Saltar al contenido

Ataque DDOS

Ataque DDOS

Las nuevas tecnolog√≠as han permitido que existan nuevos tipos de crimines, dando espacio a lo que¬† conocemos como ataques digitales. Los ataques DDoS han sido parte de los nuevos cr√≠menes digitales y la conocida cultura hacker. M√ļltiples ataques de este tipo se han hecho conocidos o virales en el mundo, varios de estos ejemplos han sido realizados por grupos como Anonymus.
Definir un ataque DDoS no es tan sencillo, siendo necesario explicar con profundidad en qu√© afecta al servidor, que consecuencias atrae un ataque de este tipo a una empresa y como afecta el hacerlo a entidades p√ļblicas.

¬ŅQu√© es un ataque DDoS?

Ataque DDOS

Los ataques DDoS han pasado a la historia por ser los culpables de los colapsos de plataformas tan grandes como GitHub. Estos ataques se han extendido durante esta década tumbando grandes servicios del internet, siendo pagados para servir a empresas grandes o para dejar fuera de servicios y plataformas como forma de protesta.

DDoS representa las siglas de Distributed Denial of Service, esto al castellano quiere decir ‚ÄúAtaque distribuido denegaci√≥n de servicio‚ÄĚ. Antes de poder entrar al respecto en este tema, debemos hablar de un DoS o un ‚ÄúAtaque de negaci√≥n de servicio‚ÄĚ.

En el caso del¬†DoS, se ataca desde un ordenador una red o sistema de ordenadores, el DDoS es un ataque desde m√ļltiples ordenadores para colapsar el ancho de banda y el servicio.

Este es un concepto resumido de lo que quiere decir o supone un ataque DDoS. Existen muchas efectivas de ejecutar uno de estos ataques, sin embargo, requiere mucho trabajo.

Normalmente estos ataques requieren de diversos ordenadores, bots u locaciones remotas infectadas. Debido a la sencillez del procedimiento del ataque y su efectividad, se ha extendido a nivel mundial.

Clasificación de los ataques de DDOS

Existen varios tipos de ataques DDoS, sin embargo, es menester particionar el n√ļmero de ataque en grupos clasificatorios sencillos de interpretar, permitiendo entender mejor la estructura de este tipo de t√©cnicas utilizadas por hackers.

No todos los sistemas pueden ser vulnerados con las mismas técnicas, siendo importante conocer cuáles son las posibilidades, de esta forma podremos solucionar eficientemente los problemas que puedan presentarse en los mismos.

Ataques en la capa de infraestructura

Estos tipos de ataques, clasificados en la especie de DDoS, son los m√°s habituales y suele clasificar dentro de su rama los ataques que se valen de inundaciones y las inundaciones de paquetes que afectan los softwares de usuario.

Este ataque busca saturar una red o un servidor de red generando un gran volumen de carga en el sistema. A pesar de ser un ataque bastante efectivo y el más utilizado, también es sencillo detectar si está en nuestro sistema y detener estos ataques antes de sufrir las consecuencias del mismo.

Ataques en la capa de aplicación

Los ataques en las capas suele vulnerar la capa directa y propia de las aplicaciones de nuestro ordenador o nuestros sistemas. Este es el tipo de ataque m√°s raro, sin embargo, el m√°s sofisticado y m√°s complejo de evitar, siendo necesario comprar equipos especiales.

Estos ataques poseen menos volumen y esto debido a su enfoque. Esto quiere decir que este tipo de ataque suele centrarse en un determinado punto, generalmente el m√°s importante, dej√°ndolo inutilizables por los usuarios.

Un ejemplo de estos ataques se puede reflejar en una inundaci√≥n de solicitudes HTTP a una p√°gina de inicio de sesi√≥n, o a una costosa API de b√ļsqueda.

Ataque DDOS

Tipos de ataques DDOS

Los ataques DDoS están hechos para colapsar las plataformas y evitar que los usuarios utilizan las plataformas, provocando caídas en su registro de tráfico y generándoles perdidas. Ahora estos ataques se buscan realizar de la forma más sigilosa posible, evitando ser detectados y esquivando de esta forma los protocolos de seguridad.

Una buena forma de evitar los ataques de este tipo es conocer los diversos tipos que existen.

Syn Flood

Conocido en castellano como Inundación Syn, este ataque en especial busca hacer que una persona o programa logre hacerse pasar por otro con el fin de falsificar inundando la tabla de conexión de los servidores con paquetes SYN hasta colapsarlas y hacerla caer.

Hay ataques m√°s especializados realizados sobre el ancho de banda que requiere equipos especializados, sin embargo, igualmente puede ser detenidos.

ICMP Flood

Esta inundación busca utilizar paquetes ICMP para sobrecarga los servidores hasta provocar una caída completa del sistema.

En caso de sufrir uno de estos ataques, las ‚ÄúLas listas de control de acceso‚ÄĚ o ACL‚Äôs pueden controlarlo e incluso detenerlo, si tenemos est√°s opci√≥n en nuestros routers o dispositivos de distribuci√≥n de WiFi o internet.

Service Port Flood

Una Inundación  de Puertos de Servicio utiliza paquetes que atacan los puentes de servicio que se encargan de controlar el tráfico pesado. Este tipo de ataque no se puede tenerte y es muy difícil y no posee muchas soluciones inmediatas.

Es necesario hacer inversiones especializadas contra estos ataques, a diferencia de los anteriores que pueden valerse de métodos convencionales para evitar el ataque o desacelerarlos.

Ataque Smurf

Este ataque se vale de vulnerar el protocolo de internet o dirección IP, al mismo tiempo, controla el Protocolo de mensajes de control de Internet  o ICMP. Manipulando nuestra información utilizando un programa de malware llamado pitufo.

Falsificando la dirección IP de nuestros ordenadores y utilizando el ICMP, hace rebote de nuestro IP con un virus o una bacteria en diversas redes direccionadas desde un pc controlador remoto.

Ataque fraggle

Este tipo de ataque se parece mucho al del pitufo debido a que invade y controla remotamente un sistema de control de direcciones mientras se vale de nuestro computador para realizar ataques remotos.

En este caso, el virus utiliza y satura el tráfico UDP en la red de difusión de un router. Los ataques se hacen exactamente igual a los ataques anteriores, sin embargo, esta vez hace los rebotes utilizando el UDP

¬ŅC√≥mo afecta un DDoS a una web?

Ataque DDOSLa magnitud de los ataques generalmente se mide de forma diferente por cada uno de los ataques, en este caso si fue un ataque a nuestros sistemas o del servidor. Nuestros servidores pueden ser protegidos que repelan a los hackers o puedan rehacer o modificar los puntos donde nos pueden invadir un sistema ajeno.

No se quiere decir que estas medidas ser√°n la soluci√≥n a nuestros problemas, sin embargo, las mismas no son infalibles y es posible que alg√ļn ataque bien organizado tenga √©xito

Una vez que la red ha sido saturada, la misma deja de estar disponible el tiempo que dure el ataque a nuestros sistemas. Generalmente estos ataques no afectan directamente nuestros equipos, sin embargo, no puede da√Īarlos desde adentro.

Una de las ventajas que podemos encontrar a recibir este tipo de ataque sobre otro es que los ataques DDoS no roban información del servidor o rutas de acceso; debido al tipo de ataque DDoS, esta información personal de nuestras cuentas nunca es vulnerada.

Las webs que m√°s se ven afectada por este tipo de ataque son aquellas que¬† ganan alg√ļn tipo de beneficio econ√≥mico por sus servicios o es el dominio de una empresa parte de las grandes industrias.

Una caída en los sistemas en este caso tiene repercusiones directas económicas, influenciando que posibles clientes no vean tu red y decidan gastar en otro portal. Estas pérdidas actualmente son inconcebibles, en especial en ciertos medios dónde dependemos de cuidar tanto nuestras conexiones.

¬ŅC√≥mo hacer un ataque DDoS?

El concepto detrás no solo es sencillo de entender, también es bastante fácil de ejecutar cualquiera de las acciones requeridas para saturar un servicio web o un dominio y que se recupere rápidamente.

Mantener el n√ļmero de usuarios en nuestras redes no siempre es sencillo por el tr√°fico que se produce y otros afectos, igualmente, las herramientas para hackers pueden suplir esto.

Mediante la invasión de direcciones IP o infectando diferentes ordenadores, se pueden crear modelos de direcciones fantasma que afecte las conexiones desde servidores remotos.

Es posible para el hacker también comprometer diferentes direcciones legales de computadores, convirtiéndolas en fuentes de ataque. En este aspectos encontrar los ladrones no es sencillo, revisando habitaciones generalmente, tomando las medidas correspondientes para proteger nuestro IP.

Una de las técnicas más populares para realizar un ataque masivo es aprovechar el uso de botnets y su potencial de sobresaturar espacios. Este procedimiento requiere que creemos bots que saturen de información a las direcciones virtuales de nuestra elección.

Sin saberlo, nuestros ordenadores potencialmente pueden ser  infectados por un troyano que un atacante pueda utilizar con este método.

¬ŅCu√°nto cuesta un ataque DDoS?

Al ser tan sencillos y f√°ciles de programar, los ataques DDoS son muy populares por su bajo coste. Los hackers se han aprovechado de esto, ofreciendo servicios completos en las partes m√°s obscuras de la web negociando con la posibilidad de saturar ordenadores.

Varias investigaciones hechas en Europa arrojan que los precios varían de diez euros en adelante; igualmente los precios de sus servicios varían a medida que los sistemas requieren de mayor información o paquetes más invulnerables.

Técnicas de protección frente a ataques DDoS

            Los ataques DDoS pueden ser evitados, incluso podríamos llegar a detenerlos. Algunos softwares integrados en nuestros ordenadores están fabricados para limpiar diversos tipos de errores o invasiones que hagan terceros a nuestro sistema. Tanto los firewall como los adblocks pueden ser una forma de evitar la saturación por bots.

En caso de ser fundadores de alguna empresa que posea un portan en web, es importante que nuestros sistemas se mantengan en línea.

En la actualidad la mayoría de los portales que utilizamos reciben dinero por el tráfico de usuarios, consumiendo la información de nuestros portales y nuestros servicios, es decir, una web es una forma de tienda en línea y perderla es perjudicial para la empresa.

¬ŅC√≥mo evitar un ataque DDoS?

Todo tipo de ataque digital puede ser mitigado o evitado por completo con el suficiente trabajo de nuestra parte. Mientras m√°s nos esforcemos en limitar las opciones para los atacantes, podremos con mayor eficiencia crear barreras en un espacio limitado, de esta forma, asegurar nuestro sistema. Es requerido asegurar todas nuestras aplicaciones de protocolos e invasiones innecesarias.

En algunos casos se pueden utilizar recursos informáticos en las redes de distribución de contenido de la mano con componentes de gestión de tráfico restringiendo su exceso es las estructuras capaces de colapsar nuestros servidores de base de datos.

Utilizar firewalls tambi√©n puede ser √ļtil para proteger la mayor parte de protocolos, en el caso de los especializados tendremos m√°s opciones de protecci√≥n

Controlar la capacidad de transito

Al buscar un espacio en la red o dise√Īar nuestro propio espacio, es importante tomar en cuenta la capacidad del¬† hospedaje para ofrecernos una amplia conectividad de Internet que pueda soportar altos¬† niveles de tr√°ficos.

Los ataques DDoS busca afectar los recursos de un portal con y sus aplicaciones relacionadas, como due√Īos debes proporcionar que nuestras plataformas sean de f√°cil acceso a nuestros usuarios con la rapidez que pueden esperar de nuestro servicio.

Con servicios en la plataforma o un host que soporte un gran ancho de banda ofrece a los usuarios un f√°cil acceso a a nuestro portal, soportando los posibles ataques en su contra.

Una forma de proteger nuestras redes con mayor efectividad es utilizar redes de distribución de contenido (CDN) y servicios inteligentes de resolución de DNS. Con estos servicios crearemos una red para mejorar los servicios finales que llegan al usuario.

Aumentar la capacidad de servidores

Gran parte de los ataques se concentran en engrosar los medios que utilizan una gran cantidad de recursos, por lo tanto, es importante poder ampliar o reducir los recursos inform√°ticos de nuestros sistemas.

Para mejorar este aspecto en nuestros sistemas se pueden contar con funciones de red m√°s amplias o redes mejoradas que admitan vol√ļmenes m√°s grandes.

Podemos complementar estos servicios con administradores de cargas y recursos, para hacerlos m√°s efectivos o trasladar las cargas de un recurso a otro con el fin de evitar sobrecargar un recurso.

Conocer nuestro tr√°fico y su peso en nuestros medios

Una vez detectados tr√°ficos mayores en nuestro host, la l√≥gica nos indica que deber√≠amos aceptar el n√ļmero de tr√°fico que nuestro host pueda administrar. Este concepto se conoce como l√≠mite de tasa, y medida nos permite controlar los n√ļmeros de usuarios.

Las técnicas de protección más avanzadas pueden ir más allá y permite analizar estos datos para conocer los datos reales. Estos datos nos pueden servir de referencia para conocer cómo proteger nuestros servicios.

Implementar firewalls para prevenir o detener ataques a nuestros sistemas

Cada ataque DDoS puede ser detenido, en muchos casos podremos utilizar Web Application Firewall (WAF) contra ataques del tipo inyección de código SQL o falsificación de solicitudes entre sitios, cada uno enfocado en saturar nuestros sistemas.

Con ayuda de estas medidas, debería ser posible crear medidas personalizadas en el sistema que nos permita controlar o detectar las solicitudes ilegítimas que pudieran de tráfico o venir de direcciones IP falsas.

Los dos ataques DDoS m√°s grandes de la historia

P√°rrafos anteriores hablamos de la historia de GitHub y c√≥mo puso en el mapa finalmente los ataques DDoS, siendo el m√°s sonado y conocido en las √ļltimas d√©cadas debido a sus implicaciones. En esta d√©cada, en la historia del internet, se registraron los dos ataques DDoS m√°s grandes de los que se haya tenido registro hasta el momento.

El primero  fue el de GitHub, mencionado varias veces a lo largo del artículo, ocurrido el miércoles 28 de febrero, quedando completamente fuera de servicio por cinco minutos desde las 17:21 y con un servicio intermitente, desde las 17:26 hasta las 17:30.

El segundo fue el  lunes 4 de marzo, cuando la empresa Arbor Networks, afirmó que su sistema de datos y tráfico global, llamado ATLAS, registró un nuevo ataque de este tipo contra toda su plataforma y sus clientes, buscando dejar fuera de servicio toda su base de datos; debido a sus sistema pudieron detectar al atacante, sin embargo su nombre no fue revelado.

El ataque contra GitHub se hizo hist√≥rico por el pico de informaci√≥n que alcanz√≥, representado como un tr√°fico entrante de 1.35 terabits por segundo. Este n√ļmero de tr√°fico por navegaci√≥n super√≥ con creces el record anterior de un 1 Tbps. Este ataque hab√≠a sido realizado contra el proveedor de servicios de hosting franc√©s OVH, en septiembre de 2016.

El segundo ataque formó parte del mismo record a pesar de ser en una hora diferentes por el pico de tráfico registrado, siendo de 1.7 Tbps, convirtiéndose de esta manera en el máximo registrado hasta el momento.

Memcrashed

Este ataque se diferencia del ataque contra OVH, por la especie de los ataques y cómo fueron ejecutados. El bombardeo contra la plataforma francesa de tráfico fue desatado por dispositivos de Internet de las Cosas (IoT) controlados por un Botnet especialmente creado para este tipo de servicio.

Es especial mencionar que en ninguno de estos dos recientes ataques se logró identificar equipos comprometidos.

En los dos casos recientemente registrados, los hackers manipularon efectivamente las bases de datos de los servidores Memcashed; este portal pose√≠a una aplicaci√≥n de t√°fico UDP habilitado, lo que hace ilimitado el ingreso al host sin necesidad de ning√ļn requerimiento de afiliaci√≥n al sistema. Debido a las cualidades √ļnicas del mismo este tipo de m√©todo fue apodado ‚ÄúMemcrashed‚ÄĚ.

Los servidores generalmente, como fue este el caso, está creados para mejorar la capacidad de las aplicaciones y la web en sí, sin embargo, estos servicios pueden ser utilizados como reflectores para amplificar el tráfico hacia un servicio específico.

Seg√ļn varios servidores de protecci√≥n, como DDoS Cloudflarela, se pueden saturar los registros de respuesta haciendo que el sistema colapse.

La importancia del ataque contra GitHub

El ataque DDoS contra GitHub busc√≥ enga√Īar la direcci√≥n IP de las plaicaciones encargadas de proteger la entrada al sistema, enviando repeticiones contantes a los servidores, de esta forma fueron colapsados por completo y luego, las repeticiones hicieron del servicio intermitente.

El host y sus encargados respondieron debidamente, sin embargo, la respuesta de los servidores fue desproporcionada al ataque y causó problemas posteriores.

Minutos después del ataque a los servidores del host comenzara, GitHub en respuesta se vio obligado a suscribirse al servicio de ayuda que ofrece Akamai Prolexicu, expertos en mitigación de ataques DDoS.

Este servicio permite controlar el tr√°fico basura y direccionarlo en servidores creado n√ļcleos que pueden ser f√°cilmente reducidos con el tiempo, generando un cese en el ataque.

Los ataques DDoS no van a detenerse aquí

En el internet, libremente podemos contar con al menos 93.000 servidores Memcached que pueden ser utilizados libremente por nosotros.

Seg√ļn Akamai Prolexicu, un servicio de asistencia frente a los ataques DDoS, se puede mencionar que las capacidades de reflexi√≥n de Memcached provocan que sea ‚Äúaltamente probable que este ataque no sea el m√°s grande durante mucho tiempo‚ÄĚ.

La compa√Ī√≠a agreg√≥ despu√©s de sus declaraciones que m√°s ataques se han registrado a diversas organizaciones durante lo que ha corrido de a√Īo y se ha detectado un aumento significativo de revisiones de los servidores abiertos de Memcached.

‚ÄúMientras que la comunidad de Internet se est√° uniendo para cerrar el acceso a muchos servidores Memcached abiertos, el gran n√ļmero de servidores que utilizan Memcached har√° que se cree una vulnerabilidad que durar√° bastante tiempo y que los atacantes aprovechar√°n.

Es muy importante que las compa√Ī√≠as tomen los recaudos necesarios para protegerse‚ÄĚ, public√≥ Arbor Networks en su blog.

Memcached vs. Memfixed

Los avances en el medio de ataques informativos van creciendo en pasos agigantados, solo este a√Īo se filtraron dos pruebas de concepto o PoC, por sus siglas en ingl√©s, de c√≥digos exploit para un ataque mucho mayor a los registrados hasta ahora a los o a trav√©s de ellos Memcached.

Esto preocupa a todas las comunidades que utilicen la red para generar ingresos, debido a que permitiría que cualquiera pueda realizar u aprender cómo generar un ataque DDoS utilizando esta técnica.

Debido a estas amenazas constante de la red, se ha trabajado para mejorar estos servicios, el portal de Corero Network Security divulgaron un código que llamaron Memfixed. Este código sirve para contrarrestar los ataques DDoS masivos que intenten aprovecharse de la vulnerabilidad de los servidores Memcached.