Los ataques DDoS, empaquetados como servicios SaaS, están disponibles por una tarifa módica gracias a las pruebas de estrés IP.
Después de leer este artículo podrás:
Contenido relacionado
¿Qué es un ataque de denegación de servicio (DoS)?
Cómo lanzar un ataque DDoS | Herramientas para ataques DoS y DDoS
¿Qué es una botnet de DDoS?
¿Qué es el Internet de las cosas (IoT)?
¿Qué es el enrutamiento de agujeros negros de DDoS?
Suscríbase a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar enlace del artículo
Un acentuador de IP es una herramienta diseñada para realizar pruebas de resistencia en una red o en un servidor. El administrador puede ejecutar una prueba de esfuerzo para determinar si los recursos existentes (ancho de banda, CPU, etc.) son suficientes para manejar una carga adicional.
Evaluar la red o el servidor propios es un uso legítimo de una prueba de estrés. Usarlo en la red o el servidor de otra persona, y que provoque la denegación de servicio a sus usuarios legítimos, es ilegal en la mayoría de los países.
Los booters, también conocidos como servicios de booter, son servicios de ataques DDoS (denegación de servicio distribuido) bajo pedido ofrecidos por delincuentes emprendedores para derribar sitios web y redes. En otras palabras, los booters son el uso ilegítimo de las pruebas de estrés IP.
Los acentuadores de IP ilegales suelen ocultar la identidad del servidor atacante usando servidores proxy. El proxy redirige la conexión del atacante a la vez que oculta la dirección IP del atacante.
Los booters están hábilmente empaquetados como SaaS (software como servicio), generalmente con asistencia por correo electrónico y tutoriales de YouTube. Los paquetes pueden ofrecer servicios únicos, ataques múltiples durante un periodo definido o incluso acceso "de por vida". Un paquete básico de un mes puede costar solamente 19,99 $. Las opciones de pago pueden incluir tarjetas de crédito, Skrill, PayPal o bitcoins (aunque PayPal cancelará las cuentas si se prueba la intención maliciosa).
Una red de robots (botnet) es una red de equipos cuyos propietarios no saben que sus equipos han sido infectados con malware y se están utilizando en ataques de Internet. Los booters son servicios de DDoS por contrato.
Tradicionalmente usaban redes de robots para lanzar ataques, pero a medida que se han vuelto más sofisticados, se jactan de tener servidores más potentes para, tal como lo indican algunos servicios de gestores de arranque, “ayudarte a lanzar tu ataque”.
Las motivaciones tras los ataques de denegación de servicio son diversas: skiddies* reforzando sus habilidades de hacker, rivalidades empresariales, conflictos ideológicos, terrorismo patrocinado por gobiernos o extorsión. PayPal y las tarjetas de crédito son los métodos favoritos de pago para los ataques de extorsión. También se usa Bitcoin porque ofrece la capacidad de ocultar la identidad. Desde el punto de vista del atacante, Bitcoin tiene la desventaja de que no tiene tantos usuarios como las otras formas de pago.
*Script kiddie, o skiddie, es un término peyorativo para vándalos de Internet con pocas habilidades que emplean scripts o programas escritos por otros para poder lanzar ataques en redes o sitios web. Van tras vulnerabilidades de seguridad fáciles de aprovechar y relativamente conocidas, a menudo sin tener en cuenta las consecuencias.
Los ataques de reflexión y amplificación hacen uso del tráfico legítimo para abrumar la red o el servidor de destino.
Cuando un atacante falsifica la dirección IP de la víctima y envía un mensaje a un tercero fingiendo ser la víctima, esto se conoce como suplantación de dirección IP. El tercero no tiene forma de distinguir la dirección IP de la víctima de la del atacante. Le responde directamente a la víctima. La dirección IP del atacante está oculta tanto del servidor de la víctima como del servidor del tercero. Este proceso de denomina reflexión.
Es como si el atacante pidiera una pizza a la casa de la víctima haciéndose pasar por ella. Entonces, la víctima acaba debiéndole dinero a la pizzería por una pizza que no había pedido.
La amplificación de tráfico ocurre cuando el atacante obliga al servidor de un tercero a enviar respuestas a la víctima con tantos datos como sea posible. La proporción entre los tamaños de las respuestas y de las solicitudes se conoce como factor de amplificación. Mientras más grande sea esta amplificación, mayor será el potencial de interrupción para la víctima. El servidor del tercero también se interrumpe debido al volumen de solicitudes falsificadas que debe procesar. La amplificación NTP es un ejemplo de este tipo de ataque.
Los tipos más efectivos de ataques de gestor de arranque usan tanto amplificación como reflexión. En primero lugar, el atacante falsifica la dirección del objetivo y envía un mensaje a un tercero. Cuando el tercero responde, el mensaje se dirige a la dirección falsa del objetivo. La respuesta es mucho más grande que el mensaje original, lo que acaba amplificando el tamaño del ataque.
La función de un único bot en estos ataques es similar a la de un adolescente malicioso que llama a un restaurante, pide todo el menú, y luego solicita que lo vuelvan a llamar para confirmar cada elemento del pedido. Excepto que el número para devolver la llamada es el de la víctima. Como consecuencia, la víctima atacada recibe una llamada del restaurante con una avalancha de información que no solicitó.
Los ataques a la capa de aplicación se dirigen contra las aplicaciones web y suelen ser los más sofisticados. Estos ataques aprovechan una debilidad en la pila de protocolos de capa 7, estableciendo primero una conexión con el objetivo y luego agotando los recursos del servidor al monopolizar los procesos y las transacciones. Son difíciles de identificar y de mitigar. Un ejemplo común es el ataque de inundación HTTP.
Los ataques basados en protocolos se enfocan en aprovechar una debilidad en las capas 3 o 4 de la pila de protocolos. Estos ataques consumen toda la capacidad de procesamiento de la víctima y otros recursos fundamentales (un firewall, por ejemplo), lo que lleva a una interrupción del servicio. La inundación SYN y el ping de la muerte son algunos ejemplos.
Los ataques volumétricos envían grandes volúmenes de tráfico en un intento de saturar el ancho de banda de la víctima. Los ataques volumétricos son fáciles de generar empleando técnicas de amplificación simples, por lo que son las formas más comunes de ataque. Algunos ejemplos son inundación UDP, inundación TCP, amplificación NTP y amplificación DNS.
El objetivo de los ataques DDoS o DoS es consumir suficientes recursos del servidor o la red para que el sistema no responda a solicitudes legítimas:
La persona que adquiere estos servicios delictivos usa un sitio web frontend para el pago y las instrucciones relacionadas con el ataque. Generalmente, no se consigue identificar la conexión con el backend que inicia el ataque real. Por tanto, es muy difícil probar la intención delictiva. Un modo de localizar a las entidades delictivas es mediante el rastreo del pago.