¿Qué es un ataque DDoS?

Actualmente, los ataques DDoS constituyen una preocupación principal para la seguridad de Internet actual. Explora detalles sobre cómo funcionan los ataques DDoS y sobre cómo se pueden detener.

Share facebook icon linkedin icon twitter icon email icon

DDoS

Objetivos de aprendizaje

Después de leer este artículo podrá:

  • Definir un ataque DDoS
  • Explicar la estructura general de un ataque DDoS
  • Diferenciar entre las 3 categorías principales de los ataques DDoS
  • Conocer varias estrategias de mitigación de DDoS

¿Qué es un ataque DDoS?

Un ataque de denegación de servicio (DDoS) distribuido es un intento malicioso de interrumpir el tráfico normal de un servidor determinado, un servicio o una red al inundar el objetivo o su infraestructura circundante con una avalancha de tráfico de Internet. Los ataques DDoS consiguen su eficacia mediante la utilización de varios sistemas informáticos comprometidos como orígenes de tráfico de ataque. Entre los equipos afectados se pueden incluir ordenadores y otros recursos de red, como dispositivos IoT. En términos generales, un ataque DDoS es como un atasco de tráfico en el que se obstruye la carretera, lo que evita que el tráfico normal llegue al destino deseado.

Ataque DDoS

¿Cómo funciona un ataque DDoS?

Un ataque DDoS requiere que un atacante se haga con el control de una red de equipos en línea con el fin de llevar a cabo un ataque. Ordenadores y otros equipos (como dispositivos IoT) se han infectado con malware, lo que convierte a cada uno en un robot (o zombi). El atacante tiene el control remoto del grupo de robots, que se llama red de robots (botnet).

Una vez establecida la red de robots (botnet), el atacante es capaz de dirigir los equipos mediante el envío de instrucciones actualizadas a cada robot usando un método de control remoto. Cuando la dirección IP de una víctima es el blanco de la red de robots (botnet), cada robot responderá enviando solicitudes al objetivo, lo que podría hacer que se desbordara la capacidad del servidor o la red y provocaría una denegación de servicio al tráfico normal. Debido a que cada robot es un dispositivo legítimo de Internet, puede resultar complicado separar el tráfico de ataque del tráfico normal.

¿Cuáles son los tipos más habituales de ataques DDoS?

Los vectores de los distintos ataques DDoS apuntan a distintos componentes de una conexión de red. Para poder entender cómo funcionan los distintos ataques DDoS, es necesario saber cómo se hace una conexión de red. Una conexión de red en Internet está compuesta por muchos componentes o “capas” diferentes. Al igual que al construir una casa desde sus cimientos, cada paso en el modelo tiene un objetivo diferente. El modelo OSI, que se muestra a continuación, es un marco conceptual utilizado para describir la conectividad de red en 7 capas distintas.

El modelo OSI

Si bien casi todos los ataques DDoS implican abrumar un dispositivo o una red específicos con tráfico, dichos ataques pueden dividirse en tres categorías. Un atacante puede hacer uso de uno o más vectores de ataque distintos o vectores de ataque de ciclo, posiblemente basados en las contramedidas tomadas por el objetivo.

Ataques a la capa de aplicación

El objetivo del ataque:

En ocasiones se conocen como ataques DDoS de la Capa 7 (en referencia a la séptima capa del modelo OSI) y su objetivo es agotar los recursos del destino. Los ataques se dirigen a la capa donde se generan las páginas web en el servidor y se entregan en respuesta a las solicitudes HTTP. La ejecución en el lado del cliente una sola solicitud HTTP es económica, pero para el servidor de destino puede resultar costoso responder como servidor que a menudo tiene que cargar varios archivos y ejecutar consultas de la base de datos para crear una página web. Los ataques de la Capa 7 son difíciles de detener, puesto que puede resultar difícil marcar el tráfico como malicioso.

Ejemplo de ataque a la capa de aplicación:

Inundación HTTP

Este ataque es similar a pulsar la tecla de actualización de un navegador web una y otra vez en muchos equipos diferentes a la vez: un gran número de solicitudes HTTP inunda el servidor, lo que provoca una denegación del servicio.

Este tipo de ataque varía desde los sencillos hasta los complejos. Las implementaciones más sencillas pueden acceder a una URL con el mismo rango de direcciones IP atacantes, referencias y agentes de usuario. Las versiones complejas pueden utilizar un gran número de direcciones IP atacantes, así como dirigirse a direcciones URL aleatorias usando referencias aleatorias y agentes de usuario.

Ataques de protocolo

El objetivo del ataque:

Los ataques de protocolo, también conocidos como ataques de un estado de agotamiento, provocan una interrupción del servicio por el consumo de toda la capacidad disponible de la tabla de estado de los servidores de aplicaciones web o los recursos intermedios, como los firewalls y los Load Balancers. Los ataques de protocolo utilizan los puntos débiles de las Capas 3 y 4 de la pila de protocolos para dejar inaccesible al objetivo.

Ejemplo de ataque de protocolo:

Ataque DDoS de inundación SYN

Inundación SYN

Una inundación SYN es como un empleado en un depósito que recibe solicitudes del frente de la tienda. El empleado recibe una solicitud, busca el paquete y espera la confirmación antes de llevarlo al frente. Entonces recibe muchas más solicitudes de paquetes sin confirmación hasta que ya no puede cargar más, se ve abrumado y deja de responder.

Este ataque aprovecha el protocolo de enlace TCP mediante el envío de un gran número de paquetes SYN “solicitud de conexión inicial” TCP con direcciones IP de origen falsificadas. El equipo de destino responde a cada solicitud de conexión y, a continuación, espera al paso final del protocolo de enlace, que nunca se produce, lo que agota los recursos del destino durante el proceso.

Ataques volumétricos

El objetivo del ataque:

Esta categoría de ataques intenta crear una congestión al consumir todo el ancho de banda disponible entre el objetivo y el Internet más amplio. Se envían grandes cantidades de datos a un destino al usar una forma de amplificación u otro medio para crear tráfico masivo, como solicitudes de una red de robots (botnet).

Ejemplo de amplificación:

Ataque de amplificación NTP

Amplificación DNS

Una amplificación DNS es como si alguien fuera a llamar a un restaurante y dijera “tomaré uno de cada uno, por favor, llámame y dígame todo lo que he pedido”, donde el número de teléfono de devolución de llamada que dan es el número del objetivo. Con muy poco esfuerzo, se genera una respuesta larga.

Al enviar una solicitud a un servidor DNS con una dirección IP falsificada (la verdadera dirección IP del objetivo), la dirección IP de destino entonces recibe una respuesta del servidor. El atacante estructura la solicitud de tal modo que el servidor DNS le responde al objetivo con una enorme cantidad de datos. Como resultado, el objetivo recibe una amplificación de la consulta inicial del atacante.

¿Cuál es el proceso para mitigar un ataque DDoS?

La preocupación principal al mitigar un ataque DDoS es diferenciar entre el tráfico de ataque y el tráfico normal. Por ejemplo, si el lanzamiento de un producto tiene inundado el sitio web de la empresa con clientes entusiastas, cortar todo el tráfico sería un error. Si esa misma empresa de pronto experimenta un aumento de tráfico por parte de malos agentes conocidos, es probable que los esfuerzos para aliviar un ataque sean necesarios. La dificultad radica en diferenciar a un cliente real del tráfico de ataque.

En el Internet moderno, el tráfico DDoS viene en muchas formas. Puede variar en diseño, desde ataques únicos sin falsificaciones hasta ataques multivectoriales complejos y adaptables. Un ataque DDoS multivectorial utiliza varias rutas de ataque para poder abrumar al objetivo de distintas maneras, y potencialmente desviar los esfuerzos de mitigación hacia cualquier dirección. Un ataque que apunta a varias capas de la pila de protocolos al mismo tiempo, como una amplificación DNS (que apunta a las capas 3 y 4) combinada con una inundación HTTP (que apunta a la capa 7) es un ejemplo de DDoS multivectorial.

Mitigar un ataque DDoS multivectorial requiere una variedad de estrategias con el fin de contrarrestar las diferentes trayectorias. Por lo general, cuanto más complejo sea el ataque, más difícil será distinguir el tráfico normal del malicioso; el objetivo del atacante es mezclarlos todo los que se pueda y hacer que la mitigación sea lo más ineficaz posible. Los intentos de mitigación que implican excluir o limitar el tráfico de forma indiscriminada podrían acabar excluyendo el tráfico habitual junto con el sospechoso, y el ataque también se puede modificar y adaptar para eludir las medidas tomadas y contrarrestarlo. Con el fin de superar un intento complejo de interrupción, la solución en capas ofrecerá los mejores resultados.

Enrutamiento de agujeros negros

Una solución disponible para prácticamente todos los administradores de red es crear una ruta de agujero negro y dirigir y canalizar el tráfico en esa ruta. En su forma más simple, cuando se realiza el filtrado de agujeros negros sin criterios de restricción específicos, tanto el tráfico de red legítimo como el malicioso se redirigen a una ruta nula o a un agujero negro, y se excluye de la red. Si una propiedad de Internet sufre un ataque DDoS, el proveedor de servicios de Internet (ISP) de la propiedad puede enviar todo el tráfico del sitio a un agujero negro a modo de defensa.

Rate Limiting

Limitar la cantidad de solicitudes que aceptará un servidor por un determinado período también es una manera de mitigar ataques de denegación de servicio. Si bien Rate Limiting es útil para ralentizar las apropiaciones web cuando roban contenido y para mitigar los intentos de inicio de sesión por fuerza bruta, es probable que por sí solo no sea suficiente para controlar de forma efectiva un ataque DDoS complejo. No obstante, Rate Limiting es un componente útil en una estrategia de mitigación de DDoS efectiva. Obtén más información sobre Rate Limiting de Cloudflare

Web Application Firewall

Un Web Application Firewall (WAF) es una herramienta que puede ayudar a mitigar un ataque DDoS en la Capa 7. Al colocar un WAF entre Internet y un servidor de origen, el WAF puede actuar como proxy inverso y proteger el servidor de destino de determinados tipos de tráfico malicioso. Al filtrar las solicitudes conforme a una serie de reglas usadas para identificar herramientas de DDoS, se pueden impedir ataques a la Capa 7. Uno de los valores clave de un WAF efectivo es la capacidad de implementar reglas personalizadas para responder a un ataque. Obtén información acerca del WAF de Cloudflare

Difusión de red Anycast

Este enfoque de mitigación utiliza una red Anycast para dispersar el tráfico de ataque a través de una red de servidores distribuidos hasta el punto donde el tráfico queda absorbido por la red. Al igual que la canalización de un río por canales más pequeños, este enfoque extiende el impacto del tráfico de ataque distribuido hasta el punto en el que se puede administrar, difundiendo la capacidad disruptiva.

La fiabilidad de una red Anycast para mitigar un ataque DDoS depende del tamaño del ataque, así como del tamaño y la eficacia de la red. Una parte importante de la mitigación de DDoS implementada por Cloudflare es el uso de una red de difusión Anycast distribuida. Cloudflare cuenta con una red de 25 Tbps, que es mayor que el ataque DDoS más grande alguna vez registrado.

Si actualmente te encuentras bajo ataque, hay medidas que puedes tomar para librarte de este. Si ya cuentas con Cloudflare, puedes seguir estos pasos para mitigar el ataque. La protección contra ataques DDoS que implementamos en Cloudflare es multidimensional con el fin de mitigar los posibles vectores de ataque. Obtén más información sobre la protección DDoS de Cloudflare y sobre cómo funciona.