Ataques distribuidos de denegación de servicio (DDoS): una hoja de trucos


Esta guía completa cubre diferentes tipos de ataques de denegación de servicio, estrategias de protección DDoS y por qué es importante para las empresas.

Los ataques de denegación de servicio (DoS) son el arma cibernética elegida por los actores de amenazas patrocinados por el estado y los guionistas libres por igual. Independientemente de quién los use, los ataques de denegación de servicio pueden ser particularmente perjudiciales y perjudiciales para las organizaciones objetivo de los ciberdelincuentes. Desde 2018, el La frecuencia y el poder de los ataques DDoS han aumentado, lo que los convierte en un riesgo más potente para las organizaciones.

La hoja de trucos de TechRepublic sobre ataques de denegación de servicio es una guía completa sobre este tema. Este artículo se actualizará periódicamente a medida que evolucionen las estrategias de ataque y mitigación. También está disponible como descarga, Hoja de referencia: Ataques distribuidos de denegación de servicio (DDoS) (PDF gratuito).

VER: Una estrategia ganadora para la ciberseguridad (Informe especial de ZDNet) | Descarga el informe en PDF (TechRepublic)

¿Qué es un ataque de denegación de servicio?

UN denegación de servicio (DoS) El ataque es una estrategia de ataque en la que un actor malintencionado intenta evitar que otros accedan a un servidor web, una aplicación web o un servicio en la nube inundándolo con solicitudes de servicio. Si bien un ataque DoS es esencialmente de origen único, un denegación de servicio distribuida (DDoS) El ataque utiliza una gran cantidad de máquinas en diferentes redes para interrumpir un proveedor de servicios en particular; esto es más difícil de mitigar, ya que el ataque proviene de múltiples fuentes.

Tras un poderoso ataque DDoS contra la popular aplicación de mensajería segura Telegram, la empresa Ataques DDoS descritos de forma colorida como un caso en el que "sus servidores reciben GADZILLIONS (sic) de solicitudes de basura que les impiden procesar solicitudes legítimas. Imagine que un ejército de lemmings acaba de saltar la cola en McDonald's frente a usted, y cada uno está pidiendo una enorme cantidad. El servidor está ocupado diciéndoles a los chiflados que vinieron al lugar equivocado, pero hay tantos que el camarero ni siquiera puede verte para intentar tomar tu pedido ".

Por lo general, los ataques DDoS tienen como objetivo la infraestructura de la red, con el objetivo de derribar toda la pila de la red. A diferencia de, ataques a la capa de aplicación apuntar a la funcionalidad específica de un sitio web determinado, con el objetivo de deshabilitar una función específica extendiendo demasiado el proceso con un número excesivo de solicitudes.

Otros tipos de ataques DDoS incluyen ataques de los pitufos, que utilizan una gran cantidad de paquetes del Protocolo de mensajes de control de Internet (ICMP) con la dirección IP de la víctima falsificada para que aparezca como el origen.

En general, los ataques DDoS se pueden clasificar como ataques de inundación, que tienen como objetivo sobrecargar los sistemas, o ataques de colisión, que intentan derribar una aplicación o sistema.

Recursos adicionales

¿Qué tan simples de ejecutar y dañinos son los ataques DDoS?

La ejecución de un ataque DDoS no es algo que requiera una habilidad especial. "Un ataque DDoS no es un ataque sofisticado", dijo a TechRepublic Matthew Prince, CEO y cofundador de Cloudflare, en 2015, luego de un ataque a Protonmail. "Es el equivalente funcional de un hombre de las cavernas con un garrote. Pero un hombre de las cavernas con un garrote puede hacer mucho daño".

Si bien es relativamente seguro asumir que los ataques DDoS de mayor potencia son el trabajo de profesionales, estos son ataques que incluso un niño de script promedio puede lanzar con un éxito sustancial. La industria de los ataques DDoS también ha dado lugar a la "denegación de servicio como servicio", también conocidos como servicios "booter" o "estresantes" que permiten a los usuarios realizar un ataque DDoS sobre cualquier objetivo arbitrario a cambio de un pago.

VER: La ciberguerra y el futuro de la ciberseguridad (Informe especial de ZDNet / TechRepublic) | Descargue la versión gratuita en PDF (TechRepublic)

Debido a la facilidad con la que se pueden lanzar ataques DDoS, cualquier persona puede usarlos, desde piratas informáticos patrocinados por el estado con altos fondos hasta adolescentes con rencor contra alguien.

Para las empresas, los daños potenciales derivados de una interrupción son amplios. Ya sea por pérdida de ventas, un impacto en la reputación por experimentar tiempo de inactividad o costos relacionados con cantidades excesivas de tráfico de red, los problemas potenciales que emanan de los ataques DDoS son demasiado importantes para ignorarlos. Estos riesgos provocan la necesidad de medidas de mitigación proactivas antes de que se lance un ataque.

Recursos adicionales

¿Cuáles son los ataques DDoS más grandes observados?

Básicamente, los ataques de denegación de servicio afectan al host conectado a Internet al que apunta el atacante. En la práctica, esto afecta a la empresa a la que atacan los atacantes, así como a los usuarios del servicio que ofrece la empresa. Cualquier organización puede ser blanco de un ataque de denegación de servicio; debido a su efectividad y relativa facilidad con la que se pueden utilizar, a menudo se implementan contra organizaciones más pequeñas con gran efecto.

VER: Todas las hojas de trucos y guías para personas inteligentes de TechRepublic

En febrero de 2018, se observaron varios ataques DDoS que establecieron récords que utilizan una vulnerabilidad en el protocolo Memcached, aprovechando fallas en el protocolo de datagramas de usuario (UDP). Los informes iniciales del proveedor de CDN Cloudflare observaron 260 Gbps de tráfico entrante generado en ataques DDoS impulsados ​​por Memcached. Un día después, los ataques impulsados ​​por Memcached afectaron a GitHub a velocidades máximas de 1,35 Tbps. En marzo de 2018, Arbor Networks de NETSCOUT confirmó un ataque DDoS de 1,7 Tbps contra uno de sus clientes.

Esos ataques DDoS récord de 2018 palidecen en comparación con los últimos Ataque DDoS masivo que afectó a AWS de Amazon en febrero de 2020, que superó la friolera de 2,3 Tbps. Amazon logró mitigar el ataque utilizando su Escudo de Amazon Software de protección DDoS.

Estos ataques son iniciados por un servidor que falsifica su dirección IP, especificando la objetivo dirección como el origen dirección — y enviando un paquete de solicitud de 15 bytes. Este paquete de solicitud es respondido por un servidor memcached vulnerable con respuestas que van desde 134 KB a 750 KB. La disparidad de tamaño entre la solicitud y la respuesta, hasta 51.200 veces mayor, es lo que hace que los ataques de amplificación sean tan efectivos. Cuando se descubrió la vulnerabilidad de Memcached, se encontró que 88.000 servidores desprotegidos desde los cuales se podían lanzar ataques estaban conectados a Internet.

VER: ¿Se puede detener a los piratas informáticos rusos? He aquí por qué podría llevar 20 años (artículo de portada PDF)

Es importante destacar que el ataque de 260 Gbps en Cloudflare se observó a un máximo de 23 millones de paquetes por segundo; Debido a las propiedades de amplificación, se necesitó un número relativamente bajo de paquetes para llevar a cabo el ataque, pero con un ancho de banda relativamente alto. En 2019, Imperva observó un ataque DDoS que excedió los 500 millones de paquetes por segundo, cuatro veces más que el ataque de GitHub, lo que puso considerablemente más estrés en los sistemas de mitigación, ya que estos suelen inspeccionar los encabezados de cada paquete, aunque normalmente no la carga útil completa.

Muchos ataques DDoS utilizan botnets de dispositivos comprometidos, particularmente Internet de las Cosas (IoT) dispositivos. La botnet Mirai se ha utilizado para afectar enrutadores y dispositivos IoT, y se utilizó para atacar al proveedor de DNS administrado Dyn, provocando cortes que afectan a casi una cuarta parte de Internet. Del mismo modo, Mirai fue utilizado en un ataque que eliminó los servicios de Internet para toda Liberia.

Los ataques DDoS están resurgiendo, ya que los ataques aumentaron un 94% en el primer trimestre de 2019, según un informe de Kaspersky Lab. Del mismo modo, los ataques a más de 100 Gbps en un 967% en el primer trimestre de 2019 en comparación con el primer trimestre de 2018, según un informe de Neustar.

En un informe publicado en enero de 2021, Akamai informó que 2020 fue el año más grande registrado para ataques DDoS, con récords establecidos durante el año que superaron los máximos registrados en 2016. Los servicios empresariales experimentaron un aumento del 960% en ataques DDoS en 2020, y Otras industrias también se vieron muy afectadas: los ataques DDoS contra el comercio minorista y los bienes de consumo aumentaron un 445%, los servicios financieros experimentaron un aumento del 190% y los servicios de software y tecnología fueron atacados un 196% más en 2020, entre otros.

Akamai dijo que 2020 experimentó un gran aumento en parte porque las restricciones de COVID-19 aumentaron la dependencia de las herramientas digitales, y predijo que 2021 y más allá verá una tendencia ascendente continua en el número y la gravedad de los ataques DDoS.

También en 2020, apareció una tendencia de amenazar a las empresas con ataques DDoS si no se paga un rescate, y los solicitantes de rescate afirman ser de grupos de piratería conocidos como Fancy Bear, Lazarus Group y Armada Collective. Los rescates comenzaron en 20 Bitcoins y aumentaron en 10 BTC cada día que no se pagó el rescate. Todas las empresas atacadas informaron que eventualmente fueron objeto de un ataque DDoS, lo que indica que los atacantes son serios. Los ataques amenazaban con superar los 2Tbps, pero los ataques reales reportados solo estaban en el rango de 300Gbps, lo que aún puede ser devastador.

Recursos adicionales

¿Cómo puedo protegerme contra un ataque DDoS?

Hay formas de mitigar los efectos de los ataques DDoS, permitiendo que los sistemas específicos continúen funcionando normalmente para los usuarios, de manera transparente, como si no se estuviera produciendo ningún ataque.

El primer paso es separar a los usuarios genuinos del tráfico generado mediante programación que se utiliza en los ataques DDoS. Esto se puede hacer mediante el filtrado de direcciones IP, la verificación de los estados de las cookies / sesiones y las huellas digitales del navegador, entre otros métodos.

Las estrategias de filtrado de tráfico incluyen seguimiento de conexiones, limitación de velocidad, listas negras o listas blancas de tráfico. La mitigación manual de DDoS puede ser derrotada por atacantes avanzados implementando ataques en etapas y volviendo a montar el ataque desde un conjunto diferente de dispositivos cuando se rechazan las conexiones de los sistemas utilizados en la primera etapa del ataque.

La mitigación de DDoS basada en la nube está disponible a través de proveedores como AWS, Cloudflare, Imperva, Akamai, Radware, Coreo y Arbor Networks. Uno de los métodos empleados por estos proveedores incluye el seguimiento de direcciones IP en sitios web protegidos por un servicio determinado para diferenciar a los usuarios genuinos del tráfico generado.

Recursos adicionales

¿Cómo puedo evitar participar en un ataque distribuido de denegación de servicio?

Es posible que las pymes y las redes domésticas no sean con frecuencia el objetivo de los ataques DDoS, pero existe una clara posibilidad de que la mala seguridad de la red pueda llevar a que los enrutadores, las computadoras y los dispositivos IoT se conviertan involuntariamente en nodos de botnet que se utilizan para lanzar ataques DDoS en objetivos de nivel empresarial.

El malware VPNFilter, por ejemplo, se utilizó para infectar 500.000 enrutadores en todo el mundo, incluidos dispositivos fabricados por ASUS, D-Link, Huawei, Linksys, MikroTik, Netgear, TP-Link, Ubiquiti, UPVEL y ZTE, así como dispositivos conectados a la red. dispositivos de almacenamiento (NAS) de QNAP. Los informes iniciales indicaron que reiniciar el enrutador fue suficiente para eliminar la infección, pero las actualizaciones posteriores encontraron que eso no era suficiente, recomendando que los usuarios también actualizaran el firmware.

"Una de las fuentes de ataques DDoS de más rápido crecimiento en la actualidad son los dispositivos IoT comprometidos reclutados en botnets masivas. Las organizaciones que utilizan estos dispositivos deben adoptar las mejores prácticas para actualizar el software a las últimas versiones y garantizar una buena higiene de las contraseñas, ya que muchos dispositivos se envían con valores predeterminados comunes. ", Dijo a TechRepublic Sean Newman, director de gestión de productos de Coreo. "El otro objetivo común es la infraestructura de DNS que se utiliza para amplificar los ataques DDoS. Cualquier organización con sus propios servidores de DNS debe asegurarse de que se implementen las mejores prácticas en torno al monitoreo y la seguridad, para evitar que se abuse de ellas para atacar a otros".

La hoja de trucos de la red de bots de TechRepublic incluye un resumen de lo que debe buscar para ver si su dispositivo está infectado, así como los pasos que puede seguir para evitar que su hardware sea secuestrado.

Recursos adicionales

<a href = "https://tr3.cbsistatic.com/hub/i/r/2019/06/26/86e883db-2201-44a1-bc7c-d10b92f46384/resize/770x/85a88bc8d4453bd5c0da2385ed30c20c/istock-959827096.jpg" target = "_ blanco" componente de datos = "modalEnlargeImage" título de datos = "

"data-credit =" Imagen: Getty Images / iStockphoto "rel =" noopener noreferrer nofollow ">Concepto de denegación de servicio o ataque DDoS

Imagen: Getty Images / iStockphoto



Enlace a la noticia original