Ataques DDoS: Conozca la amenaza y las posibles soluciones

Un titular muy común en todo el mundo: “Una página web destacada ha sido hackeada”, y muy probablemente la causa es un ataque Distribuido de Denegación de Servicios (DDoS, por sus siglas en inglés).

Es importante que las empresas sean conscientes de esto y lleven a cabo acciones proactivas para prevenir ser víctimas de este tipo de ataques. No es una cuestión de “si”, sino de “cuándo”, serán objetivo de un ataque DDoS.

El departamento de IT debe trabajar  de cerca con empresas de seguridad gestionada para prevenir los puntos vulnerables y estar preparados con las medidas apropiadas. Fortalecer la seguridad debe ser una prioridad.

¿Por qué los hackers utilizan DDoS para atacar?

Los criminales utilizan DDoS ya que es barato, difícil de detectar y altamente efectivo. En primer lugar: son baratos por que pueden proporcionar redes distribuidas de cientos de computadoras zombies infectadas con gusanos u otros métodos automáticos.

La eficacia de los ataques DDoS se debe a que no tienen que superar las medidas de seguridad que protegen un servidor, pues no intentan penetrar en su interior, sólo bloquearlo.

Para realizar los ataques se utilizan botnets (conjunto de bots automáticos) que se venden y están disponibles globalmente en el mercado negro, un atacante puede comprar el uso de una botnet por menos de 100 dólares para un flujo de ataques, o contratar ataques específicos por tan solo cinco dólares la hora.

Los ataques DDoS son difíciles de detectar ya que utilizan muchos equipos para atacar y el tráfico parece legítimo. Como resultado es altamente efectivo ya que normalmente los servidores confían que se trata de visitantes reales y, por tanto, facilitan los ataques ejecutando la solicitud que en última instancia los inunda.

Si el objetivo no es penetrar a nuestros sistemas, entonces, ¿Cómo nos perjudica?

Supongamos que nuestro servidor es como el vendedor que atiende a los clientes en nuestra tienda. Nuestro vendedor es muy eficiente y capaz de atender a un gran número de personas al mismo tiempo sin despeinarse, es lo que hace a diario. Pero un día empiezan a llegar cientos de personas a la tienda, y comienzan a solicitarle artículos a nuestro vendedor.

Como cualquier humano normal, existe un límite de personas que puede atender a la vez, no puede atender a todos y comienza a atender más lento de lo normal. Si añadido a esto llega mas gente, probablemente acabe hasta las narices, cerrará la tienda y ya no atenderá a nadie más.

En el servidor pasa lo mismo: cuando hay demasiadas solicitudes se queda sin recursos. Se pone mas lento hasta que se cuelga, puede que deje de funcionar y se apague directamente o que sólo deje de responder conexiones. En cualquier caso el servidor no volverá a la normalidad hasta que el ataque pare, bien porque los atacantes han dejado de hacerlo o porque el departamento de TI ha logrado bloquear las conexiones ilegítimas.

Básicamente así es como funciona un DDoS. Aunque también existen variantes y diferentes formas de personalizarlo para hacerlo mas efectivo. Por ejemplo, se pueden enviar los datos muy lentamente haciendo que el servidor consuma más recursos por cada conexión, o alterar los paquetes para que el servidor se quede esperando indefinidamente una respuesta de una IP falsa.

Si piensas que eres demasiado pequeño o demasiado irrelevante para ser una víctima, mejor piénsalo de nuevo. Cualquier organización es una posible víctima, tanto si se trata de una gran empresa, una agencia gubernamental o una pyme, todas están dentro de la lista de objetivos.

Dependiendo de los servicios que tengamos ejecutándose en un servidor, esto puede ser un simple problema o una catástrofe que acabe con la empresa.

Supongamos que nuestra página web ofrece monitoreo en tiempo real de cámaras de vigilancia, un ataque de este tipo podría provocar la caída del sistema, dejando paso libre a la delincuencia organizada para ingresar a areas restringidas sin monitoreo mientras dura el ataque.

Otro ejemplo muy común es cuando una página web genera dinero (venta online, publicidad) mientras dura el ataque, la página deja de producir ganancias. Imagine por un momento las pérdidas de Amazon, si su página deja de funcionar por un día.

Características de los ataques DDoS

Generalmente este ataque se lleva a cabo mediante el uso coordinado de botnets distribuidos, que pueden emplear hasta cientos de miles de computadoras zombies, máquinas que han sido infectadas previamente y son controladas de forma remota.  Estos pueden crear múltiples formas para enviar cantidades gigantescas de peticiones a  los servidores web deseados.

anatomia-del-ataque-ddosLos ataques DDoS trabajan tanto desde los flujos de inicio del tráfico hasta los recursos del servidor, interrumpidos por fuerza bruta, o explotando vulnerabilidades inherentes para echar abajo los servidores.

A menudo envían paquetes deformados que se aprovechen de los errores del sistema operativo. Se trata de intentos de ataques DDoS por nivel de aplicación para hacer fallar el sistema mediante exploits en las aplicaciones del servidor.

¿Qué puede hacer IT?

Los departamentos de Tecnologías de la Información necesitan estar alerta y dar pasos preventivos contra los ataques DDoS.

La firma analista Gartner afirma que la prevención  de los ataques DDoS debería ser “una parte estándar de la planificación en la recuperación de desastres y la continuidad de negocio y debe ser incluido en todos los servicios de Internet cuando el negocio depende de la disponibilidad de la conectividad a Internet”.

En muchos casos, los ISP como Optical Networks pueden ser la primera línea de defensa frente a los DDoS.

Un departamento IT bien preparado debería identificar las partes de la red más propensas a ser atacadas por DDoS, como el ancho de banda a internet, firewalls, prevención de intrusiones, balanceador de cargas o servidores.

Necesitan monitorear de cerca estos potenciales puntos de fallo, y evaluar si deben actualizar u optimizar su rendimiento y resistencia.

Finalmente, los responsables IT deberían conocer su tráfico. Como IT  no puede controlar lo que se puede y lo que no se puede ver deberían escanear y monitorear tanto el tráfico de entrada como el de salida para ganar visibilidad en volúmenes poco usuales o diseños que puedan identificar sitios target o revelar botnets dentro de la red.

Se requiere además visibilidad en el tráfico de capa 7 con el objetivo de identificar y controlar ataques DDoS por capas de aplicación.

¿Cómo defenderse de un ataque DDoS?

Los ataques DDoS son cada vez más frecuentes, de manera que los departamentos IT deben hacer cada vez mayores esfuerzos para planificar la detección y paralización de los mismos. Actualmente, muchos  Routers y Firewalls están diseñados para prevenir cualquier tipo de saturación en los protocolos TCP/UDP.

En cualquier caso su siempre debe estar atento a:

  • La Configuración: de los Routers y Firewalls con el objetivo de detener todas aquellas IPs que no sean válidas.
  • El Plan de Emergencia: en cualquier empresa, es fundamental contar con un protocolo de acción ante cualquier ataque. De esta manera, los expertos en seguridad informática contarán con un plan a seguir, minimizando así de manera notable los daños.
  • Monitorear el Tráfico: es muy aconsejable limitar la tasa de tráfico que llega desde un único host con el objetivo de prevenir un ataque DDoS.

En cualquier organización, es clave contar con los recursos necesarios tanto para prevenir el ataque como para actuar ante él.