Cabecera-v2-web.jpg

Ataques DDoS: qué es y cómo nos protegemos


El dí­a de hoy se ha reportado un ataque de denegación de servicios que ha afectado a un medio de comunicación importante de nuestro paí­s por varias horas. Muchos se preguntan: qué es un ataque de denegación de servicio? Un ataque de denegación de servicio, también llamado ataque DoS (por sus siglas en inglés), es un ataque a un sistema que provoca que éste quede inaccesible a los usuarios legí­timos, debido a una sobrecarga de los recursos, por lo general, a causa de un exceso de peticiones. Si por ejemplo tenemos un servidor web que está preparado para recibir 500 peticiones, y empezamos a enviar 10.000 peticiones por segundo, como ésto es mucho más de lo que el servidor puede manejar, éste colapsará.

Existen muchos tipos de ataques de denegación de servicio. Uno de ellos es el tipo volumétrico, que es aquel que busca colapsar el enlace de Internet de un sistema, agotando su ancho de banda. Por ejemplo, si tenemos un enlace con un ancho de banda disponible de 10MB y recibimos una enorme cantidad de tráfico de 1GB (aprox. 1.000MB), el enlace se saturará y ya no podrá recibir peticiones, por lo que el sistema quedará inaccesible. Este tipo de ataques es especialmente difí­cil de combatir, ya que los equipos de seguridad perimetral tradicionales (Firewall, IDS/IPS, etc.) no lo pueden mitigar, ya que es el enlace con el proveedor de internet el que se satura. Los proveedores de servicio de Internet (ISPs), y muchas veces los demás clientes de éste, se ven afectados por la enorme cantidad de tráfico "basura" que debe procesarse.


Si bien, el filtrado de tráfico a nivel de los ISP serí­a teóricamente posible, en la práctica no es una buena estrategia, no solo por el costo computacional elevado que supone para el ISP, sino porque en muchos casos, no se trata de una única IP que genera este ataque, sino de millones de IPs de todo el mundo, es decir, estamos hablando de ataques de denegación de servicio distribuido (DDoS). Cómo ocurre eso? Significa que una enorme cantidad de personas de todo el mundo están atacando?

Por lo general, no se trata de "personas", sino de botnets: enormes redes de computadoras infectadas (bots o zombies). Estas computadoras infectadas son controladas remotamente por una persona que es el "artí­fice" detrás del ataque.


Los ataques DDoS mediante botnets no son algo nuevo, sin embargo, éste tipo de ataques es cada vez más frecuente, especialmente debido a que es cada vez más fácil y barato de realizar: existen "servicios" de DDoS (incluido de tipo volumétrico) que se pueden contratar desde apenas 5 ~ 10 USD, por lo general, el delincuente simplemente debe indicar la IP o la dirección de la web de la ví­ctima y elegir el tipo de ataque. Además, debido a que el delincuente se oculta detrás de estas redes de botnets "alquiladas" es difí­cil determinar el origen real de estos ataques.

Por ejemplo, en octubre del año pasado, ocurrió un ataques DDoS que afectó a múltiples empresas mediante una botnet conocida como Mirai; en la que 300 000 dispositivos enlazados al IoT (cámaras, routers, SmartTVs y otros), generaron el mayor ataque DDoS conocido actualmente, con picos de tráfico superiores a 1 Tbps (aprox. 1.000GB). Los ataques observados el dí­a de hoy tienen magnitudes mucho menores (del orden de 10~15GB), sin embargo, son suficientes para saturar los enlaces internacionales de nuestro paí­s.


Cómo protegernos?

Si bien, los equipos de seguridad perimetral tradicionales (firewall, IDS/IPS, etc.) permiten prevenir y/o mitigar algunos tipos de ataques de denegación de servicios (incluso distribuidos), no son suficientes para un ataque de denegación de servicio volumétrico, de inundación de enlace.

Para este tipo de ataques existen servicios de protección anti-DDoS tales como Cloudflare, Arbor, Prolexis, Akamai, Amazon Cloudfront, y otros, que se basan principalmente en redes CDN (Content Delivery Networks). Cómo funcionan estas soluciones para proteger un sistema, por ejemplo, una página web? Básicamente, estas empresas cuentan con una gran cantidad de centros de datos distribuidos por todo el mundo y "distribuyen" el contenido de esa web en esos centros de datos, creando una gran de "espejos" de la página. Cuando se está bajo un ataque DDoS, por más de que el enlace de internet de la ví­ctima se sature, como los "espejos" están distribuidos por todo el mundo, la página seguirá funcionando. Por ejemplo, la red global Anycast de 10 Tbps de Cloudflare es 10 veces mayor que el mayor ataque DDoS jamás registrado, pudiendo absorber una gran cantidad de tráfico sin que los "espejos" sean afectados.

Algunas de estas empresas ofrecen planes desde 200 USD mensuales, dependiendo muchas veces del tipo de sistema a proteger así­ como del tráfico esperado. Muchas veces, la pérdida generada por este tipo de ataques puede ser mucho mayor, sobre todo, atendiendo que, mientras el ataque no para, el servicio seguirá interrumpido o degradado, si no contamos con mecanismos de protección adecuados. En caso de ser ví­ctima de un ataque de denegación de servicio u otro tipo de incidentes cibernéticos, siempre puedes recurrir al CERT-PY para reportarlo, de modo a recibir asesoramiento en la gestión del incidente.



pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11