Un ataque de denegación de servicios, también llamado ataque DDoS (de las siglas en inglés Denial of Service), es un ataque a un sistema de computadores o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos. Normalmente provoca la pérdida de la conectividad de la red por el consumo de la transferencia de información (ancho de banda) de la red de la víctima.
Se genera mediante la saturación de los puertos con flujo de información, haciendo que el o los servidores se sobrecarguen y no puedan seguir prestando servicios, por eso se le denomina “denegación”, pues hace que el servidor no dé abasto a la cantidad de solicitudes. Esta técnica es usada por los llamados hackers para dejar fuera de servicio a servidores objetivo.
El riesgo es real y cada vez es más peligroso
Si piensa que su organización, por ser pequeña, es irrelevante para ser una víctima interesante para un hacker, piénselo de nuevo. Cualquier organización es una posible víctima y la mayoría de nosotros somos vulnerables a los ataques DDoS. Tanto si se trata de una empresa global, una agencia gubernamental o una pyme, todas ellas están dentro de la lista de objetivos de los ciberdelincuentes actuales. Incluso las empresas más seguras, con una gran inversión de recursos y expertos en seguridad han sido víctimas de estas amenazas. Ejemplo de ello sería empresas como Amazon, Visa, Sony, Monsanto, PostFinance, Paypal o Bank of America. Recientemente, el número de incidentes por DDoS se ha incrementado significativamente. Los ataques además han aumentado en escala, incluso excediendo el volumen del tráfico de 100 Gbps.
Variedades de los ataques DDoS
En el nivel más básico, un ataque DDoS es un intento de hacer que una máquina o recurso de red quede inutilizada o no disponible para sus usuarios. Aunque las motivaciones para llevar a cabo un ataque DDoS son muy variadas, normalmente consiste en los esfuerzos de una o más personas que, de forma temporal o indefinida, interrumpen o suspenden los servicios de un host conectado a Internet.
Como es costumbre, esto se lleva a cabo mediante los esfuerzos coordinados de botnets distribuidos, que pueden emplear hasta cientos de miles de computadores zombies, máquinas que han sido infectadas previamente y son controladas de forma remota, simplemente esperando órdenes. Los ataques DDoS trabajan tanto desde los flujos de inicio del tráfico hasta los recursos del servidor, interrumpidos por fuerza bruta, o explotando vulnerabilidades inherentes para echar abajo los servidores target.
Los ataques por flujo incluyen ICMP, SYN, y otros flujos por nivel de aplicación. Los ataques por flujo DDoS a menudo provocan energía asimétrica de grandes botnets distribuidos. Estos pueden crear múltiples formas para enviar cantidades gigantescas de peticiones a servidores web deseados.
Los ataques Crash attacks a menudo mandan paquetes deformados que se aprovechan de los errores de los sistemas operativos. Se trata de intentos de ataques DDoS por nivel de aplicación para hacer fallar el sistema mediante exploits en las aplicaciones del servidor. Los ataques DDoS nacidos como malware pueden comprometer potencialmente los sistemas botnet con troyanos, que a cambio hacen estallar la descarga de un agente zombie.
Aún más, los ataques son cada vez más sofisticados. Por ejemplo, los botnets no solo fluyen en paquetes de emisión en un servidor objetivo, sino que además establecen conexiones con servidores para iniciar volúmenes aplastantes de transacciones de aplicaciones falsas desde el interior.
¿Por qué DDoS?
Los criminales utilizan DDoS ya que es barato, difícil de detectar, y altamente efectivo. Los ataques por DDoS son baratos ya que pueden proporcionar redes distribuidas de cientos de ordenadores zombies infectados con gusanos u otro tipo de métodos automáticos. Por ejemplo, los ataques DDoS de MyDoom utilizaron un gusano para distribuir el lanzamiento de un ataque por flujos. Debido a que estos botnets se venden y están disponibles globalmente en el mercado negro, un atacante puede comprar el uso de un botnet por menos de $ 100 dólares para un flujo de ataques, o contratar ataques específicos por $ 5 dólares la hora.
Los ataques DDoS son difíciles de detectar ya que a menudo utilizan conexiones normales e imitan el tráfico autorizado normal. Como resultado es altamente efectivo ya que normalmente los servidores objetivos confían por error en el tráfico y, por tanto, facilitan los ataques ejecutando la solicitud que en última instancia los inunda.
¿Qué pueden hacer los departamentos de TI?
Claramente los departamentos TI necesitan estar alerta y dar pasos preventivos contra los ataques DDoS. La firma analista Gartner afirma que la mitigación de los ataques DDoS debería ser “una parte estándar de la planificación en la recuperación de desastres y la continuidad de negocio y debe ser incluido en todos los servicios de Internet cuando el negocio depende de la disponibilidad de la conectividad a Internet”. Para hacer esto efectivo, un negocio debe ser preventivo, estar preparado y ser fuerte contra los ataques DDoS.
Los departamentos TI necesitan ser prevenidos
Los departamentos de TI deberían saber cuales son sus cuellos de botella. Una organización TI bien preparada debería identificar las partes de la red más propensas a ser atacadas por DDoS, como el ancho de banda a internet, firewalls, prevención de intrusiones (IPS), balanceador de cargas o servidores. Más aún, las TI necesitan monitorizar de cerca estos potenciales puntos de fallo, y evaluar si actualizar u optimizar su rendimiento y resistencia.
Finalmente, los responsables TI deberían conocer su tráfico. Las TI no pueden controlar lo que se puede y lo que no se puede ver. Por tanto las TI deberían escanear y monitorizar tanto el tráfico de entrada como el de salida para ganar visibilidad en volúmenes poco usuales o diseños que puedan identificar sitios target o revelar botnets dentro de la red. Para los más preparados, las TI necesitan además visibilidad en el tráfico de capa 7 con el objetivo de identificar y controlar ataques DDoS por capas de aplicación.
Los departamentos TI necesitan estar preparados
Las organizaciones TI deberían invertir en evaluar e implementar productos y servicios apropiados. Por ejemplo, algunos firewalls de próxima generación ponen de relieve las contramedidas de prevención y detección de intrusiones contra ataques DDoS conocidos, que pueden ser actualizados automáticamente con nuevas firmas.
De forma ideal, los departamentos de TI necesitarán un firewall para analizar en profundidad tanto el tráfico de entrada como el de salida – incluyendo visibilidad en las aplicaciones – y monitorizar y alertar en caso de diseños sospechosos. Las TI deberían asegurar que la solución de firewall remedie los ataques DDoS bloqueando, filtrando o redireccionando el tráfico basado en diseños, volúmenes o características identificadas.
Para una inteligencia de tráfico mejorada, los departamentos TI deben además considerar la implementación de un software que analice el flujo de tráfico que pueda examinar el uso de datos por aplicación o usuarios, mirar los datos sobre diferentes periodos de tiempo y los datos del tráfico correlativo desde múltiples fuentes como NetFlow e IPFIX.
Si una organización lleva a cabo su trabajo desde cualquier lugar a través de Internet, no es una cuestión de “si…” sino de “cuándo…” será objetivo de un ataque DDoS. Todavía hay muchas cosas que los departamentos de TI pueden hacer para minimizar su impacto. La organización de TI debería colaborar de cerca con empresas líderes para prevenir los puntos vulnerables, para estar preparados con las medidas apropiadas y fortalecerse con alto rendimiento y componentes de seguridad de red altamente redundantes.
Fuente: Compuchannel
Imágen: Daniel Falcão on Unsplash