¿Qué son los ataques DDoS y como defendernos?

En el mundo de la seguridad existen diversos riesgos acechando siempre. Entes maliciosos con diferentes tácticas para atacar y corromper la seguridad de tu información e infraestructura para algún propósito malintencionado, por lo que es imprescindible comprender dichos ataques para protegernos de ellos.

Un ataque DDoS (Ataque Distribuido de Denegación de Servicio) es un ataque que aprovecha los límites de la capacidad que se asignan a la red, servicio o infraestructura, sobrecargando el tráfico con bots o máquinas automatizadas con la intención de desbordar los límites de la red o sitio web atacado con varias solicitudes, haciendo que deje de funcionar adecuadamente.

Clasificación de ataques DDoS

Antes de clasificar los ataques, debemos conocer el modelo OSI (interconexión de sistemas abiertos)

1. Capa física: Esta capa es la encargada de mandar la señal y transmisiones binarias.
2. Capa de Enlace de Datos: Esta es la capa de red que se encarga de direccionar físicamente las solicitudes
3. Capa de Red: Esta determina la ruta de los paquetes y el direccionamiento lógico de las mismas
4. Capa de Transporte: Esta es la encargada de llevar los datos entre conexiones confiables para su destino
5. Capa de sesión: Esta se encarga de comunicar los datos entre hosts
6. Capa de presentación: Esta capa representa los datos y el cifrado una vez se haya completado el resto de procesos
7. Capa de Aplicación: Esta capa es la última, se encarga de procesar los datos de la red para la aplicación del usuario

Ahora que conocemos el modelo OSI, podemos clasificar y agrupar los ataques a:

• Ataques a capas de infraestructura: Los ataques a las capas 3 y 4, son clasificados como los ataques a la infraestructura, puesto que son las bases principales de la infraestructura de la red. Además, son los ataques DDoS más comunes, suelen tener un gran volumen de solicitudes, tantas para sobrecargar la capacidad del servidor de la red o aplicación. Sin embargo, son un tipo de ataque que es fácil de detectar.
• Ataques a la capa de aplicación: Los ataques a las capas 6 y 7 se clasifican como ataques a la capa de aplicación, ya que son las capas encargadas de descifrar y presentar los datos de manera legible al usuario. Estos ataques son menos comunes, por lo que tienden a ser más sofisticados. Suelen ser de un volumen menor de solicitudes, pero se centran en partes específicas y costosas de la aplicación e impiden su disposición a los usuarios.

¿Cómo funcionan?

Cuando se crea una red o servidor, a estos se les asigna una serie de recursos limitados (que dependen de su propósito y funcionamiento) para poder atender las solicitudes simultáneamente. Además de este límite de capacidad, el canal que conecta el servidor a internet tiene un ancho de banda limitado que se le asigna para la velocidad de las solicitudes. Cuando la cantidad de solicitudes sobrepasa los límites de la infraestructura, el servicio dejará de responder apropiadamente, volviéndose lento o incluso apagándose automáticamente debido a las altas cantidades de tráfico. No obstante, cuando se quiere enviar una cantidad extremadamente grande de solicitudes al servicio o recurso “víctima”, a menudo el criminal opta por utilizar una “red zombi”, los cuales no son más que equipos de terceros infectados y hechos parte de una red que son controlados por el criminal y pueden redirigir sus recursos para crear este tipo de ataques.

¿Cómo defendernos?

A inicios del año 2000, los ataques DDoS eran de lo más común que podrías encontrar, sin embargo, en años recientes, la cantidad de ataques satisfactorios se ha reducido considerablemente gracias a las investigaciones policiales que se han realizado por todo el mundo. Sin embargo, aún existe una alta tasa de ataques realizados de manera exitosa, por lo que te daremos algunos tips para poder protegerte y responder a estos ataques:

• ¿De dónde viene el ataque?

Las herramientas de análisis del servidor pueden ser tu mejor ayuda para detectar los ataques. Usualmente los ataques son fáciles de detectar en estas herramientas, puesto que puedes ver las direcciones o rangos de direcciones IP de donde proviene el tráfico de red, los dispositivos, versión del navegador web, entre otros datos relevantes. Aprender a identificarlos y aislar el tráfico anormal es importante para saber el nivel y la procedencia del ataque.

• Implemente firewalls para ataques sofisticados

Una buena práctica es utilizar un Firewall contra ataques. Estos, además de ayudar a reducir o anular el tráfico malicioso, ayudarán a la protección de ataques como la inyección SQL o la falsificación de solicitudes entre sitios. Además, debido a la naturaleza única de estos ataques, debería poder crear fácilmente mitigaciones personalizadas contra las solicitudes ilegítimas. El servicio de seguridad WAP de Cloudflare es el más recomendado para ayudar en esta área.

• Aplicar redes de difusión Anycast

Una red de difusión hace un análisis del tráfico entrante, para posteriormente dispersar el tráfico que considera malicioso hasta que la red absorbe el tráfico. Es importante señalar que su efectividad dependerá del tamaño del ataque y la velocidad de la red interna.

Como dato, estos ataques no siempre se usan con malicia, ya que son una buena manera de generar tráfico artificial para probar las capacidades y limitaciones reales de una red o servidor. Sin embargo, siempre existe la posibilidad de un ataque por parte de un tercero, por lo que no está de más saber como protegernos y actuar ante estas situaciones.