un ataque distribuido de denegación de servicio (DDoS) es un intento de bloquear un servidor web o un sistema en línea abrumándolo con datos. Los ataques DDoS pueden ser simples Travesuras, venganza o hacktivismo, y pueden variar desde una molestia menor hasta un tiempo de inactividad a largo plazo que resulta en pérdida de negocio.
Los Hackers atacaron GitHub con un ataque DDoS de 1.35 terabytes de datos por segundo en febrero de 2018. Ese es un ataque masivo, y es dudoso que sea el último de su tipo.,
obtenga el libro electrónico gratuito Pen Testing Active Directory Environments
a diferencia del ransomware o los ataques de grupos APT, que están motivados financieramente, los ataques DDoS son más disruptivos y molestos. ¿Qué tan malo puede ser? Miles de jugadores ávidos no podían conseguir en clásico WoW debido a un ataque DDoS! El punto es que los atacantes no ganan dinero con un ataque DDoS, simplemente lo hacen para causar dolor.,
- DoS vs DDoS
- Efecto en la seguridad
- Tipos de ataques
- prevención
- ataques DDoS hoy
- Preguntas Frecuentes sobre ataques DDoS
¿cómo funciona un ataque DDoS?
los ataques DDoS a menudo funcionan con botnets, un gran grupo de computadoras distribuidas que actúan En concierto entre sí, enviando spam simultáneamente a un sitio web o proveedor de servicios con solicitudes de datos.
Los atacantes utilizan malware o vulnerabilidades sin parches para instalar software de comando y Control (C2) en los sistemas del usuario para crear una botnet., Los ataques DDoS dependen de un gran número de equipos en la botnet para lograr el efecto deseado, y la forma más fácil y barata de obtener el control de tantas máquinas es aprovechando los exploits.
el ataque DYNDNS explotó las cámaras WIFI con contraseñas predeterminadas para crear una enorme botnet. Una vez que tienen la botnet lista, los atacantes envían el comando start a todos sus nodos de botnet, y las botnets enviarán sus solicitudes programadas al servidor de destino., Si el ataque supera las defensas externas, abrumará rápidamente a la mayoría de los sistemas, causará interrupciones del servicio y, en algunos casos, bloqueará el servidor. El resultado final de un ataque DDoS es principalmente la pérdida de productividad o la interrupción del servicio: los clientes no pueden ver un sitio web.
si bien eso puede sonar benigno, el costo promedio de un ataque DDoS fue de 2 2.5 millones en 2017. Kaspersky informa que los ataques DDoS cuestan a las pequeñas empresas 1 120,000 y a las empresas enterprises 2,000,000. Los Hackers realizan ataques DDoS para cualquier cosa que vaya desde bromas infantiles hasta venganza contra un negocio para expresar activismo político.,
los ataques DDoS son ilegales bajo la Ley de fraude y abuso informático. Iniciar un ataque DDoS contra una red sin permiso le costará hasta 10 años de prisión y hasta una multa de 5 500,000.
¿Cuál es la diferencia entre un ataque DoS y un ataque DDoS?
un ataque de denegación de servicio (DoS) incluye muchos tipos de ataques, todos diseñados para interrumpir los servicios. Además de DDoS, puede tener DoS de capa de aplicación, DoS persistente avanzado y DoS como servicio. Las empresas utilizarán DoS como un servicio para poner a prueba sus redes.,
En resumen, DDoS es un tipo de ataque DoS; sin embargo, DoS También puede significar que el atacante usó un solo nodo para iniciar el ataque, en lugar de usar una botnet. Ambas definiciones son correctas.
¿Qué significa un ataque DDoS para mi seguridad?
debe prepararse y planificar para administrar un ataque DDoS contra sus sistemas. Debe supervisar, generar alertas y diagnosticar rápidamente un ataque DDoS en curso. El siguiente paso es apagar el ataque rápidamente sin afectar a sus usuarios., Puede bloquear las direcciones IP utilizando su Firewall de próxima generación o cerrar el tráfico entrante al sistema de destino y la conmutación por error a una copia de seguridad. Hay otros planes de respuesta que puede implementar, asegúrese de tener uno.
tipos comunes de ataques DDoS
hay varias formas diferentes en que los atacantes perpetúan un ataque DDoS. Estos son algunos de los más reconocidos:
ataques de capa de aplicación
Los ataques DDoS de capa de aplicación tienen como objetivo agotar los recursos del objetivo e interrumpir el acceso al sitio web o servicio del objetivo., Los atacantes cargan los bots con una solicitud complicada que grava al servidor de destino a medida que intenta responder. La solicitud puede requerir acceso a la base de datos o descargas grandes. Si el objetivo recibe varios millones de esas solicitudes en poco tiempo, puede abrumarse muy rápidamente y ralentizarse o bloquearse por completo.
un ataque de inundación HTTP, por ejemplo, es un ataque de capa de aplicación que se dirige a un servidor web en el destino y utiliza muchas solicitudes HTTP rápidas para desactivar el servidor. Piense en ello como presionar el botón de actualización en el modo de disparo rápido en su controlador de juego., Ese tipo de tráfico de muchos miles de computadoras a la vez ahogará rápidamente el servidor web.
ataques de protocolo
Los ataques de protocolo DDoS se dirigen a la capa de red de los sistemas de destino. Su objetivo es abrumar los espacios de tablas de los servicios de red principales, el firewall o el equilibrador de carga que reenvía las solicitudes al destino.
en general, los servicios de red funcionan fuera de una cola de primero en entrar, primero en SALIR (FIFO). La primera solicitud entra, la computadora procesa la solicitud, y luego va y recibe la siguiente solicitud en la cola, etc., Ahora hay un número limitado de puntos en esta cola, y en un ataque DDoS, la cola podría llegar a ser tan grande que no hay recursos para el equipo para hacer frente a la primera solicitud.
un ataque de inundación SYN es un ataque de protocolo específico. En una transacción de red TCP/IP estándar, hay un apretón de manos de 3 vías. Son el SYN, el ACK, y el SYN-ACK. El SYN es la primera parte, que es una solicitud de algún tipo, el ACK es la respuesta del objetivo, y el SYN-ACK es el solicitante original diciendo «Gracias, recibí la información que solicité.,»En un ataque de inundación SYN, los atacantes crean paquetes SYN con direcciones IP falsas. El objetivo luego envía un ACK a la dirección ficticia, que nunca responde, y luego se sienta allí y espera todas esas respuestas para time out, lo que a su vez agota los recursos para procesar todas estas transacciones falsas.
ataques volumétricos
El objetivo de un ataque volumétrico es utilizar la botnet para generar una gran cantidad de tráfico y obstruir las obras en el objetivo. Piense como un ataque de inundación HTTP, pero con un componente de respuesta exponencial añadido., Por ejemplo, si tú y 20 de tus amigos llamaran a la misma pizzería y pidieran 50 pasteles al mismo tiempo, esa pizzería no podría satisfacer esas solicitudes. Los ataques volumétricos operan bajo el mismo principio. Solicitan algo del objetivo que aumentará enormemente el tamaño de la respuesta, y la cantidad de tráfico explota y obstruye el servidor.
la amplificación DNS es una especie de ataque volumétrico., En este caso, están atacando el servidor DNS directamente y solicitando una gran cantidad de datos del servidor DNS, lo que puede hacer que el servidor DNS caiga y paralizar a cualquiera que esté usando ese servidor DNS para servicios de resolución de nombres.
¿cómo se pueden prevenir los ataques DDoS?
¿cómo sobrevivió GitHub a ese ataque DDoS masivo? Planificación y preparación, por supuesto. Después de 10 minutos de interrupciones intermitentes, los servidores de GitHub activaron su servicio de mitigación de DDoS., El servicio de mitigación redireccionó el tráfico entrante y borró los paquetes maliciosos, y unos 10 minutos más tarde los atacantes se rindieron.
además de pagar por los servicios de mitigación de DDoS de empresas como Cloudflare y Akamai, puede emplear sus medidas de seguridad estándar para endpoints. Parchee sus servidores, Mantenga sus servidores Memcached fuera del internet abierto y capacite a sus usuarios para reconocer los ataques de phishing.
Puede activar el enrutamiento de agujero negro durante un ataque DDoS para enviar todo el tráfico al abismo., Puede configurar la limitación de velocidad para limitar el número de solicitudes que recibe un servidor en un corto período de tiempo. Un firewall correctamente configurado también puede proteger sus servidores.
Varonis supervisa su DNS, VPN, Proxies y datos para ayudar a detectar signos de un ataque DDoS inminente contra su red corporativa. Varonis realiza un seguimiento de los patrones de comportamiento y genera advertencias cuando el comportamiento actual coincide con un modelo de amenaza o se desvía del comportamiento estándar. Esto puede incluir ataques de botnet de malware o aumentos significativos en el tráfico de red que indican un ataque DDoS.,
ataques DDoS hoy en día
Al igual que todo lo demás en informática, los ataques DDoS están evolucionando y se están volviendo más destructivos para las empresas. El tamaño de los ataques está aumentando, pasando de 150 solicitudes por segundo en la década de 1990, lo que traería un servidor de esa época hacia abajo, al reciente ataque DYNDNS y el ataque GitHub a 1.2 TBs y 1.35 TBs respectivamente. El objetivo de ambos ataques era interrumpir dos fuentes principales de productividad en todo el mundo.
estos ataques utilizaron nuevas técnicas para lograr sus enormes números de ancho de banda., El ataque DYN utilizó un exploit que se encuentra en los dispositivos de Internet de las Cosas (IoT) para crear una botnet, llamada El ataque de botnet Mirai. Mirai utilizó puertos telnet abiertos y contraseñas predeterminadas para hacerse cargo de las cámaras habilitadas para WiFi para ejecutar el ataque. Este ataque fue una broma infantil, pero presentó una gran vulnerabilidad que viene con la proliferación de los dispositivos IoT.
El ataque GitHub explotó los muchos miles de servidores que ejecutan Memcached en Internet abierto, un sistema de almacenamiento en caché de memoria de código abierto., Memcached responde felizmente con grandes cantidades de datos a solicitudes simples, por lo que dejar estos servidores en internet abierto es definitivamente un no-no.
ambos ataques muestran un riesgo significativo de futuras hazañas, especialmente a medida que el universo IoT continúa creciendo. ¿Qué tan divertido sería para tu nevera ser parte de una botnet? Por el lado positivo, GitHub ni siquiera fue derribado por el ataque.
además, los ataques DDoS nunca han sido tan fáciles de ejecutar., Con múltiples opciones de DDoS como servicio disponibles, los actores maliciosos pueden pagar una tarifa nominal para» alquilar » una botnet de computadoras infectadas para ejecutar un ataque DDoS contra su objetivo de elección.
en septiembre de 2019, los atacantes atacaron Wikipedia y Classic World of Warcraft con ataques DDoS. Actualmente, no hay ninguna indicación de que estos ataques sean nueva tecnología, pero manténgase atento a las actualizaciones.
preguntas frecuentes sobre ataques DDoS
un vistazo rápido a las respuestas a las preguntas más comunes que las personas tienen sobre los ataques DDoS.
p: ¿Qué sucede durante un ataque DDoS?,
A: durante un ataque DDoS los equipos distribuidos-botnet-spam el objetivo con tantas solicitudes de datos como sea posible.
p: ¿son ilegales los ataques DDoS?
A: sí, es ilegal usar técnicas de DDoS para interrumpir un objetivo sin permiso. Es una buena práctica configurar un ejercicio de DDoS para que pueda practicar su plan de Respuesta a incidentes para ataques DDoS, que es un uso legal de DDoS.
p: en un ataque DDoS, ¿qué canal de comunicaciones se utiliza comúnmente para orquestar el ataque?
A: las solicitudes HTTP, DNS y TCP/IP son protocolos comunes utilizados para ataques DDoS.