte un ataque. Sin embargo, en algunos casos, ciertas herramientas, como equipos de hardware fuera de ruta o servicios de mitigación bajo demanda activados manualmente, pueden requerir que el cliente los inicie manualmente.
Un enfoque es implementar listas de control de acceso (aCl) basadas en IP para bloquear todo el tráfico que proviene de fuentes de ataque. Esto se logra a nivel del enrutador de la red y, por lo general, lo puede lograr su equipo de red o su ISP. Este es un enfoque útil si el ataque proviene de una sola fuente o de una pequeña cantidad de fuentes de ataque. Sin embargo, si el ataque proviene de un gran grupo de direcciones IP, este enfoque podría no ser de ayuda.
Si el objetivo del ataque es una aplicación o un servicio basado en la web, puede limitar la cantidad de conexiones de aplicaciones simultáneas. Este enfoque se conoce como limitación de velocidad y, con frecuencia, es el enfoque preferido por los proveedores de alojamiento web y las CDN. Tenga en cuenta que este enfoque es propenso a un alto grado de falsos positivos porque no puede distinguir entre el tráfico de usuarios malicioso y el legítimo.
Las herramientas de protección DDoS dedicadas le brindarán la más amplia cobertura contra ataques DDoS. Las medidas de protección DDoS se pueden implementar como un equipo en su centro de datos, como un servicio de limpieza basado en la nube o como una solución híbrida que combina un equipo de hardware y un servicio en la nube.
Paso 4: monitoree la progresión del ataque
Durante el ataque, controle la progresión del mismo para ver cómo se desarrolla. Esto debería incluir:
- ¿De qué tipo de ataque DDoS se trata? ¿Es una inundación a nivel de red o un ataque a nivel de capa de la aplicación?
- ¿Cuáles son las características del ataque? ¿Qué tan grande es el ataque, tanto en términos de bits por segundo como de paquetes por segundo?
- ¿El ataque proviene de una única fuente de IP o de varias fuentes? ¿Puedes identificarlas?
- ¿Cómo es el patrón de ataque? ¿Es una sola inundación sostenida o es un ataque en ráfaga? ¿Se trata de un solo protocolo o se trata de múltiples vectores de ataque?
- ¿Los objetivos del ataque siguen siendo los mismos o los atacantes cambian sus objetivos con el tiempo?
El seguimiento de la progresión del ataque también lo ayudará a ajustar sus defensas para detenerlo.
Paso 5: evalúe el desempeño de la defensa
Finalmente, a medida que se desarrolla el ataque y se activan las contramedidas, evalúe su efectividad.
Su proveedor de seguridad debe proporcionar un documento de acuerdo de nivel de servicio que indique sus obligaciones de servicio. Asegúrese de que cumplan con sus SLA y determine si hay un impacto en sus operaciones. Si no lo hacen, o no pueden detener el ataque en absoluto, ahora es el momento de evaluar si necesita realizar un cambio de emergencia en su servicio.