¿Cómo funcionan los ataques DDoS de la capa 3? | DDoS de la capa 3

Los ataques DDoS de capa 3 utilizan protocolos de capa 3, especialmente ICMP, para derribar los servidores, sitios web o aplicaciones que se han marcado como objetivo.

Metas de aprendizaje

Después de leer este artículo podrás:

  • Entender lo que significa "capa 3"
  • Más información sobre la diferencia entre los ataques DDoS de capa 3 y otros ataques DDoS
  • Explorar los protocolos usados en la capa 3, y cómo un atacante puede utilizarlos en un ataque DDoS

Contenido relacionado


¿Quieres saber más?

Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar el enlace del artículo

¿Qué son los ataques DDoS de la capa 3?

Un ataque de denegación de servicio distribuido (DDoS) intenta sobrecargar a su objetivo con grandes cantidades de datos. Un ataque DDoS es como un atasco de tráfico que obstruye una autovía, impidiendo que el tráfico normal llegue a su destino.

Los ataques DDoS de la capa 3 tienen como objetivo la capa 3 (L3) en el modelo OSI. Como todos los ataques DDoS, el objetivo de un ataque de la capa 3 es ralentizar o colapsar un programa, un servicio, un ordenador o una red, o llenar la capacidad para que nadie más pueda recibir el servicio. Los ataques DDoS de la capa 3 suelen conseguirlo al dirigirse a los equipos e infraestructuras de la red.

Hay algunas diferencias importantes entre los ataques DDoS de la capa 3 y los ataques en las capas superiores:

  1. Los ataques de la capa 3 se dirigen a la capa de red, y no a los procesos de la capa de transporte o de la capa de aplicación (como hacen los ataques DDoS de la capa 7 y de la capa 4)
  2. Los ataques de la capa 3 no tienen que abrir primero una conexión TCP con el objetivo
  3. Los ataques de la capa 3 no tienen un puerto específico como objetivo

¿Qué es el modelo OSI?

El modelo OSI es un modelo conceptual de cómo funciona Internet. Los principales objetivos del modelo OSI son ayudar a la gente a hablar sobre los equipos y protocolos de red, determinar qué protocolos usa cada software y hardware, y mostrar cómo puede funcionar Internet independientemente del hardware subyacente.

El modelo OSI divide en capas las diferentes tecnologías que hacen funcionar Internet. Hay siete capas en total:

Modelo OSI

¿Qué es la capa 3 en el modelo OSI?

La capa 3 de OSI se llama capa de red. La capa 3 incluye los protocolos y tecnologías que hacen posible las redes interconectadas, es decir, Internet. Es en esta capa donde tiene lugar el enrutamiento entre redes. Los datos que atraviesan las redes se dividen en paquetes, y estos paquetes se destinan y se envían a sus destinos en la capa 3. El protocolo más importante para este proceso es el Protocolo de Internet (IP).

Los protocolos de la capa 3 no abren conexiones, ni garantizan una entrega de datos fiable, ni indican qué servicio del dispositivo de destino debe utilizar los datos; esos son los procesos de la capa 4. La capa 4 supone el uso de protocolos de transporte como TCP y UDP. Enviar paquetes a través de las redes sin un protocolo de transporte de la capa 4 es como enviar una carta a una dirección sin asegurarse de que la dirección sea la correcta, incluyendo el nombre de una persona específica en esa dirección que debería abrir la carta, o utilizando un servicio de entrega postal de confianza. Los datos pueden llegar, o no. Por eso, muchos protocolos de la capa 3 se utilizan siempre junto con un protocolo de transporte de la capa 4, que garantice que los datos vayan al lugar correcto.

Sin embargo, todavía es posible enviar paquetes de datos a un destino de red a través de IP sin necesidad de usar un protocolo de transporte.

Como la capa 3 no tiene conexión, los ataques DDoS de la capa 3 no necesitan abrir una conexión mediante TCP ni indicar la asignación de puertos. Los ataques DDoS de la capa 3 se dirigen al software de red que ejecuta un ordenador en lugar de a un puerto específico.

¿Cuáles son los protocolos utilizados para la capa 3?

Estos son los protocolos de capa 3 más utilizados, y los que con más probabilidad se usen en un ataque DDoS:

IP: El Protocolo de Internet (IP) enruta y dirige los paquetes de datos para que lleguen al destino correcto. Cada dispositivo que se conecta a Internet tiene una dirección IP, y el protocolo IP adjunta la dirección IP correcta a cada paquete de datos, como si dirigiera una carta a alguien.

IPsec: IPsec es en realidad un conjunto de varios protocolos, no un único protocolo. IPsec es la versión encriptada de IP que utilizan las VPN, de forma similar a la diferencia entre HTTPS y HTTP.

ICMP: el Protocolo de control de mensajes de Internet (ICMP) se encarga de los informes de error y de las pruebas. ICMP es un protocolo sin conexión, que no utiliza un protocolo de transporte como TCP o UDP. En su lugar, los paquetes de ICMP se envían solo por IP. Los desarrolladores e ingenieros de redes utilizan el ICMP por sus funciones de ping y traceroute. Normalmente solo es necesario enviar un paquete ICMP a la vez.

Otros protocolos de la capa 3 incluyen:

  • IGMP: el Protocolo de mensajes de grupos de Internet gestiona los grupos de multidifusión IP, permitiendo que varios dispositivos de una red reciban el mismo tráfico IP.
  • ARP: el Protocolo de resolución de direcciones se utiliza solo dentro de una única red. Los ordenadores utilizan este protocolo para asignar las direcciones IP a las direcciones MAC dentro de la red (una dirección MAC es un identificador único que se encuentra en cada dispositivo con capacidad para Internet, como una huella dactilar).

Los ataques son teóricamente posibles con cualquiera de estos protocolos. El ICMP se suele utilizar para inundar un servidor con demasiados pings a los que responder, o con un gran paquete de pings que bloquea el dispositivo receptor (esto se conoce como el " ping de la muerte"). Los atacantes pueden utilizar IPsec para inundar el objetivo con datos basura o con certificados de seguridad demasiado grandes.

Sin embargo, no todos estos protocolos son viables para los ataques DDoS, y las actualización de software hacen imposibles algunos tipos de ataques. Por ejemplo, ARP solo funciona dentro de una red local, por lo que un atacante tendría que conectarse primero a la red local antes de llevar a cabo el ataque DDoS. Y los ataques de ping de la muerte de ICMP no son posibles con hardware moderno, que ignora los paquetes de IP demasiado grandes.

¿Cómo funcionan los ataques DDoS de la capa 3?

Como en otros tipos de ataques DDoS, el atacante envía un gran volumen de tráfico de red basura mediante estos protocolos. Hay varios métodos para hacerlo, en función del protocolo. El tráfico basura se interpone en el camino de las solicitudes legítimas de los usuarios, ralentizando las respuestas a las mismas o bloqueándolas por completo. En ocasiones, hay tantos datos basura que sobrecargan los recursos del objetivo y este deja de funcionar.

¿Cuáles son algunos tipos conocidos de ataques DDoS de la capa 3?

Aunque otros ataques son posibles, incluidos aquellos que se realizan solo sobre IP, los más habituales son los ataques basados en ICMP. Los ataques ICMP más conocidos son:

  • Inundación de ping: en un ataque DDoS de inundación de ping, el atacante envía miles o incluso millones de peticiones de ping a un servidor a la vez.
  • Ataque Smurf: el ICMP no tiene medidas de seguridad ni de verificación, así que un atacante puede falsificar una dirección IP en una solicitud ICMP. En un ataque DDoS Smurf, el atacante envía solicitudes de ping a miles de servidores, falseando la dirección IP del objetivo en las solicitudes de ping, para que las respuestas vayan al objetivo y no al atacante. La mayoría de los equipos de red modernos ya no son vulnerables a este ataque.
  • Ping de la muerte: En un ataque de ping de la muerte de ICMP, un atacante envía una solicitud de ping que es mayor que el tamaño máximo permitido al objetivo. Los enrutadores que se encuentran en el camino hacia el objetivo fragmentarán el ping en paquetes más pequeños, para que el objetivo los acepte, pero cuando intente volver a montar el paquete grande a partir de los fragmentos más pequeños, el tamaño del paquete supera el máximo y el objetivo deja de funcionar. Los dispositivos modernos no son vulnerables a este ataque.

¿Cómo protege Cloudflare contra los ataques DDoS de capa 3?

Además de bloquear los ataques DDoS en las capas 4 y 7, Cloudflare mitiga los ataques DDoS de la capa 3. Cloudflare Magic Transit está específicamente diseñado para detener los ataques a la infraestructura de red interna, incluidos los ataques DDoS en cualquier capa. El WAF y la CDN de Cloudflare también detienen los ataques DDoS de al capa 3 al solo aceptar tráfico a los puertos HTTP y HTTPS, que son solo de la capa 7.

¿Qué es la capa 3 en el modelo TCP/IP?

El modelo TCP/IP es un modelo alternativo de cómo funcionan las redes. En lugar de siete capas, el modelo TCP/IP tiene cuatro:

4. Capa de aplicación (corresponde a las capas 5-7 del modelo OSI)

3. Capa de transporte (corresponde a la capa 4 del modelo OSI)

2. Capa de Internet (corresponde a la capa 3 del modelo OSI)

1. Acceso a la red/Capa de enlace (corresponde a las capas 1-2 del modelo OSI)

Haciendo referencia al modelo TCP/IP en lugar de al modelo OSI, los ataques DDoS de la capa 3 se llamarían ataques DDoS de la capa 2.