Los tipos generales de ataques DDoS
(Parte 1)
La denegación de servicio distribuida (DDoS) es una clase amplia de ciberataque que interrumpe los servicios y recursos online al abrumarlos con tráfico. Esto inutiliza el servicio online objetivo mientras dure el ataque DDoS. El sello distintivo de los ataques DDoS es la naturaleza distribuida del tráfico malicioso, que generalmente se origina en una botnet, una red de máquinas comprometidas controladas por delincuentes repartidas por todo el mundo.
A lo largo de los años, los ciberdelincuentes han desarrollado una serie de enfoques técnicos para eliminar objetivos online a través de ataques DDoS. Las técnicas individuales tienden a dividirse en tres tipos generales de ataques DDoS:
Ataques volumétricos
El tipo clásico de DDoS. Estos ataques emplean métodos para generar volúmenes masivos de tráfico para saturar completamente el ancho de banda, creando un atasco de tráfico que hace imposible que el tráfico legítimo ingrese o salga del sitio de destino.
Ataques de protocolo
Los ataques de protocolo están diseñados para consumir la capacidad de procesamiento de los recursos de la infraestructura de red, como servidores, firewalls y equilibradores de carga, al dirigirse a las comunicaciones de protocolo de Capa 3 y Capa 4 con solicitudes de conexión maliciosas.
Ataques de aplicaciones
Algunos de los ataques DDoS más sofisticados explotan las debilidades en la capa de aplicación, Capa 7, al abrir conexiones e iniciar procesos y solicitudes de transacciones que consumen recursos finitos como espacio en disco y memoria disponible.
Se debe tener en cuenta que, en escenarios de ataque del mundo real, a los criminales les gusta mezclar y combinar este tipo de ataques para aumentar el dolor. Por lo tanto, una sola campaña DDoS puede superponer ataques de aplicaciones y protocolos además de los ataques volumétricos.
Revisión de estilos de ataque DDoS específicos
Inundaciones UDP e ICMP
Algunos de los ataques volumétricos más comunes son aquellos que inundan los recursos del host con paquetes del Protocolo de datagramas de usuario (UDP) o solicitudes de eco del Protocolo de mensajes de control de Internet (ICMP), o pings, hasta que el servicio se desborda. Los atacantes tienden a impulsar el flujo aplastante de estas inundaciones a través de ataques de reflexión, que falsifican la dirección IP de la víctima para realizar la solicitud UDP o ICMP. De esa manera, el atacante satura el ancho de banda tanto de entrada como de salida. El paquete malicioso parece provenir de la víctima, por lo que el servidor se envía la respuesta a sí mismo.
Amplificación de DNS
Los ataques de amplificación de DNS son ataques DDoS volumétricos que utilizan una técnica que es esencialmente un ataque de reflexión sobrealimentado. Los ataques de amplificación paralizan el ancho de banda al aumentar el flujo de tráfico saliente. Lo hacen al realizar solicitudes de información desde el servidor que generan grandes cantidades de datos y luego enrutar esa información directamente al servidor falsificando la dirección de respuesta.
Por lo tanto, en un ataque de amplificación de DNS, el actor malintencionado envía muchos paquetes relativamente pequeños a un servidor DNS de acceso público desde muchas fuentes diferentes en una botnet. Cada uno de ellos son solicitudes de una respuesta muy detallada, como solicitudes de búsqueda de nombres DNS. Luego, el servidor DNS responde a cada una de estas solicitudes distribuidas con paquetes de respuesta que contienen muchos órdenes de magnitud más de datos que el paquete de solicitud inicial, y todos esos datos se envían directamente al servidor DNS de la víctima.
Inundación SYN
Es uno de los ataques de protocolo más comunes. Los ataques de inundación SYN evitan el proceso de enlace de tres vías necesario para establecer conexiones TCP entre clientes y servidores. Estas conexiones se realizan normalmente con el cliente realizando una solicitud de sincronización inicial (SYN) del servidor, el servidor respondiendo con una respuesta de reconocimiento (SYN-ACK) y el cliente completando el protocolo de enlace con un reconocimiento final (ACK). Las inundaciones SYN funcionan al realizar una sucesión rápida de esas solicitudes de sincronización iniciales y dejar el servidor colgado al no responder nunca con un acuse de recibo final. En última instancia, se pide al servidor que mantenga abiertas un montón de conexiones semiabiertas que eventualmente abruman los recursos, a menudo hasta el punto en que el servidor falla.
Ping de la muerte
Es otro tipo de ataque de protocolo. Los ataques de ping de la muerte varían de los ataques de inundación de eco ping de ICMP en que el contenido del paquete en sí está diseñado maliciosamente para causar un mal funcionamiento del sistema del lado del servidor. Los datos contenidos en un ataque de inundación de ping normal son casi inmateriales, simplemente están destinados a aplastar el ancho de banda con su volumen. En un ataque de ping de la muerte, el delincuente busca explotar las vulnerabilidades en el sistema objetivo con el contenido del paquete que hace que se congele o se bloquee. Este método también se puede extender a otros protocolos más allá de ICMP, incluidos UDP y TCP.
Inundación HTTP
Los ataques de inundación HTTP son uno de los tipos más frecuentes de ataques DDoS en la capa de aplicación. Con este método, el delincuente hace lo que parecen ser interacciones normales con un servidor web o una aplicación. Todas las interacciones provienen de los navegadores web para que parezcan una actividad normal del usuario, pero están coordinadas para utilizar tantos recursos del servidor como sea posible. La solicitud que el atacante podría hacer incluye cualquier cosa, desde la llamada de URL para imágenes o documentos con solicitudes GET hasta hacer que el servidor procese llamadas a una base de datos desde solicitudes POST.