Saltar al contenido
Portada » Ataques DDoS

Ataques DDoS

Un ataque de denegación de servicio distribuido (DDoS) es una práctica maliciosa para conseguir hacer inaccesible un servicio online a los usuarios. Normalmente interrumpe temporalmente un servicio o el servidor que lo hostea.

Los ataques DDoS se lanzan simultáneamente desde númerosos dispositivos comprometidos. Además, los dispositivos suelen estar distribuidos globalmente, esto es conocido como una botnet (red de bots). Esta es la diferencia fundamental respecto a los ataques de denegación de servicio simples (DoS), en los cuales un único dispositivo conectado a internet es el que ejecuta el ataque.

Tipos de ataque DDoS

  • Basados en volumen: Incluye inundación UDP, ICMP y otros tipos de paquetes. El objetivo es saturar el ancho de banda del sitio atacado, la magnitud se mide en bits por segundo.
  • Ataques de protocolo: Incluye inundación SYN, ataque de paquete fragmentado, Smurf, etc. El objetivo es consumir los recursos del servidor o de cualquier elemento intermedio como firewall o balanceadores. Se mide en paquetes por segundos.
  • Ataques de capa de aplicación: Inundación GET/POST, ataques contra Apache, Windows o vulnerabilidades OpenBSD. El objetivo es crashear el servidor web y tirarlo. Su magnitud se mide en peticiones por segundo.

Ataques frecuentes de DDoS

Inundación UDP

Por definición, este tipo de ataques son aquellos que inundan el objetivo con paquetes UDP (User Datagram Protocol). Lo que se consigue es inundar puertos aleatorios del host victima. De esta manera el host está permanente revisando la aplicación que escucha en ese puerto, o bien, cuando no hay aplicación, responde continuamente con paquetes ICMP (Destination Unreachable). Este proceso consume los recursos del host hasta que finalmente lo hace inaccesible.

Inundación ICMP (Ping)

La idea es similar a la inundación UDP, este ataque satura el objetivo con ICMP. El objetivo es lanzar tantas peticiones ICMP (ping) como sea posible sin esperar a las respuestas. Este método puede saturar tanto el ancho de banda de salida como el de entrada. De esta forma va degradando el sistema atacado.

Inundación SYN

Explota una debilidad en la secuencia de conexión TCP. Las conexiones TCP se inician con una petición SYN que el host de destino debe responder con SYN-ACK que a su vez debe ser confirmado con un ACK desde el peticionario. En un escenario de inundación SYN, el cliente envía múltiples peticiones SYN sin responder a las respuestas SYN-ACK o envía las peticiones SYN desde una IP mailiciosa. Por tanto, el host atacado continúa esperando el ACK de las peticiones respondidas hasta que se degrada su funcionamiento causando la denegación de servicio.

Ping de muerte

El Ping de muerte, o en inglés ping of death (POD), se produce cuando el atacante envía de forma sistemática pings maliciosos. La longitud máxima de un paquete IP (incluyendo la cabecera) es de 65,535 bytes. Sin embargo, la capa de enlace de datos normalmente tiene límites al tamaño maximo de marco, por ejemplo 1500 bytes en una red Ethernet. En esos casos un paquete IP se rompe en varios, conocidos como fragmentos.

En un escenario de ping de muerte, siguiendo la manipulación maliciosa de fragmentos de contenido, el receptor termina con un paquete IP más largo de 65,535 bytes al componerlo. Esto puede provocar el desbordamiento de buffers de memoria dedicados al paquete, causando denegación de servicio para paquetes legítimos.

Slowloris

Ocurre al habilitar un servidor web para tirar otro, sin afectación de otros servicios o puertos de la red objetivo. Slowloris hace esto sujetando tantas conexiones con el servidor web objetivo tanto tiempo como le sea posible. Lo consigue creando conexiones enviando peticiones parciales sin llegar a completarlas. El servidor objetivo mantiene todas estas conexiones provocándole eventualmente el desbordamiento del máximo número de conexiones concurrentes. De esta manera los clientes legítimos no podrán conectarse.

Amplificación NTP

El atacante explota una red accesible públicamente. Los servidores de Time Protocol (NTP) inundan un servidor objetivo con tráfico UDP.

Los atacantes obtienen una lista de servidores abiertos NTP para poder generar un ancho de banda devastador.

Inundación HTTP

El atacante ejecuta llamadas HTTP GET o POST para atacar un servidor web. Este ataque no usa paquetes malformados o técnicas de spoofing y requiere menos ancho de banda que otros ataques para tirar un servidor. El ataque es más efectivo cuando fuerza al servidor a dedicar los mayores recursos posibles en cada petición.


TécnicaDescripción
Inyección SQLTécnicas de inyección SQL para acceder a información confidencial en bases de datos.
Buffer OverflowDesbordamiento de pila para ejecutar procesos de malware.
Man in the middleEste tipo de ataques se usan tanto para robar información como para suplantar una de las partes que se comunican.
PhishingTécnicas de suplantación de identidad con objetivos de robo de información.
DDoSAtaques de denegación de servicio distribuido.
KeyloggersSe utilizan para robar información confidencial, como contraseñas, números de tarjetas de crédito y otros datos sensibles
Car HackingLa revolución de los automóviles ha traído grandes comodidades pero también ha abierto la puerta a un nuevo tipo de amenaza: el car hacking
Deep Fake Exploramos qué es el Deep Fake, su creciente importancia y los desafíos éticos y de seguridad que plantean
Inteligencia Artificial y CiberseguridadLa inteligencia artificial es una poderosa herramienta para fortalecer la ciberseguridad contra amenazas y proteger nuestros sistemas.