¿Qué es un gestor de arranque DDoS/acentuador de IP? | Herramientas de ataques DDoS

Los ataques DDoS, empaquetados como servicios SaaS, están disponibles por una tarifa módica.

Share facebook icon linkedin icon twitter icon email icon

Gestor de arranque DDoS

Objetivos de aprendizaje

Después de leer este artículo podrá:

  • Conocer más sobre gestores de arranque y acentuadores de IP
  • Conocer más sobre las herramientas de ataques DDoS
  • Conocer más sobre el delito como modelo de negocio

¿Qué es un acentuador de IP?

Un acentuador de IP es una herramienta diseñada para realizar pruebas de resistencia en una red o en un servidor. El administrador puede ejecutar una prueba de esfuerzo para determinar si los recursos existentes (ancho de banda, CPU, etc.) son suficientes para manejar una carga adicional.

Hacer pruebas con la propia red o servidor es un uso legítimo de un acentuador. Usarlo en la red o el servidor de otra persona, y que provoque la denegación de servicio a sus usuarios legítimos, es ilegal en la mayoría de los países.

¿Qué son los servicios de gestión de arranque?

Los gestores de arranque, también conocidos como servicios de gestión de arranque, son servicios de ataques DDoS (denegación de servicio distribuido) bajo pedido ofrecidos por delincuentes emprendedores para derribar sitios web y redes. En otras palabras, los gestores de arranque hacen un uso ilegítimo de los acentuadores de IP.

Los acentuadores de IP ilegales suelen ocultar la identidad del servidor atacante usando servidores proxy. El proxy redirige la conexión del atacante a la vez que oculta la dirección IP del atacante.

Los gestores de arranque están ingeniosamente empaquetados como SaaS (Software como servicio), a menudo con asistencia por correo electrónico y tutoriales de YouTube. Los paquetes pueden ofrecer un servicio único, múltiples ataques en un período determinado, o incluso acceso "de por vida". Un paquete básico mensual puede costar tan solo 19,99 $. Las opciones de pago llegan a incluir tarjetas de crédito, Skrill, PayPal o Bitcoin (aunque PayPal cancelará las cuentas si se prueba una intención maliciosa).

¿Cómo se diferencian los gestores de arranque de IP de las red de robots (botnet)?

Una botnet es una red de equipos cuyos propietarios no saben que sus equipos han sido infectados con malware y se están utilizando en ataques de Internet. Los gestores de arranque son servicios DDoS de alquiler.

Tradicionalmente usaban redes de robots para lanzar ataques, pero a medida que se han vuelto más sofisticados, se jactan de tener servidores más potentes para, tal como lo indican algunos servicios de gestores de arranque, “ayudarte a lanzar tu ataque”.

¿Cuáles son las motivaciones detrás de los ataques de denegación de servicio?

Las motivaciones tras los ataques de denegación de servicio son diversas: skiddies* reforzando sus habilidades de hacker, rivalidades empresariales, conflictos ideológicos, terrorismo patrocinado por gobiernos o extorsión. PayPal y las tarjetas de crédito son los métodos favoritos de pago para los ataques de extorsión. También se usa Bitcoin porque ofrece la capacidad de ocultar la identidad. Desde el punto de vista del atacante, Bitcoin tiene la desventaja de que no tiene tantos usuarios como las otras formas de pago.

*Script kiddie, o skiddie, es un término peyorativo para vándalos de Internet con pocas habilidades que emplean scripts o programas escritos por otros para poder lanzar ataques en redes o sitios web. Van tras vulnerabilidades de seguridad fáciles de aprovechar y relativamente conocidas, a menudo sin tener en cuenta las consecuencias.

¿Qué son los ataques de reflexión y amplificación?

Los ataques de reflexión y amplificación hacen uso del tráfico legítimo para abrumar la red o el servidor de destino.

Cuando un atacante falsifica la dirección IP de la víctima y envía un mensaje a un tercero en el que se hace pasar por la víctima, esto se conoce como suplantación de dirección IP. El tercero no es capaz de distinguir la dirección IP de la víctima de la del atacante y responde directamente a la víctima. La dirección IP del atacante está oculta tanto para el servidor de la víctima como para el servidor del tercero. Este proceso se conoce como reflexión.

Es como si el atacante pidiera una pizza a la casa de la víctima haciéndose pasar por ella. Entonces, la víctima acaba debiéndole dinero a la pizzería por una pizza que no había pedido.

La amplificación de tráfico ocurre cuando el atacante obliga al servidor del tercero a enviar respuestas a la víctima con tantos datos como sea posible. La relación entre el tamaño de respuesta y solicitud se conoce como factor de amplificación. Cuanto mayor sea esta amplificación, mayor será la interrupción potencial para la víctima. El servidor de terceros también se verá interrumpido por el gran volumen de solicitudes falsas que tiene que procesar. La amplificación de NTP es un ejemplo de este tipo de ataque.

Los tipos más efectivos de ataques de gestor de arranque usan tanto amplificación como reflexión. En primero lugar, el atacante falsifica la dirección del objetivo y envía un mensaje a un tercero. Cuando el tercero responde, el mensaje se dirige a la dirección falsa del objetivo. La respuesta es mucho más grande que el mensaje original, lo que acaba amplificando el tamaño del ataque.

La función de un único boten estos ataques es similar a la de un adolescente bromista que llama a un restaurante y pide todo el menú, y luego solicita que lo vuelvan a llamar para confirmar cada elemento del pedido. Excepto que, en este caso, el número que recibirá la llamada es el de la víctima. Esto provoca que la víctima reciba una llamada del restaurante con una gran cantidad de información que no había solicitado.

¿Cuáles son las categorías de los ataques de denegación de servicio?

Los ataques de capa de aplicación tienen como objetivo a aplicaciones web y son bastante sofisticados. Estos ataques aprovechan una debilidad en la pila de protocolos de capa 7 al establecer primero una conexión con el objetivo y luego agotar los recursos del servidor al monopolizar los procesos y las transacciones. Estos son muy difícil de identificar y mitigar. Un ejemplo típico es un ataque de inundación de HTTP.

Los ataques basados en protocolo se aprovechan de una debilidad en las Capas 3 o 4 de la pila de protocolos. Estos ataques consumen toda la capacidad de procesamiento de la víctima y otros recursos críticos (un firewall, por ejemplo), lo que resulta en una interrupción del servicio. Syn Flood y Ping of Death son un ejemplo de ello.

Los ataques volumétricos envían grandes volúmenes de tráfico con el objetivo de saturar el ancho de banda de la víctima. Los ataques volumétricos son muy sencillos de generar con el uso técnicas de amplificación simples, así que este es el tipo de ataque más habitual. Inundación UDP, inundación TCP, amplificación de NTP y amplificación de DNS son ejemplos de ello.

¿Cuáles son los ataques de denegación de servicio comunes?

El objetivo de los ataques DDoS o DoS es consumir suficientes recursos del servidor o la red para que el sistema no responda a solicitudes legítimas:

  • Inundación SYN: una sucesión de solicitudes SYN se dirige al sistema del objetivo con la intención de sobrecargarlo. Este ataque se aprovecha de las debilidades en la secuencia de la conexión TCP, lo que se conoce como establecimiento de comunicación en tres pasos.
  • Inundación HTTP: es un tipo de ataque en el que se usan solicitudes HTTP GET o POST para atacar al servidor web.
  • Inundación UDP: es un tipo de ataque en el que se abruma a puertos aleatorios del objetivo con paquetes de IP que contienen datagramas UDP.
  • Ping de la muerte: los ataques implican el envío deliberado de paquetes IP más grandes que los que permite el protocolo IP. La fragmentación deTCP/IP gestiona los paquetes grandes y los divide en paquetes IP más pequeños. Si los paquetes, una vez juntos, superan los 65 536 bytes permitidos, los servidores heredados se suelen bloquear. Esto se ha solucionado, a grandes rasgos, en los sistemas más modernos. La inundación de Ping es la encarnación actual de este tipo de ataque.
  • Ataques al protocolo ICMP: los ataques al protocolo ICMP se aprovechan del hecho de que cada solicitud requiere procesamiento por parte del servidor antes de que enviar la respuesta. El ataque Smurf, la inundación ICMP y la inundación de ping se aprovechan de esto, e inundan el servidor con solicitudes ICMP sin esperar la respuesta.
  • Slowloris: inventado por Robert "RSnake" Hansen, este ataque intenta mantener múltiples conexiones con el servidor web del objetivo abiertas durante la mayor cantidad de tiempo posible. Finalmente, se denegarán los intentos de conexión adicionales de los clientes.
  • Inundación DNS: el atacante inunda los servidores DNS de un dominio específico en un intento de interrumpir la resolución DNS para ese dominio.
  • Ataque Teardrop: este ataque envía paquetes fragmentados al dispositivo objetivo. Un error en el protocolo TCP/IP impide que el servidor vuelva a ensamblar dichos paquetes, lo que provoca que los paquetes se superpongan. Entonces, el dispositivo objetivo se bloquea.
  • Amplificación DNS: Este ataque basado en reflexión convierte las solicitudes legítimas de servidores DNS (sistema de nombres de dominio) en solicitudes mucho más grandes, y en el proceso consume los recursos del servidor.
  • Amplificación NTP: un ataque DDoS volumétrico basado en reflexión en el que un atacante aprovecha la funcionalidad del servidor de protocolo de tiempo de red (NTP) para poder abrumar la red o el servidor de destino con una cantidad amplificada de tráfico UDP.
  • Reflexión SNMP: el atacante falsifica la dirección IP de la víctima y envía múltiples solicitudes de Protocolo simple de administración de redes (SNMP) a los dispositivos. La cantidad de respuestas puede llegar a sobrecargar el dispositivo de la víctima.
  • SSDP: un ataque SSDP (Protocolo simple de detección de servicio) es un ataque DDoS basado en reflexión que aprovecha los protocolos de redes Plug and Play universales (UPnP) para enviar una cantidad amplificada de tráfico a una víctima específica.
  • Ataque Smurf: este ataque utiliza un programa de malware conocido como smurf. Se envían grandes cantidades de paquetes de Protocolo de mensaje de control de Internet (ICMP) con la dirección IP suplantada de la víctima a una red de equipos usando una dirección de difusión IP.
  • Ataque Fraggle:Un ataque similar al smurf, pero que usa UDP en lugar de ICMP.

¿Qué se debería hacer en caso de un ataque de extorsión de DDoS?

  • Se debe informar al centro de datos y al ISP de inmediato.
  • El pago del rescate nunca debe ser una opción: un pago puede llevar a demandas de rescate crecientes.
  • Se debe notificar a las fuerzas de seguridad.
  • Se debe monitorear el tráfico de la red.
  • Se deben buscar planes de protección de DDoS, como el plan gratuito de Cloudflare.

¿Cómo se pueden mitigar los ataques de redes de robots (botnet)?

  • Se deben instalar firewalls en el servidor.
  • Los parches de seguridad deben estar actualizados.
  • El software antivirus se debe ejecutar según lo programado.
  • Los registros del sistema se deben monitorear regularmente.
  • Los servidores de correo electrónico desconocidos no deben recibir permisos para distribuir tráfico SMTP.

¿Por qué los servicios de gestión de arranque son difíciles de rastrear?

La persona que adquiere estos servicios delictivos usa un sitio web frontend para el pago y las instrucciones relacionadas con el ataque. Generalmente, no se consigue identificar la conexión con el backend que inicia el ataque real. Por tanto, es muy difícil probar la intención delictiva. Un modo de localizar a las entidades delictivas es mediante el rastreo del pago.