En medio de un entorno basado en operaciones digitales, el Internet de las Cosas (IoT) y en el funcionamiento continuo de diferentes aplicaciones y herramientas, el detenimiento de sitios web y otras plataformas es un riesgo de Ciberseguridad que representa costos millonario para las empresas. Por ello, la protección contra ataques DDoS (Distributed Denial of Service) se ha convertido en un aspecto imperativo en los negocios.
Un ciberdelito asociado a la denegación de servicio pondrá en riesgo la integridad de los archivos digitales y la confidencialidad de sus informaciones, a la vez que obstaculizará el cumplimiento del proceso comercial del cual derivan los ingresos.
En este post profundizaremos en la protección contra ataques DDoS como método de mitigación de riesgos y las mejores prácticas al respecto.
Los ataques de denegación de servicio distribuido o Distributed Denial of Service se dirigen a sitios web y servidores e interrumpen los procesos de red con el fin de degradar la calidad del servicio.
Un ataque DDoS intenta agotar los recursos de una aplicación. Es por ello que los perpetradores de los ataques inundan los sitios web con tráfico errático, lo que hace que funcionen mal o que se desconecten por completo.
Los ataques DDoS se pueden dividir en tres grupos:
Estos ataques de volumen tienen como principal objetivo colmar el ancho de banda de un recurso o servicio en específico. Igualmente, son conocidos como “ataques basados en volumen”, ya que, al emitir grandes cantidades de tráfico a través de botnet (bots), el atacante ralentiza o bloquea el tráfico de los usuarios reales.
Los siguientes son algunos tipos de ciberataques volumétricos:
En un ataque de amplificación de DNS, el agresor falsifica la dirección IP de destino y envía una masiva cantidad de solicitudes para que el servidor DNS responda. Al responder, los servidores DNS generan cantidades masivas de tráfico, abrumando a los servicios de una organización.
En una acometida de inundación ICMP, los mensajes del protocolo de mensajes de control de Internet (Internet Control Message Protocol) se utilizan para incrementar el ancho de banda de la red de un objetivo.
En los atentados de inundación UDP, los ciberatacantes utilizan paquetes IP que contienen el protocolo de datagrama del usuario (User Datagram Protocol) con el fin de colapsar los puertos del host que son objeto del ataque.
Estos ataques tienen como objetivo consumir y debilitar los recursos reales de los servidores y equipamiento intermedio como firewalls (cortafuegos). Asimismo, se conocen como ataques basados en protocolos.
A tal efecto, los agresores usan solicitudes de conexión con malicia para lograr vulnerar las comunicaciones del protocolo. Sus principales tipos son:
En ataques llamados ping de la muerte, los ciberatacantes emiten un paquete de tamaño superior al máximo permitido para incitar una caída en el servidor al que se dirige el ataque.
Este ataque de tamaño superior al permitido se fragmenta en partes al ser transmitido al servidor y, cuando este empiece a reunir las partes, el tamaño exceda el límite y provoque un desbordamiento de buffer.
En ataques Smurf, los agresores transmiten un gran número de paquetes ICMP utilizando una IP de origen falsa, que pertenezca al objetivo del ataque a una red de computadoras a través de una dirección IP de difusión.
Si existen muchos números de dispositivos en la red, las respuestas a la IP de origen podrían abarcar por completo el tráfico del ordenador objeto del ataque.
En ataques de inundación, los cibercriminales se apoyan en un usuario infectado con el malware con el objetivo de distribuir una gran cantidad de paquetes SYN que no pasan por procesos de verificación.
Como el protocolo de control de transmisión entabla conexiones en diversos pasos (sincronización, confirmación de esta misma y final), el servidor permanece a la expectativa de respuesta de numerosas conexiones incompletas y eventualmente se queda sin capacidad para aceptar nuevas conexiones legítimas.
En estos, los agresores tienen como objetivo instruir una caída del servidor web con solicitudes supuestamente legítimas. Este tipo de agresiones, conocidas como Ataques DDoS de capa 7”, son fáciles de aplicar y difíciles de detener, y suelen estar dirigidas a aplicaciones específicas.
Estos son algunos tipos de ataques a la capa de aplicación o ataques de capa 7:
Las acometidas de inundación de HTTP (Hypertext Transfer Protocol) provocan un efecto similar al de refrescar constantemente un buscador web en un gran número de ordenadores de manera simultánea; esta cantidad de solicitudes generan inundación al servidor.
En los ataques low and slow, los cibercriminales utilizan un diminuto flujo de tráfico muy lento y no requieren de mucho ancho de banda para llevar a cabo su ataque.
La protección contra ataques DDoS low and slow no es sencilla debido a que es complejo diferenciar el tráfico malicioso del normal. Esto permite que pasen sin ser detectados durante largos fragmentos de tiempo y que demore el servicio a los usuarios reales.
En principio, para la protección contra ataques DDoS realmente eficiente, lo más importante es mantener todos los equipos con antivirus actualizados y monitorear la actividad dentro de su red.
Asimismo, se debe contar con una infraestructura flexible que genere capacidad en demanda y que soporte las necesidades de negocio creciente. Esto conlleva obtener equipos propios y especializados de seguridad, es decir, dispositivos que se interpongan entre el atacante y su infraestructura para detener el ataque.
Estas herramientas son las utilizadas para la protección contra ataques DDoS y que te pueden servir para asegurar la integridad de tu información.
Apoyarse de una red anycast permite diluir el tráfico generado por los ataques DDoS, apoyándose de una red de servidores distribuidos por todo el mundo, para soportar el tráfico de información y que permita gestionar el ataque eficientemente.
Crear una ruta de agujeros negros a través de la cual canalizar el tráfico a una ruta inválida o un agujero negro, haciendo así que abandone la red.
Fijar la cantidad de requerimientos que el servidor está en capacidad de aceptar durante un periodo de tiempo.
Reducir esta superficie ayuda a disminuir los puntos potenciales para ser atacados y centrar la protección en un único lugar. Así, empleas recursos de autenticación, prevención y respaldo a una zona de tu infraestructura y bases de datos claramente ubicada y optimizada.
Utilizar un firewall de aplicaciones web (WAF , por web Application Firewall) resulta una poderosa defensa del protocolo de capa 7, que ayuda a filtrar y monitorizar el tráfico HTTP entre una aplicación web-Internet.
Además de estas buenas prácticas, aspectos básicos como la gestión de contraseñas, el control de acceso y la educación de los usuarios empresariales deben ser prioridades para resguardar datos personales y empresariales, fortaleciendo su política anti-DDos.
Sumado a esto, como medida de seguridad avanzada, conviene evaluar su perímetro e infraestructura de Ciberseguridad de manera continua y a gran escala, para detectar posibles vulnerabilidades de sus datos privados, así como brechas que faciliten DDos y otros ataques efectuados por ciberdelincuentes.
Le invitamos a explorar nuestro servicio CS Lighthouse DETECT, que lo ayudará a encontrar amenazas de seguridad complejas de detectar, pero que podrían estar generando daños en su empresa justo en este momento.