¿Qué son los ataques de denegación de servicio y DDoS?
Los ataques DoS (denegación de servicio) y DDoS (denegación distribuida de servicio) son cada vez más comunes y potentes. Los ataques de denegación de servicio vienen en muchas formas, pero comparten un propósito común: impedir que los usuarios accedan a un recurso, ya sea una página web, correo electrónico, la red telefónica o cualquier otra cosa por completo. Veamos los tipos más comunes de ataques contra objetivos web y cómo DoS puede convertirse en DDoS..
Los tipos más comunes de ataques de denegación de servicio (DoS)
En su núcleo, un ataque de denegación de servicio se realiza normalmente inundando un servidor, por ejemplo, el servidor de un sitio web, tanto que no puede proporcionar sus servicios a usuarios legítimos. Hay varias formas en que esto se puede realizar, la más común son los ataques de inundación de TCP y los ataques de amplificación de DNS..
TCP ataques de inundación
Casi todo el tráfico web (HTTP / HTTPS) se realiza mediante el Protocolo de Control de Transmisión (TCP). TCP tiene más sobrecarga que la alternativa, User Datagram Protocol (UDP), pero está diseñado para ser confiable. Dos computadoras conectadas entre sí a través de TCP confirmarán la recepción de cada paquete. Si no se proporciona una confirmación, el paquete debe enviarse nuevamente.
¿Qué pasa si una computadora se desconecta? Tal vez un usuario pierda energía, su ISP tenga una falla, o cualquier aplicación que esté utilizando se cierre sin informar a la otra computadora. El otro cliente debe dejar de reenviar el mismo paquete o, de lo contrario, está desperdiciando recursos. Para evitar una transmisión sin fin, se especifica una duración de tiempo de espera y / o se establece un límite de cuántas veces se puede reenviar un paquete antes de interrumpir la conexión por completo..
TCP fue diseñado para facilitar la comunicación confiable entre bases militares en caso de un desastre, pero este mismo diseño lo hace vulnerable a ataques de denegación de servicio. Cuando se creó TCP, nadie imaginó que sería utilizado por más de mil millones de dispositivos cliente. La protección contra los ataques modernos de denegación de servicio no formaba parte del proceso de diseño..
El ataque de denegación de servicio más común contra los servidores web se realiza mediante paquetes de correo no deseado SYN (sincronización). Enviar un paquete SYN es el primer paso para iniciar una conexión TCP. Después de recibir el paquete SYN, el servidor responde con un paquete SYN-ACK (sincronización de reconocimiento). Finalmente, el cliente envía un paquete ACK (acuse de recibo), completando la conexión.
Sin embargo, si el cliente no responde al paquete SYN-ACK dentro de un tiempo establecido, el servidor envía el paquete nuevamente y espera una respuesta. Repetirá este procedimiento una y otra vez, lo que puede desperdiciar tiempo de memoria y procesador en el servidor. De hecho, si se hace lo suficiente, puede desperdiciar tanto tiempo de memoria y procesador que los usuarios legítimos se quedan cortos en sus sesiones, o las nuevas sesiones no pueden comenzar. Además, el aumento en el uso de ancho de banda de todos los paquetes puede saturar las redes, lo que hace que no puedan transportar el tráfico que realmente desean..
Ataques de amplificación de DNS
Los ataques de denegación de servicio también pueden apuntar a los servidores DNS: los servidores que traducen los nombres de dominio (como howtogeek.com) en direcciones IP (12.345.678.900) que las computadoras usan para comunicarse. Cuando escribe howtogeek.com en su navegador, se envía a un servidor DNS. El servidor DNS lo dirige al sitio web real. La velocidad y la baja latencia son preocupaciones importantes para DNS, por lo que el protocolo opera sobre UDP en lugar de TCP. El DNS es una parte crítica de la infraestructura de Internet, y el ancho de banda consumido por las solicitudes de DNS generalmente es mínimo.
Sin embargo, el DNS creció lentamente, con nuevas características que se fueron agregando gradualmente con el tiempo. Esto introdujo un problema: DNS tenía un límite de tamaño de paquete de 512 bytes, que no era suficiente para todas esas nuevas características. Así, en 1999, el IEEE publicó la especificación para los mecanismos de extensión para DNS (EDNS), que aumentó el límite a 4096 bytes, lo que permite incluir más información en cada solicitud..
Sin embargo, este cambio hizo al DNS vulnerable a los "ataques de amplificación". Un atacante puede enviar solicitudes especialmente diseñadas a los servidores DNS, solicitando grandes cantidades de información y solicitando que se envíen a la dirección IP de su objetivo. Se crea una "amplificación" porque la respuesta del servidor es mucho mayor que la solicitud que la genera, y el servidor DNS enviará su respuesta a la IP falsificada.
Muchos servidores DNS no están configurados para detectar o eliminar solicitudes incorrectas, por lo que cuando los atacantes envían repetidamente solicitudes falsificadas, la víctima se ve inundada por enormes paquetes de EDNS que congestionan la red. Incapaces de manejar tanta información, su tráfico legítimo se perderá.
Entonces, ¿qué es un ataque distribuido de denegación de servicio (DDoS)??
Un ataque de denegación de servicio distribuido es uno que tiene varios atacantes (a veces involuntarios). Los sitios web y las aplicaciones están diseñados para manejar muchas conexiones concurrentes; después de todo, los sitios web no serían muy útiles si solo una persona pudiera visitarlos a la vez. Los servicios gigantes como Google, Facebook o Amazon están diseñados para manejar millones o decenas de millones de usuarios concurrentes. Debido a eso, no es posible que un solo atacante los derrote con un ataque de denegación de servicio. Pero muchos los atacantes podrían.
El método más común para reclutar atacantes es a través de una botnet. En una red de bots, los hackers infectan todo tipo de dispositivos conectados a Internet con malware. Esos dispositivos pueden ser computadoras, teléfonos o incluso otros dispositivos en su hogar, como DVR y cámaras de seguridad. Una vez infectados, pueden usar esos dispositivos (llamados zombies) para contactar periódicamente con un servidor de comando y control para solicitar instrucciones. Estos comandos pueden abarcar desde la extracción de criptomonedas hasta, sí, participar en ataques DDoS. De esa manera, no necesitan un montón de hackers para unirse, pueden usar los inseguros dispositivos de los usuarios normales en el hogar para hacer su trabajo sucio.
Otros ataques DDoS se pueden realizar de manera voluntaria, generalmente por motivos políticos. Clientes como Low Orbit Ion Cannon hacen que los ataques DoS sean simples y fáciles de distribuir. Tenga en cuenta que es ilegal en la mayoría de los países participar (intencionalmente) en un ataque DDoS.
Finalmente, algunos ataques DDoS pueden ser involuntarios. Originalmente conocido como el efecto Slashdot y generalizado como el "abrazo de la muerte", enormes volúmenes de tráfico legítimo pueden paralizar un sitio web. Probablemente hayas visto esto antes: un sitio popular se enlaza con un pequeño blog y una gran afluencia de usuarios que accidentalmente desactiva el sitio. Técnicamente, esto todavía se clasifica como DDoS, incluso si no es intencional o malicioso.
¿Cómo puedo protegerme contra ataques de denegación de servicio??
Los usuarios típicos no tienen que preocuparse por ser el objetivo de los ataques de denegación de servicio. Con la excepción de los streamers y los jugadores profesionales, es muy raro que un DoS sea dirigido a un individuo. Dicho esto, aún debes hacer lo mejor que puedas para proteger todos tus dispositivos contra el malware que podría hacerte parte de una red de bots..
Sin embargo, si es administrador de un servidor web, existe una gran cantidad de información sobre cómo proteger sus servicios contra los ataques DoS. La configuración del servidor y los dispositivos pueden mitigar algunos ataques. Se pueden evitar otros asegurándose de que los usuarios no autenticados no puedan realizar operaciones que requieran recursos significativos del servidor. Desafortunadamente, el éxito de un ataque DoS lo determina con mayor frecuencia quién tiene la tubería más grande. Los servicios como Cloudflare e Incapsula ofrecen protección al pararse frente a sitios web, pero pueden ser costosos.