1. ¿Qué es un ataque DDoS?
Un ataque de denegación de servicio distribuido (DDoS) ocurre cuando varias máquinas atacan un objetivo a la vez, interrumpiendo el flujo normal del servidor, servicio o red objetivo al inundar el objetivo o la infraestructura circundante con una avalancha de tráfico de Internet.
DDoS permite enviar exponencialmente más solicitudes a un objetivo, lo que aumenta el poder de ataque. También aumenta la dificultad de atribución porque la verdadera fuente del ataque es más difícil de identificar.
Los ataques DDoS pueden ser devastadores para las empresas en línea, por lo que es fundamental comprender cómo funcionan y cómo mitigarlos rápidamente.
Las motivaciones para llevar a cabo ataques DDoS varían ampliamente, al igual que los tipos de personas y organizaciones que llevan a cabo ataques DDoS. Algunos ataques son llevados a cabo por individuos descontentos y hacktivistas que quieren derribar los servidores de una empresa solo para hacer una declaración, explotar un error o expresar su descontento de alguna manera.
Otros ataques DDoS tienen una motivación financiera, como cuando un competidor interrumpe o cierra las operaciones en línea de otra empresa para robar negocios. Otros involucran la extorsión, en la que los perpetradores atacan a una empresa e instalan ransomware en sus servidores, luego los obligan a pagar grandes sumas de dinero para recuperar sus pérdidas.
2. ¿Cómo funciona un ataque DDoS?
Los ataques DDoS están diseñados para inundar los dispositivos, servicios y redes de un objetivo objetivo con tráfico de Internet falso, haciéndolos inaccesibles o inútiles para los usuarios legítimos.
Mientras que un simple ataque de denegación de servicio involucra una computadora "atacante" y una víctima, DDoS se basa en un enjambre de computadoras infectadas o "robots" capaces de realizar tareas simultáneamente. Estas botnets son grupos de dispositivos secuestrados conectados a Internet capaces de llevar a cabo ataques a gran escala. Los atacantes aprovechan las brechas de seguridad o las debilidades de los dispositivos para tomar el control de una gran cantidad de dispositivos utilizando software de comando y control. Una vez que tienen el control, los atacantes pueden ordenar a su botnet que haga DDoS al objetivo. En este caso, el dispositivo infectado también es víctima del ataque.
Las botnets de los dispositivos infectados también se pueden alquilar a otros posibles atacantes. Por lo general, las redes de bots se utilizan para servicios de "ataque por contrato", lo que permite a los usuarios no calificados lanzar ataques DDoS.
En un ataque DDoS, los ciberdelincuentes se aprovechan del comportamiento normal que se produce entre los dispositivos de red y los servidores, a menudo teniendo como objetivo los dispositivos de red que establecen conexiones a Internet. Por lo tanto, los atacantes se centran en los dispositivos de la red perimetral (p. ej., enrutadores, conmutadores) en lugar de servidores individuales. Un ataque DDoS inunda la tubería de la red (ancho de banda) o el equipo que proporciona ese ancho de banda.
3. ¿Cómo identificar un ataque DDoS?
La mejor manera de detectar e identificar ataques DDoS es a través del monitoreo y análisis del tráfico de red. El tráfico de la red se puede monitorear a través de firewalls o sistemas de detección de intrusos. Los administradores pueden incluso configurar reglas para crear alertas e identificar fuentes de tráfico cuando se detectan cargas de tráfico anormales o para descartar paquetes de red que cumplan con ciertos criterios.
Los síntomas de un ataque DoS pueden parecerse a problemas de disponibilidad no maliciosos, como problemas técnicos con una red en particular o un administrador del sistema que realiza el mantenimiento. Pero los siguientes síntomas pueden indicar un ataque DoS o DDoS:
El rendimiento de la red es inusualmente lento
Ciertos servicios web y/o sitios web no están disponibles
no puedo acceder a ningun sitio
Una dirección IP que realiza una cantidad inusualmente grande de solicitudes en un período de tiempo limitado
El servidor respondió con un error 404 debido a una interrupción del servicio
El análisis de registros muestra un aumento significativo en el tráfico de red
Patrones de tráfico extraños, como picos o patrones inusuales en momentos extraños del día
4. Principales tipos de ataques DDoS
Los ataques DDoS y de capa de red son complejos y variados. Debido al creciente mercado en línea, los atacantes ahora pueden realizar ataques DDoS con poco o ningún conocimiento de las redes y los ataques cibernéticos. Las herramientas y los servicios de ataque son fácilmente accesibles, lo que hace que el grupo de posibles ataques sea más grande que nunca.
A continuación, se muestran cuatro de los ataques DDoS más comunes y sofisticados que actualmente tienen como objetivo a las organizaciones.
Aplicación, ataque DDoS de capa 7
Los ataques DDoS de aplicaciones permiten ataques DDoS atacando el agotamiento de los recursos utilizando el conocido Protocolo de transferencia de hipertexto (HTTP), así como HTTPS, SMTP, FTP, VOIP y otros protocolos de aplicaciones con debilidades explotables. Al igual que los ataques contra los recursos de la red, los ataques contra los recursos de las aplicaciones se presentan de muchas formas, incluidos los ataques de inundación y los ataques "bajos y lentos".
ataque de volumen o ataque basado en volumen
Los ataques volumétricos y los ataques de reflexión/amplificación aprovechan las diferencias en las proporciones de solicitud y respuesta en ciertos protocolos técnicos. El atacante envía paquetes al servidor reflector, cuya dirección IP de origen se falsifica como la IP de la víctima, inundando así indirectamente a la víctima con paquetes de respuesta, un ejemplo común es un ataque de amplificación de DNS reflexivo.
SSL/TLS y ataques de encriptación
Los atacantes usan el protocolo SSL/TLS para enmascarar y complicar aún más el tráfico de ataques en amenazas a nivel de red y de aplicación. Muchas soluciones de seguridad utilizan motores pasivos para la protección contra ataques SSL/TLS, lo que significa que no pueden distinguir de manera efectiva entre el tráfico de ataque cifrado y el tráfico legítimo cifrado, sino que solo pueden limitar la tasa de solicitudes. Detener tales ataques requiere la mitigación de DDoS, combinando capacidades automatizadas de detección y mitigación basadas en el aprendizaje automático con una protección integral para cualquier infraestructura: nubes locales, privadas y públicas.
Ataque de tsunami DDoS web
Los ataques Web DDoS Tsunami combinan vectores de ataque de capa de aplicación, aprovechando nuevas herramientas para crear ataques sofisticados que son más difíciles de detectar y mitigar con los métodos tradicionales.
5. Cómo prevenir ataques DDoS
Para prevenir los ataques DDoS, las organizaciones deben considerar varias capacidades clave para mitigar los ataques DDoS, garantizar la disponibilidad del servicio y minimizar los falsos positivos. El uso de técnicas basadas en el comportamiento, la comprensión de los pros y los contras de las diferentes opciones de implementación de DDoS y la capacidad de mitigar una variedad de vectores de ataque DDoS es fundamental para prevenir los ataques DDoS.
Las siguientes características son críticas para prevenir ataques DDoS:
automatización
Con los ataques DDoS dinámicos y automatizados de hoy en día, las organizaciones no quieren depender de la protección manual. El servicio no requiere la intervención del cliente y tiene un ciclo de vida de ataque completamente automatizado (recopilación de datos, detección de ataques, desvío de tráfico y mitigación de ataques) que garantiza una protección de mejor calidad.
Protección basada en el comportamiento
Las soluciones de mitigación DDoS que bloquean los ataques sin afectar el tráfico legítimo son fundamentales. Las soluciones que aprovechan el aprendizaje automático y los algoritmos basados en el comportamiento para comprender qué constituye un comportamiento legítimo y bloquear automáticamente los ataques maliciosos son fundamentales. Esto aumenta la precisión de la protección y minimiza los falsos positivos.
Capacidades de limpieza y red global
Los ataques DDoS están aumentando en número, gravedad, sofisticación y persistencia. Si se enfrentan a ataques masivos o simultáneos, los servicios DDoS en la nube deben proporcionar una sólida red de seguridad global que se pueda escalar a capacidades de mitigación de nivel Tbps y tener un centro de depuración dedicado para aislar el tráfico limpio del tráfico de ataques DDoS.
Varias opciones de implementación
La flexibilidad en los modelos de implementación es fundamental para que las organizaciones puedan adaptar sus servicios de mitigación de DDoS a sus necesidades, presupuesto, topología de red y perfil de amenazas. El modelo de implementación apropiado (protección en la nube híbrida, bajo demanda o siempre activa) variará según la topología de la red, el entorno de alojamiento de la aplicación y la sensibilidad a la latencia y la latencia.
Protección integral contra una variedad de vectores de ataque
El panorama de amenazas cambia constantemente, y las soluciones de mitigación de DDoS que ofrecen la protección más amplia no se limitan a la protección contra ataques de capa de red, sino que también incluyen protección contra los vectores de ataque anteriores.
6. Cómo mitigar los ataques DDoS
Hay varios pasos y medidas importantes que las organizaciones pueden seguir para mitigar los ataques DDoS. Esto incluye la comunicación oportuna con las partes interesadas internas y los proveedores externos, el análisis de ataques, la activación de contramedidas básicas (como la limitación de velocidad) y la protección y el análisis de mitigación DDoS más avanzados.
A continuación se muestran los cinco pasos que debe seguir para mitigar un ataque DDoS.
Paso 1: Recordar a las partes interesadas clave
Informar a las partes interesadas clave dentro de la organización sobre el ataque y los pasos que se están tomando para mitigarlo.
Los ejemplos de partes interesadas clave incluyen CISO, Centros de operaciones de seguridad (SoC), directores de TI, gerentes de operaciones, gerentes comerciales de los servicios afectados, etc.
La información clave debe incluir:
Qué activos (aplicaciones, servicios, servidores, etc.) se ven afectados
Impacto en Usuarios y Clientes
¿Qué medidas se están tomando para mitigar el ataque?
Paso 2: notifique a su proveedor de seguridad
También debe alertar a su proveedor de seguridad y activar sus medidas para ayudar a mitigar el ataque.
Su proveedor de seguridad puede ser su proveedor de servicios de Internet (ISP), proveedor de alojamiento web o proveedor de servicios de seguridad dedicado. Cada tipo de proveedor tiene diferentes capacidades y alcance de servicios. Su ISP puede ayudarlo a minimizar el tráfico web malicioso que llega a su red, mientras que su proveedor de alojamiento web puede ayudarlo a minimizar el impacto de la aplicación y escalar sus servicios en consecuencia. Asimismo, los servicios de seguridad suelen contar con herramientas especializadas para hacer frente a los ataques DDoS.
Paso 3: Iniciar Contramedidas
Si ya tiene implementadas contramedidas anti-DDoS, actívelas.
Un enfoque es implementar listas de control de acceso (aCl) basadas en IP para bloquear todo el tráfico de las fuentes de ataque. Esto se hace a nivel del enrutador de la red y, por lo general, lo puede hacer su equipo de red o ISP. Este es un enfoque útil si el ataque proviene de una sola fuente o de una pequeña cantidad de fuentes de ataque. Pero este método puede no ser útil si el ataque proviene de una gran cantidad de direcciones IP.
Si el objetivo del ataque es un servicio basado en aplicaciones o basado en web, puede limitar la cantidad de conexiones de aplicaciones simultáneas. Este método se denomina limitación de velocidad y suele ser el preferido por los proveedores de alojamiento web y las CDN. Tenga en cuenta que este método es propenso a falsos positivos, ya que no puede distinguir entre el tráfico de usuarios legítimos y maliciosos.
Una herramienta de protección DDoS dedicada le brindará la más amplia cobertura de ataques DDoS. La protección DDoS se puede implementar como un dispositivo en el centro de datos, como un servicio de limpieza basado en la nube o como una solución híbrida que combina dispositivos de hardware y servicios en la nube.
Paso 4: monitorear el progreso del ataque
A lo largo del ataque, supervise el progreso del ataque para comprender su desarrollo.
Esto debe incluir:
¿Qué tipo de ataque DDoS es? ¿Es una inundación a nivel de red o un ataque a la capa de aplicación?
¿Cuáles son sus características de ataque? ¿Qué tan grande es el ataque en términos de bits por segundo y paquetes por segundo?
¿El ataque proviene de una única fuente de IP o de varias fuentes? ¿Puedes identificarlos?
¿Cómo es el patrón de ataque? ¿Es una sola inundación sostenida o un ataque en ráfaga? ¿Se trata de un solo protocolo o múltiples vectores de ataque?
¿El objetivo del ataque siguió siendo el mismo o el atacante cambió de objetivo con el tiempo?
El seguimiento del progreso de un ataque también puede ayudarlo a ajustar sus defensas para detener el ataque.
Paso 5: Evaluar el desempeño de la defensa
Finalmente, a medida que evoluciona el ataque y se lanzan las contramedidas, evalúe su efectividad. Su proveedor de seguridad debe documentar un acuerdo de nivel de servicio comprometiéndose con sus obligaciones de servicio. Asegúrese de que cumplan con los SLA y si tienen un impacto en sus operaciones.