El flagelo de los ataques distribuidos de denegación de servicio (DDoS) ha sido una gran preocupación para las empresas y los gobiernos durante más de dos décadas.
Reportado por primera vez en 1996, este es un vector destructivo y en constante evolución de ataques cibernéticos que desconecta las redes electrónicas inundándolas con el tráfico que no pueden manejar.
DDoS no solo es una forma para que los hacktivistas manifiesten protestas contra la censura de Internet y las iniciativas políticas controvertidas, sino que también es una mina de oro de oportunidades para lograr objetivos estrictamente nefastos.
Por ejemplo, el último ajuste en esta epidemia es lo que se llama » rescate DDoS «, una técnica utilizada para extorsionar a las organizaciones a cambio de descontinuar una incursión masiva.
Un gran obstáculo para frustrar el fenómeno DDoS es que es heterogéneo y abarca una variedad de tácticas diferentes. Para empezar, hay tres categorías generales de estos ataques que forman la columna vertebral de este ecosistema:
- Los ataques basados en volumen (volumétricos) son los «clásicos» que congestionan el ancho de banda de una red objetivo con una cantidad considerable de paquetes de tráfico.
- Los ataques de protocolo están destinados a agotar los recursos del servidor o firewall.
- La capa de aplicación (capa 7 DDoS) ataca a aplicaciones web específicas en lugar de a toda la red. Estos son particularmente difíciles de prevenir y mitigar, mientras que son relativamente fáciles de orquestar.
Además, hay docenas de subtipos que se encuentran en cualquiera de los grupos genéricos anteriores pero que presentan características únicas. Aquí hay un desglose completo de los métodos de ataque DDoS actuales.
1. Inundación SYN
Este ataque explota el protocolo de enlace de tres vías TCP, una técnica utilizada para establecer cualquier conexión entre un cliente, un host y un servidor utilizando el protocolo TCP. Normalmente, un cliente envía un mensaje SYN (sincronización) al servidor para solicitar una conexión.
Cuando un ataque SYN Flood está en marcha, los delincuentes envían una gran cantidad de estos mensajes desde una dirección IP falsificada. Como resultado, el servidor receptor se vuelve incapaz de procesar y almacenar tantos paquetes SYN y niega el servicio a clientes reales.
2. ataque de la TIERRA
Para realizar un ataque de Denegación de red de área local (LAND), un actor de amenaza envía un mensaje SYN fabricado en el que las direcciones IP de origen y destino son las mismas. Cuando el servidor intenta responder a este mensaje, entra en un bucle generando respuestas a sí mismo de manera recurrente. Esto lleva a un escenario de error, y el host de destino puede bloquearse eventualmente.
3. Inundación SYN-ACK
La lógica de este vector de ataque es abusar de la etapa de comunicación TCP donde el servidor genera un paquete SYN-ACK para reconocer la solicitud del cliente. Para ejecutar este ataque, los delincuentes inundan los recursos de CPU y RAM del servidor con una gran cantidad de paquetes SYN-ACK falsos.
4. ACK & PUSH ACK Flood
Una vez que el protocolo de enlace de tres vías TCP ha resultado en establecer una conexión entre un host y un cliente, los paquetes ACK o PUSH ACK se envían de un lado a otro hasta que finaliza la sesión.
Un servidor al que se dirige este tipo de ataque DDoS no puede identificar el origen de los paquetes falsificados y desperdicia toda su capacidad de procesamiento tratando de determinar cómo manejarlos.
5. Inundación de ACK fragmentada
Este ataque es una imitación de la técnica de inundación ACK & PUSH ACK mencionada anteriormente. Se reduce a diluir una red de destino con un número comparativamente pequeño de paquetes ACK fragmentados que tienen un tamaño máximo permitido, generalmente 1500 bytes cada uno.
Los equipos de red, como los enrutadores, se quedan sin recursos al intentar volver a ensamblar estos paquetes. Además, los paquetes fragmentados pueden deslizarse por debajo del radar de los sistemas de prevención de intrusiones (IPS) y los firewalls.
6. Inundación de sesión falsificada (ataque de sesión falsa)
Para eludir las herramientas de protección de red, los ciberdelincuentes pueden falsificar una sesión TCP de manera más eficiente al enviar un paquete SYN falso, una serie de paquetes ACK y al menos un paquete RST (restablecimiento) o FIN (terminación de conexión).
Esta táctica permite a los delincuentes sortear defensas que solo controlan el tráfico entrante en lugar de analizar el tráfico de retorno.
7. Inundación UDP
Como su nombre indica, este ataque DDoS aprovecha múltiples paquetes del Protocolo de datagramas de usuario (UDP). Para el registro, las conexiones UDP carecen de un mecanismo de comunicación (a diferencia de TCP) y, por lo tanto, las opciones de verificación de la dirección IP son muy limitadas. Cuando esta explotación está en pleno apogeo, el volumen de paquetes ficticios excede la capacidad máxima del servidor de destino para procesar y responder a las solicitudes.
8. Inundación de DNS
Esta es una variante de UDP Flood que se ubica específicamente en servidores DNS. El malhechor genera una gran cantidad de paquetes de solicitud de DNS falsos que se parecen a los legítimos que parecen originarse en una gran cantidad de direcciones IP diferentes. DNS Flood es una de las redadas de denegación de servicio más difíciles de prevenir y recuperar.
9. Inundación VoIP
Esta es una forma común de UDP Flood que se dirige a un servidor de Voz sobre Protocolo de Internet (VoIP). La multitud de solicitudes VoIP falsas enviadas desde numerosas direcciones IP agotan los recursos del servidor víctima y lo desconectan al final del día.
10. Inundación NTP (amplificación NTP)
El Protocolo de tiempo de red (NTP), uno de los protocolos de red más antiguos encargados de la sincronización del reloj entre sistemas electrónicos, es el núcleo de otro vector de ataque DDoS. La idea es aprovechar los servidores NTP de acceso público para sobrecargar una red de destino con una gran cantidad de paquetes UDP.
11. Inundación de CHARGEN
De manera similar al NTP, el Protocolo generador de caracteres (CHARGEN) es una antigüedad cuya aparición se remonta a la década de 1980. A pesar de esto, todavía se está utilizando en algunos dispositivos conectados, como impresoras y fotocopiadoras.
El ataque se reduce a enviar pequeños paquetes que contienen la IP fabricada de un servidor víctima a dispositivos con el protocolo CHARGEN habilitado. En respuesta, los dispositivos con conexión a Internet envían paquetes UDP al servidor, inundándolo con datos redundantes.
12. Inundación SSDP
Los malhechores pueden explotar dispositivos en red que ejecutan servicios Universal Plug and Play (UPnP) mediante la ejecución de un ataque DDoS basado en la reflexión del Protocolo simple de descubrimiento de servicios (SSDP). En una nota al margen, SSDP está incrustado en el marco del protocolo UPnP.
El atacante envía pequeños paquetes UDP con una dirección IP falsificada de un servidor de destino a múltiples dispositivos que ejecutan UPnP. Como resultado, el servidor está inundado de solicitudes de estos dispositivos hasta el punto en que se desconecta.
13. Inundación SNMP (amplificación SNMP)
Encargado de recopilar y organizar datos sobre dispositivos conectados, el Protocolo simple de administración de redes (SNMP) puede convertirse en un eje de otro método de ataque.
Los ciberdelincuentes bombardean un servidor, conmutador o enrutador de destino con numerosos paquetes pequeños que provienen de una dirección IP fabricada. A medida que más y más dispositivos «de escucha» responden a esa dirección falsificada, la red no puede hacer frente a la inmensa cantidad de estas respuestas entrantes.
14. Inundación HTTP
Al ejecutar un ataque HTTP Flood DDoS, un adversario envía solicitudes GET o POST aparentemente legítimas a un servidor o aplicación web, desviando la mayoría o todos sus recursos. Esta técnica a menudo involucra botnets que consisten en computadoras «zombies» previamente contaminadas con malware.
15. Recursivo HTTP GET Flood
Para perpetrar este ataque, un actor malicioso solicita una serie de páginas web de un servidor, inspecciona las respuestas y solicita de forma iterativa cada elemento del sitio web para agotar los recursos del servidor. La explotación parece una serie de consultas legítimas y puede ser difícil de identificar.
16. Inundación ICMP
También denominada Ping Flood, esta incursión tiene como objetivo inundar un servidor u otro dispositivo de red con numerosas solicitudes de eco o pings falsos del Protocolo de mensajes de control de Internet (ICMP). Habiendo recibido un cierto número de pings ICMP, la red responde con el mismo número de paquetes de respuesta. Dado que esta capacidad de respuesta es finita, la red alcanza su umbral de rendimiento y deja de responder.
17. Ataque de aplicación mal utilizado
En lugar de utilizar direcciones IP falsificadas, este ataque parasita las computadoras cliente legítimas que ejecutan aplicaciones intensivas en recursos, como las herramientas P2P.
Los delincuentes redirigen el tráfico de estos clientes al servidor víctima para reducirlo debido a una carga de procesamiento excesiva. Esta técnica DDoS es difícil de prevenir ya que el tráfico se origina en máquinas reales previamente comprometidas por los atacantes.
18. IP Null Attack
Esto se lleva a cabo mediante el envío de una gran cantidad de paquetes que contienen encabezados IPv4 no válidos que se supone que contienen detalles del protocolo de la capa de transporte. El truco es que los actores de amenazas establecen este valor de encabezado en nulo.
Algunos servidores no pueden procesar estos paquetes de aspecto corrupto correctamente y desperdician sus recursos tratando de averiguar cómo manejarlos.
19. ataque de los pitufos
Este involucra una cepa de malware llamada Pitufo para inundar una red de computadoras con solicitudes de ping ICMP que llevan una dirección IP falsificada del objetivo. Los dispositivos receptores están configurados para responder a la IP en cuestión, lo que puede producir una avalancha de pings que el servidor no puede procesar.
20. Fraggle Attack
Esta técnica DDoS sigue una lógica similar al ataque de los pitufos, excepto que inunda a la víctima prevista con numerosos paquetes UDP en lugar de solicitudes de eco ICMP.
21. Ping del ataque de la muerte
Para poner en marcha esta incursión, los ciberdelincuentes envenenan a una red víctima con paquetes de ping no convencionales cuyo tamaño excede significativamente el valor máximo permitido (64 bytes).
Esta inconsistencia hace que el sistema informático asigne demasiados recursos para volver a ensamblar los paquetes no autorizados. A raíz de esto, el sistema puede encontrar un desbordamiento del búfer o incluso bloquearse.
22. Slowloris
Este ataque se destaca entre la multitud porque requiere un ancho de banda muy bajo y se puede realizar con una sola computadora. Funciona iniciando múltiples conexiones simultáneas a un servidor web y manteniéndolas abiertas durante un largo período de tiempo.
El atacante envía solicitudes parciales y las complementa con encabezados HTTP de vez en cuando para asegurarse de que no lleguen a una etapa de finalización. Como resultado, la capacidad del servidor para mantener conexiones simultáneas se agota y ya no puede procesar conexiones de clientes legítimos.
23. Cañón de iones de órbita baja (LOIC)
Originalmente diseñado como una herramienta de prueba de tensión de red, LOIC puede ser armado en ataques DDoS del mundo real.
Codificado en C #, este software de código abierto inunda un servidor con una gran cantidad de paquetes (UPD, TCP o HTTP) en un intento de interrumpir la operación de un objetivo. Este ataque generalmente está respaldado por una botnet que consta de miles de máquinas y coordinado por un solo usuario.
24. Cañón de iones de órbita alta (HOIC)
HOIC es una aplicación de acceso público que reemplazó al programa LOIC mencionado anteriormente y tiene un potencial disruptivo mucho mayor que su precursor.
Se puede usar para enviar una gran cantidad de solicitudes GET y HTTP POST a un servidor simultáneamente, lo que termina desconectando un sitio web de destino. HOIC puede afectar hasta 256 dominios diferentes al mismo tiempo.
25. ReDoS
ReDoS significa «denegación de servicio de expresión regular». Su objetivo es sobrecargar la implementación de expresiones regulares de un programa con instancias de patrones de búsqueda de cadenas altamente complejos.
Un actor malicioso puede desencadenar un escenario de procesamiento de expresiones regulares cuya complejidad algorítmica hace que el sistema de destino desperdicie recursos superfluos y se ralentice o se bloquee.
26. DDoS de día cero
Este término denota un ataque que aprovecha las vulnerabilidades no catalogadas en un servidor web o red informática. Desafortunadamente, tales fallas están surgiendo de vez en cuando, lo que hace que la prevención sea una tarea más desafiante.
Una seria amenaza
Aunque la denegación de servicio distribuida es un vector de ataque de la vieja escuela, sigue siendo una grave amenaza para las organizaciones. El número mensual de tales ataques supera los 400,000 .
Para colmo, los ciberdelincuentes siguen agregando nuevos mecanismos DDoS a su repertorio y los proveedores de seguridad no siempre están preparados para abordarlos.
Otra cosa desconcertante es que algunas técnicas, incluido el cañón de iones de órbita baja y alta, son de código abierto y pueden ser aprovechadas por aspirantes a delincuentes que carecen de habilidades tecnológicas. Tal ataque puede salirse de control e ir más allá del daño previsto.
Para evitar ataques DDoS y minimizar el impacto, las empresas deben aprender a identificar proactivamente las señales de alerta; tener un plan de respuesta apropiado en su lugar; asegúrese de que su postura de seguridad no tenga un punto único de falla y trabaje continuamente para fortalecer la arquitectura de la red.
NotiVeraz