Los delitos cibernéticos han ido en aumento últimamente, con ataques de ransomware (WannaCry, NotPetya), bases de datos pirateadas (Equifax, Sony, Yahoo) y puertas traseras de software (Floxif / CCleaner, ShadowPad / NetSarang) haciendo titulares con frecuencia. Si bien la escala y el alcance de estos ataques son asombrosos, el hecho es que los ciberdelincuentes no están restringidos solo al robo de sus datos, identidad o dinero. El alcance de los delitos en el mundo virtual es tan grande como lo es en el mundo real, si no más. Un tipo de ataque cibernético que se ha centrado en los últimos tiempos es el DDoS, o denegación de servicio distribuido que a menudo ha dividido a la comunidad de hackers de sombrero blanco a lo largo de los años. Con el proveedor líder de servicios de CDN, Cloudflare, que ahora anuncia la protección DDoS gratuita para todos sus clientes, el antiguo debate de DDoS 'ético' vs DDoS malicioso ha comenzado nuevamente, y ambas partes están totalmente en apoyo de sus argumentos respectivos. Con el debate sobre los ataques DDoS en todo el mundo, analicemos el fenómeno hoy en día para tratar no solo de aprender más sobre él, sino también de tratar de entender por qué los hacktivistas y los grupos de defensa de la libertad de expresión continúan fracasando. sus esfuerzos para llegar a un consenso al respecto en primer lugar:
¿Qué es DDoS y cómo funciona?
En el más simple de los términos, un ataque distribuido de denegación de servicio (DDoS) es un intento de interrumpir artificialmente el funcionamiento normal de un sitio o red al inundar el servidor de destino con una cantidad abrumadora de tráfico que frena o bloquea la red completamente. . Esto se logra mediante el uso de múltiples sistemas comprometidos como parte de lo que se conoce como 'botnet' que puede incluir cualquier dispositivo conectado a la red, incluidos, entre otros, computadoras, teléfonos inteligentes y dispositivos IoT. Los hackers de sombrero negro y los hacktivistas utilizan varias herramientas sofisticadas para llevar a cabo estos ataques no solo inundando los servidores de destino con una cantidad excesiva de tráfico, sino también utilizando técnicas de infiltración más sutiles y difíciles de detectar que se dirigen a la seguridad de la red crítica. infraestructura, como firewalls e IDS / IPS (Sistema de Detección / Prevención de Intrusos).
¿Qué es DoS y en qué se diferencia de DDoS?
Los ataques de denegación de servicio (DoS) es exactamente lo que parece, en la medida en que impide que los usuarios legítimos accedan a servidores, sistemas u otros recursos de red específicos . Como es el caso de los ataques DDoS, una persona o personas que llevan a cabo tal ataque normalmente inundarían la infraestructura objetivo con un volumen excesivamente elevado de solicitudes superfluas para abrumar sus recursos, lo que dificultaría o incluso imposibilitaría la red afectada. Sistema para responder a solicitudes genuinas de servicio. Para un usuario final, los efectos del DoS no son completamente diferentes de los del DDoS, pero a diferencia del primero que normalmente usa una sola máquina y una conexión a internet singular para llevar a cabo el ataque, este último usa múltiples dispositivos comprometidos para inundar el objetivo deseado, lo que hace que sea increíblemente difícil de detectar y prevenir.
¿Cuáles son los diferentes tipos de ataques DDoS?
Como se mencionó anteriormente, tanto los ciberdelincuentes como los hacktivistas utilizan innumerables vectores de ataque para llevar a cabo sus ataques DDoS, pero la mayoría de estos ataques se engloban en tres grandes categorías: ataques volumétricos o de banda ancha, ataques de protocolo. o ataques de agotamiento de estado, y ataques de capa de aplicación o ataques de capa 7. Todos estos ataques apuntan a varios componentes de una conexión de red compuesta de 7 capas diferentes, como se ve en la imagen a continuación:
1. Ataques volumétricos o ataques de ancho de banda
Se cree que estos tipos de ataques constituyen más de la mitad de todos los ataques DDoS llevados a cabo en todo el mundo cada año. Existen diferentes tipos de ataques volumétricos, siendo el más común el flujo de Protocolo de datagramas de usuario (UDP), por lo que un atacante envía una gran cantidad de paquetes UDP a puertos aleatorios en un host remoto, lo que hace que el servidor verifique y responda repetidamente a no -Aplicaciones existentes, por lo que no responde al tráfico legítimo. También se pueden lograr resultados similares inundando un servidor víctima con solicitudes de eco ICMP (Protocolo de mensajes de control de Internet) de varias direcciones IP que a menudo son falsificadas. El servidor de destino intenta responder a todas y cada una de estas solicitudes falsas de buena fe, y finalmente se sobrecarga y no puede responder a las solicitudes de eco ICMP genuinas. Los ataques volumétricos se miden en bits por segundo (Bps).
2. Ataques de protocolo o ataques de agotamiento de estado
Los ataques de protocolo, también conocidos como ataques de agotamiento del estado, consumen la capacidad de la tabla de estado de la conexión no solo de los servidores de aplicaciones web, sino también de otros componentes de la infraestructura, incluidos los recursos intermedios, como los equilibradores de carga y los firewalls. Estos tipos de ataques se denominan 'ataques de protocolo' porque se dirigen a las debilidades en las capas 3 y 4 de la pila de protocolos para lograr su objetivo. Incluso los dispositivos comerciales de vanguardia diseñados específicamente para mantener el estado en millones de conexiones pueden verse muy afectados por los ataques de protocolo. Uno de los ataques de protocolo más conocidos es la 'inundación SYN' que explota el 'mecanismo de intercambio de tres vías' en TCP. La forma en que funciona es que el host envía una avalancha de paquetes TCP / SYN, a menudo con una dirección de remitente falsificada, con el fin de consumir suficientes recursos del servidor para que sea casi imposible que puedan pasar las solicitudes legítimas. Otros tipos de ataques de protocolo incluyen Ping of Death, Smurf DDoS y ataques de paquetes fragmentados. Estos tipos de ataques se miden en paquetes por segundo (Pps).
3. Ataques de la capa de aplicación o ataques de la capa 7
Los ataques de capa de aplicación, a menudo denominados ataques de capa 7 en referencia a la séptima capa del modo OSI, apuntan a la capa donde se generan las páginas web para ser entregadas a los usuarios que envían las solicitudes HTTP. Los diferentes tipos de ataques de capa 7 incluyen el infame ' Slowloris ', donde el atacante envía un gran número de solicitudes HTTP 'lentamente' a un servidor de destino, pero sin completar ninguna de las solicitudes. El atacante continuará enviando encabezados adicionales a intervalos pequeños, lo que obligará al servidor a mantener una conexión abierta para estas solicitudes HTTP sin fin, y finalmente usurpará recursos suficientes para que el sistema no responda a las solicitudes válidas. Otro ataque popular de la capa 7 es el ataque HTTP Flood, en el que una gran cantidad de solicitudes falsas de HTTP, GET o POST inundan el servidor de destino en un lapso corto de tiempo, lo que resulta en una denegación de servicio para usuarios legítimos. Dado que los ataques de la capa de aplicación generalmente incluyen el envío de una gran cantidad de solicitudes a un servidor de destino, se miden en solicitudes por segundo (Rps).
Además de los ataques de un solo vector descritos anteriormente, también hay ataques de múltiples vectores que se dirigen a los sistemas y redes desde diferentes direcciones a la vez, lo que hace que sea aún más difícil para los ingenieros de redes calcular estrategias integrales contra los ataques DDoS. Un ejemplo de un ataque multi-vector es cuando un atacante acopla la Amplificación de DNS, que apunta a las capas 3 y 4, con HTTP Flood que apunta a la capa 7.
Cómo proteger tu red contra un ataque DDoS
Dado que la mayoría de los ataques DDoS funcionan abrumando un servidor o red de destino con tráfico, lo primero que debe hacerse para mitigar los ataques DDoS es diferenciar entre el tráfico genuino y el tráfico malicioso . Sin embargo, como era de esperar, las cosas no son tan fáciles, dada la gran variedad, complejidad y sofisticación de estos ataques. Siendo ese el caso, la protección de su red contra los ataques DDoS más recientes y sofisticados requiere que los ingenieros de la red desarrollen estrategias cuidadosamente diseñadas para no arrojar al bebé con el agua de la bañera. Debido a que los atacantes harán todo lo posible para hacer que su tráfico malicioso parezca normal, los intentos de mitigación que implican limitar todo el tráfico restringirán el tráfico honesto, mientras que un diseño más permisivo permitirá a los piratas informáticos eludir las contramedidas con mayor facilidad. Siendo ese el caso, uno tendrá que adoptar una solución en capas para lograr la solución más efectiva.
Sin embargo, antes de que lleguemos a los aspectos técnicos, debemos comprender que dado que la mayoría de los ataques DDoS en estos días involucraron el bloqueo de las vías de comunicación de una forma u otra, una de las cosas obvias que debe hacer es protegerse y su red es más redundante: más ancho de banda y más servidores repartidos en múltiples centros de datos en diferentes ubicaciones geográficas, que también actúa como un seguro contra desastres naturales, etc.
Otra cosa importante a hacer es seguir algunas de las mejores prácticas de la industria cuando se trata de los servidores DNS. Deshacerse de los resolutores abiertos es uno de los primeros pasos críticos en su defensa contra DDoS, porque ¿de qué sirve un sitio web si nadie puede resolver su nombre de dominio en primer lugar? Siendo ese el caso, uno necesita ir más allá de la configuración habitual del servidor de doble DNS que la mayoría de los registradores de nombres de dominio proporcionan de forma predeterminada. Muchas empresas, incluida la mayoría de los principales proveedores de servicios CDN, también ofrecen protección DNS mejorada mediante servidores DNS redundantes que están protegidos por el mismo tipo de equilibrio de carga que su web y otros recursos.
Si bien la mayoría de los sitios y blogs subcontratan su alojamiento a terceros, algunos optan por servir sus propios datos y administrar sus propias redes. Si pertenece a ese grupo, algunas de las prácticas básicas pero fundamentales de la industria que debe seguir incluyen la configuración de un firewall efectivo y el bloqueo de ICMP si no las necesita. También asegúrese de que todos sus enrutadores eliminen los paquetes de correo no deseado . También debe ponerse en contacto con su ISP para verificar si pueden ayudar a bloquear el tráfico deseado para usted. Los términos y condiciones variarán de un ISP a otro, por lo que debe consultar con sus centros operativos de red para ver si ofrecen servicios similares para empresas. En general, los siguientes son algunos de los pasos que los proveedores de CDN, los ISP y los administradores de red a menudo emplean para mitigar los ataques DDoS:
Enrutamiento de agujero negro
El enrutamiento Black Hole, o Blackholing, es una de las formas más efectivas de mitigar un ataque DDoS, pero debe implementarse solo después de un análisis adecuado del tráfico de red y crear un criterio de restricción estricto, ya que de lo contrario se 'blackhole', o enrutará todo el tráfico entrante a una ruta nula (agujero negro) independientemente de si es genuino o malicioso. Técnicamente evitará un DDoS, pero el atacante habrá cumplido su objetivo de interrumpir el tráfico de la red de todos modos.
Límite de tasa
Otro método que se usa a menudo para mitigar los ataques DDoS es el "Limitación de velocidad". Como su nombre lo sugiere, implica limitar la cantidad de solicitudes que un servidor aceptará dentro de un marco de tiempo específico . Es útil para evitar que los raspadores web roben contenido y para mitigar los intentos de inicio de sesión de fuerza bruta, pero debe usarse junto con otras estrategias para poder manejar los ataques DDoS de manera efectiva.
Cortafuegos de aplicaciones web (WAF)
Si bien no son suficientes en sí mismos, los proxies inversos y WAF son algunos de los primeros pasos que se deben tomar para mitigar una variedad de amenazas, no solo DDoS. Los WAF ayudan a proteger la red de destino de los ataques de capa 7 al filtrar las solicitudes según una serie de reglas utilizadas para identificar las herramientas DDoS, pero también es muy eficaz para proteger los servidores de la inyección de SQL, los scripts entre sitios y las solicitudes de falsificación entre sitios.
Difusión de red Anycast
Las redes de distribución de contenido (CDN) a menudo utilizan las redes de Anycast como una forma eficaz de mitigar los ataques DDoS. El sistema funciona redirigiendo todo el tráfico destinado a una red bajo ataque a una serie de servidores distribuidos en diferentes ubicaciones, lo que difunde el efecto perturbador de un intento de ataque DDoS.
¿Cómo se propone Cloudflare para terminar con los ataques DDoS para siempre con su protección DDoS gratuita?
Una de las redes de distribución de contenido preeminentes en el mundo, Cloudflare, anunció recientemente que brindará protección contra ataques DDoS no solo a sus clientes pagados, sino también a sus clientes gratuitos, independientemente del tamaño y la escala del ataque . Como era de esperar, el anuncio, hecho a principios de esta semana, ha generado un gran revuelo dentro de la industria, así como en los medios tecnológicos globales, que normalmente están acostumbrados a los CDN, incluido Cloudflare, ya sea expulsando a sus clientes bajo ataque o exigiendo más dinero a ellos para la proteccion continua Si bien las víctimas hasta ahora han tenido que valerse por sí mismas cuando son atacadas, la promesa de una protección DDoS gratuita y sin medidores ha sido bien recibida por los blogs y las empresas cuyos sitios web y redes siguen bajo la amenaza constante de publicar contenido controvertido.
Si bien la oferta de Cloudflare es realmente revolucionaria, lo único que debe mencionarse es que la oferta de protección gratuita y sin restricciones solo es aplicable para ataques de capa 3 y 4, mientras que los ataques de capa 7 todavía están disponibles para los planes pagados que comienzan en $ 20. por mes.
Si tiene éxito, ¿qué significará la oferta de Cloudflare para el "hacktivismo"?
Como se esperaba, el anuncio de Cloudflare ha reavivado el debate entre los hacktivistas y los expertos en seguridad de Internet sobre el pirateo ético y la libertad de expresión. Muchos grupos hacktivistas, como Chaos Computer Club (CCC) y Anonymous, han argumentado durante mucho tiempo que es necesario organizar "protestas digitales" contra sitios web y blogs que difunden propaganda de odio e ideologías intolerantes, a menudo violentas. Siendo este el caso, estos grupos de piratas informáticos activistas, o hacktivistas, a menudo han atacado sitios web terroristas, blogs neonazis y vendedores de pornografía infantil con ataques DDoS, siendo la última víctima el blog 'Daily Stormer' de extrema derecha que elogió el reciente Asesinato de un activista de derechos humanos en Charlottesville, Virginia, por un extremista de derecha.
Mientras que algunos, como el director ejecutivo de Cloudflare, Mattew Prince, y la EFF (Electronic Frontier Foundation) han criticado a los hacktivistas por intentar silenciar la libertad de expresión con los ataques DDoS, los partidarios del hacktivismo argumentan que sus protestas digitales contra ideologías abominables no son diferentes a llenar una plaza urbana o realizando una sentada a lo largo de las líneas del movimiento 'Occupy' que comenzó con la famosa protesta Occupy Wall Street el 17 de septiembre de 2011, lo que atrajo la atención mundial a la creciente desigualdad socioeconómica en todo el mundo.
Mientras que algunos pueden argumentar que el DDoS es una herramienta para la protesta genuina, permitiendo a los hackers éticos actuar con rapidez contra los terroristas, intolerantes y pedófilos para que sus contenidos inmorales (ya menudo ilegales) queden fuera de línea para siempre, tales ataques también tienen un lado oscuro . Periodistas de investigación y denunciantes han sido a menudo los objetivos de tales ataques en el pasado, y fue solo el año pasado que el sitio web del periodista de ciberseguridad, Brian Krebs, fue derribado por un ataque DDoS masivo que midió un loco 665 Gbps en su apogeo. . Krebs había informado anteriormente sobre un servicio israelí DDoS de alquiler llamado vDOS, que resultó en el arresto de dos ciudadanos israelíes, y se creía que el ataque estaba en represalia.
Los ataques DDoS y el plan de Cloudflare para hacer de ellos una cosa del pasado
A pesar de las audaces afirmaciones de Cloudflare de que los ataques DDoS son una cosa del pasado, muchos expertos sostienen que no es tecnológicamente posible hacer que los ataques DDoS sean completamente obsoletos en esta etapa. Si bien corporaciones gigantescas como Facebook o Google tienen las redundancias de infraestructura necesarias para asegurarse de que nunca sufran tales ataques, extender dicha protección a todos los sitios bajo el sol puede representar un desafío incluso para las CDN más grandes. Sin embargo, Prince ha afirmado que Cloudflare es capaz de absorber "cualquier cosa que Internet nos arroje", por lo que solo el tiempo dirá si los ataques DDoS se enviarán a los anales de la historia para siempre, o si los grupos de hacktivistas podrán eludir algunos. de contramedidas para llevar adelante su cruzada moral contra la violencia, el odio y la injusticia.
![noticias tecnológicas - Todo sobre el iPhone 5 en su Trailer oficial [Video]](https://gadget-info.com/img/tech-news/771/everything-about-iphone-5-its-official-trailer.jpg)
