En medio de un entorno basado en operaciones digitales, el Internet de las Cosas (IoT) y en el funcionamiento continuo de diferentes aplicaciones y herramientas, el detenimiento de sitios web y otras plataformas es un riesgo de Ciberseguridad que representa costos millonario para las empresas. Por ello, la protección contra ataques DDoS (Distributed Denial of Service) se ha convertido en un aspecto imperativo en los negocios.
Un ciberdelito asociado a la denegación de servicio pondrá en riesgo la integridad de los archivos digitales y la confidencialidad de sus informaciones, a la vez que obstaculizará el cumplimiento del proceso comercial del cual derivan los ingresos.
En este post profundizaremos en la protección contra ataques DDoS como método de mitigación de riesgos y las mejores prácticas al respecto.
¿Qué son los ataques DDoS?
Los ataques de denegación de servicio distribuido o Distributed Denial of Service se dirigen a sitios web y servidores e interrumpen los procesos de red con el fin de degradar la calidad del servicio.
Un ataque DDoS intenta agotar los recursos de una aplicación. Es por ello que los perpetradores de los ataques inundan los sitios web con tráfico errático, lo que hace que funcionen mal o que se desconecten por completo.
Los ataques DDoS se pueden dividir en tres grupos:
1. Ataques volumétricos
Estos ataques de volumen tienen como principal objetivo colmar el ancho de banda de un recurso o servicio en específico. Igualmente, son conocidos como “ataques basados en volumen”, ya que, al emitir grandes cantidades de tráfico a través de botnet (bots), el atacante ralentiza o bloquea el tráfico de los usuarios reales.
Los siguientes son algunos tipos de ciberataques volumétricos:
Amplificación de DNS
En un ataque de amplificación de DNS, el agresor falsifica la dirección IP de destino y envía una masiva cantidad de solicitudes para que el servidor DNS responda. Al responder, los servidores DNS generan cantidades masivas de tráfico, abrumando a los servicios de una organización.
Inundación ICMP
En una acometida de inundación ICMP, los mensajes del protocolo de mensajes de control de Internet (Internet Control Message Protocol) se utilizan para incrementar el ancho de banda de la red de un objetivo.
Inundación UDP
En los atentados de inundación UDP, los ciberatacantes utilizan paquetes IP que contienen el protocolo de datagrama del usuario (User Datagram Protocol) con el fin de colapsar los puertos del host que son objeto del ataque.
2. Ataques de protocolo
Estos ataques tienen como objetivo consumir y debilitar los recursos reales de los servidores y equipamiento intermedio como firewalls (cortafuegos). Asimismo, se conocen como ataques basados en protocolos.
A tal efecto, los agresores usan solicitudes de conexión con malicia para lograr vulnerar las comunicaciones del protocolo. Sus principales tipos son:
Ping of Death (ping de la muerte)
En ataques llamados ping de la muerte, los ciberatacantes emiten un paquete de tamaño superior al máximo permitido para incitar una caída en el servidor al que se dirige el ataque.
Este ataque de tamaño superior al permitido se fragmenta en partes al ser transmitido al servidor y, cuando este empiece a reunir las partes, el tamaño exceda el límite y provoque un desbordamiento de buffer.
Ataque DDoS Smurf
En ataques Smurf, los agresores transmiten un gran número de paquetes ICMP utilizando una IP de origen falsa, que pertenezca al objetivo del ataque a una red de computadoras a través de una dirección IP de difusión.
Si existen muchos números de dispositivos en la red, las respuestas a la IP de origen podrían abarcar por completo el tráfico del ordenador objeto del ataque.
Inundación SYN
En ataques de inundación, los cibercriminales se apoyan en un usuario infectado con el malware con el objetivo de distribuir una gran cantidad de paquetes SYN que no pasan por procesos de verificación.
Como el protocolo de control de transmisión entabla conexiones en diversos pasos (sincronización, confirmación de esta misma y final), el servidor permanece a la expectativa de respuesta de numerosas conexiones incompletas y eventualmente se queda sin capacidad para aceptar nuevas conexiones legítimas.
3. Ataques a la capa de aplicación
En estos, los agresores tienen como objetivo instruir una caída del servidor web con solicitudes supuestamente legítimas. Este tipo de agresiones, conocidas como Ataques DDoS de capa 7”, son fáciles de aplicar y difíciles de detener, y suelen estar dirigidas a aplicaciones específicas.
Estos son algunos tipos de ataques a la capa de aplicación o ataques de capa 7:
Inundación HTTP
Las acometidas de inundación de HTTP (Hypertext Transfer Protocol) provocan un efecto similar al de refrescar constantemente un buscador web en un gran número de ordenadores de manera simultánea; esta cantidad de solicitudes generan inundación al servidor.
Low and Slow (bajo y lento)
En los ataques low and slow, los cibercriminales utilizan un diminuto flujo de tráfico muy lento y no requieren de mucho ancho de banda para llevar a cabo su ataque.
La protección contra ataques DDoS low and slow no es sencilla debido a que es complejo diferenciar el tráfico malicioso del normal. Esto permite que pasen sin ser detectados durante largos fragmentos de tiempo y que demore el servicio a los usuarios reales.
¿Qué podemos hacer en caso de un ataque DDoS?
En principio, para la protección contra ataques DDoS realmente eficiente, lo más importante es mantener todos los equipos con antivirus actualizados y monitorear la actividad dentro de su red.
Asimismo, se debe contar con una infraestructura flexible que genere capacidad en demanda y que soporte las necesidades de negocio creciente. Esto conlleva obtener equipos propios y especializados de seguridad, es decir, dispositivos que se interpongan entre el atacante y su infraestructura para detener el ataque.
¿Qué herramientas nos permiten protegernos de un ataque DDoS?
Estas herramientas son las utilizadas para la protección contra ataques DDoS y que te pueden servir para asegurar la integridad de tu información.
Difusión con red anycast
Apoyarse de una red anycast permite diluir el tráfico generado por los ataques DDoS, apoyándose de una red de servidores distribuidos por todo el mundo, para soportar el tráfico de información y que permita gestionar el ataque eficientemente.
Filtración de agujeros negros
Crear una ruta de agujeros negros a través de la cual canalizar el tráfico a una ruta inválida o un agujero negro, haciendo así que abandone la red.
Limitación de velocidad
Fijar la cantidad de requerimientos que el servidor está en capacidad de aceptar durante un periodo de tiempo.
Reducir la superficie del área expuesta a ataques
Reducir esta superficie ayuda a disminuir los puntos potenciales para ser atacados y centrar la protección en un único lugar. Así, empleas recursos de autenticación, prevención y respaldo a una zona de tu infraestructura y bases de datos claramente ubicada y optimizada.
Desplegar un firewall de aplicaciones web
Utilizar un firewall de aplicaciones web (WAF , por web Application Firewall) resulta una poderosa defensa del protocolo de capa 7, que ayuda a filtrar y monitorizar el tráfico HTTP entre una aplicación web-Internet.
Además de estas buenas prácticas, aspectos básicos como la gestión de contraseñas, el control de acceso y la educación de los usuarios empresariales deben ser prioridades para resguardar datos personales y empresariales, fortaleciendo su política anti-DDos.
Sumado a esto, como medida de seguridad avanzada, conviene evaluar su perímetro e infraestructura de Ciberseguridad de manera continua y a gran escala, para detectar posibles vulnerabilidades de sus datos privados, así como brechas que faciliten DDos y otros ataques efectuados por ciberdelincuentes.
Le invitamos a explorar nuestro servicio CS Lighthouse DETECT, que lo ayudará a encontrar amenazas de seguridad complejas de detectar, pero que podrían estar generando daños en su empresa justo en este momento.
