Los ataques DDoS, que se incluyen como servicios SaaS, están disponibles por una tarifa razonable gracias a los estresadores de IP.
Después de leer este artículo podrás:
Contenido relacionado
¿Qué es un ataque de denegación de servicio (DoS)?
Cómo lanzar un ataque DDoS | Herramientas de ataque DoS y DDoS
¿Qué es una red de robots (botnet) de DDoS?
¿Qué es el Internet de las cosas (IoT)?
¿Qué es el enrutamiento de agujeros negros de DDoS?
Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar el enlace del artículo
Un estresador de IP es una herramienta diseñada para probar la solidez de una red o un servidor. El administrador puede ejecutar una prueba de esfuerzo a fin de determinar si los recursos existentes (ancho de banda, CPU, etc.) son suficientes para manejar la carga adicional.
Probar las redes o los servidores propios es un uso legítimo de un estresador. Ejecutarlo contra la red o el servidor de alguien más, con una denegación de servicio a sus usuarios legítimos, es ilegal en la mayoría de los países.
Los gestores de arranque, también conocidos como servicios de gestión de arranque, son servicios de ataque DDoS (denegación de servicio distribuido) a pedido que ofrecen los delincuentes innovadores para hacer caer sitios web y redes. En otras palabras, los gestores de arranque constituyen un uso ilegítimo de los estresadores de IP.
Los estresadores de IP ilegales a menudo ocultan la identidad del servidor atacante al usar servidores de proxy. El proxy redirige la conexión del atacante y oculta su dirección IP.
Los gestores de arranque se incluyen fácilmente como SaaS (software como servicio), a menudo como soporte por correo electrónico y tutoriales de YouTube. Los paquetes pueden ofrecer un servicio único, ataques múltiples dentro de un periodo definido e incluso acceso “vitalicio”. Un paquete mensual básico puede costar apenas 19,99 $. Las opciones de pago pueden incluir tarjetas de crédito, Skrill, PayPal o Bitcoin (aunque PayPal cancelará las cuentas si se puede demostrar que hay intenciones maliciosas).
Una red de bots (botnet) es una red de computadoras cuyos propietarios desconocen que estas han sido infectadas con malware (software malicioso) y se usan en ataques de Internet. Los gestores de arranque son servicios de DDoS por encargo.
Tradicionalmente, los gestores de arranque usaban redes de robots (botnets) para lanzar ataques. Sin embargo, a medida que se vuelven más sofisticados, presumen servidores más poderosos para “ayudar a lanzar un ataque”, como dicen algunos servicios de gestión de arranque.
Las motivaciones detrás de los ataques de denegación de servicio son varias: skiddies* que afinan sus habilidades de piratería, rivalidades entre empresas, conflictos ideológicos, terrorismo patrocinado por el gobierno o extorsión. PayPal y las tarjetas de crédito son los métodos preferidos de pagos para los ataques de extorsión. Bitcoin también se usa porque ofrece la capacidad de ocultar la identidad. Una desventaja de Bitcoin, desde el punto de vista de los atacantes, es que hay menos gente que utiliza este método en comparación con otras formas de pago.
*Script kiddie o skiddie es un término peyorativo que hace referencia a vándalos de Internet poco habilidosos que emplean scripts o programas escritos por otros para lanzar ataques a redes o sitios web. Buscan vulnerabilidades de seguridad relativamente conocidas y fáciles de explotar, a menudo sin considerar las consecuencias.
Los ataques de reflexión y amplificación hacen uso del tráfico legítimo para abrumar la red o el servidor fijado como objetivo.
Cuando un atacante falsifica la dirección IP de la víctima y envía un mensaje a un tercero haciéndose pasar por la víctima, se habla de falsificación de dirección IP. El tercero no tiene forma de distinguir la dirección IP de la víctima de la dirección del atacante. Responde directamente a la víctima. La dirección IP del atacante está oculta tanto de la víctima como del servidor del tercero. Este proceso se llama reflexión.
Esto es similar a que el atacante ordene una pizza a la casa de la víctima mientras finge ser ella. La víctima termina debiendo dinero a la pizzería por una pizza que no ordenó.
La amplificación de tráfico sucede cuando el atacante obliga al servidor del tercero a devolver respuestas a la víctima con tantos datos como sea posible. La proporción entre las magnitudes de las respuestas y la solicitud se conoce como factor de amplificación. Cuanto mayor es la amplificación, mayor es la potencial interrupción a la víctima. El servidor del tercero también se interrumpe debido al volumen de las solicitudes falsificadas que debe procesar. La amplificación de NTP es un ejemplo de tal ataque.
Los tipos más eficaces de ataques de gestión de arranque usan tanto amplificación como reflexión. Primero, el atacante falsifica la dirección del objetivo y envía un mensaje al tercero. Cuando el tercero responde, el mensaje se dirige a la dirección falsificada del objetivo. La respuesta es mucho mayor que el mensaje original, por lo que se amplifica el tamaño del ataque.
El rol de un bot único en un ataque como ese es similar al de un adolescente malintencionado que llama a un restaurante, encarga el menú completo y solicita una llamada para confirmar cada artículo del menú. Con la excepción de que el número al que se devuelve la llamada es el de la víctima. Como consecuencia, la víctima que se fija como objetivo recibe una llamada del restaurante con un montón de información que no solicitó.
Los ataques a la capa de aplicación van tras aplicaciones web y suelen ser muy sofisticados. Estos ataques explotan las debilidades de la pila de protocolos de la capa 7 al establecer una conexión con el objetivo y agotar los recursos del servidor mediante procesos de monopolización y transacciones. Son difíciles de identificar y mitigar. Un ejemplo habitual es el ataque de inundación HTTP.
Los ataques basados en protocolos explotan las debilidades de las capas 3 y 4 de la pila de protocolos. Estos ataques consumen toda la capacidad de procesamiento de la víctima u otros recursos fundamentales (por ejemplo, un firewall), lo que da como resultado la interrupción del servicio. La inundación SYN y el ping de la muerte son algunos ejemplos.
Los ataques volumétricos envían grandes volúmenes de tráfico en un intento por saturar el ancho de banda de la víctima. Los ataques volumétricos son fáciles de generar mediante técnicas de amplificación simples, por lo tanto, son la forma más común de ataque. La inundación UDP, inundación TCP, amplificación de NTP y amplificación de DNS son algunos ejemplos.
El objetivo de los ataques DoS o DDoS es consumir suficientes recursos de la red o del servidor para que el sistema no responda a solicitudes legítimas:
La persona que adquiere estos servicios criminales usa un sitio web de front-end para el pago e instrucciones relacionadas con el ataque. A menudo, no hay una conexión que pueda identificarse con el back-end que inicia el verdadero ataque. Por lo tanto, puede ser difícil probar el propósito delictivo. Seguir el rastro de pagos es una forma de inspeccionar las entidades delictivas.