16 tipos de ataques DDoS y cómo funcionan

A medida que la mayoría de las empresas se vuelven digitales, los ataques de denegación de servicio distribuido (DDoS) se han vuelto comunes. Los piratas informáticos utilizan principalmente ataques contra sitios web, aplicaciones y otros servicios basados en Internet. También pueden utilizar ataques DDoS contra recursos de la red interna, computadoras específicas y puertas de enlace.

Te puede interesar leer sobre: Virus Multipartito: Cómo funciona y cómo protegerte

En ambos casos, un hacker intenta saturar los servidores, paralizando así su funcionamiento. Hay muchos tipos de ataques DDoS y los distribuimos en tres categorías principales. Las categorías son ataques DDoS de protocolo, aplicación y volumétricos. Otros ataques DDoS están fuera de estas categorías, pero este artículo se centrará en los 16 tipos disponibles dentro de las tres categorías. Profundicemos.

¿Qué es un ataque DDoS?

Un ataque distribuido de denegación de servicio (DDoS) es un tipo de delito cibernético en el que la parte malintencionada intenta interrumpir el funcionamiento normal de una aplicación, servidor o red objetivo inundando el objetivo y su infraestructura con tráfico de Internet.

Los ataques DDoS suelen estar diseñados para servicios y sistemas en línea que, cuando se ven saturados, no pueden funcionar bien y eventualmente fallan. Puedes imaginarte un ataque DDoS cuando cien personas intentan atravesar una única salida y, en última instancia, bloquean la salida y limitan el movimiento fuera del edificio.

Los diferentes tipos de ataques DDoS y cómo funcionan

Ataques DDoS volumétricos

Los ataques DDoS volumétricos suelen inundar y, finalmente, abrumar la capacidad del recurso objetivo. El ataque utiliza solicitudes para saturar servidores, tráfico de redes y llamadas a bases de datos. Un ataque DDoS volumétrico satura el ancho de banda de Internet del sitio web objetivo. Existen varios tipos de ataques DDoS volumétricos y los examinaremos a continuación:

Ataques de inundación UDP

Los ataques de inundación UDP envían varios paquetes de datos para abrumar al host que escucha estos paquetes. Los paquetes llegan al servidor, que intenta asignar las aplicaciones correspondientes a estos paquetes. Estas asignaciones de aplicaciones desencadenan procesos dentro del servidor que eventualmente lo dominan. La mayoría de los atacantes atacan servidores de Internet y de red utilizando direcciones IP y puertos normalmente integrados en los paquetes UDP.

Los ataques de inundación UDP vienen en dos variantes: inundación de fragmentación UDP y ataques de amplificación UDP específicos. Una inundación de fragmentación UDP envía grandes paquetes fragmentados al servidor de destino, que intenta ensamblar estos fragmentos de paquetes UDP, un proceso que abruma al servidor.

Por otro lado, los ataques de amplificación UDP específicos envían solicitudes UDP legítimas a muchos servidores legítimos. Incluye el servidor de destino en el proceso y falsifica su dirección IP. Como resultado, el servidor víctima recibe todas las respuestas de los servidores legítimos, lo que eventualmente colapsa. NTP, SSDP y SNMP son los protocolos comúnmente utilizados en ataques de amplificación.

Inundación ICMP (Ping)

En este ataque DDoS, el atacante utiliza varios dispositivos para enviar paquetes de ping falsificados al servidor sin esperar respuestas. Dado que el Protocolo de mensajes de control de Internet (ICMP) requiere que el servidor responda a las solicitudes al recibirlas, inundar el servidor con estos paquetes de ping consume ancho de banda saliente y entrante y, en última instancia, abruma al servidor.

Inundación de fragmentación ICMP

Una inundación de fragmentación ICMP funciona de la misma manera que los ataques de inundación ICMP. Sin embargo, envía paquetes de ping fragmentados en lugar de paquetes completamente formados. Como resultado, el servidor objetivo intenta reconstruir estos paquetes fragmentados ICMP falsificados, lo que provoca un aumento del tráfico. El tráfico satura los recursos del servidor, provocando que falle.

Ataque de aplicación mal utilizada

En un ataque a una aplicación mal utilizada, la parte malintencionada se aprovecha de una aplicación legítima comprometida en un servidor legítimo. Esta aplicación debe tener mucho tráfico, que el hacker redirige al servidor objetivo antes de salir del sistema.

Este ataque DDoS se produce de forma autónoma, con paquetes legítimos desde la aplicación comprometida al servidor. Como resultado, la mayoría de los mecanismos defensivos no detectan este ataque y, finalmente, el servidor víctima se ve abrumado por el aumento del tráfico.

Protocolo CharGen

Inicialmente, el protocolo CharGen estaba destinado a medir, probar y depurar. Un servidor envía un protocolo de control de transmisión (TCP) o un protocolo UDP utilizando el puerto 19. Luego, la parte receptora responde utilizando cualquiera de los protocolos para enviar la solicitud.

Las partes malintencionadas utilizan el protocolo CharGen falsificando la dirección IP del servidor víctima antes de enviar múltiples solicitudes a dispositivos de Internet que admitan CharGen. Los dispositivos responden y abruman al servidor con tráfico del puerto 19. En este punto, es posible que el servidor solo sobreviva si el firewall bloquea el puerto 19. De lo contrario, el sistema fallará.

Te sugerimos leer: Cómo cambiar tu tono de llamada en Android en 5 sencillos pasos

Ataques DDoS de aplicaciones

Los ataques DDoS a aplicaciones buscan vulnerabilidades en las aplicaciones y las hacen fallar. Se centran en el software de capa 7, lo que genera memoria agotada y CPU sobrecargadas, lo que afecta al servidor y otras aplicaciones. Veamos los diferentes tipos de ataques DDoS a aplicaciones:

Ataques de inundación HTTP

Los ataques de inundación HTTP utilizan comandos HTTP para saturar los sitios web y sus servidores de alojamiento. El ataque utiliza bots para enviar múltiples solicitudes, lo que aumenta el tráfico de datos que recibe el sitio web de la víctima. Algunas de las solicitudes que envían las botnets incluyen solicitudes GET y solicitudes POST.

ReDoS

La parte maliciosa solicita patrones de búsqueda altamente complejos cuando utiliza denegación de servicio de expresión regular (ReDoS). Dado que los patrones son algorítmicamente complejos, desperdician recursos del servidor y provocan una falla del sistema.

Protocolo de ataques DDoS

Los ataques DDoS de protocolo abusan de los protocolos al saturar servidores o firewalls. El método no utiliza solo volumen y medimos los ataques en paquetes por segundo. Veamos algunos de ellos:

Ataque de IP nula

La versión 4 del Protocolo de Internet tiene encabezados que especifican el protocolo de transporte que se utiliza. Todos los paquetes que cumplen con el protocolo de Internet 4 utilizan esto. Los atacantes pueden aprovechar esto estableciendo los encabezados en un valor nulo. El servidor no tendrá instrucciones específicas para descartar los paquetes entrantes y consumir todos los recursos para determinar el método de entrega de esos paquetes.

Ataques de inundación TCP

La comunicación entre diferentes dispositivos a través de una red está regulada por el Protocolo de Control de Transmisión (TCP). Los ataques de inundación TCP abusan de los protocolos mediante suplantación de identidad, lo que abruma los recursos del sistema.

TCP tiene tres secuencias de comunicación que terminan en una secuencia de cuatro partes. Cuando el servidor recibe un TCP inesperado, envía un paquete de reinicio (RST) como contramedida. Los ataques de inundación tienen como objetivo abusar de los protocolos TCP mediante el uso de transmisiones TCP con formato incorrecto, que abruman los recursos.

Tipos de ataques de inundación TCP

• SYN Flood: una dirección IP enmascarada envía muchos paquetes de solicitud SYN. El servidor de destino mantiene abierto el ancho de banda de comunicación respondiendo con paquetes SYN-ACK.
• Inundación SYN-ACK: se envían grandes cantidades de respuestas SYN-ACK falsificadas al servidor de destino. Luego, el servidor inmoviliza recursos para que coincidan con las solicitudes SYN inexistentes.
• ACK Flood: llevan a cabo este ataque enviando muchas respuestas ACK falsificadas a un servidor de destino. Esto inmoviliza recursos cuando el servidor intenta hacer coincidir las respuestas ACK con los paquetes SYN-ACK. Existe la alternativa de utilizar una función de inserción TCP para este ataque.
• Inundación de fragmentación de ACK: los paquetes fragmentados se utilizan para abusar de la longitud máxima del paquete IP. El servidor de destino hará intentos fallidos de reconstruir los paquetes fragmentados. Las reconstrucciones exceden los recursos asignados, lo que provoca errores de desbordamiento de memoria.
• FIN Flood: los atacantes inundan los servidores y agotan los recursos al intentar hacer coincidir paquetes RST o FIN falsificados con sesiones TCP abiertas falsas.
• Múltiples inundaciones de sesiones falsificadas de ACK: los atacantes envían repetidamente paquetes ACK, seguidos de paquetes FIN o RST, para parecerse más al tráfico TCP real y engañar a las medidas de seguridad. El servidor utiliza recursos para hacer coincidir los paquetes falsos con sesiones TCP abiertas.
• Múltiples inundaciones de sesiones falsificadas SYN-ACK: se utilizan múltiples paquetes SYN y ACK junto con paquetes FIN y RST. Este método replica el tráfico TCP real haciendo coincidir paquetes falsos con paquetes reales, que consumen recursos del servidor.
• Ataque IP sinónimo: los atacantes utilizan esta táctica falsificando paquetes SYN con la dirección IP del servidor de destino como origen y destino del paquete. El paquete sin sentido agota los recursos cuando el servidor intenta responder a sí mismo (también conocido como ataque de denegación de red de área local o ataque LAND) o se ocupa de recibir un paquete de sí mismo.

Contenido similar: Los mejores programas para ver anime en español

Slowloris

Los ataques de Slowloris tienen como objetivo agotar tus recursos del servidor llenándolos de comunicación vacía. Debes mantener las sesiones abiertas y funcionando el mayor tiempo posible. Envías solicitudes HTTP parciales a los servidores web para mantener las sesiones en funcionamiento. Identificar este ataque no es fácil, ya que utiliza muy poco ancho de banda.

Ataque de sesión

Con este método, los atacantes no necesitan enmascarar sus direcciones IP ni utilizar paquetes ocultos para iniciar un ataque DDoS. Utilizan varios bots para alcanzar el rango óptimo de la IP de origen o excederlo para iniciar conexiones permitidas contigo. El ataque DDoS evita la detección porque utiliza sesiones TCP legítimas de direcciones IP reales. Sin embargo, retrasa los paquetes ACK para consumir ancho de banda y agotar tus recursos al mantener abiertas las sesiones inactivas.

Ping de la muerte

La longitud máxima del paquete IP es 65.535 bytes. El ataque de ping de la muerte abusa de esta longitud al igual que la inundación de fragmentación de ACK. El tamaño de trama para enviar datos a través de una red es de 1500 bytes.

Estos atacantes envían numerosos fragmentos de IP que se encuentran dentro de la restricción Ethernet pero se combinarán en un paquete que excede la longitud máxima del paquete IP. Tu computadora podría fallar durante el proceso o desbordar los buffers de memoria asignados al paquete.

Ataque fragmentado

El ataque Fraggle es una variante del ataque Smurf que falsifica paquetes UDP en lugar de paquetes ICMP para inundar tu máquina objetivo con tráfico y apuntar a la dirección de transmisión de un router de red.

Todos tus dispositivos de red que respondan a solicitudes UDP podrían provocar que tu dispositivo receptor se sobrecargue. La efectividad de este ataque se reduce porque la mayoría de los routeres modernos no reenvían automáticamente los paquetes enviados a la dirección de transmisión.

Ataque Smurf

El programa de malware Smurf envía varias solicitudes de ping ICMP a la dirección de transmisión de un router mientras falsifica la dirección IP de tu dispositivo objetivo utilizando los protocolos IP e ICMP. A medida que cada dispositivo de tu red responde a la solicitud de ping, tu dispositivo receptor podría sobrecargarse. Este método es menos efectivo porque la mayoría de los routeres no reenvían automáticamente los paquetes enviados a la dirección de transmisión.

High Orbit Ion Cannon (HOIC)

El programa High Orbit Ion Cannon reemplazó al Low Orbit Ion Cannon porque puede enviar muchas solicitudes GET y HTTP POST a hasta 256 sitios web diferentes simultáneamente. HOIC puede ser más eficiente y disruptivo que LOIC cuando lo aplicas agresivamente.

Leer más a cerca de: ¿Qué es la reingeniería de software(SRE)?

Low Orbit Ion Cannon (LOIC)

El software de código abierto LOIC, desarrollado como una herramienta de prueba de estrés de la red, envía muchos paquetes (UPD, TCP y HTTP) a un dispositivo de destino. Los atacantes utilizan esta técnica para lanzar ataques DDoS desde botnets.

Razones detrás de los ataques DDoS

Los ataques DDoS se han convertido en la ciberamenaza más común. ¿Cuál es el factor motivador y por qué está aumentando el número de ataques? Veamos algunas de las razones detrás de estos ataques:

Rivalidades empresariales

Dirigir una empresa puede resultar difícil, especialmente cuando te enfrentas a una dura competencia. Los ataques DDoS se pueden utilizar para atacar los sitios web de la competencia y descarrilar sus operaciones.

Extorsiones

Los ataques DDoS se utilizan para ganar dinero rápidamente contigo como objetivo. Los delincuentes penetran en tus servidores y exigen dinero a cambio. Los beneficios económicos actúan como factor motivador.

Guerra cibernética

El gobierno puede autorizar ataques DDoS por diferentes motivos. Puede hacer frente a amenazas específicas y sitios maliciosos o paralizar la infraestructura de una nación enemiga.

Diferentes ideologías

La gente tiene diferentes opiniones e ideologías sobre algunos temas. Los ataques DDoS pueden tener como objetivo sitios cuya información sea engañosa o no compatible con los atacantes.

Cómo prevenir ataques DDoS

Ahora que conoces todos los tipos de ataques DDoS, ¿cómo puedes exactamente evitar que ocurran? Estos son algunos de los métodos que puedes utilizar:

Redundancia del servidor

Puedes utilizar la redundancia del servidor para garantizar que tu sistema permanezca en línea incluso después de un ataque DDoS. La redundancia implica tener múltiples servidores Wave, lo que garantiza tu seguridad en caso de que uno sufra un ataque DDoS. Sin embargo, la redundancia solo funciona a veces, ya que algunos piratas informáticos atacan varios servidores web simultáneamente.

Sistemas de defensa DDoS (DDS)

Puedes utilizar herramientas y servicios anti-DDoS como Imperva y Akamai para proteger tu sistema. Un DDS detecta contenido de apariencia legítima que puede dañar tu sistema y lo bloquea. Un DDS puede proteger tu sistema contra ataques volumétricos y de protocolo.

Limitación de tasa

Puedes limitar la cantidad de solicitudes que tu servidor puede procesar dentro de un período de tiempo determinado, reduciendo así las posibilidades de que tu servidor se vea abrumado con solicitudes.

Análisis de paquetes en tiempo real

Puedes analizar paquetes utilizando reglas a medida que ingresan al sistema. Cualquier paquete que contenga contenido potencialmente malicioso se bloquea.

Conclusión

Desde el inicio de la pandemia de COVID-19, la mayoría de las empresas han operado en línea, allanando así el camino para ataques DDoS por parte de partes con intenciones maliciosas. Los piratas informáticos avanzan a diario y desarrollan métodos de ataque DDoS más avanzados e indetectables. Para garantizar que tu sistema o sitio web funcione sin problemas, puedes protegerte utilizando los métodos preventivos antes mencionados.

Preguntas frecuentes

¿Qué es un ataque DDoS?

Un ataque DDoS (denegación de servicio distribuido) es un intento malicioso de interrumpir el tráfico normal de un servidor, servicio o red objetivo abrumándolo con una avalancha de tráfico de Internet procedente de múltiples fuentes.

Esto se puede lograr mediante el uso de una botnet, que es un grupo de computadoras u otros dispositivos que han sido comprometidos y controlados por el atacante. El objetivo de un ataque DDoS es hacer que el recurso objetivo no esté disponible para sus usuarios, lo que resulta en pérdida de ingresos, daño a la reputación u otras consecuencias negativas.

¿Cómo puedo protegerme contra ataques DDoS?

Puedes protegerte contra ataques DDoS implementando algunas estrategias clave. Estas incluyen el uso de un servicio de protección DDoS confiable, mantener tu software y sistemas actualizados, configurar firewalls y sistemas de detección/prevención de intrusiones, y contar con un plan para responder a un ataque.

Además, puedes implementar herramientas de análisis y monitoreo del tráfico para ayudar a detectar y mitigar posibles ataques DDoS. También es importante que tú y tu equipo se informen sobre los ataques DDoS para que puedan reconocerlos y responder adecuadamente.

¿Puede un antivirus prevenir ataques DDoS?

El antivirus no puede prevenir un ataque DDoS, ya que los ataques DDoS se llevan a cabo saturando la red del objetivo con tráfico de múltiples fuentes. El software antivirus está diseñado para proteger contra virus y otros tipos de malware que pueden infectar un dispositivo o una red, pero no puede prevenir un ataque DDoS. Para protegerte contra ataques DDoS, es necesario utilizar herramientas y técnicas especializadas, como firewalls, equilibradores de carga y servicios de mitigación de DDoS.

¿Cómo detienen los firewalls los ataques DDoS?

Los firewalls pueden ayudar a prevenir ataques DDoS al monitorear y filtrar el tráfico de la red. Cuando un firewall detecta una cantidad excesiva de solicitudes de una dirección IP particular o un tipo particular de tráfico, puede impedir que ese tráfico llegue a su destino previsto. Los firewalls también se pueden configurar para permitir el paso únicamente del tráfico autorizado, lo que ayuda a evitar el acceso no autorizado y limita la superficie de ataque para posibles atacantes DDoS.

Además, los firewalls pueden equiparse con funciones como limitación de velocidad e inspección de paquetes para ayudar a detectar y mitigar ataques DDoS en tiempo real. Sin embargo, los firewalls por sí solos pueden no ser suficientes para prevenir completamente los ataques DDoS, y también pueden ser necesarias otras medidas de seguridad, como sistemas de detección y prevención de intrusiones, balanceadores de carga y redes de entrega de contenido.

No te vayas sin antes leer: Cómo hacer videoconferencias con Zoom

¿Cómo puedo saber si mi sistema está bajo un ataque DDoS?

Algunos signos comunes de un ataque DDoS incluyen:

• Un aumento significativo en el tráfico a tu sitio web o servidor.
• Un sitio web o servidor lento o que no responde
• Latencia de red o pérdida de paquetes
• Uso inusualmente alto de CPU o memoria en servidores

Recuerda, si sospechas que estás bajo un ataque DDoS, es fundamental actuar rápidamente y comunicarte con tu equipo de seguridad de TI o con un proveedor de seguridad confiable para obtener ayuda.