Ataques DDoS y cómo evitarlos

por David Abad
Ataques DDOS

Los ataques DDoS de denegación de servicio consisten en envíar peticiones masivas a un servicio online con el objetivo de interrumpir su funcionamiento. Aprende cómo funcionan estos ataques y cómo puedes evitarlos.

Qué es un ataque DDoS

Un ataque de denegación de servicio (DDoS) tiene el objetivo de saturar un sistema de modo que no sea capaz de seguir prestando su servicio con normalidad. Para ello, existen diferentes técnicas de ataque que envían una gran cantidad de paquetes de datos tanto a través del protocolo TCP, como a través de UDP. 

HTTP Flood Attack

Este tipo de ataque puede llegar a ser realmente problemático. En 2003 se produjo un ataque masivo que aumentó un 25% el tráfico mundial de Internet y fue capaz de dejar a Corea del Sur incomunicada durante varias horas y provocó cortes de suministro eléctrico a millones de personas en EEUU. Otro caso más reciente fue cuando en 2016 se produjo un ataque masivo contra DynDNS, uno de los proveedores DNS más conocidos, que dejó inoperativos a Spotify, Paypal, Twitter y muchos otros servicios.

Ataques SMURF

Una técnica que históricamente fue capaz de multiplicar la agresividad de estos ataques, es la que se conoce como ataque SMURF

Esta técnica utiliza el servicio PING (protocolo ICMP) junto con suplantación de identidad. Para ello, un atacante envía una petición PING a una red de múltiples equipos (broadcast), simulando que el equipo que envía esa petición no es el atacante, sino el servidor destino al que atacar. Cuando todos los equipos de esta red envian la respuesta a la petición PING, no la envían al equipo atacante, sino al servidor a atacar. De este modo, con una única petición desde el equipo atacante, se consiguen enviar un gran número de peticiones a la víctima.

Ataque DDoS Smurf

A día de hoy, la mayoría de equipos ya se encuentran protegidos ante este tipo de técnica, por lo que ya no es una forma viable de ejecutar un ataque de denegación de servicio. 

Botnets y equipos zombies

Para llevar a cabo un ataque de denegación de servicio es necesaria una gran cantidad de equipos, realizando peticiones simultaneas al servicio a inutilizar. 

Botnets

Para conseguir esta red de equipos, existe malware capaz de infectar sistemas e incorporarlos en una red zombie (botnet), que permite al atacante utilizar todos los equipos infectados para realizar acciones coordinadas masivas, como ataques DDoS. Es decir, un equipo infectado puede participar en un ataque contra una empresa u organización sin que su propietario sea consciente de ello.

Hoy en día, dejar inoperativo el servicio online de una gran organización no es una tarea sencilla, por lo que es común encontrar mercados ilegales online en los que ofrecen acceso a botnets con miles de equipos infectados a cambio de una tarifa por hora.

El "Ping de la muerte"

El ping de la muerte (ping of death) fue uno de los primeros tipos de ataque de denegación de servicio, que permitía bloquear equipos remotos sin necesidad de grandes infraestructuras, ni conocimientos técnicos avanzados.

Este ataque era muy sencillo de realizar, lo que lo hacía aun más peligroso. Básicamente consistía en enviar paquetes al equipo a inutilizar a través del protocolo ICMP (ping) con un tamaño mayor del permitido por los sistemas operativos:

ping X.X.X.X -s 65500 -t 1 -n 1

Por supuesto, los sistemas operativos actuales ya son inmunes a este tipo de vulnerabilidad e incluso los routers filtran los paquetes de datos que pudiesen resultar peligrosos.

Cómo evitar un ataque DDoS

Existen diferentes medidas de prevención que es muy recomendable adoptar para evitar este tipo de ataque en un servicio online:

  • Utilizar servicios CDN: Los CDNs son servicios que permiten cachear contenidos estáticos (imágenes, estilos, scripts, etc.) en varios servidores con diferentes geolocalizaciones. De modo que, cuando un usuario accede a un sitio web, estos contenidos son servidos desde el servidor más eficiente posible. 
  • Utilizar servidores DNS con protección de ataques DDoS: Los servidores DNS son los encargados de vincular el nombre de dominio de un sitio web con su correspondiente dirección IP. Existen servicios DNS gratuitos, como Cloudflare, que actuan como intermediarios entre los usuarios y el servidor, pudiendo filtrar las peticiones y proteger frente a ataques.
  • Limitar actividad de robots de indexación: Los bots de indexación de contenidos que utilizan los buscadores, como Google o Bing, recorren regularmente los sitios web utilizando los ficheros robots.txt para decidir que páginas deben visitar y cuales no. Es importante configurar correctamente este fichero para limitar la actividad de algunos de estos bots y evitar que visiten páginas con un coste computacional elevado.
  • Cachear contenidos en el servidor: Además de utilizar un servicio CDN, es conveniente contar con un software como Varnish, capaz de cachear el contenido de las páginas de los sitios web. De este modo, la lógica que genera el contenido de una página solo es ejecutada una vez y su contenido queda almacenado para ser servido de forma eficiente al resto de usuarios. 
  • Utilizar un WAF (Web Application Firewall): Los WAF son servicios que permiten analizar las conexiones entrantes al servidor, pudiendo bloquear aquellas que puedan ser sospechosas.
  • Establecer un límite de peticiones en el servidor: El software utilizado en servidores web, como Nginx o Apache, cuenta con configuraciones de rate limiting para limitar el acceso de aquellos usuarios que realizan un gran número de peticiones en una cantidad reducida de tiempo. 
  • Programar de forma eficiente: La lógica que requiere de un gran coste computacional y tiene unos tiempos de respuesta altos es la más peligrosa para este tipo de ataques, ya que un número reducido de peticiones podrían lograr saturar el servidor. Por ello es conveniente que nuestro servicio online actue de forma eficiente y sea capaz de responder las peticiones de los usuarios en poco tiempo.

Déjanos tu email para recibir contenido interesante en tu bandeja de entrada, cada mes.

¡No hacemos spam!

Otros artículos