Hacking ético: ataques DDOS

Un ataque de denegación de servicio distribuido (DDoS) es un intento de hacer que un servicio en línea o un sitio web no esté disponible al sobrecargarlo con grandes inundaciones de tráfico generado desde múltiples fuentes.

A diferencia de un ataque de denegación de servicio (DoS), en el que se usa una computadora y una conexión a Internet para inundar un recurso específico con paquetes, un ataque DDoS usa muchas computadoras y muchas conexiones a Internet, a menudo distribuidas globalmente en lo que se conoce como botnet.

Un ataque DDoS volumétrico a gran escala puede generar un tráfico medido en decenas de Gigabits (e incluso cientos de Gigabits) por segundo. Estamos seguros de que su red normal no podrá manejar ese tráfico.

¿Qué son las redes de bots?

Los atacantes construyen una red de máquinas pirateadas que se conocen como botnets, mediante la difusión de código malicioso a través de correos electrónicos, sitios web y redes sociales. Una vez que estas computadoras están infectadas, pueden controlarse de forma remota, sin el conocimiento de sus propietarios, y usarse como un ejército para lanzar un ataque contra cualquier objetivo.

Una inundación DDoS se puede generar de varias formas. Por ejemplo

  • Las botnets se pueden utilizar para enviar más solicitudes de conexión de las que un servidor puede manejar a la vez.

  • Los atacantes pueden hacer que las computadoras envíen al recurso de la víctima grandes cantidades de datos aleatorios para utilizar el ancho de banda del objetivo.

Debido a la naturaleza distribuida de estas máquinas, se pueden utilizar para generar un alto tráfico distribuido que puede ser difícil de manejar. Finalmente resulta en un bloqueo completo de un servicio.

Tipos de ataques DDoS

Los ataques DDoS se pueden clasificar en tres categorías:

  • Ataques basados ​​en volumen
  • Ataques de protocolo
  • Ataques de capa de aplicación

Ataques basados ​​en volumen

Los ataques basados ​​en volumen incluyen inundaciones de TCP, inundaciones de UDP, inundaciones de ICMP y otras inundaciones de paquetes falsificados. Estos también se llamanLayer 3 & 4 Attacks. Aquí, un atacante intenta saturar el ancho de banda del sitio objetivo. La magnitud del ataque se mide enBits per Second (bps).

  • UDP Flood - Una inundación UDP se usa para inundar puertos aleatorios en un host remoto con numerosos paquetes UDP, más específicamente el puerto número 53. Se pueden usar firewalls especializados para filtrar o bloquear paquetes UDP maliciosos.

  • ICMP Flood- Esto es similar a la inundación UDP y se usa para inundar un host remoto con numerosas solicitudes de eco ICMP. Este tipo de ataque puede consumir ancho de banda entrante y saliente y un alto volumen de solicitudes de ping provocará una ralentización general del sistema.

  • HTTP Flood - El atacante envía solicitudes HTTP GET y POST a un servidor web específico en un gran volumen que no puede ser manejado por el servidor y conduce a la denegación de conexiones adicionales de clientes legítimos.

  • Amplification Attack - El atacante realiza una solicitud que genera una gran respuesta que incluye solicitudes de DNS para registros TXT grandes y solicitudes HTTP GET para archivos grandes como imágenes, PDF o cualquier otro archivo de datos.

Ataques de protocolo

Los ataques de protocolo incluyen inundaciones SYN, Ping of Death, ataques de paquetes fragmentados, Smurf DDoS, etc. Este tipo de ataque consume recursos reales del servidor y otros recursos como firewalls y balanceadores de carga. La magnitud del ataque se mide enPackets per Second.

  • DNS Flood - Las inundaciones de DNS se utilizan para atacar tanto la infraestructura como una aplicación de DNS para abrumar un sistema de destino y consumir todo su ancho de banda de red disponible.

  • SYN Flood- El atacante envía solicitudes de conexión TCP más rápido de lo que la máquina objetivo puede procesarlas, lo que provoca la saturación de la red. Los administradores pueden modificar las pilas de TCP para mitigar el efecto de las inundaciones SYN. Para reducir el efecto de las inundaciones SYN, puede reducir el tiempo de espera hasta que una pila libere la memoria asignada a una conexión, o descarte selectivamente las conexiones entrantes mediante un firewall oiptables.

  • Ping of Death- El atacante envía paquetes mal formados o de gran tamaño mediante un simple comando ping. IP permite enviar paquetes de 65,535 bytes, pero enviar un paquete de ping de más de 65,535 bytes viola el Protocolo de Internet y podría causar un desbordamiento de la memoria en el sistema de destino y finalmente bloquear el sistema. Para evitar los ataques Ping of Death y sus variantes, muchos sitios bloquean por completo los mensajes de ping ICMP en sus firewalls.

Ataques de capa de aplicación

Los ataques de capa de aplicación incluyen Slowloris, ataques DDoS de día cero, ataques DDoS que tienen como objetivo las vulnerabilidades de Apache, Windows u OpenBSD y más. Aquí el objetivo es bloquear el servidor web. La magnitud del ataque se mide enRequests per Second.

  • Application Attack - Esto también se llama Layer 7 Attack, donde el atacante realiza un inicio de sesión excesivo, búsquedas en bases de datos o solicitudes de búsqueda para sobrecargar la aplicación. Es realmente difícil detectar ataques de Capa 7 porque se asemejan al tráfico de sitios web legítimos.

  • Slowloris- El atacante envía una gran cantidad de encabezados HTTP a un servidor web de destino, pero nunca completa una solicitud. El servidor de destino mantiene abiertas cada una de estas conexiones falsas y, finalmente, desborda el grupo máximo de conexiones simultáneas y conduce a la denegación de conexiones adicionales de clientes legítimos.

  • NTP Amplification - El atacante explota servidores de Protocolo de tiempo de red (NTP) de acceso público para abrumar al servidor de destino con tráfico de Protocolo de datagramas de usuario (UDP).

  • Zero-day DDoS Attacks- Una vulnerabilidad de día cero es una falla del sistema o de la aplicación previamente desconocida para el proveedor y que no ha sido reparada ni parcheada. Estos son nuevos tipos de ataques que surgen día a día, por ejemplo, explotando vulnerabilidades para las que aún no se ha publicado ningún parche.

Cómo arreglar un ataque DDoS

Existen bastantes opciones de protección DDoS que puede aplicar según el tipo de ataque DDoS.

Su protección DDoS comienza identificando y cerrando todas las posibles vulnerabilidades de nivel de aplicación y sistema operativo en su sistema, cerrando todos los puertos posibles, eliminando el acceso innecesario del sistema y ocultando su servidor detrás de un sistema proxy o CDN.

Si ve una magnitud baja de DDoS, puede encontrar muchas soluciones basadas en firewall que pueden ayudarlo a filtrar el tráfico basado en DDoS. Pero si tiene un alto volumen de ataques DDoS como en gigabits o incluso más, entonces debe buscar la ayuda de un proveedor de servicios de protección DDoS que ofrezca un enfoque más holístico, proactivo y genuino.

Debe tener cuidado al acercarse y seleccionar un proveedor de servicios de protección DDoS. Hay varios proveedores de servicios que quieren aprovechar su situación. Si les informa que está bajo un ataque DDoS, comenzarán a ofrecerle una variedad de servicios a costos irrazonablemente altos.

Podemos sugerirle una solución simple y funcional que comience con la búsqueda de un buen proveedor de soluciones DNS que sea lo suficientemente flexible como para configurar los registros A y CNAME para su sitio web. En segundo lugar, necesitará un buen proveedor de CDN que pueda manejar un gran tráfico DDoS y brindarle un servicio de protección DDoS como parte de su paquete CDN.

Suponga que la dirección IP de su servidor es AAA.BBB.CCC.DDD. Entonces deberías hacer la siguiente configuración de DNS -

  • Crear un A Record en el archivo de zona DNS como se muestra a continuación con un identificador de DNS, por ejemplo, ARECORDID y mantenerlo en secreto del mundo exterior.

  • Ahora pídale a su proveedor de CDN que vincule el identificador de DNS creado con una URL, algo como cdn.someotherid.domain.com.

  • Utilizará la URL de CDN cdn.someotherid.domain.com para crear dos registros CNAME, el primero en apuntar www y el segundo registro que apunte a @ como se muestra a continuación.

Puede obtener la ayuda de su administrador de sistema para comprender estos puntos y configurar su DNS y CDN de manera adecuada. Finalmente, tendrá la siguiente configuración en su DNS.

Ahora, deje que el proveedor de CDN maneje todo tipo de ataques DDoS y su sistema permanecerá seguro. Pero aquí la condición es que no debe revelar la dirección IP de su sistema o el identificador de registro A a nadie; de lo contrario, los ataques directos comenzarán de nuevo.

Arreglo rapido

Los ataques DDoS se han vuelto más comunes que nunca y, desafortunadamente, no existe una solución rápida para este problema. Sin embargo, si su sistema está bajo un ataque DDoS, no se asuste y comience a investigar el asunto paso a paso.