Introducción a los ataques DDoS y métodos Anti-DDoS

Actualizado el 14 de noviembre, 2016. Por OpenCloud.

A medida que surgen soluciones tecnológicas, también aparecen nuevos métodos de guerra informática que atentan contra la seguridad de nuestras plataformas. Uno de los ciberataques más tradicionales se hace a través del método DDoS. Esta técnica data de principios de los 2000, pero de acuerdo con los reportes de Akamai los ataques DDoS han venido en crescendo desde 2014. El 21 de octubre de 2016, tuvo lugar uno de los ataques masivos vía DDoS más severos a nivel mundial, interrumpiendo servicios de grandes compañías como PayPal, Spotify, Twitter y Netflix. Según reseña The Guardian, este ataque ha sido el más masivo de su tipo a nivel histórico.

Qué es un ataque DDoS y en qué consiste

Comencemos definiendo un ataque de denegación de servicio simple o DoS (Denial of Service, por sus siglas en inglés). El objetivo final de un ataque DoS es consumir los recursos de la máquina o red destino causando la indisponibilidad de sus servicios. No se trata de un ataque de hacking, ya que un ataque de denegación no está concebido para robar información confidencial o irrumpir en un sistema de forma forzada, sino más bien para interrumpir los servicios ofrecidos por ese sistema, el cual puede ser una aplicación/sitio web o cualquier plataforma IT conectada al Internet. Algunos hackers, sin embargo, se pueden aprovechar de esta vulnerabilidad temporal para perpetuar otro tipo de ataques.

Diferencia entre DoS y DDoS

Veamos una analogía simple: suponga que una gran tienda con suficiente personal y productos abre una nueva oferta, ¡consolas PS4 gratuitas! El número de clientes tratando de adquirir el producto hará colapsar sus recursos, por lo que es muy probable que la tienda deba cerrar temporalmente, impidiendo que los clientes accedan a sus servicios.

Ahora suponga que un atacante más astuto desea atacar la tienda con más clientes e inserta un chip que hace que miles de clientes se conviertan en zombies —sí, este es el término informático para un equipo controlado por un intruso— para agotar más y más recursos de esa tienda. De esto se trata un ataque DDoS o ataque de denegación distribuida de servicio.

Un ataque DoS es llevado a cabo usando una sola conexión a Internet, aprovechándose de las vulnerabilidades de software o desbordando la máquina atacada con solicitudes falsas con la intención de sobrecargar recursos de red, memoria RAM o uso de CPU. En contraste, y tal como observamos en la analogía, un ataque DDoS es perpetuado desde varios dispositivos en toda la red de Internet. En general, estos ataques se ejecutan usando muchísimos equipos en una red, en el orden de los cientos o miles. ¿Cómo se logran poner de acuerdo tantas personas para hacer un ataque de este tipo? La realidad es que la inmensa mayoría de los propietarios de dispositivos que ejecutan un ataque DDoS no tienen idea de que son parte del ataque, esto se debe a que un troyano/malware/bot infecta a los dispositivos y se encarga del ataque.

El gran número de dispositivos enviando peticiones satura al equipo o red destino, haciendo que pierda su disponibilidad. Esto también hace que determinar el origen del ataque sea sumamente difícil. Existen distintos tipos de ataques DDoS, los mismos están descritos en la sección Tipos de ataques DDoS y cómo se llevan a cabo.

Qué es un botnet

El grupo de dispositivos infectados con un bot que puede ser gestionado de forma remota, se denomina botnet. También llamados "ejércitos de zombies" (zombies es equivalente a bots informáticos), y constituyen la fuente de un ataque DDoS. Debido a la dispersión geográfica de los equipos que componen un botnet, es casi imposible encontrar un patrón de los dispositivos atacantes.

Veamos entonces un ejemplo gráfico simple para entender el flujo común de un ataque DDoS:

Anexo 1 Ataque DDoS

Cuál es el impacto de un ataque DDoS

El impacto de un ataque DDoS que logra su objetivo es muy extenso. Suponga que usted posee un gran consorcio de venta al por menor —como Amazon— y su servicio se ve afectado por 24 horas o más. El primer impacto suele ser por lo tanto, económico. Y no solo se trata del impacto en pérdidas importantes en ventas, también se afecta su reputación, se violan acuerdos de nivel de servicio, caen sus números en cuanto a disponibilidad y se impactan valores estadísticamente importantes como la calidad de servicio y de experiencia (QoS y QoE).

Es por esto que es tan importante que esté protegido contra estos ataques, o que esté preparado ante su inminente ocurrencia. En OpenCloud somos pioneros en ofrecer soluciones Anti-DDOS en Chile y Latinoamérica, con las cuales usted podrá evitar la ocurrencia de este tipo de ataques o mitigar el problema, abordándolo con métodos de mitigación utilizados por grandes compañías. Para más información salte a la sección Métodos Anti-DDoS.

Para que tenga una idea visual de la magnitud de la sobrecarga de un ataque DDoS, puede hacer Play en los siguientes videos. Ambos le darán una idea de lo que es una "ciberguerra":

En este primer video podemos ver los ataques de los botnets a nivel mundial desde la interfaz de visualización de tráfico Norse. Observe la dispersión geográfica de los ataques en relación con la víctima:

En el segundo video damos un vistazo más de cerca y observamos la llegada excesiva de paquetes a la víctima. El software utilizado para obtener esta gráfica es Logstalgia:

Créditos a los propietarios de ambos videos en YouTube (RM y LF).

Tipos de ataques DDoS y cómo se llevan a cabo

Podemos dividir los ataques DDoS en dos categorías principales dentro del modelo OSI: ataques en la capa de red y ataques en la capa de aplicación.

En la siguiente gráfica podemos darnos una idea de dónde se ubican estos ataques dentro de este modelo de referencia:

Anexo 2 Tipos de Ataque DDoS

Ataques DDoS en la capa de aplicación

Tal como se explica en la gráfica, estos ataques suelen ser ataques de menor escala, y están orientados a afectar directamente al servidor web, sin efectos adversos en otros puertos y servicios. Este tipo de ataques consumen poco ancho de banda e incluyen: desbordamientos HTTP, ataques lentos con herramientas como Slowloris o RUDY, ataques de "día cero" (aprovechándose de las vulnerabilidades antes de que sean descubiertas/solucionadas por el fabricante) y ataques por desbordamiento de peticiones DNS.

Slowloris envía peticiones parciales al servidor destino, para mantener las conexiones abiertas por la mayor cantidad de tiempo posible. Al mismo tiempo, envía gran cantidad de cabeceras HTTP en ciertos intervalos de tiempo que aumentan el número de peticiones, pero que nunca completan una conexión. De esta forma, se afectan los recursos de la víctima, haciendo que no pueda seguir prestando sus servicios. Este ataque afecta solo al servidor web.

Por su parte, RUDY (o "¿ya estás muerto?", desambiguación de Are You Dead Yet? en inglés), se enfoca en aplicaciones web al consumirse todas las sesiones disponibles en el servidor web. Simula a un usuario que tiene una conexión de Internet muy lenta y que envía paquetes HTTP POST —como los de un formulario web—, forzando al servidor a que espere un largo tiempo hasta que la solicitud se complete. Es un ataque lento, pero suele ser efectivo ya que se aprovecha de esta vulnerabilidad de HTTP.

Ataques DDoS en la capa de red

Este tipo de ataques tratan de aprovecharse de las vulnerabilidades de la capa de red y de transporte (capas 3 y 4 del modelo OSI), enviando más paquetes o más ancho de banda del que puede soportar el servidor destino. Los grandes ataques que solemos leer en noticias de medios de comunicación suelen ser ataques DDoS en la capa de red.

Los ataques bajo esta categoría normalmente causan una interrupción total del servicio o daños de operación graves. Estos ataques consumen tantos recursos de red que suelen medirse en el orden de los Gbps (gigabits por segundo), los más grandes incluso pueden superar los 300 Gbps.

Los ataques de este tipo incluyen:

  • Desbordamientos por SYN: este ataque explota una pequeña vulnerabilidad de las conexiones TCP. Los atacantes envían una petición en un paquete de sincronización SYN al servidor víctima, pero enmascarando la dirección IP del atacante (o los zombies en una botnet). Aunque la petición de conexión parece real, la víctima, al tratar de responder a la petición de conexión con un mensaje de acuse de recibo ACK no encuentra al atacante, ralentizando el proceso de conexión y dejando conexiones abiertas. Al multiplicar estas peticiones por cientos de miles, el servidor consume todos sus recursos de red disponibles y deja de funcionar.
  • Desbordamiento por DNS: el atacante apunta a uno o más servidores DNS y envía tráfico aparentemente válido, cuando en realidad se trata de paquetes mal formados, agotando los recursos del servidor DNS recursivo e impidiendo que procese las solicitudes que sí son reales.
  • Desbordamiento UDP: en este caso el atacante inunda puertos aleatorios de la víctima con paquetes IP que contienen datagramas UDP. La víctima busca el servicio asociado y al no conseguir nada, devuelve un paquete de "Destino inaccesible". A medida que recibe y responde más paquetes, comienza a saturarse y deja de responder a otros clientes.
  • Ataques de amplificación basados en UDP: este tipo de ataques se basa en la saturación de otros servicios como DNS (traducción de nombres a IPs en el Internet), NTP (sincronización del reloj de los equipos en el Internet) o SSDP (búsqueda de dispositivos UPnP en la red) a través del envío de grandes cantidades de paquetes UDP. Se les llama ataques de amplificación porque el atacante utiliza técnicas de amplificación que pueden exagerar el tamaño de los paquetes UDP, haciendo que el ataque sea muy potente.
  • Ping de la muerte: en este caso, el atacante envía paquetes ICMP mal formados (ligeramente por encima del límite estandarizado de 65.535 bytes) usando un simple comando ping. Cuando el servidor víctima trata de reconstruir estos paquetes consume gran cantidad de recursos; al multiplicar considerablemente el número de paquetes enviados vía ping el servidor se cuelga.
  • Existen otros ataques como NUKE y SMURF (pitufo) que también se hacen de las vulnerabilidades del protocolo IP y de los mensajes ICMP para causar saturación y un final desbordamiento de la red.

Por qué se hacen ataques DDoS

Existen motivos muy diversos para realizar un ataque DDoS, las causas más comunes incluyen:

  • Hacktivismo: esta palabra proviene de hacker y activismo; este es uno de los motivos más comunes para estos ataques. Es una forma en que hackers u organizaciones de hackers —como Anonymous— expresan su opinión crítica sobre temas de grandes consorcios o de política.
  • Extorsión: este es otro motivo cada vez más popular. Aquí, los atacantes extorsionan a medianas y grandes compañías para que entreguen dinero a cambio de no llevar a cabo un ataque DDoS.
  • Vandalismo cibernético: se trata generalmente de atacantes con menos experiencia que usan herramientas y scripts ya desarrollados para llevar a cabo un ataque simplemente por el hecho de diversión o venganza no ética.
  • Competencia en el mercado: estos ataques de competencia suelen estar disparados por rivalidad entre las compañías o simplemente como una forma de competencia sucia de mercado; por ejemplo: ataques a servidores de empresas de juegos online, o ataques a compañías de ventas de servicios y productos en días cruciales, como un viernes negro.

Métodos Anti-DDoS

Los ataques basados en DoS no se pueden prevenir. Debe aceptar el hecho de que los atacantes probablemente actúen y lograrán alcanzar el objetivo. No obstante, veamos algunos pasos para que esté preparado en caso de un ataque de este tipo. Lo que sí podemos hacer, es que nuestra plataforma sea más difícil de penetrar, y estar preparados para tomar las acciones necesarias para actuar en caso de que suceda un ataque. Veamos algunas recomendaciones para prepararse ante ataques cibernéticos DDoS:

  • Invierta en construir una plataforma robusta: si usted es propietario de una gran plataforma que ofrece servicios o productos que generan ingresos o valor comercial, debe invertir en la seguridad de sus aplicaciones. Muchas veces las compañías son renuentes a pagar por servicios que no utilizan, sin embargo, esto puede ser un ínfimo gasto cuando se compara con las pérdidas que puede generar un ataque DDoS.
  • Implemente una herramienta de monitorización para sus sistemas: hay muchas herramientas disponibles en el mercado, OpenCloud ofrece una solución de supervisión para monitorizar los valores más importantes de su CloudServer, sin embargo, es recomendable implementar una solución de monitorización en un segmento de red distinto para estar atento de los cambios inusuales en el uso de ancho de banda, CPU y memoria. Existen soluciones gratuitas como Zabbix u otras como las ofrecidas por Solar Winds.
  • Lleve a cabo pruebas de estrés: otra buena idea es usar herramientas para ataques DDoS de terceros y hacer testing antes de que su plataforma entre en producción, así sabrá cómo se comporta su sistema ante distintos escenarios DDoS.
  • Esté atento a las redes sociales y blogs de noticias sobre amenazas de ataques DDoS. Puede utilizar los rastreadores RSS de Info Risk Today para mantenerse actualizado en cuanto a las últimas amenazas cibernéticas.
  • Durante un ataque DDoS, el registro de archivos log crece exponencialmente y puede ser por sí sola, la causa de la interrupción de su servicio. Apenas llegue a saber que es víctima de un ataque DDoS, comience a borrar los archivos de volcado que comienzan a crearse debido a la cantidad de errores generales. Uno de los secretos de los ataques DDoS es causar grandes cargas en instancias del sistema distintas de las atacadas a priori. Una buena idea, es deshabilitar completamente la generación de logs mientras dure el ataque.

Mitigar ataques DDoS con OpenCloud

OpenCloud ofrece una solución que ayuda a redirigir el tráfico correspondiente a un ataque DDoS en su sitio web, desviándolo a otro punto en la red. El tráfico —nacional e internacional— que entra a su red es inspeccionado cuidadosamente, filtrado y descartado. Además, utilizamos enmascaramiento de IP en su CloudServer, evitando así ataques directos a su dirección IP. Esto es una solución ideal para gamers o usuarios con plataformas amplias que requieren de niveles de seguridad más avanzados.

Somos pioneros en ofrecer una solución Anti DDoS de este tipo en Chile; este recurso está en fase beta, por lo que exhortamos a nuestros clientes a solicitar y disfrutar del servicio de forma gratuita mientras completamos la etapa de testing; además puede enviarnos sus comentarios para evaluar el comportamiento y capacidad de protección Anti DDoS en sus sistemas particulares.

Para solicitar el servicio siga el siguiente flujo:

  1. Solicite una IP Anti DDoS,
  2. Realice los cambios de red necesarios para activar el servicio,
  3. Establezca la plataforma Anti-DDoS para su CloudServer.

Recursos adicionales

Además de los enlaces provistos durante esta guía, puede consultar los siguientes recursos en busca de información que complemente nuestra guía. Recuerde que no podemos certificar la actualidad o precisión de contenidos externos.

¿QUÉ DESEAS SABER?

Intentaremos leer tu mente...