¿Qué es un gestor de arranque DDoS/acentuador de IP? | Herramientas de ataques DDoS

Los ataques DDoS, empaquetados como servicios SaaS, están disponibles por una tarifa módica.

Share facebook icon linkedin icon twitter icon email icon

Gestor de arranque DDoS

Objetivos de aprendizaje

Después de leer este artículo podrá:

  • Obtén información sobre gestores de arranque y acentuadores de IP
  • Obtén información sobre las herramientas de ataques DDoS
  • Obtén información sobre el delito como modelo de negocio

¿Qué es un acentuador de IP?

Un acentuador de IP es una herramienta diseñada para poner a prueba la solidez de una red o un servidor. El administrador puede ejecutar una prueba de esfuerzo para determinar si los recursos existentes (ancho de banda, CPU, etc.) son suficientes para manejar una carga adicional.

Poner a prueba la red o el servidor propios es un uso legítimo de un acentuador. Usarla en la red o el servidor de otra persona, y que provoque la denegación de servicio a sus usuarios legítimos, es ilegal en la mayoría de los países.

¿Qué son los servicios de gestión de arranque?

Los gestores de arranque, también conocidos como servicios de gestión de arranque, son servicios de ataques DDoS (denegación de servicio distribuido) a pedido que ofrecen delincuentes emprendedores para poder derribar sitios web y redes. En otras palabras, los gestores de arranque son el uso ilegítimo de los acentuadores de IP.

Los acentuadores de IP ilegales suelen ocultar la identidad del servidor atacante al usar servidores proxy. El proxy desvía la conexión del atacante mientras oculta su dirección IP.

Los gestores de arranque están hábilmente empaquetados como SaaS (Software como servicio), generalmente con asistencia por correo electrónico y tutoriales de YouTube. Los paquetes pueden ofrecer servicios únicos, ataques múltiples dentro de un período definido, o incluso acceso “de por vida”. Un paquete básico de un mes puede costar la suma módica de 19,99 $. Las opciones de pago pueden incluir tarjetas de crédito, Skrill, PayPal o bitcoins (aunque PayPal cancelará las cuentas si se logra probar una intención maliciosa).

¿Cómo se diferencian los gestores de arranque de IP de las red de robots (botnet)?

Una red de robots (botnet) es una red de equipos cuyos propietarios no saben que sus equipos han sido infectados con malware y que se están utilizando en ataques de Internet. Los gestores de arranque son servicios de DDoS por contrato.

Tradicionalmente usaban redes de robots (botnet) para lanzar ataques, pero a medida que se fueron volviendo más sofisticados, se jactan de tener servidores más potentes para, tal como lo indican algunos servicios de gestores de arranque, “ayudarte a lanzar tu ataque”.

¿Cuáles son las motivaciones detrás de los ataques de denegación de servicio?

Las motivaciones detrás de los ataques de denegación de servicio son muchas: skiddies* que intentan desarrollar sus habilidades de piratería, rivalidades comerciales, conflictos ideológicos, terrorismo patrocinado por el gobierno o extorsión. PayPal y las tarjetas de crédito son los métodos de pago para ataques de extorsión. También se usan bitcoins porque ofrecen la capacidad para ocultar la identidad. Una desventaja de las bitcoins, desde el punto de vista de los atacantes, es que son menos las personas que usan bitcoins que las que usan otras formas de pago.

* Script kiddie, o skiddie, es un término peyorativo para vándalos de Internet con pocas habilidades que emplean scripts o programas escritos por otros para poder lanzar ataques en redes o sitios web. Apuntan a vulnerabilidades de seguridad conocidas y fáciles de aprovechar, generalmente sin considerar las consecuencias.

¿Qué son los ataques de reflexión y amplificación?

Los ataques de reflexión y amplificación hacen uso del tráfico legítimo para poder abrumar la red o el servidor de destino.

Cuando un atacante falsifica la dirección IP de la víctima y envía un mensaje a un tercero fingiendo ser la víctima, esto se conoce como suplantación de dirección IP. El tercero no tiene forma de distinguir la dirección IP de la víctima de la del atacante. Le responde directamente a la víctima. La dirección IP del atacante está oculta tanto del servidor de la víctima como del servidor del tercero. Este proceso de denomina reflexión.

Es como si el atacante ordenara una pizza a la casa de la víctima haciéndose pasar por ella. La víctima termina debiendo dinero a la pizzería por una pizza que nunca ordenó.

La amplificación de tráfico ocurre cuando el atacante obliga al servidor de un tercero a enviar respuestas a la víctima con tantos datos como sea posible. La proporción entre los tamaños de las respuestas y de las solicitudes se conoce como factor de amplificación. Mientras más grande sea esta amplificación, mayor será el potencial de interrupción para la víctima. El servidor del tercero también se interrumpe debido al volumen de solicitudes falsificadas que debe procesar. La amplificación NTP es un ejemplo de este tipo de ataque.

Los tipos de ataques de gestores de arranque más efectivos usan tanto amplificación como reflexión. Primero, el atacante falsifica la dirección del objetivo y envía un mensaje a un tercero. Cuando el tercero responde, el mensaje se dirige a la dirección falsificada del objetivo. La respuesta es mucho mayor que el mensaje original, por lo que el tamaño del ataque también se amplifica.

La función de un único robot en estos ataques es similar a la de un adolescente malicioso que llama a un restaurante y pide todo el menú, y luego solicita que lo vuelvan a llamar para confirmar cada elemento del pedido. Excepto que el número para devolver la llamada es el de la víctima. Esto resulta en que la víctima recibe una llamada del restaurante con una inundación de información que no solicitó.

¿Cuáles son las categorías de los ataques de denegación de servicio?

Los ataques a la capa de aplicación se dirigen a las aplicaciones web, y suelen ser más sofisticados. Estos ataques aprovechan una debilidad en la pila de protocolos de capa 7 al establecer primero una conexión con el objetivo y luego agotar recursos del servidor al monopolizar los procesos y las transacciones. Estos son difíciles de encontrar y de mitigar. Un ejemplo común es un ataque de inundación HTTP.

Los ataques basados en protocolos se enfocan en aprovechar una debilidad en la pila de protocolos de capa 3 o 4. Estos ataques consumen toda la capacidad de procesamiento de la víctima y otros recursos críticos (un firewall, por ejemplo), lo que resulta en una interrupción del servicio. Inundación SYN y ping de la muerte son algunos ejemplos.

Los ataques volumétricos envían grandes volúmenes de tráfico en un intento de saturar el ancho de banda de la víctima. Los ataques volumétricos son fáciles de generar al emplear técnicas de amplificación simples, por lo que estas son las formas más comunes de ataque. Algunos ejemplos son inundación UDP, inundación TCP, amplificación NTP y amplificación DNS.

¿Cuáles son los ataques de denegación de servicio comunes?

El objetivo de los ataque DDoS o DoS es consumir suficientes recursos del servidor o la red para que el sistema no responda a solicitudes legítimas:

  • Inundación SYN: Se dirige una sucesión de solicitudes SYN al sistema del objetivo en un intento de abrumarlo. Estos ataques aprovechan las debilidades en la secuencia de conexión de TCP, conocida como protocolo de enlace de tres vías.
  • Inundación HTTP: Es un tipo de ataque en el que las solicitudes HTTP GET o POST se usan para atacar al servidor web.
  • Inundación UDP: Es un tipo de ataque en el que se abruma a puertos aleatorios del objetivo con paquetes de IP que contienen datagramas UDP.
  • Ping de la muerte: Son ataques que implican envíos deliberados de paquetes de IP más grandes que los permitidos por el protocolo de IP. La fragmentación de TCP/IP trata con grandes paquetes al dividirlos en paquetes de IP más pequeños. Si los paquetes, cuando se unen, son más grandes que los 65 536 bytes permitidos, los servidores heredados suelen fallar. Esto se pudo solucionar bastante bien en sistemas más nuevos. La inundación de Ping es la reencarnación actual de este ataque.
  • Ataques de protocolo ICMP: Los ataques al protocolo ICMP se aprovechan del hecho de que cada solicitud requiere procesamiento por parte del servidor antes de que se pueda enviar un respuesta. Los ataques SMURF, las inundaciones ICMP y las inundaciones de ping se aprovechan de esto al inundar el servidor con solicitudes ICMP sin esperar la respuesta.
  • Slowloris: Inventado por Robert 'RSnake' Hansen, este ataque intenta mantener múltiples conexiones con el servidor web del objetivo abiertas durante la mayor cantidad de tiempo posible. Eventualmente, los intentos de conexión adicionales de los clientes se denegarán.
  • Inundación DNS: El atacante inunda los servidores DNS de un dominio específico en un intento de interrumpir la resolución DNS para ese dominio.
  • Ataque de lágrima: Este ataque implica enviar paquetes fragmentados a los dispositivos objetivo. Un error en el protocolo TCP/IP evita que el servidor reconstruya dichos paquetes, lo que hace que estos se superpongan. El dispositivo de destino falla.
  • Amplificación DNS: Este ataque basado en reflexión convierte las solicitudes legítimas de servidores DNS (sistema de nombres de dominio) en solicitudes mucho más grandes, y en el proceso consume los recursos del servidor.
  • Amplificación NTP: Un ataque DDoS volumétrico basado en reflexión en el que un atacante aprovecha la funcionalidad del servidor de protocolo de tiempo de redes (NTP) para poder abrumar la red o el servidor de destino con una cantidad amplificada de tráfico UDP.
  • Reflexión SNMP: El atacante falsifica la dirección IP de la víctima y envía múltiples solicitudes de Protocolo simple de administración de redes (SNMP) a los dispositivos. El volumen de respuestas puede abrumar a la víctima.
  • SSDP: Un ataque SSDP (Protocolo simple de detección de servicio) es un ataque DDoS basado en reflexión que aprovecha los protocolos de redes Plug and Play universales (UPnP) para poder enviar una cantidad amplificada de tráfico a una víctima específica.
  • Ataque SMURF: Este ataque utiliza un programa malware denominado SMURF. Grandes cantidades de paquetes de Protocolo de mensaje de control de Internet (ICMP) con la dirección IP suplantada de la víctima se envían a una red de equipos usando una dirección de difusión IP.
  • Ataques Fraggle: Un ataque similar al SMURF, excepto que utiliza UDP en lugar de ICMP.

¿Qué se debería hacer en caso de un ataque de extorsión de DDoS?

  • Se debe informar al centro de datos y al ISP de inmediato.
  • El pago del rescate nunca debería ser una opción: un pago puede llevar a un aumento en las demandas de rescate.
  • Se debe notificar a las agencias para el cumplimiento de la ley.
  • Se debe monitorear el tráfico de la red.
  • Se deben buscar planes de protección de DDoS, como el plan sin cargo de Cloudflare.

¿Cómo se pueden mitigar los ataques de redes de robots (botnet)?

  • Se deben instalar firewalls en el servidor.
  • Los parches de seguridad deben estar actualizados.
  • El software antivirus se debe ejecutar según lo programado.
  • Los registros del sistema se deben monitorear regularmente.
  • Los servidores de correo electrónico desconocidos no deberían recibir permisos para distribuir tráfico SMTP.

¿Por qué los servicios de gestión de arranque son difíciles de rastrear?

La persona que compra estos servicios delictivos utiliza un sitio web frontal para el pago y las instrucciones relacionadas con el ataque. Normalmente no hay una conexión identificable con el back-end que inicia el verdadero ataque. Por lo tanto, la intención delictiva puede ser difícil de probar. Una forma de rastrear a las entidades delictivas es siguiendo el trayecto del pago.