¿Qué es un gestor de arranque DDoS/estresador de IP? | Herramientas de ataque DDoS

Los ataques DDoS, que se incluyen como servicios SaaS, están disponibles por una tarifa razonable gracias a los estresadores de IP.

Metas de aprendizaje

Después de leer este artículo podrás:

  • Tener más información sobre los gestores de arranque y estresadores de IP
  • Tener más información sobre las herramientas de ataque DDoS
  • Tener más información sobre los delitos como modelo de negocios

Contenido relacionado


¿Quieres saber más?

Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar el enlace del artículo

¿Qué es un estresador de IP?

Un estresador de IP es una herramienta diseñada para probar la solidez de una red o un servidor. El administrador puede ejecutar una prueba de esfuerzo a fin de determinar si los recursos existentes (ancho de banda, CPU, etc.) son suficientes para manejar la carga adicional.

Probar las redes o los servidores propios es un uso legítimo de un estresador. Ejecutarlo contra la red o el servidor de alguien más, con una denegación de servicio a sus usuarios legítimos, es ilegal en la mayoría de los países.

¿Qué son los servicios de gestión de arranque?

Los gestores de arranque, también conocidos como servicios de gestión de arranque, son servicios de ataque DDoS (denegación de servicio distribuido) a pedido que ofrecen los delincuentes innovadores para hacer caer sitios web y redes. En otras palabras, los gestores de arranque constituyen un uso ilegítimo de los estresadores de IP.

Los estresadores de IP ilegales a menudo ocultan la identidad del servidor atacante al usar servidores de proxy. El proxy redirige la conexión del atacante y oculta su dirección IP.

Los gestores de arranque se incluyen fácilmente como SaaS (software como servicio), a menudo como soporte por correo electrónico y tutoriales de YouTube. Los paquetes pueden ofrecer un servicio único, ataques múltiples dentro de un periodo definido e incluso acceso “vitalicio”. Un paquete mensual básico puede costar apenas 19,99 $. Las opciones de pago pueden incluir tarjetas de crédito, Skrill, PayPal o Bitcoin (aunque PayPal cancelará las cuentas si se puede demostrar que hay intenciones maliciosas).

¿Cómo se diferencian los gestores de arranque de las redes de robots (botnets)?

Una red de bots (botnet) es una red de computadoras cuyos propietarios desconocen que estas han sido infectadas con malware (software malicioso) y se usan en ataques de Internet. Los gestores de arranque son servicios de DDoS por encargo.

Tradicionalmente, los gestores de arranque usaban redes de robots (botnets) para lanzar ataques. Sin embargo, a medida que se vuelven más sofisticados, presumen servidores más poderosos para “ayudar a lanzar un ataque”, como dicen algunos servicios de gestión de arranque.

¿Cuáles son las motivaciones detrás de los ataques de denegación de servicio?

Las motivaciones detrás de los ataques de denegación de servicio son varias: skiddies* que afinan sus habilidades de piratería, rivalidades entre empresas, conflictos ideológicos, terrorismo patrocinado por el gobierno o extorsión. PayPal y las tarjetas de crédito son los métodos preferidos de pagos para los ataques de extorsión. Bitcoin también se usa porque ofrece la capacidad de ocultar la identidad. Una desventaja de Bitcoin, desde el punto de vista de los atacantes, es que hay menos gente que utiliza este método en comparación con otras formas de pago.

*Script kiddie o skiddie es un término peyorativo que hace referencia a vándalos de Internet poco habilidosos que emplean scripts o programas escritos por otros para lanzar ataques a redes o sitios web. Buscan vulnerabilidades de seguridad relativamente conocidas y fáciles de explotar, a menudo sin considerar las consecuencias.

¿Qué son los ataques de amplificación y reflexión?

Los ataques de reflexión y amplificación hacen uso del tráfico legítimo para abrumar la red o el servidor fijado como objetivo.

Cuando un atacante falsifica la dirección IP de la víctima y envía un mensaje a un tercero haciéndose pasar por la víctima, se habla de falsificación de dirección IP. El tercero no tiene forma de distinguir la dirección IP de la víctima de la dirección del atacante. Responde directamente a la víctima. La dirección IP del atacante está oculta tanto de la víctima como del servidor del tercero. Este proceso se llama reflexión.

Esto es similar a que el atacante ordene una pizza a la casa de la víctima mientras finge ser ella. La víctima termina debiendo dinero a la pizzería por una pizza que no ordenó.

La amplificación de tráfico sucede cuando el atacante obliga al servidor del tercero a devolver respuestas a la víctima con tantos datos como sea posible. La proporción entre las magnitudes de las respuestas y la solicitud se conoce como factor de amplificación. Cuanto mayor es la amplificación, mayor es la potencial interrupción a la víctima. El servidor del tercero también se interrumpe debido al volumen de las solicitudes falsificadas que debe procesar. La amplificación de NTP es un ejemplo de tal ataque.

Los tipos más eficaces de ataques de gestión de arranque usan tanto amplificación como reflexión. Primero, el atacante falsifica la dirección del objetivo y envía un mensaje al tercero. Cuando el tercero responde, el mensaje se dirige a la dirección falsificada del objetivo. La respuesta es mucho mayor que el mensaje original, por lo que se amplifica el tamaño del ataque.

El rol de un bot único en un ataque como ese es similar al de un adolescente malintencionado que llama a un restaurante, encarga el menú completo y solicita una llamada para confirmar cada artículo del menú. Con la excepción de que el número al que se devuelve la llamada es el de la víctima. Como consecuencia, la víctima que se fija como objetivo recibe una llamada del restaurante con un montón de información que no solicitó.

¿Cuáles son las categorías de ataques de denegación de servicio?

Los ataques a la capa de aplicación van tras aplicaciones web y suelen ser muy sofisticados. Estos ataques explotan las debilidades de la pila de protocolos de la capa 7 al establecer una conexión con el objetivo y agotar los recursos del servidor mediante procesos de monopolización y transacciones. Son difíciles de identificar y mitigar. Un ejemplo habitual es el ataque de inundación HTTP.

Los ataques basados en protocolos explotan las debilidades de las capas 3 y 4 de la pila de protocolos. Estos ataques consumen toda la capacidad de procesamiento de la víctima u otros recursos fundamentales (por ejemplo, un firewall), lo que da como resultado la interrupción del servicio. La inundación SYN y el ping de la muerte son algunos ejemplos.

Los ataques volumétricos envían grandes volúmenes de tráfico en un intento por saturar el ancho de banda de la víctima. Los ataques volumétricos son fáciles de generar mediante técnicas de amplificación simples, por lo tanto, son la forma más común de ataque. La inundación UDP, inundación TCP, amplificación de NTP y amplificación de DNS son algunos ejemplos.

¿Cuáles son ataques de denegación de servicio habituales?

El objetivo de los ataques DoS o DDoS es consumir suficientes recursos de la red o del servidor para que el sistema no responda a solicitudes legítimas:

  • Inundación SYN: una secuencia de solicitudes SYN se dirige al sistema del objetivo en un intento por sobrecargarlo. Este ataque explota las debilidades de la secuencia de conexión TCP, conocida como protocolo de enlace triple.
  • Inundación HTTP: un tipo de ataque en el que las solicitudes HTTP GET o POST se usan para atacar al servidor web.
  • Inundación UDP: un tipo de ataque en el que los paquetes IP que contienen datagramas UDP sobrecargan los puertos aleatorios en el objetivo.
  • Ping de la muerte: los ataques implican el envío deliberado de paquetes IP mayores que los permitidos por el protocolo IP. La fragmentación TCP/IP lidia con paquetes grandes y los divide en paquetes IP más pequeños. Si, al unirse, los paquetes son mayores que los 65.536 bytes permitidos, los servidores heredados suelen bloquearse. En gran parte, los nuevos sistemas han solucionado esto. La inundación de ping es la forma actual de este ataque.
  • Ataques de protocolo ICMP: los ataques en el protocolo ICMP se aprovechan del hecho de que cada solicitud requiere el procesamiento del servidor antes de que se emita una respuesta. El ataque SMURF, la inundación ICMP y la inundación de ping aprovechan esta ventaja e inundan el servidor con solicitudes ICMP sin esperar la respuesta.
  • Slowloris: este ataque, inventado por Robert “RSnake” Hansen, intenta mantener abiertas múltiples conexiones al servidor web que se fija como objetivo durante el mayor tiempo posible. Con el tiempo, se denegarán los intentos de conexión adicionales de los clientes.
  • Inundación DNS: el atacante inunda los servidores DNS de un dominio particular para interrumpir la resolución DNS para ese dominio.
  • Ataque Teardrop: el ataque que implica el envío de paquetes fragmentados al dispositivo que se fija como objetivo. Un error en el protocolo TCP/IP evita que el servidor rearme estos paquetes, lo que hace que se superpongan. El dispositivo que se fija como objetivo se bloquea.
  • Amplificación DNS: este ataque basado en la reflexión aumenta considerablemente el tamaño de las solicitudes legítimas a servidores DNS (sistema de nombres de dominio) y, en el proceso, consume recursos del servidor.
  • Amplificación NTP: un ataque DDoS volumétrico basado en la reflexión, en el que el atacante explota la funcionalidad de un servidor de protocolo de tiempo de redes (NTP) para sobrecargar una red o un servidor que se fija como objetivo con una cantidad amplificada de tráfico UDP.
  • Reflexión SNMP: el atacante falsifica la dirección IP de la víctima y envía a los dispositivos múltiples solicitudes de protocolo simple de administración de redes (SNMP). El volumen de las respuestas puede sobrecargar a la víctima.
  • SSDP: un ataque SSDP (protocolo simple de detección de servicios) es un ataque DDoS basado en la reflexión que explota los protocolos de red Universal Plug and Play (UPnP) para enviar una cantidad amplificada de tráfico a la víctima que se fija como objetivo.
  • Ataque SMURF: este ataque usa un programa de malware (software malicioso) que se llama SMURF. Se difunden grandes cantidades de paquetes de protocolo de mensajes de control de Internet (ICMP) con la dirección IP falsificada de la víctima a una red de equipos informáticos mediante el uso de una dirección de difusión IP.
  • Ataque Fraggle: un ataque similar al SMURF, con la excepción de que usa UDP en lugar de ICMP.

¿Qué se debería hacer frente a un ataque de extorsión DDoS?

  • Se debe informar de inmediato al centro de datos y al ISP.
  • El pago de un rescate no debe ser una opción, ya que puede llevar a que aumenten las exigencias del rescate.
  • Se debe notificar a los organismos de seguridad.
  • Se debe supervisar el tráfico de la red.
  • Busca los planes de protección contra DDoS, como el plan gratuito de Cloudflare

¿Cómo se pueden mitigar los ataques de redes de robots (botnets)?

  • Se debe instalar un firewall en el servidor.
  • Se deben actualizar los parches de seguridad.
  • Se debe ejecutar el software de antivirus en las fechas previstas.
  • Se deben supervisar con regularidad los registros del sistema.
  • No se debe permitir que los servidores de correo electrónico desconocidos distribuyan tráfico SMTP.

¿Por qué es difícil rastrear los servicios de gestión de arranque?

La persona que adquiere estos servicios criminales usa un sitio web de front-end para el pago e instrucciones relacionadas con el ataque. A menudo, no hay una conexión que pueda identificarse con el back-end que inicia el verdadero ataque. Por lo tanto, puede ser difícil probar el propósito delictivo. Seguir el rastro de pagos es una forma de inspeccionar las entidades delictivas.