DoS (Deny of Service) y DDoS (Distributed Denial of Service) son ataques de negación de servicio. Ambos buscan generar una sobrecarga de solicitudes para obstruir la red o consumir todos los recursos del servidor. Así, impiden la provisión del servicio.
La diferencia entre DoS y DDoS es la cantidad de dispositivos que realizan el ataque. En el DoS solo una computadora es la atacante. En el DDoS pueden atacar millones de computadoras.
Para realizar el DDoS, el cracker crea una red de computadoras zombis, también conocidas como botnet. Estas computadoras zombis, pueden ser de usuarios normales alrededor del mundo que no saben que están infectados.
Al realizar el ataque DDoS, la computadora maestra controla diversas computadoras infectadas para enviar solicitudes simultáneas a un objetivo. Así, impiden que el objetivo se proteja, ya que el ataque no proviene de una sola computadora como en el caso DoS, sino de diversas computadoras con direcciones IP diferentes.
Los tres pilares fundamentales de seguridad de la información son: disponibilidad, confidencialidad e integridad. El ataque DDoS ataca justamente al pilar de la disponibilidad. Por tanto, impide el acceso al servicio. Con ello, se pueden causar graves daños a una empresa o incluso paralizar actividades esenciales de órganos gubernamentales.
TIPOS DE ATAQUE DDOS
A continuación señalamos los ataques DDoS más comunes:
Ataques a la Capa de Aplicación
Este tipo de ataque puede confundirse con un fallo de implementación de la aplicación. De este modo, el objetivo del ataque es saturar el sistema forzando a la aplicación a ejecutar un proceso que demande muchos recursos. Como, por ejemplo, consultas complejas en aplicaciones que exigen de alta carga de procesamiento. Ejemplo: HTTP POST – POST es un método de solicitud utilizado por el protocolo de aplicación HTTP. El POST envía datos a las solicitudes anexadas en su cuerpo que exigen un procesamiento más complejo del que solicitudes GET que son más simples, por ejemplo. Con solicitudes POST interminables puede gastarse fácilmente los recursos del servidor y hasta incluso la banda disponible.
Ataques de Agotamiento de Estado
Esta modalidad busca agotar toda la capacidad de una tabla de estado que está disponible en los servidores o dispositivos de red. De esta forma, impide que se establezcan nuevas conexiones. Ejemplo: SYN Flood – Paquete con flag SYN, es un paquete de solicitud de conexión inicial del protocolo TCP. Cuando el servidor recibe el paquete SYN responde con SYN/ACK dejando una puerta TCP abierta a la espera de una respuesta (ACK). Así, el envío masivo de paquetes SYN a un servidor puede sobrecargar todas las puertas disponibles.
Ataques Volumétricos
El objetivo de este tipo de ataque es agotar toda la banda disponible del objetivo. Para conseguirlo, el cracker usa botners y vulnerabilidades de servicios UDP, para ampliar el tráfico en dirección al objetivo. Ejemplo: Amplificación por NTP – El servidor NTP (Network Time Protocol) es crucial para mantener la sincronización de los relojes de los dispositivos en red. Existen diferentes servidores públicos que ofrecen este servicio. Sin embargo, a pesar de ser importantes, si están mal configurados pueden utilizarse en ataques de negación de servicio. El cracker puede usar una botnet para enviar solicitudes al servidor NTP, haciéndose pasar por el objetivo solicitando una gran cantidad de datos. Cuando el servidor responde a las solicitudes de todas las máquinas de la botnet, envía todas a un único objetivo. Así, se sobrecarga el link del objetivo.
PROTECCIÓN CONTRA ATAQUES DDOS
Hemos visto en este artículo lo nocivo que son los ataques DDoS. Sobre todo, cuando se ve afectado un servicio esencial. Es crucial que las empresas tengan formas de detectar y aplicar medidas para evitar pérdidas sustanciales.
El primer punto es la visibilidad. En especial en lo que se refiere al tráfico. La red no puede ser más una caja negra, es crucial observar el comportamiento modelo de la red para establecer parámetros que faciliten la identificación del tráfico anormal.
Las alarmas pueden configurase, tanto para la identificación inmediata de un pico de tráfico, como para la evaluación de alteraciones en el comportamiento de la red. Esto, junto a informes, dará la información completa sobre el origen y contenido del tráfico.
El segundo punto es un abordaje proactiva. No basta con solo identificar el problema, deben tomarse medidas. Los Scripts deben configurarse para que bloqueen direcciones en caso de que sean identificadas como el origen del tráfico sospechoso. Así, se efectuará una rápida respuesta contra un ataque DDoS antes de que incluso suceda.
CONSIDERACIONES FINALES
El TRAFip es un sistema de análisis de tráfico que permite determinar qué, cómo, cuándo, dónde y quién usa la red. El TRAFip junto con el TRAFwatcher, además de promover la visibilidad del tráfico, actúa en la detección y bloqueo de ataques como el DDoS.
En este sentido, no hay duda sobre la importancia de invertir en la gestión de la red. Así, no solo obtendrás beneficios de visibilidad de red, sino que tendrás una forma complementaria de prevenir problemas que puedan causar la interrupción de los servicios de la red.
Teniendo esto en cuenta, Telcomanager que está desde el 2002 en el mercado, líder de América Latina en el sector de software para la gestión de redes, ofrece soluciones inteligentes con una metodología única e innovadora para el monitoreo de datos, lo que proporciona una visión estratificada del tráfico, permitiendo que su empresa controle los principales aspectos de su red en tiempo real.