La pesadilla de cualquier CISO son los ataques de denegación de servicio distribuidos (DDoS)



¿Qué significa un ataque DDoS?
 Un ataque de denegación de servicio distribuido es un intento malicioso de interrumpir el tráfico normal y generar una sobrecarga dirigida del servicio en línea o incluso indisponibilizarlo al abrumarlo directamente o indirectamente a traves de su infraestructura circundante con una avalancha de tráfico de fuentes múltiples.
Los ataques DDoS son similares a los atascos de tráfico ya que saturan los canales de tránsito y no permiten que el tráfico llegue fácilmente al destino requerido.
Los ataques DDoS pueden comprometer el sitio web / red objetivo o todos los sistemas informáticos utilizados y gestionados por el hacker informático. Las máquinas explotadas pueden involucrar computadoras, dispositivos de IoT y otros recursos habilitados para acceder a la web.

¿Cómo funciona un ataque DDoS?
 Al infectar los sistemas informáticos (computadoras, dispositivos IoT, etc.) con malware y difundir software malicioso a través de correos electrónicos, sitios y redes sociales, un atacante crea una red de máquinas infectadas, con la capacidad de control remoto.
El grupo de dispositivos infectados se llama "botnet". Los atacantes crean redes de bots para que generen enormes inundaciones de tráfico que obstruyan y abrumen el tráfico normal y sobrecarguen el servicio objetivo. Con este fin, las botnets pueden enviar al destino múltiples solicitudes de conexión o hacer que las computadoras envíen grandes volúmenes de datos basura al azar.
Como el tráfico generado por las botnets proviene de cientos y miles de fuentes y cada bot representa un dispositivo legítimo habilitado para Internet, es un verdadero desafío separar el tráfico regular de usuarios del malicioso.
También se debe tener en cuenta que dado que el número de fuentes de tráfico de ataque de origen es realmente grande, no es una opción simplemente bloquear una sola dirección o rango IP.

¿Cuáles son los tipos de ataques DDoS?
Dependiendo de la fuente inyectada, los ataques DDoS se pueden dividir en:
  • Ataques de tráfico que generalmente se operan mediante la inyección de troyanos y malware, lo que hace que el servicio o red objetivo se inunde con grandes volúmenes de correo no deseado.
  • Ataques de ancho de banda sobrecargan el servicio / red final con TERAbytes o PETAbytes de datos basura, lo que provoca bloqueos del servidor y, en algunos casos, incluso la baja de los mismos.
Diferentes vectores de ataques de denegación de servicio distribuidos se dirigen a diferentes partes de una conexión de red, compuesta por varias capas, cada una diseñada para un determinado propósito.
Si bien casi todos los ataques DDoS incluyen abrumar y sobrecargar un servicio específico con tráfico malicioso (datos basura y solicitudes múltiples), los ataques distribuidos de denegación de servicio se pueden dividir en capas de aplicaciones, protocolos y ataques volumétricos.

1. Ataques a la capa de aplicación
Un ataque a la capa de aplicación es una categoría de ataque DDoS que implica que un atacante se dirige a la capa de aplicación. A veces llamados ataques DDoS de capa 7, los ataques a la capa de aplicaciones agotan los recursos de la aplicación, haciendo que el sistema objetivo se vea abrumado y agotado.
En este tipo de ataque DDoS, un atacante no solo apunta a la capa donde se generan y entregan las páginas web en respuesta a las solicitudes HTTP, sino también a la red y al ancho de banda. Los ataques de capa de aplicación incluyen HTTP Flood y ataques a los Servicios DNS.

 2. Ataques de protocolo
Los ataques de protocolo interrumpen el servicio al consumir toda la capacidad de procesamiento de los servidores de aplicaciones web o equipos de comunicación intermedios, como firewalls y balanceadores de carga.
Los ataques de protocolo identifican y usan debilidades en las capas 3 y 4 para que la red objetivo no esté disponible. Los ejemplos de ataques de protocolo pueden incluir inundaciones SYN, ataques de paquetes fragmentados, Ping of Death, Smurf DDoS, etc.

 3. Ataques volumétricos
Los ataques volumétricos se refieren al tipo de ataque DDoS que utiliza cantidades de tráfico grandes que saturan el ancho de banda de la aplicación web, sitio o servicio publicado. Los ataques volumétricos producen una congestión al consumir todo el ancho de banda disponible entre Internet y el servicio específico.
Para que el destino no esté disponible, se envían cantidades masivas de datos al servicio final utilizando técnicas de amplificación u otras formas de creación masiva de tráfico, como las solicitudes desde una botnet. Los ejemplos de esta categoría de ataque DDoS pueden incluir amplificación NTP, amplificación DNS, inundación UDP e inundación TCP.

¿Cómo prevenir y mitigar los ataques DDoS?
Dado que los ataques DDoS pueden dañar significativamente a las empresas (desde las instituciones financieras hasta los sitios web de noticias y retail), lo que dificulta realmente el acceso a información importante y provoca la pérdida de solicitudes, la mitigación de estos se convierte en una preocupación mayor.
Al tratar con un ataque de denegación de servicio distribuido, la dificultad clave es separar el tráfico normal del malicioso. Cuanto más complejo y multi-vector es el ataque, más complicada es la tarea. Por lo tanto, el objetivo principal del atacante es hacer que un proceso de mitigación sea lo más desafiante posible.
Otra dificultad es que el tráfico DDoS puede venir en diferentes formas, desde ataques de fuente única no falsificados hasta ataques DDoS multivectoriales complejos, que usan varias vías para sobrecargar el servicio objetivo.
Al utilizar técnicas de mitigación que incluyen eliminar o limitar el tráfico para expulsar el tráfico regular del malicioso, se debe tener en cuenta que un ataque DDoS adaptativo de múltiples vectores también se puede adaptar a la aplicación de contramedidas.
En este caso, una buena opción es usar una solución en capas. Para crear la mejor estrategia de mitigación de ataques DDoS, generalmente se utilizan técnicas y herramientas combinadas como las siguientes:

1. Enrutamiento a agujeros negros
Una forma simple y efectiva de mitigar los ataques DDoS es "Black Hole Routing", disponible para casi todos los administradores de red y que permite canalizar el tráfico malicioso hacia una ruta creada. Un administrador define restricciones que impiden que el tráfico normal legítimo caiga de la red. Esta técnica es rudimentaria y en muchos casos genera más daño que beneficio ya que descarta tráfico legítimo.

2. Anycast Network Diffusion
 Anycast representa una herramienta de direccionamiento y enrutamiento de red, lo que permite que las solicitudes entrantes se distribuyan a varias ubicaciones. Después de que otras herramientas de mitigación de DDoS filtran parte del tráfico del ataque, este asigna el tráfico del ataque restante a través de varios centros de datos, evitando que las ubicaciones se sobrecarguen con miles de solicitudes.
La red Anycast permite distribuir el impacto del tráfico del ataque distribuido al punto donde se puede gestionar de manera efectiva. La complejidad y eficiencia de un proceso de mitigación con Anycast depende del tamaño de un ataque distribuido de denegación de servicio, así como del tamaño y el rendimiento de toda la red.

 3. Límite de velocidad
 La limitación de velocidad es la práctica que implica la limitación del número de solicitudes, aceptadas por el servidor durante un cierto tiempo. En la mayoría de los casos, la limitación de velocidad no se usa para mitigar un ataque de denegación de servicio distribuido solo, ya que es mucho más eficaz como parte de toda la estrategia.

 4. Servidor de seguridad de aplicaciones web (WAF)
Para mitigar los ataques DDoS de capa 7, puede usar un Servidor de seguridad de aplicaciones web (WAF). Al poner un WAF entre Internet y la aplicación web un administrador puede prevenir o mitigar los ataques de la capa 7.
Un WAF permite el filtrado de solicitudes y puede actuar como un proxy reverso, protegiendo una aplicación web del tráfico malicioso y haciendo que los clientes pasen por el WAF antes de llegar al servidor.
Al monitorear y filtrar el tráfico HTTP, un WAF ayuda a proteger el servicio específico contra ataques tales como la falsificación entre sitios, el cross-site-scripting (XSS), la inclusión de archivos y la inyección SQL. Adicionalmente funciona como una suerte de "virtual patching" ya que protege a la aplicación de vulnerabilidades conocidas.
Como un WAF es una defensa de protocolo en capa 7, no se puede utilizar para mitigar todo tipo de ataques DDoS y se implementa como un componente importante de contramedidas.

Conclusión
Debido a que la guerra cibernética, el espionaje, el hacktivismo y la extorsión financiera se están extendiendo, la seguridad debe ser el núcleo de todas las decisiones de la arquitectura de TI.
Nadie desea ser víctima de daños colaterales debido a que un proveedor de servicios tiene poca seguridad, pero tampoco se debe sacrificar el rendimiento de la aplicación por protección. Como ya sabemos en Seguridad Informática NO existe una solución mágica que pueda prevenir todos los ataques, pero si podemos generar una defensa en capas que disminuya la superficie de ataque y nos permita mitigar el impacto de un ataque DDoS.
Muchos proveedores de soluciones DDoS nos dirán que su solución es la "bala de plata" contra ataques DDoS, pero la verdad es que debemos tener un entendimiento profundo de como funcionan estos ataques al momento de diseñar la infraestructura de nuestro Datacenter y adoptar una estrategia en capas que no se base en una sola solución mágica.


No hay comentarios.

Imágenes del tema de enot-poloskun. Con tecnología de Blogger.