Ataques DDOS

Ataques DDOS

Decima tercera lección: Hackeo de Redes Inalámbricas (Wireless)


Un ataque de Denegación de Servicio Distribuido (DDoS) es un intento de hacer que un servicio en línea o un sitio web no esté disponible al sobrecargarlo con grandes cantidades de tráfico generado por múltiples fuentes.

A diferencia de un ataque de Denegación de Servicio (DoS), en el que un ordenador y una conexión a Internet se utilizan para inundar un recurso objetivo con paquetes, un ataque DDoS utiliza muchos ordenadores y muchas conexiones a Internet, a menudo distribuidas globalmente en lo que se conoce como botnet.

Un ataque DDoS volumétrico a gran escala puede generar un tráfico medido en decenas de gigabits (e incluso cientos de gigabits) por segundo. Estamos seguros de que su red normal no podrá manejar tal tráfico.

¿Qué son las redes de bots?

Los atacantes construyen una red de máquinas hackeadas conocidas como botnets, difundiendo código malicioso a través de correos electrónicos, sitios web y medios sociales. Una vez que estos ordenadores están infectados, pueden ser controlados remotamente, sin el conocimiento de sus dueños, y utilizados como un ejército para lanzar un ataque contra cualquier objetivo.

redes de bots

Una avalancha DDoS puede generarse de múltiples maneras. Por ejemplo:

  • Los botnets se pueden utilizar para enviar más solicitudes de conexión de las que un servidor puede manejar a la vez.
  • Los atacantes pueden hacer que las computadoras envíen a una víctima enormes cantidades de datos aleatorios para usar el ancho de banda del objetivo.

Debido a la naturaleza distribuida de estas máquinas, pueden ser utilizadas para generar tráfico distribuido de alto tráfico que puede ser difícil de manejar. Finalmente, resulta en un bloqueo total de un servicio.

Tipos de ataques DDoS

Los ataques DDoS pueden clasificarse en tres categorías:

  • Ataques basados en el volumen
  • Ataques de protocolo
  • Ataques a la capa de aplicación

Ataques basados en el volumen

Los ataques basados en el volumen incluyen inundaciones TCP, inundaciones UDP, inundaciones ICMP y otras inundaciones de paquetes falsos. Estos también se llaman Ataques de Capa 3 y 4. Aquí, un atacante intenta saturar el ancho de banda del sitio objetivo. La magnitud de ataque se mide en bits por segundo (bps).

  • Inundación UDP: Una inundación UDP se utiliza para inundar puertos aleatorios en un host remoto con numerosos paquetes UDP, más específicamente el puerto número 53. Se pueden utilizar cortafuegos especializados para filtrar o bloquear paquetes UDP maliciosos.
  • Inundación ICMP: Esta es similar a la inundación UDP y se usa para inundar un host remoto con numerosas solicitudes de eco ICMP. Este tipo de ataque puede consumir tanto el ancho de banda saliente como entrante y un alto volumen de peticiones de ping resultará en una ralentización general del sistema.
  • Inundación HTTP: El atacante envía peticiones HTTP GET y POST a un servidor web objetivo en un gran volumen que no puede ser manejado por el servidor y conduce a la negación de conexiones adicionales de clientes legítimos.
  • Ataque de amplificación: El atacante realiza una solicitud que genera una gran respuesta que incluye peticiones DNS para registros TXT de gran tamaño y peticiones HTTP GET para archivos grandes como imágenes, PDFs o cualquier otro archivo de datos.

Ataques de protocolo

Los ataques de protocolo incluyen inundaciones SYN, Ping de la muerte, ataques de paquetes fragmentados, Smurf DDoS, etc. Este tipo de ataque consume recursos reales del servidor y otros recursos como cortafuegos y balanceadores de carga. La magnitud de ataque se mide en Paquetes por segundo.

  • Inundación DNS: Las inundaciones DNS se utilizan para atacar tanto la infraestructura como una aplicación DNS para sobrecargar un sistema destino y consumir todo su ancho de banda de red disponible.
  • Inundación SYN: El atacante envía solicitudes de conexión TCP más rápido de lo que la máquina objetivo puede procesarlas, causando saturación de la red. Los administradores pueden ajustar las pilas TCP para mitigar el efecto de las inundaciones SYN. Para reducir el efecto de las inundaciones SYN, puede reducir el tiempo de espera hasta que una pila libere la memoria asignada a una conexión, o bien, de forma selectiva, eliminando las conexiones entrantes utilizando un firewall o iptables.
  • Ping of Death: El atacante envía paquetes malformados o sobredimensionados usando un simple comando ping. Las IP permiten enviar paquetes de 65.535 bytes, pero enviar un paquete ping de más de 65.535 bytes viola el Protocolo de Internet y podría causar desbordamiento de memoria en el sistema de destino y finalmente colapsar el sistema. Para evitar ataques de ping de la muerte y sus variantes, muchos sitios bloquean los mensajes de ping ICMP en sus cortafuegos.

Ataques a la capa de aplicación

Los ataques de capa de aplicación incluyen ataques Slowloris, ataques DDoS de día cero, ataques DDoS que apuntan a vulnerabilidades de Apache, Windows u OpenBSD y más. Aquí el objetivo es colapsar el servidor web. La magnitud de ataque se mide en Peticiones por segundo.

  • Ataque de aplicación: También llamado ataque de Capa 7, donde el atacante realiza peticiones excesivas de inicio de sesión, búsqueda de base de datos o búsqueda para sobrecargar la aplicación. Es realmente difícil detectar ataques de Capa 7 porque se asemejan al tráfico legítimo del sitio web.
  • Slowloris: El atacante envía un gran número de encabezados HTTP a un servidor web objetivo, pero nunca completa una solicitud. El servidor objetivo mantiene cada una de estas conexiones falsas abiertas y finalmente desborda el máximo pool de conexiones concurrentes, y conduce a la denegación de conexiones adicionales de clientes legítimos.
  • Amplificación NTP: El atacante explota servidores de Protocolo de Tiempo de Red (NTP) públicamente accesibles para abrumar al servidor objetivo con tráfico de Protocolo de Datagrama de Usuario (UDP).
  • Ataques DDoS de día cero: Una vulnerabilidad de día cero es un fallo de sistema o aplicación desconocido anteriormente para el proveedor y que no se ha corregido. Se trata de un nuevo tipo de ataques que se producen día a día, por ejemplo, explotando vulnerabilidades para las que todavía no se ha publicado ningún parche.

Cómo corregir un ataque DDoS

Existen bastantes opciones de protección DDoS que puede aplicar dependiendo del tipo de ataque DDoS.

Su protección DDoS comienza desde identificar y cerrar todas las vulnerabilidades posibles del sistema operativo y del nivel de aplicación en su sistema, cerrando todos los puertos posibles, eliminando el acceso innecesario del sistema y ocultando su servidor detrás de un sistema proxy o CDN.

Si usted ve una baja magnitud del DDoS, entonces puede encontrar muchas soluciones basadas en firewall que le pueden ayudar a filtrar el tráfico basado en DDoS. Pero si usted tiene un alto volumen de ataques DDoS como en gigabits o incluso más, entonces debe tomar la ayuda de un proveedor de servicios de protección DDoS que ofrece un enfoque más holístico, proactivo y genuino.

Debe tener cuidado al acercarse y seleccionar un proveedor de servicios de protección DDoS. Hay una gran cantidad de proveedores de servicios que quieren aprovechar su situación. Si les informa que está bajo ataque DDoS, entonces empezarán a ofrecerle una variedad de servicios a costos irrazonablemente altos.

Podemos sugerirle una solución sencilla y operativa que comienza con la búsqueda de un buen proveedor de soluciones DNS que sea lo suficientemente flexible para configurar los registros A y CNAME para su sitio web. En segundo lugar, necesitará un buen proveedor de CDN que pueda manejar el tráfico DDoS grande y proporcionarle un servicio de protección DDoS como parte de su paquete CDN.

Asuma que la dirección IP de su servidor es AAA. BBB. CCC. DDD. Entonces deberías hacer la siguiente configuración de DNS:

  • Crear un registro en un archivo de zona DNS como se muestra a continuación con un identificador de DNS, por ejemplo, ARECORDID y mantenerlo en secreto del mundo exterior.
  • Ahora pida a su proveedor de CDN que vincule el identificador DNS creado con una URL, algo así como cdn.someotherid.domain.com.
  • Usarás la URL de CDN cdn.someotherid.domain.com para crear dos registros CNAME, el primero que apunte a www y el segundo que apunte a @ como se muestra a continuación.

Puede tomar la ayuda del administrador de su sistema para entender estos puntos y configurar su DNS y CDN apropiadamente. Por último, tendrá la siguiente configuración en su DNS.

configurar su DNS y CDN

Ahora, deje que el proveedor de CDN maneje todo tipo de ataques DDoS y su sistema permanecerá seguro. Pero aquí la condición es que no debe revelar la dirección IP de su sistema o un identificador de registro a nadie; de lo contrario, los ataques directos volverán a empezar.

Solución rápida

Los ataques DDoS se han vuelto más comunes que nunca, y desafortunadamente, no hay una solución rápida para este problema. Sin embargo, si su sistema está bajo un ataque de DDoS, no se asuste y empiece a investigar el asunto paso a paso.

Decimo quinta lección: XSS Cross-Site Scripting

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *