Los ataques DDoS son una de las amenazas más temidas en el ámbito de la ciberseguridad, pues el atacante no requiere una cantidad considerable de recursos para generar la ofensiva, son difíciles de detener, pueden resultar costosos para el afectado y es posible que causen cortes en sitios o servicios de Internet, tanto grandes como pequeños. A continuación, explicaremos qué son y cuáles son sus variantes más usadas.
¿Qué es DDoS?
Un DDoS (Distributed denial of service o Ataque distribuido de denegación de servicio) consiste en efectuar una enorme cantidad de peticiones a una computadora o servidor web con el propósito de abrumarlo para que no pueda satisfacer las solicitudes de usuarios legítimos.
A diferencia de un ataque DoS (Denial of Service o denegación de servicio), que se lleva a cabo en una sola computadora, el método DDoS utiliza múltiples equipos enfocados en un solo blanco para llevar a cabo una ofensiva sincronizada.
Este conjunto de computadoras se conoce como Botnet, y pueden colaborar voluntaria o involuntariamente en un ataque, ya que muchos hackers usan malware para hacerlas partícipes de una ofensiva sin el conocimiento del usuario. De manera individual, son llamadas zombies porque reciben instrucciones de un servidor de comando controlado por el atacante y se estima que, aproximadamente, existen 10 millones en el mundo.
¿Cómo funciona un DDoS?
Para entender de manera sencilla el método que usa un DoS, imaginemos una empresa con un área de recepción en donde se toman llamadas y se atiende a los clientes. Supongamos que alguien busca dañar la firma y decide hacer llamadas durante todo el día con el propósito de saturar las líneas y entorpecer el funcionamiento de ese departamento. Es posible que la compañía decida ignorar las llamadas o bloquear el número telefónico para resolver el problema, pero en el caso de un DDoS, son cientos de miles de personas contratadas para llamar y presentarse con citas falsas y solicitudes de información sin sentido. La situación haría imposible identificar quién es un cliente legítimo y quién un impostor.
En el primer trimestre de 2013 los ataques DDoS se incrementaron 718%
Igual que en el ejemplo anterior, hay varios métodos para saturar las terminales de las empresas. Entre los más usados se encuentran Slowloris, Layer 7, ICMP Flood, peticiones TCP, UDP y HTTP, y más recientemente, DNS Amplification, que es uno de los más efectivos.
Tipos de DDoS
Veamos a qué se refieren las peticiones TCP, UDP y HTTP. La herramienta más popular para este tipo de ataque es llamada LOIC (LowOrbit Ion Cannon), que toma su nombre de varias obras de ciencia ficción y fue desarrollada por Praetox Technologies con el propósito de permitir a desarrolladores probar sus servidores y verificar su correcto funcionamiento en situaciones de carga pesada. Eventualmente, lanzaron la herramienta al público y en 2008 la adoptaron miembros del colectivo de hacktivistas, Anonymous.
El funcionamiento de esta herramienta se basa en enviar múltiples peticiones a diferentes puertos que el programa detecte abiertos en el servidor o en la computadora destino, ya sea puertos TCP (empleados principalmente para enviar correos o transferir archivos de un lugar a otro) o UDP (que no requieren autentificación; simplemente reciben una petición y envían una respuesta). LOIC también es capaz de atacar por medio de lenguaje HTTP, aunque es muy fácil de detectar y bloquear por medio de aplicaciones firewall de web. Si regresamos a la analogía del funcionamiento de un DDoS, LOIC detectaría los números telefónicos privados de la compañía para saturar esas vías de comunicación.
Un ataque DDoS puede alcanzar 18 millones de peticiones por minuto y generar un tráfico de 30 Gb por segundo
Este método es el favorito de grupos de hacktivistas, ya que es fácil de distribuir y de usar y resulta muy efectivo para afectar grandes compañías y organizaciones. En el pasado, se empleó con éxito para atacar corporaciones como Visa, MasterCard, Amazon, PayPal y hasta el Departamento de Justicia de Estados Unidos.
Uno de los ataques más eficientes es el DNS Amplification y su detección requiere análisis cuidadoso debido a que combina herramientas y métodos para intensificar su eficacia.
Primero es necesario explicar un aspecto de la infraestructura de Internet. Todas las páginas de la red tienen una dirección IP, por ejemplo, una de las IP de Google es 74.125.224.72, pero para el ser humano es más fácil memorizar nombres que una serie de números, mientras que para las computadoras es mucho más eficiente responder a una serie de números. Por esto, se creó un tipo de servidores llamados DNS servers, que se encargan de resolver nombres de dominio como Google.com en secuencias de números dedicados. Una vez que los servidores reciben la petición, la contestan con la dirección IP del sitio en cuestión y por eso es posible buscar páginas por nombre y no por número.
Usemos otra analogía. Digamos que los servidores DNS son una operadora a quien le enviamos un mensaje de texto donde decimos que queremos hablar con Juan Pérez. Mediante un identificador de llamadas, la operadora registra nuestro número y nos marca para darnos la información (el número telefónico de Juan Pérez).
Ahora supongamos que el atacante cambia el número telefónico del dispositivo que manda el mensaje de texto por el de la persona a la que desea afectar. El identificador de llamadas muestra a la operadora el número modificado, ésta llama a la víctima aunque realmente nunca se haya solicitado información. Para amplificar el daño, el atacante pide que se envíen los datos de una empresa que tiene una gran cantidad de números telefónicos y contrata a miles de personas para que cumplan la misma tarea, lo que abruma las líneas con respuestas a peticiones nunca ejecutadas.
Un hacker emplea la dirección IP de la víctima en Botnets de computadoras adulteradas para que los DNS manden una serie de datos que nunca se pidieron, con el propósito de saturar la comunicación.
¿Cómo evitar ser parte de un ataque DDoS sin saberlo?
Las medidas de seguridad para evitar ser parte de estas actividades son las mismas que al usar Internet, por ejemplo, no abrir correos de desconocidos, tener un antivirus efectivo, evitar ejecutar archivos de dudosa procedencia e impedir que varias personas tengan acceso a la computadora. Desafortunadamente, fuera de estas recomendaciones hay poco que hacer para evitar tener un sistema zombie.
¿Cómo mitigar un ataque DDoS?
Si somos víctimas de un atacante dedicado y con recursos que decide emprender una ofensiva, prácticamente no hay nada que hacer. La recomendación es contactar al ISP para reportar la situación y contratar servicios especializados en DDoS como Prolexic, que conoce a la perfección el modus operandi de los hackers y se dedica a mitigar sus agresiones .
Los ataques DDoS son un juego de resistencia, así que si se incrementa el ancho de banda los atacantes tendrán más dificultad en saturar los sistemas. Esta es una solución costosa, pero sin duda, muy efectiva.
Existen grupos de activistas que consideran estas acciones un método de protesta que da poder a los ciudadanos, mientras que compañías, corporaciones y hasta gobiernos las ven como una seria amenaza al status quo; esta es la razón por la que el uso de herramientas de DDoS está penado por la ley en algunos países. Lo cierto y que es importante tener en cuenta, es que esta tecnología cada vez tiene más presencia en Internet mediante el empleo de técnicas más sofisticadas y eficientes, pero también es verdad que en ciertas ocasiones ha resultado ser un instrumento muy útil para protestar contra injusticias sociales.
Deja tu comentario