¿Qué es un ataque DDOS?

DDOS son las siglas de Distributed Denial-Of-Service. Es un tipo de delito cibernético en el que una o varias partes intentan interrumpir el tráfico de un servidor o sitio web. Para ser efectivos, no solo usan una computadora para atacar, sino a menudo una red completa de ellas.

Sin embargo, esto no es solo las máquinas del atacante: hay tipos de malware y virus que pueden afectar la computadora de un usuario normal y convertirla en parte del ataque. Incluso los dispositivos de IoT no son seguros: si tiene un dispositivo inteligente en su hogar, teóricamente podría usarse para tal ataque.

¿Como funciona?

La forma más sencilla de explicar los ataques DDOS es compararlos con los atascos de tráfico. El flujo de tráfico normal se interrumpe porque docenas (o cientos, miles, etc.) de automóviles inesperados se incorporan a la carretera principal sin dejar pasar a otros automóviles.

El atasco emergente evita que los conductores normales lleguen a su objetivo; en un evento de DDOS, ese sería el servidor o sitio web que están buscando.

Existen diferentes tipos de ataques que tienen como objetivo diferentes elementos de la comunicación normal entre el cliente y el servidor.

Los ataques de capa de aplicación intentan agotar los recursos del objetivo forzándolo a cargar repetidamente archivos o consultas de base de datos; esto ralentiza el sitio y puede, en casos extremos, causar problemas con el servidor al sobrecalentarlo o aumentar el uso de energía. Es difícil defenderse de estos ataques porque son difíciles de detectar; no es fácil decir si un aumento en el uso se debe a un aumento en el tráfico genuino o un ataque malicioso.

Los ataques de inundación HTTP se realizan esencialmente actualizando una página del navegador una y otra vez, excepto millones de veces. Esta avalancha de solicitudes a un servidor a menudo hará que se abrume y ya no responda a solicitudes (genuinas). Las defensas incluyen tener servidores de respaldo y suficiente capacidad para manejar solicitudes desbordadas. Por ejemplo, un ataque de este tipo casi definitivamente no funcionaría contra Facebook porque su infraestructura es tan fuerte que puede manejar ataques como este.

Los ataques de protocolo intentan agotar un servidor consumiendo toda la capacidad que tienen cosas como las aplicaciones web, es decir, repitiendo solicitudes a un elemento de un sitio o servicio. Si lo hace, la aplicación web dejará de responder. A menudo, se utilizan filtros que bloquean las solicitudes repetidas de las mismas direcciones IP para evitar ataques y mantener el servicio en funcionamiento para los usuarios normales.

Los ataques SYN Flood se realizan, en esencia, pidiendo repetidamente al servidor que recupere un elemento, y luego no confirmando la recepción del mismo. Esto significa que el servidor se aferra a los elementos y espera el recibo que nunca llega, hasta que finalmente no puede contener más y comienza a dejarlos caer para recoger más.

Los ataques volumétricos intentan crear artificialmente la congestión ocupando específicamente todo el ancho de banda que tiene un servidor. Esto es similar a los ataques HTTP Flood, excepto que en lugar de solicitudes repetidas, los datos se envían al servidor, lo que lo mantiene demasiado ocupado para responder al tráfico normal. Las botnets se suelen utilizar para llevar a cabo estos ataques; también suelen utilizar la amplificación de DNS.

Consejo: la amplificación de DNS funciona como un megáfono: una solicitud o paquete de datos más pequeño se presenta como mucho más grande de lo que es. Podría ser que el atacante solicite todo lo que un servidor tiene para ofrecer y luego le pida que repita todo lo que el atacante pidió: una solicitud relativamente pequeña y simple termina consumiendo muchos recursos.

¿Cómo defenderse de los ataques DDOS?

El primer paso para hacer frente a estos ataques es asegurarse de que realmente estén ocurriendo. Detectarlos no siempre es fácil, ya que los picos de tráfico pueden ser un comportamiento normal debido a las zonas horarias, los comunicados de prensa y más. Para que sus ataques funcionen, los atacantes DDOS intentan ocultar su comportamiento en el tráfico normal tanto como sea posible.

Otras rutinas para mitigar los ataques DDOS son los agujeros negros, la limitación de velocidad y los firewalls. Los agujeros negros son una medida bastante extrema: no intentan separar el tráfico genuino de un ataque, sino que redirigen cada solicitud fuera del servidor y luego la eliminan. Esto se puede hacer en preparación de un ataque esperado, por ejemplo.

La limitación de la tasa es un poco menos dura para los usuarios: establece un límite artificial para la cantidad de solicitudes que aceptará un servidor. Este límite es suficiente para permitir el paso del tráfico normal, pero demasiadas solicitudes se redirigen y descartan automáticamente; de ​​esta manera, el servidor no puede verse abrumado. También es una forma eficaz de detener los intentos de descifrado de contraseñas por fuerza bruta: después de, digamos, cinco intentos, el intento de dirección IP simplemente se bloquea.

Los cortafuegos no solo son útiles para la protección en su propia computadora, sino también en el lado del servidor del tráfico web. Los firewalls de aplicaciones web, en particular, se configuran entre Internet y un servidor; protegen contra varios tipos diferentes de ataques. Los buenos firewalls también pueden configurar rápidamente respuestas personalizadas a los ataques a medida que ocurren.

Sugerencia: si está buscando proteger su sitio o servidor de algún tipo de ataque DDOS, querrá una disposición de diferentes soluciones (lo más probable es que incluya un firewall). La mejor manera de hacerlo sería consultar a un consultor de ciberseguridad y pedirle que elabore un plan personalizado que se adapte a sus necesidades. ¡No existe una solución única para todos!