Los ataques de denegación de servicio distribuido (DDoS) tienen como objetivo abrumar y derribar servidores. Los exitosos pueden tener un costo financiero enorme en sus objetivos, ya sean corporaciones, pequeñas empresas, gobiernos, escuelas, hospitales, instituciones financieras o individuos.
En 2022, los ataques DDoS afectaron los videojuegos en línea y los sitios web de gobiernos extranjeros. Y Google dice que se defendió de un ataque sin precedentes el 1 de junio, que alcanzó un máximo de 46 millones de solicitudes por segundo. Cloudflare y Microsoft también han luchado contra los ataques DDoS este año.
¿Cómo funcionan los ataques DDoS? Esto es lo que necesita saber.
Resumen
¿Qué es un ataque DDoS?
(Crédito: Nasanbuyn/Wiki Commons)
Cuando carga una página web, envía una solicitud de los datos de esa página a la dirección IP del servidor donde se aloja la información. Dependiendo del tamaño del servidor, demasiadas solicitudes que van a la misma IP al mismo tiempo pueden maximizar su ancho de banda y dejarlo incapaz de aceptar nuevas solicitudes.
El objetivo de un ataque DDoS es simular artificialmente este escenario al sobrecargar un servidor de destino con tráfico, denegar el acceso, interrumpir las operaciones y, en última instancia, dejarlo inutilizable. Un ataque exitoso evitaría que los usuarios carguen páginas o usen servicios asociados con el servidor afectado. En lugar del resultado que esperaban, las personas recibirían un mensaje de error.
La Asociación de la Industria de Tecnología Informática dice que los ataques DDoS son actualmente una de las cuatro principales amenazas de ciberseguridad.(Se abre en una nueva ventana), junto con ransomware, ataques a la cadena de suministro e ingeniería social. Y solo se están volviendo más comunes, lo que provocó el aumento de los esquemas DDoS-as-a-service.
Para lograr esto, un atacante cibernético necesita acceso a varias computadoras o dispositivos que pueden usarse para enviar solicitudes a un servidor de destino. Esto generalmente se logra infectando dispositivos con malware y luego tomando el control de esas máquinas de forma remota. Ese grupo de dispositivos infectados, llamado botnet, se usa para inundar el servidor de destino con mal tráfico y denegar el servicio a los usuarios reales.
Dado que las máquinas bajo el control del atacante suelen ser dispositivos como computadoras de escritorio, portátiles o teléfonos móviles, las solicitudes se leen como legítimas y puede ser difícil protegerlas. Sin embargo, hay formas de mitigar la amenaza de un ataque DDoS.
Los diferentes tipos de ataques DDoS
(Crédito: ComputerLanguage.com)
Los ataques DDoS se pueden adaptar para apuntar a partes específicas de la red, ya sea donde los humanos interactúan con sus dispositivos, donde los datos se transmiten a través de la red o las defensas de la red como un firewall. Sea cual sea el método, el objetivo es el mismo: sobrecargar los recursos del objetivo y dejarlo inoperable.
Para comprender los diferentes tipos de ataques DDoS, es útil comprender el modelo de interconexión de sistemas abiertos (OSI), que representa los siete niveles de una conexión de red. Muestra de forma visual cómo nos conectamos a internet, y cómo los diferentes dispositivos que componen internet transmiten su información.
El modelo OSI se usa como referencia para muchos tipos de ataques cibernéticos, no solo DDoS. Pero los ataques DDoS a menudo se centran en la capa siete de OSI, la capa de aplicación donde los usuarios solicitan información a través de sus dispositivos. Los ataques volumétricos, en los que el servidor se inunda con tráfico falso de direcciones IP aparentemente legítimas, es un ejemplo de un ataque de capa siete. Utiliza máquinas infectadas para imitar a los usuarios que interactúan con Internet en la capa de aplicación.
Sin embargo, las capas tres y cuatro también pueden ser objetivo. Estas capas, las capas de red y transporte, respectivamente, son donde el sistema decide qué ruta física se usa para transmitir datos y qué protocolos de datos se usan para enviarlos.
Muchos piratas informáticos también pueden centrarse en varias capas a la vez, según la complejidad de su ataque. Un ataque de agotamiento de estado, por otro lado, debilita todo el sistema al agotar los recursos defensivos como firewalls y balanceadores de carga.
En un ataque de protocolo, un pirata informático envía paquetes de datos con direcciones IP falsas. Cuando el servidor recibe solicitudes de estas IP falsificadas, devuelve una solicitud de confirmación antes de enviar cualquier dato. Si una dirección IP no conduce a un dispositivo real, el servidor no puede obtener confirmación, por lo que se atasca en un ciclo interminable de solicitudes que nunca obtienen una respuesta. Cuantas más solicitudes falsas llegan, peor se vuelve el problema.
Cómo detener un ataque DDoS
(Crédito: Cloudflare)
Los ataques DDoS están aumentando en escala y frecuencia, por lo que vale la pena el tiempo y los recursos para tener las medidas defensivas adecuadas, especialmente si tiene una red profesional. Además de las mejores prácticas básicas de ciberseguridad, considere contratar servidores adicionales, implementar firewalls y elaborar un plan de contingencia para defenderse de un ataque.
Recomendado por Nuestros Editores
Cuando ocurre un ataque DDoS, su primer paso debe ser determinar qué tráfico es real y cuál proviene del atacante, lo cual puede ser difícil. Establecer una línea de base para el tráfico de su red lo ayudará a saber qué califica como un nivel normal de actividad para que pueda identificar picos en el tráfico de fuentes desconocidas.
También ayudará a establecer ciertos momentos en los que un aumento en la actividad es normal. Un minorista en línea, por ejemplo, esperaría tener un aumento bastante grande en el tráfico alrededor del Black Friday, por lo que sabría que no debe entrar en pánico y cerrar todo el tráfico del sitio cuando suceda.
También es importante averiguar a qué capas de su red se dirigen. Los ataques DDoS pueden tomar múltiples formas, desde ataques de una sola capa hasta amenazas complejas de múltiples vectores que bombardean varias capas de la red a la vez. Una vez que haya identificado el mal tráfico y averiguado dónde está tratando de atacarlo el atacante, puede pasar a los métodos de defensa.
Una forma de defenderse de este tipo de ataque cibernético es el enrutamiento de agujero negro, mediante el cual el tráfico se descarga en un destino nulo y se elimina por completo de la red. Esta es una opción disponible para todos los administradores de red y su ISP, pero puede no ser la ideal ya que volcará el tráfico regular del sitio junto con el tráfico del atacante. Según Cloudflare(Se abre en una nueva ventana)esto esencialmente le da al atacante lo que quiere.
Limitar la tasa de solicitudes que un servidor puede aceptar durante un cierto período de tiempo también puede ayudar a evitar ciertos tipos de ataques. Un ataque volumétrico de fuerza bruta diseñado para golpear el servidor con tantas solicitudes como sea posible, por ejemplo, podría mitigarse mediante la limitación de la tasa. Sin embargo, eso no ayudaría contra los ataques dirigidos a las capas de protocolo.
Otros métodos, como un firewall de aplicaciones web(Se abre en una nueva ventana) o también se puede utilizar la difusión de red, que distribuye el tráfico a través de un grupo de servidores distribuidos.
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
