¿En qué consiste el texto cifrado?
El texto cifrado se refiere a los datos cifrados e ilegibles. La única forma de leer los datos cifrados es descifrándolos utilizando una clave de cifrado. Dado que el texto cifrado no se puede leer sin...
Un ataque de denegación de servicio distribuido (DDoS) supone un intento de interrumpir el tráfico normal de un servidor objetivo. Se consigue superando la capacidad de un servidor, un servicio o una red con un volumen inmenso de tráfico de Internet. Así, el servidor se ralentiza o se bloquea por completo. Imagínese un atasco en el que todos los coches de la carretera tengan que reducir la velocidad o detenerse. En lugar de ralentizar o detener los vehículos, un ataque DDoS ralentiza o detiene el tráfico web, lo que hace que un sitio web o una aplicación se ejecute con lentitud o se bloquee por completo.
Los recursos de red solo pueden gestionar un número finito de solicitudes, y los servidores tienen un ancho de banda limitado. Esto significa que el nivel de servicio disminuirá cada vez que el volumen de tráfico exceda el límite de capacidad.
Por lo general, el objetivo final de un atacante es obstruir por completo el funcionamiento normal de la fuente web. Además, el atacante también podría exigir un pago para poner fin al ataque. El ataque también podría ser un intento de desacreditar o dañar la reputación de una empresa.
Los ataques DDoS se perpetran con redes de máquinas, llamadas bots, conectadas a Internet. Estas redes están compuestas por ordenadores y otros dispositivos, como los dispositivos de Internet de las cosas (IdC), infectados con malware. A un conjunto de bots se les llama “botnet”. Cuando se crea una botnet, el atacante puede controlar el ataque dando comandos a cada bot de forma remota.
Cuando una botnet tiene como objetivo un servidor o una red, cada bot envía consultas a la dirección IP. Esto es lo que hace que el servidor o la red se vean sobrepasados, lo que resulta en un ataque DDoS sobre el tráfico normal. Dado que cada bot es un dispositivo de Internet legítimo, distinguir el tráfico de ataque del tráfico normal puede llegar a ser difícil.
Aunque la mayoría de los ataques DDoS implican inundar de tráfico un dispositivo o una red objetivo, hay tres tipos principales de ataques y, dentro de cada tipo, varios subtipos.
Un ataque volumétrico intenta sobrepasar el ancho de banda de una red enviando mucho tráfico o muchas solicitudes al objetivo. Estos ataques buscan llevar al límite la capacidad del objetivo con intención de ralentizar o detener por completo sus servicios. El tamaño de la solicitud suele ser de cientos de gigabits por segundo (Gbps). Recientemente, los ataques más nuevos han superado el terabyte por segundo (Tbps).
Los ataques volumétricos son habituales porque los obstáculos técnicos a la producción de un volumen excesivo de solicitudes son menores. La mayoría de las veces, los atacantes utilizarán tácticas de amplificación sencillas. Cuando se utiliza este tipo de táctica, el tráfico proviene de varias fuentes, como direcciones IP o redes, lo que hace que la mitigación manual de los ataques volumétricos sea más difícil.
La amplificación de los sistemas de nombres de dominio (DNS) es un subtipo de ataque volumétrico. Durante este tipo de ataque volumétrico, los atacantes hacen uso de las prestaciones de los servidores DNS abiertos. Una vez dentro, el atacante sobrepasa al servidor o los servidores de destino con un volumen excesivo de tráfico, lo que hace que el servidor y la infraestructura circundante queden inaccesibles.
Una inundación UDP es otro subtipo de ataque volumétrico. Durante este tipo de ataque, el atacante envía una inmensa cantidad de paquetes de protocolo de datagramas de usuario (UDP) al servidor objetivo, con el fin de sobrepasar la capacidad para procesar solicitudes y responder a estas del dispositivo. Esto puede provocar que el firewall que protege el servidor objetivo no dé abasto y se deniegue el servicio al tráfico legítimo.
Un ataque de protocolo utiliza solicitudes de conexión maliciosas que aprovechan las interacciones de los protocolos para probar, utilizar y agotar la capacidad de diferentes recursos de la infraestructura de red, incluidos los servidores y los firewalls.
Una inundación SYN es un subtipo de ataque de protocolo que busca agotar por completo los recursos del servidor para que no esté disponible para el tráfico legítimo. Los atacantes pueden superar la capacidad de todos los puertos abiertos de un servidor enviando paquetes de solicitud de conexión inicial (SYN) con frecuencia. Como resultado, el dispositivo objetivo responde al tráfico legítimo de forma lenta o, directamente, no lo hace.
Otro subtipo de ataque de protocolo es el llamado “ping de la muerte”. Cuando se produce este tipo de ataque, el atacante envía un gran paquete de datos maliciosos al servidor objetivo mediante una simple demanda de ping. Lo que se envía es significativamente mayor de lo que el servidor puede gestionar, por lo que el servidor se bloquea, se desestabiliza o deja de funcionar.
El objetivo de un ataque a la capa de aplicaciones es agotar los recursos del objetivo para causar una denegación de servicio. El objetivo de estos ataques es dirigirse a la capa donde se crean las páginas web en el servidor. El coste de procesar una única solicitud HTTP es bajo para el cliente, pero el coste de responder en el servidor de destino puede ser elevado. Esto se debe a que el servidor carga con frecuencia varios archivos y consultas de bases de datos para generar una página web. La mitigación de los ataques a la capa de aplicaciones es complicada, igual que lo es distinguir entre tráfico malicioso y legítimo.
Un ataque de inundación de protocolos de transferencia de hipertexto (HTTP) es un subtipo de ataque a la capa de aplicaciones que tiene como objetivo superar la capacidad de un servidor de destino con solicitudes HTTP. La denegación de servicio se produce cuando el objetivo se satura de solicitudes y ya no puede reaccionar ante el tráfico legítimo.
Los ataques “low and slow”, también conocidos como “ataques lentos”, son otro subtipo de ataques a la capa de aplicaciones. Se trata de un ataque furtivo contra el servidor objetivo. Se envía lo que parece ser tráfico legítimo a un ritmo extremadamente lento, lo que hace que sea difícil distinguirlo del tráfico normal. Por este motivo, este tipo de ataque permanece indetectable durante largos períodos de tiempo.
Aunque los cibercriminales a veces amenazan a los objetivos antes de lanzar un ataque DDoS, muchas veces se perpetran sin previo aviso. Además, pueden pasar varias horas entre el momento en que el personal de seguridad detecta un ataque DDoS y el momento en que lo mitiga. Esto puede ocasionar varias horas de servicio lento, o el bloqueo de un sitio web o una aplicación, lo que puede afectar significativamente a las impresiones de los usuarios sobre el sitio y las ventas.
A continuación, indicamos algunas señales de advertencia que podrían señalar un ataque DDoS en curso.
Diferenciar entre el tráfico malicioso y el legítimo es una cuestión clave a la hora de mitigar un ataque DDoS. A continuación, le presentamos algunas formas de mitigar los ataques DDoS.
Si tiene todo preparado para un ataque DDoS antes de que ocurra, sabrá exactamente qué hacer si se produce uno. En su plan de respuesta a los ataques DDoS, debe incluir una lista de verificación con todos los pasos que debe seguir, con quién debe ponerse en contacto y las herramientas que debe utilizar. El plan de respuesta debe especificar también las responsabilidades de cada persona del equipo. Al asignar responsabilidades desde el principio, todos los miembros de su equipo sabrán qué hacer cuando se identifique un ataque DDoS. Disponer de un plan de respuesta podría mitigar un ataque DDoS antes de que se produzca un daño permanente a la organización.
Los ataques DDoS interrumpen el tráfico de un servidor objetivo sobrepasando su capacidad con un volumen inmenso de tráfico de Internet. Si supervisa continuamente el tráfico de su servidor o red con herramientas específicas, puede identificar cada vez que el tráfico alcance un determinado umbral con alertas o notificaciones. Estas herramientas no solo le ayudan a identificar los ataques DDoS desde el principio, sino que también le ayudan a mitigar los daños.
Como los ataques DDoS utilizan botnets para superar la capacidad de los servidores objetivo, resulta muy útil limitar el volumen de solicitudes que un usuario o un bot pueden realizar controlando el tiempo entre cada solicitud hecha desde cada dirección IP. Cuando se realizan demasiadas solicitudes en un determinado período de tiempo desde una única dirección IP, la herramienta de limitación de volumen las bloquea.