Los ataques DDoS de capa 3 utilizan protocolos de capa 3, especialmente ICMP, para derribar los servidores, sitios web o aplicaciones que se han marcado como objetivo.
Después de leer este artículo podrás:
Contenido relacionado
Capa 7
Ataque a la capa de aplicación
¿Qué es un ataque DDoS?
¿Qué es una red de robots (botnet) de DDoS?
Ataque DDoS basado en memcached
Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar el enlace del artículo
Un ataque de denegación de servicio distribuido (DDoS) intenta sobrecargar a su objetivo con grandes cantidades de datos. Un ataque DDoS es como un atasco de tráfico que obstruye una autovía, impidiendo que el tráfico normal llegue a su destino.
Los ataques DDoS de la capa 3 tienen como objetivo la capa 3 (L3) en el modelo OSI. Como todos los ataques DDoS, el objetivo de un ataque de la capa 3 es ralentizar o colapsar un programa, un servicio, un ordenador o una red, o llenar la capacidad para que nadie más pueda recibir el servicio. Los ataques DDoS de la capa 3 suelen conseguirlo al dirigirse a los equipos e infraestructuras de la red.
Hay algunas diferencias importantes entre los ataques DDoS de la capa 3 y los ataques en las capas superiores:
El modelo OSI es un modelo conceptual de cómo funciona Internet. Los principales objetivos del modelo OSI son ayudar a la gente a hablar sobre los equipos y protocolos de red, determinar qué protocolos usa cada software y hardware, y mostrar cómo puede funcionar Internet independientemente del hardware subyacente.
El modelo OSI divide en capas las diferentes tecnologías que hacen funcionar Internet. Hay siete capas en total:
La capa 3 de OSI se llama capa de red. La capa 3 incluye los protocolos y tecnologías que hacen posible las redes interconectadas, es decir, Internet. Es en esta capa donde tiene lugar el enrutamiento entre redes. Los datos que atraviesan las redes se dividen en paquetes, y estos paquetes se destinan y se envían a sus destinos en la capa 3. El protocolo más importante para este proceso es el Protocolo de Internet (IP).
Los protocolos de la capa 3 no abren conexiones, ni garantizan una entrega de datos fiable, ni indican qué servicio del dispositivo de destino debe utilizar los datos; esos son los procesos de la capa 4. La capa 4 supone el uso de protocolos de transporte como TCP y UDP. Enviar paquetes a través de las redes sin un protocolo de transporte de la capa 4 es como enviar una carta a una dirección sin asegurarse de que la dirección sea la correcta, incluyendo el nombre de una persona específica en esa dirección que debería abrir la carta, o utilizando un servicio de entrega postal de confianza. Los datos pueden llegar, o no. Por eso, muchos protocolos de la capa 3 se utilizan siempre junto con un protocolo de transporte de la capa 4, que garantice que los datos vayan al lugar correcto.
Sin embargo, todavía es posible enviar paquetes de datos a un destino de red a través de IP sin necesidad de usar un protocolo de transporte.
Como la capa 3 no tiene conexión, los ataques DDoS de la capa 3 no necesitan abrir una conexión mediante TCP ni indicar la asignación de puertos. Los ataques DDoS de la capa 3 se dirigen al software de red que ejecuta un ordenador en lugar de a un puerto específico.
Estos son los protocolos de capa 3 más utilizados, y los que con más probabilidad se usen en un ataque DDoS:
IP: El Protocolo de Internet (IP) enruta y dirige los paquetes de datos para que lleguen al destino correcto. Cada dispositivo que se conecta a Internet tiene una dirección IP, y el protocolo IP adjunta la dirección IP correcta a cada paquete de datos, como si dirigiera una carta a alguien.
IPsec: IPsec es en realidad un conjunto de varios protocolos, no un único protocolo. IPsec es la versión encriptada de IP que utilizan las VPN, de forma similar a la diferencia entre HTTPS y HTTP.
ICMP: el Protocolo de control de mensajes de Internet (ICMP) se encarga de los informes de error y de las pruebas. ICMP es un protocolo sin conexión, que no utiliza un protocolo de transporte como TCP o UDP. En su lugar, los paquetes de ICMP se envían solo por IP. Los desarrolladores e ingenieros de redes utilizan el ICMP por sus funciones de ping y traceroute. Normalmente solo es necesario enviar un paquete ICMP a la vez.
Otros protocolos de la capa 3 incluyen:
Los ataques son teóricamente posibles con cualquiera de estos protocolos. El ICMP se suele utilizar para inundar un servidor con demasiados pings a los que responder, o con un gran paquete de pings que bloquea el dispositivo receptor (esto se conoce como el " ping de la muerte"). Los atacantes pueden utilizar IPsec para inundar el objetivo con datos basura o con certificados de seguridad demasiado grandes.
Sin embargo, no todos estos protocolos son viables para los ataques DDoS, y las actualización de software hacen imposibles algunos tipos de ataques. Por ejemplo, ARP solo funciona dentro de una red local, por lo que un atacante tendría que conectarse primero a la red local antes de llevar a cabo el ataque DDoS. Y los ataques de ping de la muerte de ICMP no son posibles con hardware moderno, que ignora los paquetes de IP demasiado grandes.
Como en otros tipos de ataques DDoS, el atacante envía un gran volumen de tráfico de red basura mediante estos protocolos. Hay varios métodos para hacerlo, en función del protocolo. El tráfico basura se interpone en el camino de las solicitudes legítimas de los usuarios, ralentizando las respuestas a las mismas o bloqueándolas por completo. En ocasiones, hay tantos datos basura que sobrecargan los recursos del objetivo y este deja de funcionar.
Aunque otros ataques son posibles, incluidos aquellos que se realizan solo sobre IP, los más habituales son los ataques basados en ICMP. Los ataques ICMP más conocidos son:
Además de bloquear los ataques DDoS en las capas 4 y 7, Cloudflare mitiga los ataques DDoS de la capa 3. Cloudflare Magic Transit está específicamente diseñado para detener los ataques a la infraestructura de red interna, incluidos los ataques DDoS en cualquier capa. El WAF y la CDN de Cloudflare también detienen los ataques DDoS de al capa 3 al solo aceptar tráfico a los puertos HTTP y HTTPS, que son solo de la capa 7.
El modelo TCP/IP es un modelo alternativo de cómo funcionan las redes. En lugar de siete capas, el modelo TCP/IP tiene cuatro:
4. Capa de aplicación (corresponde a las capas 5-7 del modelo OSI)
3. Capa de transporte (corresponde a la capa 4 del modelo OSI)
2. Capa de Internet (corresponde a la capa 3 del modelo OSI)
1. Acceso a la red/Capa de enlace (corresponde a las capas 1-2 del modelo OSI)
Haciendo referencia al modelo TCP/IP en lugar de al modelo OSI, los ataques DDoS de la capa 3 se llamarían ataques DDoS de la capa 2.