De acuerdo

CIBERSEGURIDAD: ATAQUES DOS Y DDOS

259 0 51 0 0

CIBERSEGURIDAD: ATAQUES DOS Y DDOS

 

INTRODUCCION


Un ataque de denegación de servicio, tiene como objetivo inhabilitar el uso de un sistema, una aplicación o una máquina, con el fin de bloquear el servicio para el que está destinado. Este ataque puede afectar, tanto a la fuente que ofrece la información como puede ser una aplicación o el canal de transmisión, como a la red informática.

Existen dos técnicas de este tipo de ataques: la denegación de servicio o DoS (por sus siglas en inglés Denial of Service) y la denegación de servicio distribuido o DDoS (por sus siglas en inglés Destributed Denial of Service). La diferencia entre ambos es el número de ordenadores o IP´s que realizan el ataque. En los ataques DoS se generan una cantidad masiva de peticiones al servicio desde una misma máquina o dirección IP, consumiendo así los recursos que ofrece el servicio hasta que llega un momento en que no tiene capacidad de respuesta y comienza a rechazar peticiones, esto es cuando se materializa la denegación del servicio.

En el caso de los ataques DDoS, se realizan peticiones o conexiones empleando un gran número de ordenadores o direcciones IP. Estas peticiones se realizan todas al mismo tiempo y hacia el mismo servicio objeto del ataque. Un ataque DDoS es más difícil de detectar, ya que el número de peticiones proviene desde diferentes IP´s y el administrador no puede bloquear la IP que está realizando las peticiones, como sí ocurre en el ataque DoSLos ordenadores que realizan el ataque DDoS son reclutados mediante la infección de un malware, convirtiéndose así en bots o zombis, capaces de ser controlados de forma remota por un ciberdelincuente. Un conjunto de bots, es decir, de ordenadores infectados por el mismo malware, forman una botnet o también conocida como red zombi. Obviamente, esta red tiene mayor capacidad para derribar servidores que un ataque realizado por sólo una máquina.

 

DESARROLLO

 

¿QUÉ ES UN ATAQUE DE DENEGACIÓN DE SERVICIO?

DOS

Este tipo de ataques tienen como objetivo degradar la calidad de un servicio, por ejemplo, una página web, y dejarlo en un estado no funcional. Para lograrlo, se saturan los recursos del sistema que aloja el servicio que se quiere interrumpir, enviándoles una avalancha de peticiones que no son capaces de atender.

Una evolución de este tipo de ataque es la denegación de servicio distribuido o DDoS por sus siglas en inglés Distributed Denial of Service. Consiste en utilizar un elevado número de dispositivos atacantes contra el objetivo. Los ataques DDoS muchas veces son llevados a cabo por bots, sistemas infectados cuyo propietario muchas veces desconoce que sus dispositivos forman parte de esta red maliciosa.


DDOS

DIFERENCIA ENTRE DOS Y DDOS

 

Veamos una analogía simple: suponga que una gran tienda con suficiente personal y productos abre una nueva oferta, ¡consolas PS4 gratuitas! El número de clientes tratando de adquirir el producto hará colapsar sus recursos, por lo que es muy probable que la tienda deba cerrar temporalmente, impidiendo que los clientes accedan a sus servicios. Ahora suponga que un atacante más astuto desea atacar la tienda con más clientes e inserta un chip que hace que miles de clientes se conviertan en zombies sí, este es el término informático para un equipo controlado por un intruso para agotar más y más recursos de esa tienda. De esto se trata un ataque DDoS o ataque de denegación distribuida de servicio.

Un ataque DoS es llevado a cabo usando una sola conexión a Internet, aprovechándose de las vulnerabilidades de software o desbordando la máquina atacada con solicitudes falsas con la intención de sobrecargar recursos de red, memoria RAM o uso de CPU. En contraste, y tal como observamos en la analogía, un ataque DDoS es perpetuado desde varios dispositivos en toda la red de Internet. En general, estos ataques se ejecutan usando muchísimos equipos en una red, en el orden de los cientos o miles. ¿Cómo se logran poner de acuerdo tantas personas para hacer un ataque de este tipo? La realidad es que la inmensa mayoría de los propietarios de dispositivos que ejecutan un ataque DDoS no tienen idea de que son parte del ataque, esto se debe a que un troyano/malware/bot infecta a los dispositivos y se encarga del ataque. El gran número de dispositivos enviando peticiones satura al equipo o red destino, haciendo que pierda su disponibilidad. Esto también hace que determinar el origen del ataque sea sumamente difícil.

 

MEDIDAS DE PREVENCIÓN FRENTE A LAS DOS Y DDOS

 

Los ataques de denegación de servicio, ya sea distribuido o no, causan graves consecuencias en los sistemas atacados. Implementar medidas preventivas será imprescindible ya que, en caso contrario, solamente sabremos que hemos sido víctimas de este ataque cuando el servicio deje de funcionar.

Para minimizar las consecuencias de estos ataques sobre nuestros sistemas se deberán incorporar distintas medidas de seguridad.

 

·         MEDIDAS DE PROTECCIÓN EN LA RED INTERNA

Cuando la página web se encuentra en la red interna de la empresa se han de incorporar elementos de protección perimetral para protegerlo. Entre otras medidas:

 

ü  Ubicar el servidor web en una zona desmilitarizada (entre cortafuegos), también llamada DMZ, evitando así que un intruso pueda acceder a la red interna si vulnera el servidor web;

ü  implementar un sistema de detección y prevención de intrusiones (IDS/IPS) que monitorizan las conexiones y nos alerta si detecta intentos de acceso no autorizados o mal uso de protocolos;

ü  utilizar un dispositivo o software con funcionalidad mixta (antivirus, cortafuegos y otras), como un UTM que permite gestionar de manera unificada la mayoría de ciberamenazas que pueden afectar a una empresa.

 

El uso combinado de estos elementos, que pueden ser tanto software como hardware, y su correcta configuración, reducirá las posibilidades de sufrir un ataque de denegación de servicio.

 

·         MEDIDAS DE PROTECCIÓN EN EL HOSTING

En caso de que se haya contratado un hosting debes informarte sobre las medidas de seguridad que ha implementado el proveedor. Tendrás que comprobar que son como las del apartado anterior. Algunos proveedores ofrecen estas medidas de seguridad en el panel de administración del alojamiento web. Verifica con el proveedor quién será el encargado de su configuración y administración.

 

·         ANCHO DE BANDA

Esta puede que sea la forma de protección más básica, pero no por ello la menos eficaz. Independientemente de que el servicio web se encuentre dentro de la organización o subcontratado se ha de contar con el mayor ancho de banda posible. De esta forma, se podrán gestionar mejor los picos de tráfico que causan las denegaciones de servicio.

 

·         REDUNDANCIA Y BALANCE DE CARGA

La redundancia consiste en tener el activo duplicado en más de un servidor y el balanceado de carga permite que se asigne a un servidor u otro en función de la carga de trabajo que esté soportando. Esta medida reduce los riesgos de sufrir uno de estos ataques, ya que al tener más de un servidor se reducirá la posibilidad de que se detenga debido a la sobrecarga. Además, aporta otras ventajas como la tolerancia a los fallos, ya que si un servidor cae, el total del trabajo lo asumiría el otro servidor.

 

·         SOLUCIONES DE SEGURIDAD BASADAS EN LA NUBE

Una de las soluciones que cualquier servicio web considerado crítico debe tener es un cortafuegos de aplicación o WAF por sus siglas en inglés Web Application Firewall. Los proveedores de seguridad web basados en la nube pueden ser de gran ayuda a la hora de evitar y mitigar los efectos de un ataque de denegación de servicio. Los WAF, que ofrecen las soluciones basadas en la nube, actúan como intermediarios entre nuestro servicio web y los usuarios, interponiéndose también a ciberdelincuentes o bots. Ante cualquier indicio de ataque, el WAF actuará y evitará que las conexiones maliciosas lleguen al sitio web, evitando así las denegaciones de servicio.

 

·         SISTEMAS ACTUALIZADOS

Algunos de los ataques de denegación de servicio tienen su origen en sistemas desactualizados, pues estos son en esencia más vulnerables. Mantener el software (servidores, gestores de contenidos web, etc.) actualizado es esencial para evitar cualquier tipo de ataque. Los ataques DoS o DDoS no son una excepción.

También, hay que reducir la superficie de ataque lo máximo posible, por lo que cualquier servicio que no sea estrictamente necesario para el correcto funcionamiento de la web debe ser desinstalado. Cuanto menor sea la superficie de ataque, menor será la posibilidad de sufrir uno.

 

¿POR QUÉ SE REALIZAN ESTOS ATAQUES Y A QUIÉN AFECTAN?

 

Como hemos visto, los ataques de denegación de servicio son utilizados para inhabilitar un servicio ofrecido por un servidor, haciendo colapsar el sistema aprovechando sus vulnerabilidades. El objetivo de los ciberdelincuentes es provocar un perjuicio, tanto a los usuarios que se abastecen del servicio, como al administrador que lo ofrece, inhabilitando su funcionalidad y provocando pérdidas, tanto económicas, como de prestigio.

Hasta el momento, El mayor ataque de denegación de servicio ocurrido en la historia se produjo, el 28 de febrero de 2018, a una conocida plataforma de proyectos colaborativos. Dejando sin funcionamiento la plataforma unos 10 minutos en total, de manera intermitente. Este ataque fue realizado de forma distribuida, es decir, con un ataque DDoS. A pesar de toda la seguridad de la que disponía la plataforma, no pudo afrontar el bombardeo de 126,9 millones de paquetes o lo que es lo mismo, unos 1,35 terabits por segundo recibidos. Este ataque fue realizado a través de una red botnet utilizando servidores de diversas entidades.

 

MÉTODOS DE ATAQUE

 

·         Inundación SYN (SYN Flood): La inundación SYN envía un flujo de paquetes TCP/SYN (varias peticiones con Flags SYN en la cabecera), muchas veces con la dirección de origen falsificada. Cada uno de los paquetes recibidos es tratado por el destino como una petición de conexión, causando que el servidor intente establecer una conexión al responder con un paquete TCP/SYN-ACK y esperando el paquete de respuesta TCP/ACK (Parte del proceso de establecimiento de conexión TCP de 3 vías). Sin embargo, debido a que la dirección de origen es falsa o la dirección IP real no ha solicitado la conexión, nunca llega la respuesta. Estos intentos de conexión consumen recursos en el servidor y copan el número de conexiones que se pueden establecer, reduciendo la disponibilidad del servidor para responder peticiones legítimas de conexión.

 

·         Inundación ICMP (ICMP Flood): Es una técnica DoS que pretende agotar el ancho de banda de la víctima. Consiste en enviar de forma continuada un número elevado de paquetes ICMP Echo request (ping) de tamaño considerable a la víctima, de forma que esta ha de responder con paquetes ICMP Echo reply (pong) lo que supone una sobrecarga tanto en la red como en el sistema de la víctima. Dependiendo de la relación entre capacidad de procesamiento de la víctima y el atacante, el grado de sobrecarga varía, es decir, si un atacante tiene una capacidad mucho mayor, la víctima no puede manejar el tráfico generado.

 

 

·         SMURF: Existe una variante a ICMP Flood denominado Ataque Smurf que amplifica considerablemente los efectos de un ataque ICMP. Existen tres partes en un Ataque Smurf: El atacante, el intermediario y la víctima (comprobaremos que el intermediario también puede ser víctima). En el ataque Smurf, el atacante dirige paquetes ICM P tipo "echo request" (ping) a una dirección IP de broadcast, usando como dirección IP origen, la dirección de la víctima (Spoofing). Se espera que los equipos conectados respondan a la petición, usando Echo reply, a la máquina origen (víctima). Se dice que el efecto es amplificado, debido a que la cantidad de respuestas obtenidas, corresponde a la cantidad de equipos en la red que puedan responder. Todas estas respuestas son dirigidas a la víctima intentando colapsar sus recursos de red. Como se dijo anteriormente, los intermediarios también sufren los mismos problemas que las propias víctimas.

 

·         Inundación UDP (UDP Flood): Básicamente este ataque consiste en generar grandes cantidades de paquetes UDP contra lavíctima elegida. Debido a la naturaleza sin conexión del protocolo UDP, este tipo de ataques suele venir acompañado de IP spoofing. Es usual dirigir este ataque contra máquinas que ejecutan el servicio Echo, de forma que se generan mensajes Echo de un elevado tamaño.

 

 

CONCLUSIONES

 

Los ataques DDoS están cada vez más presentes en la actualidad, sobre todo desde que hace unos meses se utilizase uno para dejar inaccesibles simultáneamente servicios como Twitter, Netflix o Spotify. Casos como este han hecho que deje de ser un término que sólo conocen los expertos en seguridad informática para convertirse en uno que conviene comprender para entender mejor la realidad en la que vivimos.

Los ataques de denegación de servicio pueden afectar a cualquier empresa, pero las consecuencias variarán mucho dependiendo de las medidas de prevención que se hayan tomado. Si estas son correctas, las consecuencias del ataque serán imperceptibles, pero en cambio si las medidas de prevención son nulas el sitio web puede quedar inoperativo durante todo el tiempo que dure el ataque.

 

REFERENCIAS


·         https://www.osi.es/es/actualidad/blog/2018/08/21/que-son-los-ataques-dos-y-ddos

·         https://www.incibe.es/protege-tu-empresa/blog/medidas-prevencion-ataques-denegacion-servicio

·         https://www.xataka.com/basics/que-es-un-ataque-ddos-y-como-puede-afectarte

·         https://www.ecured.cu/Ataque_de_denegación_de_servicio

·         https://docs.bluehosting.cl/tutoriales/conocimientos-generales/introduccion-a-los-ataques-ddos-y-metodos-anti-ddos.html


ENLACES ÚTILES: 



  • x
  • Opciones:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte el “ Contrato de usuario.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.
Guía de privacidad y seguridad de usuario
¡Gracias por ser parte de la Comunidad de Soporte Huawei Enteprise! A continuación te ayudaremos a consultar y entender cómo recopilamos, procesamos, protegemos y almacenamos tus datos personales, así cómo los derechos obtenidos de acuerdo con Política de privacidad y Contrato de usuario.