Ataque DDOS
Las nuevas tecnologías han permitido que existan nuevos tipos de crimines, dando espacio a lo que conocemos como ataques digitales. Los ataques DDoS han sido parte de los nuevos crímenes digitales y la conocida cultura hacker. Múltiples ataques de este tipo se han hecho conocidos o virales en el mundo, varios de estos ejemplos han sido realizados por grupos como Anonymus.
Definir un ataque DDoS no es tan sencillo, siendo necesario explicar con profundidad en qué afecta al servidor, que consecuencias atrae un ataque de este tipo a una empresa y como afecta el hacerlo a entidades públicas.
Tabla de Contenidos
¿Qué es un ataque DDoS?
Los ataques DDoS han pasado a la historia por ser los culpables de los colapsos de plataformas tan grandes como GitHub. Estos ataques se han extendido durante esta década tumbando grandes servicios del internet, siendo pagados para servir a empresas grandes o para dejar fuera de servicios y plataformas como forma de protesta.
DDoS representa las siglas de Distributed Denial of Service, esto al castellano quiere decir “Ataque distribuido denegación de servicio”. Antes de poder entrar al respecto en este tema, debemos hablar de un DoS o un “Ataque de negación de servicio”.
En el caso del DoS, se ataca desde un ordenador una red o sistema de ordenadores, el DDoS es un ataque desde múltiples ordenadores para colapsar el ancho de banda y el servicio.
Este es un concepto resumido de lo que quiere decir o supone un ataque DDoS. Existen muchas efectivas de ejecutar uno de estos ataques, sin embargo, requiere mucho trabajo.
Normalmente estos ataques requieren de diversos ordenadores, bots u locaciones remotas infectadas. Debido a la sencillez del procedimiento del ataque y su efectividad, se ha extendido a nivel mundial.
Clasificación de los ataques de DDOS
Existen varios tipos de ataques DDoS, sin embargo, es menester particionar el número de ataque en grupos clasificatorios sencillos de interpretar, permitiendo entender mejor la estructura de este tipo de técnicas utilizadas por hackers.
No todos los sistemas pueden ser vulnerados con las mismas técnicas, siendo importante conocer cuáles son las posibilidades, de esta forma podremos solucionar eficientemente los problemas que puedan presentarse en los mismos.
Ataques en la capa de infraestructura
Estos tipos de ataques, clasificados en la especie de DDoS, son los más habituales y suele clasificar dentro de su rama los ataques que se valen de inundaciones y las inundaciones de paquetes que afectan los softwares de usuario.
Este ataque busca saturar una red o un servidor de red generando un gran volumen de carga en el sistema. A pesar de ser un ataque bastante efectivo y el más utilizado, también es sencillo detectar si está en nuestro sistema y detener estos ataques antes de sufrir las consecuencias del mismo.
Ataques en la capa de aplicación
Los ataques en las capas suele vulnerar la capa directa y propia de las aplicaciones de nuestro ordenador o nuestros sistemas. Este es el tipo de ataque más raro, sin embargo, el más sofisticado y más complejo de evitar, siendo necesario comprar equipos especiales.
Estos ataques poseen menos volumen y esto debido a su enfoque. Esto quiere decir que este tipo de ataque suele centrarse en un determinado punto, generalmente el más importante, dejándolo inutilizables por los usuarios.
Un ejemplo de estos ataques se puede reflejar en una inundación de solicitudes HTTP a una página de inicio de sesión, o a una costosa API de búsqueda.
Tipos de ataques DDOS
Los ataques DDoS están hechos para colapsar las plataformas y evitar que los usuarios utilizan las plataformas, provocando caídas en su registro de tráfico y generándoles perdidas. Ahora estos ataques se buscan realizar de la forma más sigilosa posible, evitando ser detectados y esquivando de esta forma los protocolos de seguridad.
Una buena forma de evitar los ataques de este tipo es conocer los diversos tipos que existen.
Syn Flood
Conocido en castellano como Inundación Syn, este ataque en especial busca hacer que una persona o programa logre hacerse pasar por otro con el fin de falsificar inundando la tabla de conexión de los servidores con paquetes SYN hasta colapsarlas y hacerla caer.
Hay ataques más especializados realizados sobre el ancho de banda que requiere equipos especializados, sin embargo, igualmente puede ser detenidos.
ICMP Flood
Esta inundación busca utilizar paquetes ICMP para sobrecarga los servidores hasta provocar una caída completa del sistema.
En caso de sufrir uno de estos ataques, las “Las listas de control de acceso” o ACL’s pueden controlarlo e incluso detenerlo, si tenemos estás opción en nuestros routers o dispositivos de distribución de WiFi o internet.
Service Port Flood
Una Inundación de Puertos de Servicio utiliza paquetes que atacan los puentes de servicio que se encargan de controlar el tráfico pesado. Este tipo de ataque no se puede tenerte y es muy difícil y no posee muchas soluciones inmediatas.
Es necesario hacer inversiones especializadas contra estos ataques, a diferencia de los anteriores que pueden valerse de métodos convencionales para evitar el ataque o desacelerarlos.
Ataque Smurf
Este ataque se vale de vulnerar el protocolo de internet o dirección IP, al mismo tiempo, controla el Protocolo de mensajes de control de Internet o ICMP. Manipulando nuestra información utilizando un programa de malware llamado pitufo.
Falsificando la dirección IP de nuestros ordenadores y utilizando el ICMP, hace rebote de nuestro IP con un virus o una bacteria en diversas redes direccionadas desde un pc controlador remoto.
Ataque fraggle
Este tipo de ataque se parece mucho al del pitufo debido a que invade y controla remotamente un sistema de control de direcciones mientras se vale de nuestro computador para realizar ataques remotos.
En este caso, el virus utiliza y satura el tráfico UDP en la red de difusión de un router. Los ataques se hacen exactamente igual a los ataques anteriores, sin embargo, esta vez hace los rebotes utilizando el UDP
¿Cómo afecta un DDoS a una web?
La magnitud de los ataques generalmente se mide de forma diferente por cada uno de los ataques, en este caso si fue un ataque a nuestros sistemas o del servidor. Nuestros servidores pueden ser protegidos que repelan a los hackers o puedan rehacer o modificar los puntos donde nos pueden invadir un sistema ajeno.
No se quiere decir que estas medidas serán la solución a nuestros problemas, sin embargo, las mismas no son infalibles y es posible que algún ataque bien organizado tenga éxito
Una vez que la red ha sido saturada, la misma deja de estar disponible el tiempo que dure el ataque a nuestros sistemas. Generalmente estos ataques no afectan directamente nuestros equipos, sin embargo, no puede dañarlos desde adentro.
Una de las ventajas que podemos encontrar a recibir este tipo de ataque sobre otro es que los ataques DDoS no roban información del servidor o rutas de acceso; debido al tipo de ataque DDoS, esta información personal de nuestras cuentas nunca es vulnerada.
Las webs que más se ven afectada por este tipo de ataque son aquellas que ganan algún tipo de beneficio económico por sus servicios o es el dominio de una empresa parte de las grandes industrias.
Una caída en los sistemas en este caso tiene repercusiones directas económicas, influenciando que posibles clientes no vean tu red y decidan gastar en otro portal. Estas pérdidas actualmente son inconcebibles, en especial en ciertos medios dónde dependemos de cuidar tanto nuestras conexiones.
¿Cómo hacer un ataque DDoS?
El concepto detrás no solo es sencillo de entender, también es bastante fácil de ejecutar cualquiera de las acciones requeridas para saturar un servicio web o un dominio y que se recupere rápidamente.
Mantener el número de usuarios en nuestras redes no siempre es sencillo por el tráfico que se produce y otros afectos, igualmente, las herramientas para hackers pueden suplir esto.
Mediante la invasión de direcciones IP o infectando diferentes ordenadores, se pueden crear modelos de direcciones fantasma que afecte las conexiones desde servidores remotos.
Es posible para el hacker también comprometer diferentes direcciones legales de computadores, convirtiéndolas en fuentes de ataque. En este aspectos encontrar los ladrones no es sencillo, revisando habitaciones generalmente, tomando las medidas correspondientes para proteger nuestro IP.
Una de las técnicas más populares para realizar un ataque masivo es aprovechar el uso de botnets y su potencial de sobresaturar espacios. Este procedimiento requiere que creemos bots que saturen de información a las direcciones virtuales de nuestra elección.
Sin saberlo, nuestros ordenadores potencialmente pueden ser infectados por un troyano que un atacante pueda utilizar con este método.
¿Cuánto cuesta un ataque DDoS?
Al ser tan sencillos y fáciles de programar, los ataques DDoS son muy populares por su bajo coste. Los hackers se han aprovechado de esto, ofreciendo servicios completos en las partes más obscuras de la web negociando con la posibilidad de saturar ordenadores.
Varias investigaciones hechas en Europa arrojan que los precios varían de diez euros en adelante; igualmente los precios de sus servicios varían a medida que los sistemas requieren de mayor información o paquetes más invulnerables.
Técnicas de protección frente a ataques DDoS
Los ataques DDoS pueden ser evitados, incluso podríamos llegar a detenerlos. Algunos softwares integrados en nuestros ordenadores están fabricados para limpiar diversos tipos de errores o invasiones que hagan terceros a nuestro sistema. Tanto los firewall como los adblocks pueden ser una forma de evitar la saturación por bots.
En caso de ser fundadores de alguna empresa que posea un portan en web, es importante que nuestros sistemas se mantengan en línea.
En la actualidad la mayoría de los portales que utilizamos reciben dinero por el tráfico de usuarios, consumiendo la información de nuestros portales y nuestros servicios, es decir, una web es una forma de tienda en línea y perderla es perjudicial para la empresa.
¿Cómo evitar un ataque DDoS?
Todo tipo de ataque digital puede ser mitigado o evitado por completo con el suficiente trabajo de nuestra parte. Mientras más nos esforcemos en limitar las opciones para los atacantes, podremos con mayor eficiencia crear barreras en un espacio limitado, de esta forma, asegurar nuestro sistema. Es requerido asegurar todas nuestras aplicaciones de protocolos e invasiones innecesarias.
En algunos casos se pueden utilizar recursos informáticos en las redes de distribución de contenido de la mano con componentes de gestión de tráfico restringiendo su exceso es las estructuras capaces de colapsar nuestros servidores de base de datos.
Utilizar firewalls también puede ser útil para proteger la mayor parte de protocolos, en el caso de los especializados tendremos más opciones de protección
Controlar la capacidad de transito
Al buscar un espacio en la red o diseñar nuestro propio espacio, es importante tomar en cuenta la capacidad del hospedaje para ofrecernos una amplia conectividad de Internet que pueda soportar altos niveles de tráficos.
Los ataques DDoS busca afectar los recursos de un portal con y sus aplicaciones relacionadas, como dueños debes proporcionar que nuestras plataformas sean de fácil acceso a nuestros usuarios con la rapidez que pueden esperar de nuestro servicio.
Con servicios en la plataforma o un host que soporte un gran ancho de banda ofrece a los usuarios un fácil acceso a a nuestro portal, soportando los posibles ataques en su contra.
Una forma de proteger nuestras redes con mayor efectividad es utilizar redes de distribución de contenido (CDN) y servicios inteligentes de resolución de DNS. Con estos servicios crearemos una red para mejorar los servicios finales que llegan al usuario.
Aumentar la capacidad de servidores
Gran parte de los ataques se concentran en engrosar los medios que utilizan una gran cantidad de recursos, por lo tanto, es importante poder ampliar o reducir los recursos informáticos de nuestros sistemas.
Para mejorar este aspecto en nuestros sistemas se pueden contar con funciones de red más amplias o redes mejoradas que admitan volúmenes más grandes.
Podemos complementar estos servicios con administradores de cargas y recursos, para hacerlos más efectivos o trasladar las cargas de un recurso a otro con el fin de evitar sobrecargar un recurso.
Conocer nuestro tráfico y su peso en nuestros medios
Una vez detectados tráficos mayores en nuestro host, la lógica nos indica que deberíamos aceptar el número de tráfico que nuestro host pueda administrar. Este concepto se conoce como límite de tasa, y medida nos permite controlar los números de usuarios.
Las técnicas de protección más avanzadas pueden ir más allá y permite analizar estos datos para conocer los datos reales. Estos datos nos pueden servir de referencia para conocer cómo proteger nuestros servicios.
Implementar firewalls para prevenir o detener ataques a nuestros sistemas
Cada ataque DDoS puede ser detenido, en muchos casos podremos utilizar Web Application Firewall (WAF) contra ataques del tipo inyección de código SQL o falsificación de solicitudes entre sitios, cada uno enfocado en saturar nuestros sistemas.
Con ayuda de estas medidas, debería ser posible crear medidas personalizadas en el sistema que nos permita controlar o detectar las solicitudes ilegítimas que pudieran de tráfico o venir de direcciones IP falsas.
Los dos ataques DDoS más grandes de la historia
Párrafos anteriores hablamos de la historia de GitHub y cómo puso en el mapa finalmente los ataques DDoS, siendo el más sonado y conocido en las últimas décadas debido a sus implicaciones. En esta década, en la historia del internet, se registraron los dos ataques DDoS más grandes de los que se haya tenido registro hasta el momento.
El primero fue el de GitHub, mencionado varias veces a lo largo del artículo, ocurrido el miércoles 28 de febrero, quedando completamente fuera de servicio por cinco minutos desde las 17:21 y con un servicio intermitente, desde las 17:26 hasta las 17:30.
El segundo fue el lunes 4 de marzo, cuando la empresa Arbor Networks, afirmó que su sistema de datos y tráfico global, llamado ATLAS, registró un nuevo ataque de este tipo contra toda su plataforma y sus clientes, buscando dejar fuera de servicio toda su base de datos; debido a sus sistema pudieron detectar al atacante, sin embargo su nombre no fue revelado.
El ataque contra GitHub se hizo histórico por el pico de información que alcanzó, representado como un tráfico entrante de 1.35 terabits por segundo. Este número de tráfico por navegación superó con creces el record anterior de un 1 Tbps. Este ataque había sido realizado contra el proveedor de servicios de hosting francés OVH, en septiembre de 2016.
El segundo ataque formó parte del mismo record a pesar de ser en una hora diferentes por el pico de tráfico registrado, siendo de 1.7 Tbps, convirtiéndose de esta manera en el máximo registrado hasta el momento.
Memcrashed
Este ataque se diferencia del ataque contra OVH, por la especie de los ataques y cómo fueron ejecutados. El bombardeo contra la plataforma francesa de tráfico fue desatado por dispositivos de Internet de las Cosas (IoT) controlados por un Botnet especialmente creado para este tipo de servicio.
Es especial mencionar que en ninguno de estos dos recientes ataques se logró identificar equipos comprometidos.
En los dos casos recientemente registrados, los hackers manipularon efectivamente las bases de datos de los servidores Memcashed; este portal poseía una aplicación de táfico UDP habilitado, lo que hace ilimitado el ingreso al host sin necesidad de ningún requerimiento de afiliación al sistema. Debido a las cualidades únicas del mismo este tipo de método fue apodado “Memcrashed”.
Los servidores generalmente, como fue este el caso, está creados para mejorar la capacidad de las aplicaciones y la web en sí, sin embargo, estos servicios pueden ser utilizados como reflectores para amplificar el tráfico hacia un servicio específico.
Según varios servidores de protección, como DDoS Cloudflarela, se pueden saturar los registros de respuesta haciendo que el sistema colapse.
La importancia del ataque contra GitHub
El ataque DDoS contra GitHub buscó engañar la dirección IP de las plaicaciones encargadas de proteger la entrada al sistema, enviando repeticiones contantes a los servidores, de esta forma fueron colapsados por completo y luego, las repeticiones hicieron del servicio intermitente.
El host y sus encargados respondieron debidamente, sin embargo, la respuesta de los servidores fue desproporcionada al ataque y causó problemas posteriores.
Minutos después del ataque a los servidores del host comenzara, GitHub en respuesta se vio obligado a suscribirse al servicio de ayuda que ofrece Akamai Prolexicu, expertos en mitigación de ataques DDoS.
Este servicio permite controlar el tráfico basura y direccionarlo en servidores creado núcleos que pueden ser fácilmente reducidos con el tiempo, generando un cese en el ataque.
Los ataques DDoS no van a detenerse aquí
En el internet, libremente podemos contar con al menos 93.000 servidores Memcached que pueden ser utilizados libremente por nosotros.
Según Akamai Prolexicu, un servicio de asistencia frente a los ataques DDoS, se puede mencionar que las capacidades de reflexión de Memcached provocan que sea “altamente probable que este ataque no sea el más grande durante mucho tiempo”.
La compañía agregó después de sus declaraciones que más ataques se han registrado a diversas organizaciones durante lo que ha corrido de año y se ha detectado un aumento significativo de revisiones de los servidores abiertos de Memcached.
“Mientras que la comunidad de Internet se está uniendo para cerrar el acceso a muchos servidores Memcached abiertos, el gran número de servidores que utilizan Memcached hará que se cree una vulnerabilidad que durará bastante tiempo y que los atacantes aprovecharán.
Es muy importante que las compañías tomen los recaudos necesarios para protegerse”, publicó Arbor Networks en su blog.
Memcached vs. Memfixed
Los avances en el medio de ataques informativos van creciendo en pasos agigantados, solo este año se filtraron dos pruebas de concepto o PoC, por sus siglas en inglés, de códigos exploit para un ataque mucho mayor a los registrados hasta ahora a los o a través de ellos Memcached.
Esto preocupa a todas las comunidades que utilicen la red para generar ingresos, debido a que permitiría que cualquiera pueda realizar u aprender cómo generar un ataque DDoS utilizando esta técnica.
Debido a estas amenazas constante de la red, se ha trabajado para mejorar estos servicios, el portal de Corero Network Security divulgaron un código que llamaron Memfixed. Este código sirve para contrarrestar los ataques DDoS masivos que intenten aprovecharse de la vulnerabilidad de los servidores Memcached.
Deja una respuesta