- Obtenga una protección DDOS gratuita para su sitio web.
Visita: Cloudflare – The Web Performance & Security Company | Flama de nube
Un ataque distribuido de denegación de servicio (DDoS) es un intento malicioso de interrumpir el tráfico normal de un servidor, servicio o red objetivo al abrumar al objetivo o la infraestructura circundante con una avalancha de tráfico de Internet. Los ataques DDoS logran efectividad al utilizar múltiples sistemas informáticos comprometidos como fuentes de tráfico de ataques. Las máquinas explotadas pueden incluir computadoras y otros recursos en red, como dispositivos IoT. Desde un nivel alto, un ataque DDoS es como un atasco de tráfico que se atasca en la carretera, evitando que el tráfico regular llegue al destino deseado.
¿Cómo funciona un ataque DDoS?
Un ataque DDoS requiere que un atacante obtenga el control de una red de máquinas en línea para llevar a cabo un ataque. Las computadoras y otras máquinas (como los dispositivos IoT) están infectadas con malware, convirtiendo cada una en un bot (o zombie). El atacante entonces tiene control remoto sobre el grupo de bots, que se llama botnet.
Una vez que se ha establecido una botnet, el atacante puede dirigir las máquinas enviando instrucciones actualizadas a cada bot a través de un método de control remoto. Cuando la botnet apunta a la dirección IP de una víctima, cada bot responderá enviando solicitudes al objetivo, lo que puede causar que el servidor o la red objetivo desborden la capacidad, lo que resulta en una denegación de servicio al tráfico normal. Debido a que cada bot es un dispositivo de Internet legítimo, puede ser difícil separar el tráfico de ataque del tráfico normal.
¿Cuáles son los tipos comunes de ataques DDoS?
Los diferentes vectores de ataque DDoS se dirigen a diversos componentes de una conexión de red. Para comprender cómo funcionan los diferentes ataques DDoS, es necesario saber cómo se realiza una conexión de red. Una conexión de red en Internet se compone de muchos componentes o “capas” diferentes. Al igual que construir una casa desde cero, cada paso en el modelo tiene un propósito diferente. El modelo OSI, que se muestra a continuación, es un marco conceptual utilizado para describir la conectividad de red en 7 capas distintas.
Si bien casi todos los ataques DDoS implican abrumar a un dispositivo o red objetivo con tráfico, los ataques se pueden dividir en tres categorías. Un atacante puede utilizar uno o varios vectores de ataque diferentes, o vectores de ataque en ciclo potencialmente basados en las medidas de contraataque tomadas por el objetivo.
Ataques de capa de aplicación
El objetivo del ataque:
A veces denominado ataque DDoS de capa 7 (en referencia a la 7a capa del modelo OSI), el objetivo de estos ataques es agotar los recursos del objetivo. Los ataques apuntan a la capa donde las páginas web se generan en el servidor y se entregan en respuesta a las solicitudes HTTP. Una sola solicitud HTTP es barata de ejecutar en el lado del cliente y puede ser costosa para el servidor de destino, ya que el servidor a menudo debe cargar varios archivos y ejecutar consultas de la base de datos para crear una página web. Los ataques de capa 7 son difíciles de defender ya que el tráfico puede ser difícil de marcar como malicioso.
Ejemplo de ataque de capa de aplicación:
Inundación HTTP
Este ataque es similar a presionar actualizar en un navegador web una y otra vez en muchas computadoras diferentes a la vez: un gran número de solicitudes HTTP inundan el servidor, lo que resulta en la denegación de servicio.
Este tipo de ataque varía de simple a complejo. Las implementaciones más simples pueden acceder a una URL con el mismo rango de direcciones IP de ataque, referencias y agentes de usuario. Las versiones complejas pueden usar una gran cantidad de direcciones IP de ataque y dirigirse a direcciones URL aleatorias utilizando referencias aleatorias y agentes de usuario.
Ataques de protocolo
El objetivo del ataque:
Los ataques de protocolo, también conocidos como ataques de agotamiento de estado, causan una interrupción del servicio al consumir toda la capacidad de la tabla de estado disponible de los servidores de aplicaciones web o recursos intermedios como firewalls y equilibradores de carga. Los ataques de protocolo utilizan debilidades en la capa 3 y la capa 4 de la pila de protocolos para hacer que el objetivo sea inaccesible.
Ejemplo de ataque de protocolo:
SYN Flood
Una inundación SYN es análoga a un trabajador en una sala de suministros que recibe solicitudes desde el frente de la tienda. El trabajador recibe una solicitud, va y recibe el paquete y espera la confirmación antes de presentar el paquete. Luego, el trabajador recibe muchas más solicitudes de paquetes sin confirmación hasta que no puede llevar más paquetes, se abruma y las solicitudes comienzan a quedar sin respuesta.
Este ataque explota el protocolo de enlace TCP enviando a un objetivo una gran cantidad de paquetes SYN de “Solicitud de conexión inicial” TCP con direcciones IP de origen falsificadas. La máquina de destino responde a cada solicitud de conexión y luego espera el paso final en el apretón de manos, que nunca ocurre, agotando los recursos del objetivo en el proceso.
Ataques volumétricos
El objetivo del ataque:
Esta categoría de ataques intenta crear congestión al consumir todo el ancho de banda disponible entre el objetivo y el Internet más grande. Se envían grandes cantidades de datos a un objetivo mediante una forma de amplificación u otro medio de crear tráfico masivo, como las solicitudes de una botnet.
Ejemplo de amplificación:
Amplificación de DNS
Una amplificación de DNS es como si alguien llamara a un restaurante y dijera “Voy a tener uno de todo, por favor llámeme y dígame todo mi pedido”, donde el número de teléfono de devolución de llamada que dan es el número del objetivo. Con muy poco esfuerzo, se genera una respuesta larga.
Al realizar una solicitud a un servidor DNS abierto con una dirección IP falsificada (la dirección IP real del objetivo), la dirección IP objetivo recibe una respuesta del servidor. El atacante estructura la solicitud de modo que el servidor DNS responda al objetivo con una gran cantidad de datos. Como resultado, el objetivo recibe una amplificación de la consulta inicial del atacante.
¿Cuál es el proceso para mitigar un ataque DDoS?
La preocupación clave para mitigar un ataque DDoS es diferenciar entre el ataque y el tráfico normal. Por ejemplo, si el lanzamiento de un producto tiene el sitio web de una empresa inundado de clientes ansiosos, cortar todo el tráfico es un error. Si esa compañía de repente tiene un aumento en el tráfico de actores malos conocidos, probablemente sean necesarios esfuerzos para aliviar un ataque. La dificultad radica en distinguir al cliente real y el tráfico de ataque.
En la Internet moderna, el tráfico DDoS viene en muchas formas. El tráfico puede variar en diseño desde ataques de fuente única no falsificados a ataques complejos y adaptativos de múltiples vectores. Un ataque DDoS multivectorial utiliza múltiples rutas de ataque para abrumar a un objetivo de diferentes maneras, lo que puede distraer los esfuerzos de mitigación en cualquier trayectoria. Un ataque que apunta a múltiples capas de la pila de protocolos al mismo tiempo, como una amplificación de DNS (apuntando a las capas 3/4) junto con una inundación HTTP (apuntando a la capa 7) es un ejemplo de DDoS de múltiples vectores.
La mitigación de un ataque DDoS multivectorial requiere una variedad de estrategias para contrarrestar diferentes trayectorias. En términos generales, cuanto más complejo sea el ataque, más probable será que el tráfico sea difícil de separar del tráfico normal: el objetivo del atacante es integrarse lo más posible, haciendo que la mitigación sea lo más ineficiente posible. Los intentos de mitigación que implican dejar caer o limitar el tráfico indiscriminadamente pueden tirar el buen tráfico con el malo, y el ataque también puede modificarse y adaptarse para evitar contramedidas. Para superar un intento complejo de interrupción, una solución en capas dará el mayor beneficio.
Enrutamiento de agujeros negros
Una solución disponible para prácticamente todos los administradores de red es crear una ruta de agujero negro y canalizar el tráfico hacia esa ruta. En su forma más simple, cuando el filtrado de agujeros negros se implementa sin criterios de restricción específicos, el tráfico de red legítimo y malicioso se enruta a una ruta nula o agujero negro y se cae de la red. Si una propiedad de Internet está experimentando un ataque DDoS, el proveedor de servicios de Internet (ISP) de la propiedad puede enviar todo el tráfico del sitio a un agujero negro como defensa.
Limitación de velocidad
Limitar la cantidad de solicitudes que un servidor aceptará durante un período de tiempo determinado también es una forma de mitigar los ataques de denegación de servicio. Si bien la limitación de velocidad es útil para ralentizar a los raspadores web del robo de contenido y para mitigar los intentos de inicio de sesión de fuerza bruta, por sí solo probablemente no será suficiente para manejar un ataque DDoS complejo de manera efectiva. Sin embargo, la limitación de velocidad es un componente útil en una estrategia efectiva de mitigación de DDoS. Obtenga información sobre la limitación de velocidad de Cloudflare.
Cortafuegos de aplicaciones web
Un firewall de aplicaciones web (WAF) es una herramienta que puede ayudar a mitigar un ataque DDoS de capa 7. Al colocar un WAF entre Internet y un servidor de origen, el WAF puede actuar como un proxy inverso, protegiendo al servidor objetivo de ciertos tipos de tráfico malicioso. Al filtrar solicitudes basadas en una serie de reglas utilizadas para identificar herramientas DDoS, se pueden impedir los ataques de capa 7. Un valor clave de un WAF efectivo es la capacidad de implementar rápidamente reglas personalizadas en respuesta a un ataque. Aprenda sobre el WAF de Cloudflare.
Difusión de red Anycast
Este enfoque de mitigación utiliza una red Anycast para dispersar el tráfico de ataque a través de una red de servidores distribuidos hasta el punto en que la red absorbe el tráfico. Al igual que canalizar un río que corre por canales más pequeños separados, este enfoque difunde el impacto del tráfico de ataque distribuido hasta el punto donde se vuelve manejable, difundiendo cualquier capacidad disruptiva.
La fiabilidad de una red Anycast para mitigar un ataque DDoS depende del tamaño del ataque y del tamaño y la eficiencia de la red. Una parte importante de la mitigación DDoS implementada por Cloudflare es el uso de una red distribuida Anycast. Cloudflare tiene una red de 15 Tbps, que es un orden de magnitud mayor que el mayor ataque DDoS registrado.
Si actualmente está bajo ataque, hay pasos que puede seguir para salir de la presión. Si ya está en Cloudflare, puede seguir estos pasos para mitigar su ataque. La protección DDoS que implementamos en Cloudflare es multifacética para mitigar los muchos posibles vectores de ataque. Obtenga más información sobre la protección DDoS de Cloudflare y cómo funciona.