¿Qué es un ataque de denegación de servicio DDoS?

Un ataque de denegación de servicio (DoS) ocurre cuando los usuarios legítimos no pueden acceder a los sistemas de información, dispositivos u otros recursos de la red debido a las acciones de un actor de ciberataques malicioso. Entre los servicios afectados pueden encontrarse: correos electrónico, sitios web, cuentas en línea u otros servicios que dependen de la computadora o red afectada. Una denegación de servicio se logra inundando el host o la red objetivo con tráfico hasta que el objetivo no pueda responder o se bloquee, evitando el acceso de usuarios legítimos. Los ataques DoS pueden costarle tiempo y dinero a tu empresa, mientras que sus recursos y servicios son inaccesibles.

Ataques más comunes de denegación de servicio:

Existen muchos métodos diferentes para llevar a cabo un ataque DoS. El más común ocurre cuando un atacante inunda un servidor de red con tráfico. En este tipo de ataque DoS, el atacante envía varias solicitudes al servidor de destino, sobrecargándolo. Estas solicitudes de servicio son ilegítimas y tienen direcciones de retorno fabricadas que inducen al error al servidor cuando este intenta autenticar al solicitante. Como las solicitudes no deseadas se procesan constantemente, el servidor se ve abrumado, lo que provoca una condición DoS para los solicitantes legítimos.

  • En un smurf attack, el atacante envía paquetes Internet Control Message Protocol a varios hosts con una dirección de Protocolo de Internet (IP) de origen falso que pertenece a la máquina de destino. Los destinatarios de estos paquetes falsificados responderán y el host objetivo se inundará con esas respuestas.
  • Se produce una inundación SYN cuando un atacante envía una solicitud para conectarse al servidor de destino, pero nunca completa la conexión a través de lo que se conoce como un three-way handshake. Es un método muy utilizado en una red TCP/IP para crear una conexión entre un host local/cliente y un servidor. El handshake deja el puerto conectado en un estado ocupado y no disponible para más solicitudes. Un atacante continuará enviando solicitudes, saturando todos los puertos abiertos, para que los usuarios legítimos no puedan conectarse.

Las redes individuales pueden verse afectadas por ataques DoS sin ser atacadas directamente. Si el proveedor de servicios de Internet (ISP) de la red o del proveedor de servicios en la nube han sido elegidos y atacados, la red también experimentará una pérdida de servicio.

¿Qué es un ataque de denegación de servicio distribuido?

Se produce un ataque distribuido de denegación de servicio (DDoS) cuando varias máquinas funcionan juntas para atacar un objetivo. DDoS permite enviar exponencialmente más solicitudes al objetivo, lo que aumenta el poder de ataque. También aumenta la dificultad de atribución, ya que la verdadera fuente del ataque es más difícil de identificar.

Los atacantes DDoS a menudo aprovechan el uso de una botnet, un grupo de dispositivos secuestrados conectados con Internet para llevar a cabo ataques a gran escala. Los atacantes aprovechan las brechas de seguridad o las debilidades de la infraestructura informática para controlar numerosos dispositivos que utilizan software de comando y control. Una vez que lo tiene, el atacante puede ordenar a su botnet que realice DDoS en un objetivo. En este caso, los dispositivos infectados también son víctimas del ataque.

Una vez establecida la botnet compuesta por dispositivos secuestrados, también puede alquilarse a otros posibles atacantes. A menudo, la botnet está disponible para servicios de «ataque por alquiler» que permiten que incluso un usuario inexperto inicie ataques DDoS.

La magnitud de los ataques DDoS han aumentado a medida que más y más dispositivos se conectan a través de Internet de las cosas (IoT). Los dispositivos IoT a menudo utilizan contraseñas predeterminadas y no tienen posturas de seguridad sólidas, lo que los hace vulnerables a la explotación. La infección de dispositivos IoT pasa desapercibida para los usuarios, y un atacante podría comprometer fácilmente a cientos de miles de estos dispositivos para llevar a cabo un ataque a gran escala, sin el conocimiento de los propietarios del dispositivo.

¿Cómo evitar ser parte del problema?

Si bien no hay forma de evitar por completo un ataque DoS o DDoS, existen pasos proactivos que los administradores pueden tomar para reducir los efectos de un ataque en su red.

  • Registrate en un servicio de protección DoS que detecte flujos de tráfico anormales y que pueda redirigir el tráfico fuera de tu red. El tráfico DoS luego se filtra, mientras que el tráfico limpio se pasa a tu red.
  • Creá un plan de recuperación ante desastres para garantizar una comunicación, mitigación y recuperación exitosas y eficientes en caso de un ataque.

También es importante que tomes medidas para fortalecer la seguridad de todos tus dispositivos conectados con Internet:

  • Instalá y actualizá el software antivirus.
  • Instalá un firewall y configuralo para restringir el tráfico que ingresa y sale de tu computadora.
  • Evalúa las configuraciones de seguridad para minimizar el acceso de otras personas a tu información, como así también para administrar el tráfico no deseado.

¿Cómo saber si está ocurriendo un ataque?

Los síntomas de un ataque DoS pueden parecerse a inconvenientes de disponibilidad, como problemas técnicos con una red en particular o con un administrador de sistemas que realiza el mantenimiento. Sin embargo, los siguientes síntomas podrían indicar un ataque DoS o DDoS:

  • Rendimiento de red muy lento.
  • Sitio web no disponible.
  • Incapacidad para acceder a cualquier sitio web.

La mejor manera de identificar un ataque DoS sería a través del monitoreo y del análisis del tráfico de red. El tráfico de red se verifica a través de un firewall o sistema de detección de intrusos. Un administrador puede establecer reglas para crear una alerta al detectar una carga de tráfico anómala e identificar la fuente del tráfico. También puede descartar paquetes de red que cumplan con ciertos criterios.

¿Qué hacer si estás experimentando un ataque?

Si sospechás que vos o tu empresa están experimentando un ataque DoS o DDoS, es importante ponerse en contacto con los profesionales técnicos adecuados para obtener ayuda.

  • Contactáte con tu administrador de red para confirmar si la interrupción del servicio se debe a mantenimiento o a un problema interno de la red. También deberás monitorear el tráfico de red para confirmar la presencia de un ataque, identificar la fuente y mitigar la situación mediante la aplicación de reglas de firewall. Posiblemente haya que redirigir el tráfico a través de un servicio de protección DoS.
  • Contactáte con tu ISP para preguntar si hay una interrupción de su parte, o bien si su red es objeto de ataques y sos una víctima indirecta. Es posible que puedan asesorarte respecto de un curso de acción apropiado.

En caso de un ataque, no pierdas de vista los otros hostings o servicios que residen en tu red. Muchos atacantes realizan ataques DoS o DDoS para desviar la atención de su objetivo y aprovechar la oportunidad para realizar ataques secundarios en otros servicios dentro de tu red.

Y recordá que si tenés dudas, podés escribirnos a soporte@baehost.com

Hasta la próxima!

Deja una respuesta