Significado de ataque DDoS
Ataque DDoS significa "Ataque de denegación de servicio distribuido (Distributed Denial-of-Service, DDoS)" y es un delito cibernético en el que el atacante inunda un servidor con tráfico de Internet para evitar que los usuarios accedan a servicios y sitios en línea conectados.
Las motivaciones para llevar a cabo un ataque DDoS varían ampliamente, al igual que los tipos de personas y organizaciones ansiosas por perpetrar esta forma de ciberataque. Algunos ataques son llevados a cabo por personas enojadas y hacktivistas que desean derribar los servidores de una empresa simplemente para hacer una declaración, divertirse explotando la debilidad cibernética o expresando desaprobación.
Otros ataques de denegación de servicio distribuido están motivados financieramente, como un competidor que interrumpe o cierra las operaciones en línea de otro negocio para robarle los clientes mientras tanto. Otros implican extorsión, en donde los perpetradores atacan a una empresa e instalan software de rehenes o ransomware en sus servidores, luego los obligan a pagar una gran suma de dinero por el daño que se revertirá.
Los ataques DDoS están en aumento, e incluso algunas de las empresas globales más grandes no son inmunes a sufrir “DDoS”. El ataque más grande de la historia se produjo en febrero de 2020 y fue a nada menos que Amazon Web Services (AWS), lo cual superó un ataque anterior a GitHub dos años antes. Las ramificaciones de DDoS incluyen una caída en el tráfico legítimo, pérdida de negocios y daño a la reputación.
A medida que la Internet de las cosas (Internet of Things, IoT) continúa proliferando, también lo hace la cantidad de empleados remotos que trabajan desde casa, al igual que la cantidad de dispositivos conectados a una red. Es posible que la seguridad de cada dispositivo de IoT no necesariamente se mantenga al día, lo que deja la red a la cual está conectado vulnerable a ataques. Como tal, la importancia de la protección y mitigación de DDoSes crucial.
Cómo funcionan los ataques DDoS
Un ataque DDoS tiene como objetivo saturar los dispositivos, servicios y redes de su objetivo previsto con tráfico de Internet falso, haciéndolos inaccesibles o inútiles para los usuarios legítimos.
DoS frente a DDoS
Un ataque de denegación de servicio distribuido es una subcategoría del ataque de denegación de servicio (DoS) más general. En un ataque de DoS, el atacante utiliza una sola conexión a Internet para despojar a un objetivo con solicitudes falsas o para intentar explotar una vulnerabilidad de ciberseguridad. La DDoS es más grande en escala. Utiliza miles (incluso millones) de dispositivos conectados para cumplir su objetivo. El gran volumen de los dispositivos utilizados hace que la DDoS sea mucho más difícil de combatir.
Botnets
Los botnets son la forma principal en que se llevan a cabo los ataques de denegación de servicio distribuidos. El atacante entrará a computadoras u otros dispositivos e instalará un código malicioso, o malware, llamado bot. Todas juntas, las computadoras infectadas forman una red llamada botnet. Luego, el atacante le indica a la botnet que sature los servidores y dispositivos de la víctima con más solicitudes de conexión de las que puede manejar.
En qué consiste un ataque DDoS: Síntomas del ataque y cómo identificarlos
Uno de los mayores problemas para identificar un ataque DDoS es que los síntomas no son inusuales. Muchos de los síntomas son similares a lo que los usuarios de tecnología encuentran todos los días, como las velocidades lentas de rendimiento de carga o descarga, el sitio web que no está disponible para ver, una conexión a Internet desconectada, contenido y medios inusuales o una cantidad excesiva de correo no deseado.
Además, un ataque DDoS puede durar desde unas pocas horas hasta unos pocos meses, y el grado de ataque puede variar.
¿Qué países se ven más afectados por los ataques DDoS?
Tipos de ataques DDoS
Diferentes ataques apuntan a diferentes partes de una red y se clasifican de acuerdo con las capas de conexión de red a las que apuntan. Una conexión a Internet está compuesta por siete “capas” diferentes, según lo definido por el modelo de interconexión de sistemas abiertos (Open Systems Interconnection, OSI) creado por la Organización Internacional para la Estandarización. El modelo permite que diferentes sistemas informáticos puedan “hablarse” entre sí.
Ataques volumétricos o basados en volumen
Este tipo de ataque tiene como objetivo controlar todo el ancho de banda disponible entre la víctima y la Internet más amplia. La amplificación del sistema de nombres de dominio (Domain name system, DNS) es un ejemplo de un ataque basado en volumen. En este escenario, el atacante falsifica la dirección del objetivo y luego envía una solicitud de búsqueda de nombre DNS a un servidor DNS abierto con la dirección falsificada.
Cuando el servidor DNS envía la respuesta de registro DNS, se envía al objetivo, lo que hace que el objetivo reciba una amplificación de la consulta inicialmente pequeña del atacante.
Ataques de protocolo
Los ataques de protocolo consumen toda la capacidad disponible de servidores web u otros recursos, como firewalls. Exponen debilidades en las capas 3 y 4 de la pila de protocolos OSI para hacer que el objetivo sea inaccesible.
Una inundación SYN es un ejemplo de un ataque de protocolo, en el que el atacante envía al objetivo un número abrumador de solicitudes de protocolo de control de transmisión (transmission control protocol, TCP) con direcciones de protocolo de Internet (Internet Protocol, IP) de origen falsificado. Los servidores de destino intentan responder a cada solicitud de conexión, pero el protocolo de enlace final nunca ocurre, saturando al objetivo en el proceso.
Ataques de capa de aplicación
Estos ataques también tienen como objetivo agotar o saturar los recursos del objetivo, pero son difíciles de marcar como maliciosos. A menudo denominado ataque DDoS de capa 7, que se refiere a la capa 7 del modelo OSI, un ataque de capa de aplicación dirigido a la capa donde se generan las páginas web en respuesta a las solicitudes del Protocolo de transferencia de hipertexto (Hypertext Transfer Protocol, HTTP) .
Un servidor ejecuta consultas de base de datos para generar una página web. En esta forma de ataque, el atacante obliga al servidor de la víctima a manejar más de lo normal. Una inundación HTTP es un tipo de ataque de capa de aplicación y es similar a actualizar constantemente un navegador web en diferentes computadoras a la vez. De esta manera, la cantidad excesiva de solicitudes HTTP satura al servidor, lo que resulta en un DDoS.
INSCRIBIRSE PARA LA CAPACITACIÓN SOBRE FORTIDDOS
Inscríbase ahoraPrevención contra ataques DDoS
Incluso si sabe qué es un ataque DDoS, es extremadamente difícil evitar ataques porque la detección es un desafío. Esto se debe a que los síntomas del ataque pueden no variar mucho de los problemas típicos del servicio, como carga lenta de páginas web, y el nivel de sofisticación y complejidad de las técnicas DDoS continúa creciendo.
Además, muchas empresas agradecen un aumento en el tráfico de Internet, especialmente si la empresa lanzó recientemente nuevos productos o servicios o anunció noticias que mueven el mercado. Como tal, la prevención no siempre es posible, por lo que es mejor que una organización planifique una respuesta para cuando se produzcan estos ataques.
Mitigación de ataques DDoS
Una vez que un presunto ataque está en marcha, una organización tiene varias opciones para mitigar sus efectos.
Evaluación de riesgos
Las organizaciones deben realizar regularmente auditorías y evaluaciones de riesgos en sus dispositivos, servidores y en la red. Si bien es imposible evitar por completo un DDoS, un conocimiento profundo de las fortalezas y vulnerabilidades de los activos de hardware y software de la organización es de gran ayuda. Conocer los segmentos más vulnerables de la red de una organización es clave para comprender qué estrategia implementar para reducir el daño y la interrupción que puede imponer un ataque DDoS.
Diferenciación de tráfico
Si una organización cree que acaba de ser víctima de una DDoS, una de las primeras cosas que debe hacer es determinar la calidad o la fuente del tráfico anormal. Por supuesto, una organización no puede apagar el tráfico por completo, ya que esto sería tener que echar a perder lo bueno con lo malo.
Como estrategia de mitigación, utilice una red Anycast para dispersar el tráfico de ataque a través de una red de servidores distribuidos. Esto se realiza para que el tráfico sea absorbido por la red y se vuelva más controlable.
Enrutamiento de agujero negro
Otra forma de defensa es el enrutamiento de agujero negro, en el que un administrador de red (o el proveedor de servicios de Internet de una organización) crea una ruta de agujero negro y empuja el tráfico hacia ese agujero negro. Con esta estrategia, todo el tráfico, tanto el bueno como el malo, se enruta a una ruta nula y esencialmente se desconecta de la red. Esto puede ser bastante extremo, ya que el tráfico legítimo también se detiene y puede llevar a pérdidas comerciales.
Limitación de velocidad
Otra forma de mitigar los ataques DDoS es limitar la cantidad de solicitudes que un servidor puede aceptar dentro de un período específico. Esto por sí solo generalmente no es suficiente para combatir un ataque más sofisticado, pero podría servir como componente de un enfoque multifacético.
Firewalls
Para reducir el impacto de un ataque de capa de aplicación o capa 7, algunas organizaciones optan por un Firewall de aplicaciones web (WAF ). Un WAF es un dispositivo que se encuentra entre Internet y los servidores de una empresa y actúa como un proxy inverso. Al igual que con todos los firewalls, una organización puede crear un conjunto de reglas que filtren las solicitudes. Pueden comenzar con un conjunto de reglas y luego modificarlas según lo que observen como patrones de actividad sospechosa realizada por la DDoS.
Si una organización cree que acaba de ser víctima de una DDoS, una de las primeras cosas que debe hacer es determinar la calidad o la fuente del tráfico anormal. Por supuesto, una organización no puede apagar el tráfico por completo, ya que esto sería tener que echar a perder lo bueno con lo malo.
Como estrategia de mitigación, utilice una red Anycast para dispersar el tráfico malicioso a través de una red de servidores distribuidos. Esto se realiza para que el tráfico sea absorbido por la red y se vuelva más controlable.
Soluciones de protección de DDoS
Una solución de protección de DDoS totalmente robusta incluye elementos que ayudan a una organización tanto en defensa como en monitoreo. A medida que el nivel de sofisticación y complejidad de los ataques continúa evolucionando, las empresas necesitan una solución que pueda ayudarlos con ataques conocidos y ataques de día cero. Una solución de protección de DDoS debe emplear una gama de herramientas que puedan defenderse contra cada tipo de ataque de DDoS y monitorear cientos de miles de parámetros simultáneamente.
Proteja su organización de ataques conocidos y de día cero con FortiDDoS -- Haga clic aquí para obtener más información.
Preguntas frecuentes sobre ataques DDoS
¿En qué consiste un ataque DDoS?
Ataque DDoS significa "Ataque de denegación de servicio distribuido (Distributed Denial-of-Service, DDoS)" y es un delito cibernético en el que el atacante inunda un servidor con tráfico de Internet para evitar que los usuarios accedan a servicios y sitios en l��nea conectados.
¿Cuándo funciona un ataque DDoS?
Un ataque DDoS tiene como objetivo saturar los dispositivos, servicios y redes de su objetivo previsto con tráfico de Internet falso, haciéndolos inaccesibles o inútiles para los usuarios legítimos.
¿Cuál es un ejemplo de ataque DDoS?
Diferentes ataques apuntan a diferentes partes de una red y se clasifican de acuerdo con las capas de conexión de red a las que apuntan. Los tres tipos incluyen:
- Ataques volumétricos o basados en volumen
- Ataques de protocolo
- Ataques de capa de aplicación
