Ataques DDoS y DoS

Una forma común de DoS se conoce como di­s­tri­bu­ted denial of service (DDoS), de­ne­ga­ción de servicio di­s­tri­bui­do en ca­s­te­llano. En esta variante, los ci­be­r­de­li­n­cue­n­tes no atacan desde un solo equipo, sino que so­bre­ca­r­gan a los sistemas a los que se dirige el ataque con pe­ti­cio­nes si­mu­l­tá­neas pro­ce­de­n­tes de varios or­de­na­do­res, que pueden llegar a conformar redes gigantes de bots. Con una red así puede generarse mucho más tráfico del que sería posible con un ataque DoS, que parte de un solo equipo. Por lo tanto, un ataque DDoS tiene co­n­se­cue­n­cias drásticas para los sistemas afectados que, por lo general, tienen pocas pro­ba­bi­li­da­des de ide­n­ti­fi­car a la fuente real del ataque. Esto se debe pri­n­ci­pa­l­me­n­te a que, para construir estas redes de bots, los atacantes operan agentes es­pe­cia­les de software que a través de Internet y sin el co­n­se­n­ti­mie­n­to del operador, se colocan en los equipos que no cuenten con el sistema de pro­te­c­ción adecuado y allí se controlan de forma central. Es común que este tipo de “infección” tenga lugar algunos meses antes del ataque DDoS en sí.

A di­fe­re­n­cia de otro tipo de ataques ci­be­r­né­ti­cos, los ataques DDoS no tratan de in­fi­l­trar­se en un sistema. Sin embargo, sí pueden formar parte de un ataque de hacking de este tipo para, por ejemplo, distraer la atención sobre un ataque a un sistema pa­ra­li­za­n­do a otro. Si la capacidad de respuesta de un servidor se ve afectada como co­n­se­cue­n­cia de un ataque DDoS o DoS, los hackers también tienen la opción de utilizar re­s­pue­s­tas falsas para manipular las so­li­ci­tu­des a un sistema so­bre­ca­r­ga­do. Las es­tra­te­gias en que se basa este tipo de ataque se pueden dividir en tres ca­te­go­rías:

• so­bre­ca­r­ga del ancho de banda,
• sa­tu­ra­ción de los recursos del sistema,
• ex­plo­ta­ción de defectos del software y vu­l­ne­ra­bi­li­da­des.

Un ataque que co­n­ge­s­tio­ne el ancho de banda tiene como objetivo bloquear la di­s­po­ni­bi­li­dad de un equipo. En este caso, los ataques DoS y DDoS se dirigen di­re­c­ta­me­n­te a la red y a sus di­s­po­si­ti­vos de conexión. Así, un router solo puede procesar una cierta cantidad de datos de forma si­mu­l­tá­nea. Si se solicita toda su capacidad por medio de un ataque, otros usuarios ya no pueden disponer de sus servicios. Un ejemplo clásico de este tipo de ataque DDoS es el ataque smurf o ataque pitufo.

• Ataque pitufo: este ataque DDoS saca provecho del Internet Control Message Protocol (ICMP), utilizado en las redes de or­de­na­do­res para el in­te­r­ca­m­bio de in­fo­r­ma­ción y de mensajes de error. Aquí, el atacante envía paquetes ICMP falsos del tipo echo request (ping) a la dirección de difusión (broadcast address) de una red de or­de­na­do­res y utiliza la dirección IP de su víctima como remitente. La petición broadcast se envía a todos los di­s­po­si­ti­vos co­ne­c­ta­dos en red desde el router, so­li­ci­ta­n­do una respuesta de cada equipo a la dirección del remitente (pong). Una red de gran en­ve­r­ga­du­ra puede afectar ma­si­va­me­n­te a la di­s­po­ni­bi­li­dad del ancho de banda.

Si el ataque DDoS se dirige a los recursos de un sistema, el atacante se beneficia del hecho de que los se­r­vi­do­res web solo pueden es­ta­ble­cer un número limitado de co­ne­xio­nes. Como co­n­se­cue­n­cia, si se saturan con pe­ti­cio­nes inválidas o sin sentido, las so­li­ci­tu­des normales rea­li­za­das por un usuario se bloquean. En estos casos se habla de flooding (inu­n­da­ción). Los patrones clásicos de ataque DDoS a los recursos de sistema son la inu­n­da­ción HTTP, ping, SYN y UDP:

• HTTP flood: en la variante más simple de ataque DDoS para copar los recursos del sistema, el atacante satura el servidor web del objetivo con un gran número de pe­ti­cio­nes de HTTP. Esto se logra abriendo tantas páginas del proyecto de la víctima que el servidor se colapsa ante tal alud de so­li­ci­tu­des.
   
• Ping flood: en este tipo de ataques, los ci­be­r­cri­mi­na­les también utilizan los paquetes ICMP echo request, que aco­s­tu­m­bran a enviarse a gran escala al objetivo del ataque por medio de botnets. Debido a que el sistema atacado debe responder a cada una de estas so­li­ci­tu­des (ping) con un paquete de datos (pong), una ping flood puede ra­le­n­ti­zar a sistemas ya de por sí lentos.
   
• SYN flood: este patrón de ataque co­n­s­ti­tu­ye un abuso del TCP Threeway Handshake. El TCP (Tra­n­s­mi­s­sion Control Protocol) es un protocolo de red que, junto al IP, asegura un tráfico de datos sin pérdidas a través de Internet. Una conexión TCP siempre se establece con una au­te­n­ti­ca­ción completa de tres pasos. Para este propósito, el cliente envía un paquete de si­n­cro­ni­za­ción (SYN) al servidor. Cuando lo recibe, el servidor responde con un paquete de si­n­cro­ni­za­ción (SYN) y una co­n­fi­r­ma­ción (ACK). La conexión concluye con el acuse de recibo (ACK) por parte del cliente. En caso de que esta no se produzca, los sistemas se pueden paralizar, ya que el servidor no cuenta en su memoria con su­fi­cie­n­tes co­ne­xio­nes co­n­fi­r­ma­das. Si por medio de una inu­n­da­ción SYN se reúne un gran número de co­ne­xio­nes in­co­m­ple­tas, los recursos di­s­po­ni­bles del servidor se ocupan por completo.
   
• UDP flood: en este ataque, los ci­be­r­de­li­n­cue­n­tes utilizan el User Datagram Protocol (UDP). A di­fe­re­n­cia de una tra­n­s­fe­re­n­cia con TCP, el UDP permite tra­n­s­fe­rir datos sin es­ta­ble­cer una conexión. Con los ataques DoS y DDoS se envía una gran cantidad de paquetes UDP a puertos del objetivo escogidos al azar. El sistema objetivo tratará de de­te­r­mi­nar, sin éxito, qué apli­ca­ción está a la espera de los datos enviados y responde al remitente con un paquete ICMP con el mensaje “Dirección de destino no di­s­po­ni­ble”. Cuando un sistema se so­bre­ca­r­ga con numerosas pe­ti­cio­nes de este tipo, se limita la di­s­po­ni­bi­li­dad de acceso a los usuarios.

Si un atacante reconoce las vu­l­ne­ra­bi­li­da­des de un sistema operativo o de un programa, podrá diseñar ataques DoS y DDoS en los cuales cualquier solicitud pueda generar errores en el fu­n­cio­na­mie­n­to del software o fallos en el sistema. Ejemplos de ataques que siguen este patrón son el ping de la muerte (ping of death) y los ataques land:

• Ping de la muerte: este patrón de ataque tiene el objetivo de provocar una caída del sistema. Los atacantes se apro­ve­chan de los errores de im­ple­me­n­ta­ción del protocolo de internet. Por lo general, los paquetes IP se envían fra­g­me­n­ta­dos. Si durante el proceso se transmite in­fo­r­ma­ción in­co­rre­c­ta, algunos sistemas ope­ra­ti­vos podrán ser engañados para que generen paquetes IP que excedan su tamaño máximo de 64 KB. Así, y como co­n­se­cue­n­cia de un intento de volver a montar el paquete, se produce un buffer overflow (de­s­bo­r­da­mie­n­to de la memoria).
   
• Ataque LAND: en este tipo de ataque el ci­be­r­cri­mi­nal envía un paquete SYN como parte del protocolo TCP Threeway Ha­n­d­sha­kes (ver arriba), cuya dirección de remitente y de­s­ti­na­ta­rio co­rre­s­po­n­de a las del servidor que será víctima del ataque. Esto tiene como co­n­se­cue­n­cia que el servidor se responda a sí mismo con un paquete SYN/ACK, lo que puede ser in­te­r­pre­ta­do como una nueva solicitud de conexión, que a su vez debe ser re­s­po­n­di­da con un paquete SYN/ACK. De esta forma, el sistema entra en un círculo vicioso de pe­ti­cio­nes y re­s­pue­s­tas a sí mismo que conduce a una carga excesiva que puede hacer colapsar al sistema.

Se han de­sa­rro­lla­do di­fe­re­n­tes medidas para co­n­tra­rre­s­tar la so­bre­ca­r­ga causada por ataques DoS y DDoS. Es fu­n­da­me­n­tal ide­n­ti­fi­car las di­re­c­cio­nes IP críticas, así como posibles vu­l­ne­ra­bi­li­da­des del sistema. También es necesario disponer de recursos de hardware y software que permitan bloquear ataques leves.

• Lista de IP blo­quea­das: las listas negras permiten la ide­n­ti­fi­ca­ción de las di­re­c­cio­nes IP críticas y el descarte de paquetes. Esta medida de seguridad puede ser im­ple­me­n­ta­da de forma manual o au­to­má­ti­ca a través de las listas de bloqueo del co­r­ta­fue­gos.
   
• Filtros: es posible definir límites en la cantidad de datos pro­ce­sa­dos si­mu­l­tá­nea­me­n­te para filtrar, así, todo tipo de paquetes anormales. En este punto es im­po­r­ta­n­te co­n­si­de­rar que, muchas veces, los proxys permiten que muchos clientes se conecten desde una misma dirección IP del servidor, lo que puede generar su bloqueo sin razón aparente.
   
• SYN cookies: si se utiliza esta medida de seguridad, la in­fo­r­ma­ción sobre los paquetes SYN ya no se almacena en el servidor, sino que se envía como una cookie en­cri­p­ta­da al cliente. De esta forma, un ataque de SYN flood co­m­pro­me­te la capacidad del equipo pero no la memoria del sistema.
   
• Balanceo de carga: una medida eficaz contra la so­bre­ca­r­ga es la di­s­tri­bu­ción de la carga en di­fe­re­n­tes sistemas. La uti­li­za­ción de ba­la­n­cea­do­res de carga permite extender los servicios a múltiples máquinas físicas. De esta forma, y hasta cierto punto, se pueden controlar los ataques DoS y DDoS.