En informática, un ataque de denegación de servicio (DoS) es un intento de hacer que una máquina o recurso de red no esté disponible para sus usuarios previstos, como interrumpir o suspender temporal o indefinidamente los servicios de un host conectado a Internet. Una denegación de servicio distribuida (DDoS) es donde el origen del ataque es más de una, a menudo miles de direcciones IP únicas. Es análogo a un grupo de personas que abarrotan la puerta de entrada o puerta de entrada a una tienda o negocio, y no permiten que las partes legítimas entren en la tienda o negocio, interrumpiendo las operaciones normales.
Uno puede llegar fácilmente a conocer los ataques experimentando los siguientes
- Rendimiento de red inusualmente lento (abrir archivos o acceder a sitios web)
- Indisponibilidad de un sitio web particular
- Incapacidad para acceder a cualquier sitio web
- Incremento dramático en la cantidad de correos electrónicos no deseados recibidos (este tipo de ataque DoS se considera una bomba de correo electrónico)
- Desconexión de una conexión a internet inalámbrica o por cable
- Denegación de acceso a largo plazo a la web o cualquier servicio de internet
Tipos de ataque de denegación de servicio
Los ataques DoS se pueden dividir en dos categorías generales:
1. Los ataques de capa de aplicación (también conocidos como ataques de capa 7) pueden ser amenazas DoS o DDoS que buscan sobrecargar un servidor mediante el envío de una gran cantidad de solicitudes que requieren un manejo y procesamiento intensivos en recursos. Entre otros vectores de ataque, esta categoría incluye inundaciones HTTP, ataques lentos (por ejemplo, Slowloris o RUDY) y ataques de inundación de consultas DNS. El tamaño de los ataques de la capa de aplicación generalmente se mide en solicitudes por segundo (RPS), con no más de 50 a 100 Se requiere RPS para paralizar la mayoría de los sitios web medianos.
2. Los ataques de capa de red (también conocidos como ataques de capa 3–4) son casi siempre ataques de DDoS configurados para obstruir las “tuberías” que conectan su red. Los vectores de ataque en esta categoría incluyen inundación UDP, inundación SYN, amplificación NTP y ataques de amplificación DNS, y más. Cualquiera de estos puede usarse para evitar el acceso a sus servidores, al tiempo que causa graves daños operativos, como la suspensión de la cuenta y los cargos por excedentes masivos. Los ataques DDoS son casi siempre eventos de alto tráfico, comúnmente medidos en gigabits por segundo (Gbps) o paquetes por segundo (PPS). Los ataques de capa de red más grandes pueden superar los 200 Gbps; sin embargo, de 20 a 40 Gbps son suficientes para cerrar completamente la mayoría de la infraestructura de red
¿Cómo funcionan los ataques DDO?
En un ataque de denegación de servicio distribuido (DDoS), un atacante puede usar su computadora para atacar a otra computadora. Al aprovechar las vulnerabilidades o debilidades de seguridad, un atacante podría tomar el control de su computadora. Él o ella podría forzar a su computadora a enviar grandes cantidades de datos a un sitio web o enviar spam a direcciones de correo electrónico particulares. El ataque se “distribuye” porque el atacante está utilizando varias computadoras, incluida la suya, para lanzar el ataque de denegación de servicio.
En una conexión típica, el usuario envía un mensaje pidiéndole al servidor que lo autentique. El servidor devuelve la aprobación de autenticación al usuario. El usuario reconoce esta aprobación y luego se le permite ingresar al servidor.
En un ataque de denegación de servicio, el usuario envía varias solicitudes de autenticación al servidor, llenándolo. Todas las solicitudes tienen direcciones de retorno falsas, por lo que el servidor no puede encontrar al usuario cuando intenta enviar la aprobación de autenticación. El servidor espera, a veces más de un minuto, antes de cerrar la conexión. Cuando cierra la conexión, el atacante envía un nuevo lote de solicitudes falsificadas, y el proceso comienza de nuevo, atando el servicio indefinidamente.
Técnicas defensivas
Las respuestas defensivas a los ataques de denegación de servicio generalmente implican el uso de una combinación de detección de ataques, clasificación de tráfico y herramientas de respuesta, con el objetivo de bloquear el tráfico que identifican como ilegítimo y permitir el tráfico que identifican como legítimo.
A continuación se proporciona una lista de herramientas de prevención y respuesta:
Aplicación front end hardware
El hardware front-end de la aplicación es hardware inteligente colocado en la red antes de que el tráfico llegue a los servidores. Se puede usar en redes junto con enrutadores y conmutadores. El hardware front-end de la aplicación analiza los paquetes de datos a medida que ingresan al sistema y luego los identifica como prioritarios, regulares o peligrosos.
Indicadores clave de finalización de nivel de aplicación
Para resolver el caso de ataques DDoS a nivel de aplicación contra aplicaciones basadas en la nube, los enfoques pueden basarse en un análisis de la capa de aplicación, para indicar si un volumen de tráfico entrante es legítimo o no y, por lo tanto, permitir la activación de decisiones de elasticidad sin las implicaciones económicas de un ataque DDoS Estos enfoques se basan principalmente en una ruta de valor identificada dentro de la aplicación y monitorean el progreso macroscópico de las solicitudes en esta ruta, hacia la generación final de ganancias, a través de marcadores denotados como Indicadores clave de finalización.
Blackholing y hundimiento
Con blackholing, todo el tráfico al DNS o la dirección IP atacada se envía a un “agujero negro” (interfaz nula o un servidor inexistente). Para ser más eficiente y evitar afectar la conectividad de la red, el ISP puede administrarlo. Sinkholing enruta el tráfico a una dirección IP válida que analiza el tráfico y rechaza los paquetes defectuosos. Sinkholing no es eficiente para la mayoría de los ataques severos.
Defensa basada en DDS
Más centrado en el problema que IPS, un sistema de defensa DoS (DDS) puede bloquear los ataques DoS basados en conexión y aquellos con contenido legítimo pero con malas intenciones. Un DDS también puede abordar tanto los ataques de protocolo (como la lágrima y el ping de la muerte) como los ataques basados en la velocidad (como las inundaciones ICMP y las inundaciones SYN).
Cortafuegos
En el caso de un ataque simple, un firewall podría tener una regla simple agregada para negar todo el tráfico entrante de los atacantes, en base a protocolos, puertos o las direcciones IP de origen.
Sin embargo, los ataques más complejos serán difíciles de bloquear con reglas simples: por ejemplo, si hay un ataque continuo en el puerto 80 (servicio web), no es posible eliminar todo el tráfico entrante en este puerto porque al hacerlo se evitará que el servidor sirviendo tráfico legítimo. Además, los firewalls pueden ser demasiado profundos en la jerarquía de la red, con enrutadores afectados negativamente antes de que el tráfico llegue al firewall.
Prevención basada en IPS
Los sistemas de prevención de intrusiones (IPS) son efectivos si los ataques tienen firmas asociadas a ellos. Sin embargo, la tendencia entre los ataques es tener contenido legítimo pero malas intenciones. Los sistemas de prevención de intrusiones que funcionan en el reconocimiento de contenido no pueden bloquear los ataques DoS basados en el comportamiento. Un IPS basado en ASIC puede detectar y bloquear ataques de denegación de servicio porque tienen el poder de procesamiento y la granularidad para analizar los ataques y actuar como un interruptor automático de manera automatizada. Un IPS basado en velocidad (RBIPS) debe analizar el tráfico de forma granular y monitorear continuamente el patrón de tráfico y determinar si existe una anomalía de tráfico. Debe permitir que el tráfico legítimo fluya mientras bloquea el tráfico de ataque DoS.
Enrutadores
Al igual que los conmutadores, los enrutadores tienen cierta capacidad de limitación de velocidad y ACL. Ellos también se configuran manualmente. La mayoría de los enrutadores se pueden abrumar fácilmente bajo un ataque DoS. Cisco IOS tiene características opcionales que pueden reducir el impacto de las inundaciones.
Interruptores
La mayoría de los conmutadores tienen cierta capacidad de limitación de velocidad y ACL. Algunos conmutadores proporcionan limitación de velocidad automática y / o en todo el sistema, conformación de tráfico, enlace retrasado (empalme TCP), inspección profunda de paquetes y filtrado Bogon (filtrado IP falso) para detectar y remediar ataques de denegación de servicio a través del filtrado automático de velocidad y WAN Enlace de conmutación por error y equilibrio. Estos esquemas funcionarán siempre y cuando los ataques DoS se puedan evitar al usarlos. Por ejemplo, la inundación SYN puede evitarse mediante el enlace retrasado o el empalme TCP. Del mismo modo, el DoS basado en contenido puede evitarse mediante la inspección profunda de paquetes. Los ataques que se originan en direcciones oscuras o que van a direcciones oscuras se pueden evitar mediante el filtrado de bogones. El filtrado de velocidad automático puede funcionar siempre que los umbrales de velocidad establecidos se hayan configurado correctamente y de forma granular. La conmutación por error de Wan-link funcionará siempre que ambos enlaces tengan un mecanismo de prevención DoS / DDoS.
Filtrado aguas arriba
Todo el tráfico pasa a través de un “centro de limpieza” o un “centro de depuración” a través de varios métodos, como servidores proxy, túneles o incluso circuitos directos, que separa el tráfico “malo” (DDoS y también otros ataques comunes de Internet) y solo envía un buen tráfico más allá al servidor El proveedor necesita conectividad central a Internet para administrar este tipo de servicio a menos que estén ubicados dentro de las mismas instalaciones que el “centro de limpieza” o el “centro de lavado”.
ServerAdminz es una compañía de soporte de servidores especializada en soporte de alojamiento web 24/7, servicios de gestión de infraestructura remota, NOC, nube y servicios de seguridad empresarial. Con más de 10 años de experiencia trabajando con los principales centros de datos e ISP con más de 130 técnicos experimentados, seguimos administrando más de 49,000 servidores de más de 85 países y hemos recibido 5 premios internacionales.
Use el código de cupón SPCL30LIFE para aprovechar el 30% de descuento recurrente de por vida en todos los planes enumerados en nuestro sitio web.
Para obtener más detalles sobre DDoS, escriba a [correo electrónico protegido]