¿Qué es un ataque DDoS?

Los ataques DDoS son una de las principales preocupaciones de la seguridad de Internet en la actualidad. Obtenga más información acerca de cómo funcionan los ataques DDoS y cómo se puede detener.

Share facebook icon linkedin icon twitter icon email icon

DDoS

Metas de aprendizaje

Después de leer este artículo usted podrá:

  • Definir un ataque DDoS
  • Explicar la estructura general de un ataque DDoS
  • Diferenciar entre las 3 categorías principales de los ataques DDoS
  • Conocer varias estrategias de mitigación de DDoS

¿Qué es un ataque DDoS?

Un ataque de denegación de servicio (DDoS) distribuido es un intento malicioso de interrumpir el tráfico normal de un servidor determinado, un servicio o una red al inundar el objetivo o su infraestructura circundante con una avalancha de tráfico de Internet. Los ataques DDoS consiguen su eficacia mediante la utilización de varios sistemas informáticos en peligro como orígenes de ataques al tráfico. Entre los equipos utilizados se pueden incluir ordenadores y otros recursos de red, como dispositivos IoT. En términos generales, un ataque DDoS es como un atasco de tráfico se obstruye la carretera, lo que evita que el tráfico normal llegue al destino deseado.

DDoS Attack

¿Cómo funciona un ataque DDoS?

Un ataque DDoS requiere que un atacante obtenga el control de una red de máquinas en línea para llevar a cabo un ataque. Las computadoras y otras máquinas (como los dispositivos IoT) están infectadas con malware , convirtiendo cada una en un robot (o zombie). El atacante entonces tiene control remoto sobre el grupo de robots, que se llama red de robots .

Una vez que se ha establecido una red de robots, el atacante puede dirigir las máquinas enviando instrucciones actualizadas a cada robot a través de un método de control remoto. Cuando la red de robots apunta a la dirección IP de una víctima, cada robot responderá enviando solicitudes al objetivo, lo que puede causar que el servidor o la red objetivo desborden la capacidad, lo que da como resultado denegación de servicio al tráfico normal . Debido a que cada robot es un dispositivo legítimo de Internet, puede ser difícil separar el tráfico de ataque del tráfico normal.

¿Cuáles son los tipos más habituales de ataques DDoS?

Diferentes vectores de ataque DDoS se dirigen a varios componentes de una conexión de red. Con el fin de comprender cómo funcionan los diferentes ataques DDoS es necesario saber cómo se realiza una conexión a la red. Una conexión de red en Internet se compone de muchos componentes diferentes o “capas”. Como construir una casa desde los cimientos, cada paso en el modelo tiene un propósito diferente. El modelo OSI que se muestra a continuación es un marco conceptual utilizado para describir la conectividad de red en 7 capas distintas.

The OSI Model

Mientras que casi todos los ataques DDoS implican inudar de tráfico un dispositivo de destino o una red, los ataques se pueden clasificar en tres categorías. Un atacante puede hacer uso de uno o varios vectores de ataque diferentes, o vectores de ataque cíclicos potencialmente basados en medidas para contrarrestarlo tomadas por el objetivo.

Ataques a la capa de las aplicaciones

El objetivo del ataque:

A veces denominado ataque DDoS de capa 7 (en referencia a la 7ma capa del modelo OSI), el objetivo de estos ataques es agotar los recursos del objetivo. Los ataques apuntan a la capa donde se generan las páginas web en el servidor y se entregan en respuesta a 3 solicitudes HTTP 3. Una sola solicitud HTTP es económica de ejecutar en el lado del cliente y puede ser costosa para el servidor de destino, ya que el servidor a menudo debe cargar varios archivos y ejecutar consultas de la base de datos para crear una página web. Los ataques de capa 7 son difíciles de defender, ya que el tráfico puede ser difícil de marcar como malicioso.

Ejemplo de ataque a la capa de aplicación:

Inundación HTTP

Este ataque es similar a pulsar la tecla de actualización de un navegador web una y otra vez en muchos equipos diferentes a la vez: un gran número de solicitudes HTTP inundan el servidor, lo que provoca una denegación del servicio.

Este tipo de ataque varía desde los sencillos a los complejos. Las implementaciones más sencillas pueden acceder a una URL con el mismo rango de direcciones IP atacantes, referencias y agentes de usuario. Las versiones complejas pueden utilizar un gran número de direcciones IP atacantes, así como dirigirse a direcciones URL aleatorias usando referencias aleatorias y agentes de usuario.

Ataques de protocolo

El objetivo del ataque:

Los protocolos de ataque, también conocidos como ataques de un estado de agotamiento, provocan una interrupción del servicio por el consumo de toda la capacidad disponible de la tabla de estado de los servidores de aplicaciones web o los recursos intermedios, como los firewalls y los equilibradores de carga. Los protocolos de ataque utilizan los puntos débiles de las capas 3 y 4 de la pila de protocolos para dejar inaccesible al destino.

Ejemplo de ataque de protocolo:

Syn Flood DDoS Attack

Inundación SYN

Una inundación SYNfunciona de forma similar a un trabajador en una sala de suministros que recibe solicitudes de la parte delantera de la tienda. El trabajador recibe una solicitud, va y busca el paquete, y espera la confirmación antes de sacar el paquete. A continuación, el trabajador recibe muchas más solicitudes de paquetes sin confirmación hasta que no puede llevar más paquetes, se agobia y las solicitudes empiezan a quedar sin respuesta.

Este ataque explota el protocolo de enlace TCP mediante el envío de un gran número de paquetes SYN “solicitud de conexión inicial” TCP con direcciones IP de origen falso. El equipo de destino responde a cada solicitud de conexión y, a continuación, espera al paso final del protocolo de enlace, que nunca se produce, lo que agota los recursos del destino durante el proceso.

Ataques volumétricos

El objetivo del ataque:

Esta categoría de ataques intenta congestionar mediante el consumo de todo el ancho de banda disponible entre el objetivo y la amplitud de Internet. Se envían grandes cantidades de datos a un destino mediante el uso de una forma de amplificación u otro medio de creación de tráfico masivo, como las peticiones de una red de robots.

Ejemplo de amplificación:

NTP Amplification Attack

Amplificación de DNS

Una Amplificación de DNSes como si alguien fuera a llamar a un restaurante y dijera “tomaré uno de cada, por favor, llámame y dígame todo todo lo que he pedido”, donde el número de teléfono de devolución de llamada que dan es el número de destino. Con muy poco esfuerzo, se genera una respuesta larga.

Realizando una solicitud a un servidor DNS abierto con una dirección IP falsa (la dirección IP real del objetivo), la dirección IP de destino entonces recibe una respuesta del servidor. El atacante estructura la solicitud de tal manera que el servidor DNS responda al objetivo con una gran cantidad de datos. De este modo, el objetivo recibe una amplificación de consulta inicial del atacante.

¿Cuál es el proceso para mitigar un ataque DDoS?

La preocupación principal de la mitigación de un ataque DDoS es diferenciar entre el ataque y el tráfico normal. Por ejemplo, si el lanzamiento de un nuevo producto deja la página web de una empresa inundada de clientes ansiosos, cortar todo el tráfico es un error. Si esa empresa de repente tiene un aumento en el tráfico de malos visitantes ya conocidos, probablemente sea necesario realizar trabajos para aliviar el ataque. La dificultad radica en distinguir al cliente real del tráfico de ataque.

En el Internet actual, el tráfico DDoS viene de muchas formas. El tráfico puede variar en su diseño, de los ataques única fuente no falsificados a los ataques multivector complejos y adaptativos. Un ataque DDoS multivector utiliza varias vías de ataque con el fin de saturar un objetivo de diferentes maneras, lo que podría distraer los esfuerzos de mitigación en una de las trayectorias. Un ataque dirigido a varias capas de la pila de protocolo simultáneamente, como una amplificación DNS (dirigido a capas 3/4) junto con una avalancha HTTP (dirigida a la capa 7), es un ejemplo de DDoS multivector.

Mitigar un ataque DDoS multivector requiere una variedad de estrategias con el fin de contrarrestar las diferentes trayectorias. Por lo general, cuanto más complejo sea el ataque, más difícil será distinguir el tráfico normal del malicioso: el objetivo del atacante es mezclarlos en la medida de lo posible, hacer que la mitigación sea lo más ineficaz posible. Los intentos de mitigación que implican excluir o limitar el tráfico de forma indiscriminada podrían acabar excluyendo el tráfico habitual junto con el sospechoso, y el ataque también se puede modificar y adaptar para eludir las medidas tomadas para contrarrestarlo. Con el fin de superar un intento de complejo de interrupción, la solución en capas ofrecerá los mejores resultados.

Enrutamiento de agujeros negros

Una solución disponible para prácticamente todos los administradores de red es crear una ruta de agujero negro y canalizar el tráfico en esa ruta. En su forma más simple, cuando se realiza el filtrado de agujeros negros sin criterios de restricción específicos, tanto el tráfico de red legítimo como malicioso se redirige a una ruta nula o a un agujero negro, y se excluye de la red. Si una propiedad de Internet sufre un ataque DDoS, el proveedor de servicios de Internet de la propiedad (ISP) puede enviar todo el tráfico del sitio a un agujero negro a modo de defensa.

Rate Limiting

Limitar el número de solicitudes que aceptará un servidor durante un tiempo determinado es también una manera de mitigar los ataques de denegación de servicio. Aunque la limitación de velocidad es útil para retrasar el robo de contenido por parte de paletas web y para mitigar los intentos de inicio de sesión de fuerza bruta, es posible que solo sea insuficiente para manejar eficazmente un ataque DDoS complejo. Sin embargo, la limitación de velocidad es un componente útil en una estrategia eficaz mitigación DDoS. Más información acerca de la limitación de velocidad de Cloudflare

Firewall de aplicaciones web

Un cortafuegos de aplicaciones web (Web Application Firewall, WAF) es una herramienta que puede ayudar a mitigar un ataque DDoS de capa 7. Al aplicar un WAF entre Internet y un servidor de origen, el WAF puede actuar como proxy inverso, lo que protege al servidor de destino de ciertos tipos de tráfico malicioso. Al filtrar las solicitudes basadas en una serie de reglas utilizadas para identificar herramientas DDoS, es posible impedir los ataques de capa 7. Uno de los valores clave de un WAF eficaz es su capacidad de implementar rápidamente reglas personalizadas como respuesta a un ataque. Obtener información del WAF de Cloudflare

Difusión de red Anycast

Este enfoque de mitigación utiliza una red de difusión por proximidad para dispersar el tráfico del ataque a través de una red de servidores distribuidos hasta el punto donde el tráfico queda absorbido por la red. Al igual que la canalización de un río por canales más pequeños, este enfoque extiende el impacto del tráfico del ataque distribuido hasta el punto en el que se puede administrar, difundiendo la capacidad disruptiva.

La fiabilidad de una red Anycast para mitigar un ataque DDoS depende del tamaño del ataque, así como del tamaño y la eficacia de la red. Una parte importante de la mitigación de DDoS implementada por Cloudflare es el uso de una red de difusión por proximidad distribuida. Cloudflare cuenta con una red de 30 Tbps, que es un orden de magnitud mayor al ataque DDoS más grande que se haya registrado.

Si actualmente se encuentra bajo ataque, hay medidas que puede tomar para librarse de él. Si ya está en Cloudflare, puede seguirestos pasos para mitigar su ataque. La protección contra ataques DDoS que implementamos en Cloudflare es multidimensional con el fin de mitigar los posibles vectores de ataque. Más información sobre la protección DDoS de Cloudflare y su funcionamiento.