Ataques DDoS y DoS

Una forma común de DoS se conoce como distributed denial of service (DDoS), denegación de servicio distribuido en castellano. En esta variante, los ciberdelincuentes no atacan desde un solo equipo, sino que sobrecargan a los sistemas a los que se dirige el ataque con peticiones simultáneas procedentes de varios ordenadores, que pueden llegar a conformar redes gigantes de bots. Con una red así puede generarse mucho más tráfico del que sería posible con un ataque DoS, que parte de un solo equipo. Por lo tanto, un ataque DDoS tiene consecuencias drásticas para los sistemas afectados que, por lo general, tienen pocas probabilidades de identificar a la fuente real del ataque. Esto se debe principalmente a que, para construir estas redes de bots, los atacantes operan agentes especiales de software que a través de Internet y sin el consentimiento del operador, se colocan en los equipos que no cuenten con el sistema de protección adecuado y allí se controlan de forma central. Es común que este tipo de “infección” tenga lugar algunos meses antes del ataque DDoS en sí.

A diferencia de otro tipo de ataques cibernéticos, los ataques DDoS no tratan de infiltrarse en un sistema. Sin embargo, sí pueden formar parte de un ataque de hacking de este tipo para, por ejemplo, distraer la atención sobre un ataque a un sistema paralizando a otro. Si la capacidad de respuesta de un servidor se ve afectada como consecuencia de un ataque DDoS o DoS, los hackers también tienen la opción de utilizar respuestas falsas para manipular las solicitudes a un sistema sobrecargado. Las estrategias en que se basa este tipo de ataque se pueden dividir en tres categorías:

• sobrecarga del ancho de banda,
• saturación de los recursos del sistema,
• explotación de defectos del software y vulnerabilidades.

Un ataque que congestione el ancho de banda tiene como objetivo bloquear la disponibilidad de un equipo. En este caso, los ataques DoS y DDoS se dirigen directamente a la red y a sus dispositivos de conexión. Así, un router solo puede procesar una cierta cantidad de datos de forma simultánea. Si se solicita toda su capacidad por medio de un ataque, otros usuarios ya no pueden disponer de sus servicios. Un ejemplo clásico de este tipo de ataque DDoS es el ataque smurf o ataque pitufo.

• Ataque pitufo: este ataque DDoS saca provecho del Internet Control Message Protocol (ICMP), utilizado en las redes de ordenadores para el intercambio de información y de mensajes de error. Aquí, el atacante envía paquetes ICMP falsos del tipo echo request (ping) a la dirección de difusión (broadcast address) de una red de ordenadores y utiliza la dirección IP de su víctima como remitente. La petición broadcast se envía a todos los dispositivos conectados en red desde el router, solicitando una respuesta de cada equipo a la dirección del remitente (pong). Una red de gran envergadura puede afectar masivamente a la disponibilidad del ancho de banda.

Si el ataque DDoS se dirige a los recursos de un sistema, el atacante se beneficia del hecho de que los servidores web solo pueden establecer un número limitado de conexiones. Como consecuencia, si se saturan con peticiones inválidas o sin sentido, las solicitudes normales realizadas por un usuario se bloquean. En estos casos se habla de flooding (inundación). Los patrones clásicos de ataque DDoS a los recursos de sistema son la inundación HTTP, ping, SYN y UDP:

• HTTP flood: en la variante más simple de ataque DDoS para copar los recursos del sistema, el atacante satura el servidor web del objetivo con un gran número de peticiones de HTTP. Esto se logra abriendo tantas páginas del proyecto de la víctima que el servidor se colapsa ante tal alud de solicitudes.
   
• Ping flood: en este tipo de ataques, los cibercriminales también utilizan los paquetes ICMP echo request, que acostumbran a enviarse a gran escala al objetivo del ataque por medio de botnets. Debido a que el sistema atacado debe responder a cada una de estas solicitudes (ping) con un paquete de datos (pong), una ping flood puede ralentizar a sistemas ya de por sí lentos.
   
• SYN flood: este patrón de ataque constituye un abuso del TCP Threeway Handshake. El TCP (Transmission Control Protocol) es un protocolo de red que, junto al IP, asegura un tráfico de datos sin pérdidas a través de Internet. Una conexión TCP siempre se establece con una autenticación completa de tres pasos. Para este propósito, el cliente envía un paquete de sincronización (SYN) al servidor. Cuando lo recibe, el servidor responde con un paquete de sincronización (SYN) y una confirmación (ACK). La conexión concluye con el acuse de recibo (ACK) por parte del cliente. En caso de que esta no se produzca, los sistemas se pueden paralizar, ya que el servidor no cuenta en su memoria con suficientes conexiones confirmadas. Si por medio de una inundación SYN se reúne un gran número de conexiones incompletas, los recursos disponibles del servidor se ocupan por completo.
   
• UDP flood: en este ataque, los ciberdelincuentes utilizan el User Datagram Protocol (UDP). A diferencia de una transferencia con TCP, el UDP permite transferir datos sin establecer una conexión. Con los ataques DoS y DDoS se envía una gran cantidad de paquetes UDP a puertos del objetivo escogidos al azar. El sistema objetivo tratará de determinar, sin éxito, qué aplicación está a la espera de los datos enviados y responde al remitente con un paquete ICMP con el mensaje “Dirección de destino no disponible”. Cuando un sistema se sobrecarga con numerosas peticiones de este tipo, se limita la disponibilidad de acceso a los usuarios.

Si un atacante reconoce las vulnerabilidades de un sistema operativo o de un programa, podrá diseñar ataques DoS y DDoS en los cuales cualquier solicitud pueda generar errores en el funcionamiento del software o fallos en el sistema. Ejemplos de ataques que siguen este patrón son el ping de la muerte (ping of death) y los ataques land:

• Ping de la muerte: este patrón de ataque tiene el objetivo de provocar una caída del sistema. Los atacantes se aprovechan de los errores de implementación del protocolo de internet. Por lo general, los paquetes IP se envían fragmentados. Si durante el proceso se transmite información incorrecta, algunos sistemas operativos podrán ser engañados para que generen paquetes IP que excedan su tamaño máximo de 64 KB. Así, y como consecuencia de un intento de volver a montar el paquete, se produce un buffer overflow (desbordamiento de la memoria).
   
• Ataque LAND: en este tipo de ataque el cibercriminal envía un paquete SYN como parte del protocolo TCP Threeway Handshakes (ver arriba), cuya dirección de remitente y destinatario corresponde a las del servidor que será víctima del ataque. Esto tiene como consecuencia que el servidor se responda a sí mismo con un paquete SYN/ACK, lo que puede ser interpretado como una nueva solicitud de conexión, que a su vez debe ser respondida con un paquete SYN/ACK. De esta forma, el sistema entra en un círculo vicioso de peticiones y respuestas a sí mismo que conduce a una carga excesiva que puede hacer colapsar al sistema.

Se han desarrollado diferentes medidas para contrarrestar la sobrecarga causada por ataques DoS y DDoS. Es fundamental identificar las direcciones IP críticas, así como posibles vulnerabilidades del sistema. También es necesario disponer de recursos de hardware y software que permitan bloquear ataques leves.

• Lista de IP bloqueadas: las listas negras permiten la identificación de las direcciones IP críticas y el descarte de paquetes. Esta medida de seguridad puede ser implementada de forma manual o automática a través de las listas de bloqueo del cortafuegos.
   
• Filtros: es posible definir límites en la cantidad de datos procesados simultáneamente para filtrar, así, todo tipo de paquetes anormales. En este punto es importante considerar que, muchas veces, los proxys permiten que muchos clientes se conecten desde una misma dirección IP del servidor, lo que puede generar su bloqueo sin razón aparente.
   
• SYN cookies: si se utiliza esta medida de seguridad, la información sobre los paquetes SYN ya no se almacena en el servidor, sino que se envía como una cookie encriptada al cliente. De esta forma, un ataque de SYN flood compromete la capacidad del equipo pero no la memoria del sistema.
   
• Balanceo de carga: una medida eficaz contra la sobrecarga es la distribución de la carga en diferentes sistemas. La utilización de balanceadores de carga permite extender los servicios a múltiples máquinas físicas. De esta forma, y hasta cierto punto, se pueden controlar los ataques DoS y DDoS.