Bienvenidos a esta Guía sobre Ataques DDoS: Lanzando ataques a gran escala. Comparte este articulo y síguenos para recibir más guías y cursos.
Esta guía es parte de un curso mucho más grande en donde te enseñamos a convertirte en hacker de 0 a 100. Desde los conocimientos más básicos hasta conseguir empleo.
Para saber más comente a continuación, respondemos todos y cada uno de los comentarios.
¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?
Los ataques DDoS, existen desde hace mas de 20 años. Algunos incluso, sitúan el primer ataque en 1974, a manos del joven David Dennis. Con los avances tecnológicos, podríamos pensar que este tipo de ataques quedarían obsoletos, pero no. Aunque los ciberdelincuentes afinan sus métodos recurren aun así a los clásicos.
¿Qué son los ataques DDoS?
Se le denominan “ataques DDoS” a un conjunto de ataques que poseen ciertas características específicas. Se basan en los ataques DoS (ataque de denegación de servicio). Lo que se intenta con un ataque DoS, es afectar la disponibilidad del sistema bajo ataque (por ejemplo, una web, una aplicación, etc.). Este ataque, hace imposible que los verdaderos usuarios de dicho sistema puedan acceder al mismo, a través de ralentizar o impedir el acceso a un sistema.
Entonces, un ataque DDoS (o ataque distribuido de denegación de servicio) es un ataque que envía peticiones de conexión a un mismo sitio a la vez, desde múltiples dispositivos. Pero los ataques DDoS, hacen este ataque desde decenas o cientos de dispositivos a la vez. Muchas veces, los dispositivos se consideran bots o zombies, dado que son intermediarios inocentes que normalmente fueron “secuestrados” por cibercriminales a través de Malware y similares.
El principal problema de estos ataques, es que al anular la posibilidad de acceder a sitios web o aplicaciones, las empresas obtienen pérdidas millonarias. Si un cliente o usuario no puede acceder a la aplicación, no podrá usarlo o comprar los productos que dicha web ofrece. Si los ataques se realizan de manera efectiva con relativa frecuencia, se conseguirá dañar la reputación del sistema, lo que hará que los usuarios decidan dejar de usarlos.
DoS frente a DDoS
Las diferencias entre los ataques de denegación de servicio regulares y distribuidos son sustanciales. En un ataque DoS, el perpetrador utiliza una única conexión a Internet para explotar una vulnerabilidad de software o inundar un objetivo con solicitudes falsas, generalmente en un intento de agotar los recursos del servidor (por ejemplo, RAM y CPU).
Por otro lado, los ataques de denegación de servicio distribuidos (DDoS) se lanzan desde múltiples dispositivos conectados que se distribuyen por Internet. Estos ataques dirigidos contra múltiples personas y múltiples dispositivos suelen ser más difíciles de desviar, principalmente debido al gran volumen de dispositivos involucrados. A diferencia de los ataques DoS de una sola fuente, los ataques DDoS tienden a apuntar a la infraestructura de la red en un intento de saturarla con enormes volúmenes de tráfico.
Los ataques DDoS también difieren en la forma en que se ejecutan. En términos generales, los ataques de denegación de servicio se lanzan mediante scripts caseros o herramientas DoS (por ejemplo, Low Orbit Ion Canon ), mientras que los ataques DDoS se lanzan desde botnets, grandes grupos de dispositivos conectados (por ejemplo, teléfonos móviles, PC o enrutadores) infectados con malware que permite el control remoto por parte de un atacante.
¿Por qué son tan difíciles de prevenir los ataques DDoS?
La razón es sencilla: es muy difícil determinar cuando es un ataque malicioso y cuando es un evento no intencional. ¿Has intentado entrar a un sitio de compras en Cyber Monday? ¿Lograste acceder con éxito a un sitio de ventas de entradas ante un concierto de un grupo famoso? Seguramente habrás notado que el sitio web cayo o te era imposible acceder. Esto se debe a que miles de personas a la vez intentan entrar. Eso, es muy similar a un ataque DDoS: miles de dispositivos a la vez, intentando bloquear el acceso de usuarios legítimos.
Entonces, en ocasiones a los proveedores les resultará difícil detectar si el pico de usuarios es por verdaderos usuarios o se debe a un ataque malicioso organizado.
El principal problema en el mundo globalizado es que los usuarios pueden llegar de cualquier parte del mundo, por cientos a la vez, exactamente igual que un ataque DDoS.
El problema, es que en ocasiones estos ataques suelen durar horas. Imagina un ataque de esta clase, dirigido a un hospital. Cientos de personas perderán su acceso a sus historias clínicas, no se podrá entregar medicina o programar nuevas cirugías y mucho más. Como ves, este tipo de ataques suele ser un auténtico dolor de cabeza.
Botnets DDoS: lanzando ataques a gran escala
Una botnet es un conjunto de dispositivos conectados secuestrados que se utilizan para realizar ciberataques y que se controlan de forma remota desde un centro de comando y control (C&C). Por lo general, estos incluyen computadoras personales, teléfonos móviles, dispositivos IoT no seguros e incluso recursos de servicios de nube pública. Los atacantes utilizan malware y otras técnicas para comprometer un dispositivo y convertirlo en un «zombi» en la botnet del atacante.
Las redes de bots permiten a los atacantes llevar a cabo ataques DDoS aprovechando la potencia de muchas máquinas y ocultando el origen del tráfico. Como el tráfico está distribuido, es difícil que las herramientas y los equipos de seguridad detecten que se está produciendo un ataque DDoS hasta que es demasiado tarde.
Tipos de ataques DDoS
Los ataques DoS se pueden dividir en dos categorías generales: ataques a la capa de aplicación y ataques a la capa de red. Cada uno de estos tipos de ataques DDoS define ciertos parámetros y comportamientos utilizados durante el ataque, así como el objetivo del ataque.
- Los ataques de capa de aplicación (también conocidos como ataques de capa 7) pueden ser amenazas DoS o DDoS que buscan sobrecargar un servidor mediante el envío de una gran cantidad de solicitudes que requieren un manejo y procesamiento intensivos en recursos. Entre otros vectores de ataque, esta categoría incluye inundaciones HTTP , ataques lentos (por ejemplo, Slowloris o RUDY ) y ataques de inundación de consultas DNS.
El tamaño de los ataques a la capa de aplicación generalmente se mide en solicitudes por segundo (RPS), y no se requieren más de 50 a 100 RPS para paralizar la mayoría de los sitios web de tamaño mediano.
- Los ataques de capa de red (también conocidos como ataques de capa 3 y 4) son casi siempre ataques DDoS diseñados para obstruir las «tuberías» que conectan su red. Los vectores de ataque de esta categoría incluyen ataques de inundación UDP , inundación SYN , amplificación NTP y amplificación DNS , entre otros.
Cualquiera de estos puede usarse para impedir el acceso a sus servidores y, al mismo tiempo, provocar graves daños operativos, como la suspensión de cuentas y cargos masivos por exceso de uso.
Los ataques DDoS son casi siempre eventos de alto tráfico, que se miden comúnmente en gigabits por segundo (Gbps) o paquetes por segundo (PPS). Los ataques más grandes a la capa de red pueden superar los cientos de Gbps; sin embargo, de 20 a 40 Gbps son suficientes para paralizar por completo la mayoría de las infraestructuras de red.
¿Qué motiva a los atacantes a realizar ataques DDoS?
El término “DDoSsing” describe el acto de llevar a cabo un ataque DDoS. Los ataques de denegación de servicio son lanzados por individuos, empresas e incluso estados-nación, cada uno con sus propias motivaciones.
Las motivaciones principales suelen ser distintas. En estos ataques, no suele buscarse como principal objetivo secuestrar datos o información. El principal propósito es obstaculizar el acceso al sistema. Entre los principales motivos que suele ocurrir, están:
Hacktivismo
Los hacktivistas utilizan los ataques DoS como un medio para expresar sus críticas a todo, desde gobiernos y políticos, incluidas las “grandes empresas”, hasta los acontecimientos actuales. Si los hacktivistas no están de acuerdo contigo , tu sitio se caerá (es decir, se “caerá”).
Los hacktivistas, menos expertos en tecnología que otros tipos de atacantes, suelen utilizar herramientas predefinidas para lanzar ataques contra sus objetivos. Anonymous es quizás uno de los grupos hacktivistas más conocidos. Son responsables del ciberataque de febrero de 2015 contra ISIS, tras el ataque terrorista de este último contra las oficinas de Charlie Hebdo en París, así como del ataque contra el gobierno brasileño y los patrocinadores de la Copa Mundial en junio de 2014 .
Método de ataque típico de los hacktivistas: DoS y DDoS.
Vandalismo cibernético
A los vándalos cibernéticos se los suele llamar “script kiddies” (niños del script) por su dependencia de herramientas y scripts prefabricados para causar problemas a sus conciudadanos de Internet. Estos vándalos suelen ser adolescentes aburridos que buscan una descarga de adrenalina o que buscan desahogar su ira o frustración contra una institución (por ejemplo, una escuela) o una persona que sienten que los ha perjudicado. Algunos, por supuesto, solo buscan la atención y el respeto de sus compañeros.
Además de herramientas y scripts prediseñados, los vándalos cibernéticos también recurrirán al uso de servicios de DDoS contratados (también conocidos como booters o stressers ), que pueden adquirirse en línea por tan solo 19 dólares cada uno.
Extorsión
Una motivación cada vez más popular para los ataques DDoS es la extorsión, es decir, un cibercriminal exige dinero a cambio de detener (o no llevar a cabo) un ataque DDoS paralizante. Varias empresas de software en línea importantes, incluidas MeetUp, Bitly, Vimeo y Basecamp, han sido víctimas de estas amenazas DDoS, y algunas de ellas dejaron de estar disponibles tras negarse a sucumbir a las amenazas de los extorsionadores .
De manera similar al cibervandalismo, este tipo de ataque se hace posible gracias a la existencia de servicios de estrés y arranque.
Método típico de asalto de los extorsionadores: DDoS.
Competencia empresarial
Los ataques DDoS se utilizan cada vez más como herramienta competitiva para las empresas. Algunos de estos ataques están diseñados para impedir que un competidor participe en un evento importante (por ejemplo, el Cyber Monday), mientras que otros se lanzan con el objetivo de cerrar por completo los negocios en línea durante meses.
De una forma u otra, la idea es provocar una disrupción que anime a sus clientes a acudir en masa a la competencia y, al mismo tiempo, causar daños financieros y a la reputación. El coste medio de un ataque DDoS para una organización puede ascender a 40.000 dólares por hora.
Los ataques de disputas comerciales suelen estar bien financiados y son ejecutados por “pistoleros a sueldo” profesionales, que realizan un reconocimiento temprano y utilizan herramientas y recursos propietarios para sostener ataques DDoS extremadamente agresivos y persistentes.
Método de ataque típico utilizado por competidores comerciales: DDoS.
Guerra cibernetica
Los ataques DDoS patrocinados por Estados se están utilizando para silenciar a los críticos del gobierno y a la oposición interna, así como para interrumpir servicios financieros, de salud y de infraestructura críticos en países enemigos.
Estos ataques cuentan con el respaldo de estados nacionales, lo que significa que son campañas bien financiadas y orquestadas que son ejecutadas por profesionales expertos en tecnología.
Método de ataque típico empleado como guerra cibernética: DDoS.
Rivalidad personal
Los ataques DoS pueden utilizarse para ajustar cuentas personales o para interrumpir competiciones en línea. Estos ataques suelen producirse en el contexto de juegos en línea multijugador, en los que los jugadores lanzan ataques DDoS unos contra otros, e incluso contra servidores de juego, para obtener una ventaja o evitar una derrota inminente “dando vuelta la situación”.
Los ataques contra jugadores suelen ser ataques DoS, ejecutados con software malicioso ampliamente disponible. Por el contrario, los ataques contra servidores de juegos suelen ser ataques DDoS, lanzados por atacantes estresantes y booteadores.
Método típico de ataque de rivales personales: DoS, DDoS.
DDoS de alquiler: DDoSsers, booters y stressers
Los proveedores de DDoS contratados ofrecen realizar ataques DDoS en nombre de otros a cambio de un pago. Estos actores de amenazas se conocen por varios nombres, como DDoSser, booters y stressers. La amplia disponibilidad de DDoS contratados permite que casi cualquier persona lance ataques a gran escala.
Una de las razones por las que los actores pueden utilizar un nombre en particular es para aparentar ser un servicio legal. Por ejemplo, los que realizan pruebas de estrés suelen afirmar que ofrecen servicios para realizar pruebas de resistencia de servidores. Sin embargo, estos actores a menudo no verifican quién es el propietario del servidor que están «evaluando» para asegurarse de que las pruebas sean legítimas.
Por el contrario, los actores que se autodenominan booters y DDoSsers normalmente no intentan ocultar la naturaleza ilegal de sus servicios.
Cómo reconocer las señales de un ataque DDoS
Existen muchos tipos distintos de ataques DDoS con distintos síntomas e impactos. Por lo tanto, la identificación y la detención de los distintos tipos de ataques DDoS pueden variar según la técnica utilizada y otros factores.
El síntoma más evidente de un ataque DDoS es cuando un sitio web o una aplicación (u otros servicios de Internet) se ralentizan o dejan de funcionar de repente. Sin embargo, problemas similares pueden deberse a motivos distintos a los ataques DDoS, como picos de tráfico legítimo, problemas en la infraestructura de hardware y muchos otros factores.
Es mejor utilizar una herramienta de análisis de tráfico (por ejemplo, Google Analytics) para comprobar las siguientes señales:
- Un aumento repentino en el tráfico de clientes que comparten firmas comunes, como versiones de navegador web similares, país de origen (geolocalización), tipo de dispositivo y perfil de comportamiento.
- Un aumento repentino, sin precedentes e inexplicable en las solicitudes a un punto final (por ejemplo, una sola página del sitio web).
- Una cantidad masiva de tráfico desde una única dirección IP (o rango de IP).
- Patrones peculiares en el tráfico, por ejemplo, picos regulares cada 10 minutos, picos solo en horas específicas del día, etc.
Es fundamental comprender que, cuando se puede identificar un ataque DDoS, el daño ya está hecho y solo se puede minimizar. Sin embargo, sigue siendo importante identificar y detener un ataque DDoS lo antes posible para minimizar el daño.
El mejor enfoque es prevenir el ataque DDoS en lugar de detenerlo durante un ataque en curso.
Estrategias de prevención de ataques DDoS
1. Esté atento a las señales de advertencia
Como se mencionó anteriormente, la primera señal de advertencia de un ataque DDoS es cuando un sitio web o una aplicación se ralentizan o se bloquean repentinamente. Puede monitorear amenazas sofisticadas y tráfico sospechoso hacia su sitio web con algo tan simple como una prueba gratuita de protección avanzada contra amenazas. Otra opción es usar una herramienta de análisis de tráfico como Google Analytics para buscar lo siguiente:
- Un aumento repentino de tráfico de clientes con firmas similares.
- Un pico repentino de tráfico hacia un punto final específico.
- Una gran cantidad de tráfico desde una dirección IP o rango de IP.
- Patrones extraños en picos de tráfico, como cada 10 minutos o solo en momentos específicos del día.
2. Invierta en una solución sofisticada de gestión de bots
La mayoría de los ataques DDoS, en particular en la capa 7 (la capa de aplicación), serán realizados automáticamente por bots. Los atacantes pueden incluso utilizar botnets para aprovechar miles de direcciones IP únicas, lo que hace que el bloqueo de IP sea inútil para detener el ataque. La única forma de prevenir los ataques DDoS en la capa 7 es implementar una solución que analice todo el tráfico y bloquee a los bots en el borde antes de que puedan conectarse.
3. Asóciese con el ISP o proveedor de alojamiento adecuado
Si no aloja su propio servicio o aplicación web, es muy importante elegir el proveedor de servicios de Internet (ISP) o proveedor de alojamiento adecuado con las mejores prácticas de seguridad adecuadas y un plan de respuesta para detener los ataques DDoS.
De hecho, alojar su sitio web o aplicación en un centro de alojamiento seguro tiene ventajas con respecto a alojarlo usted mismo. Los centros de alojamiento (centros de datos) suelen tener un ancho de banda y una capacidad mucho mayores en sus infraestructuras de hardware que las que tienen la mayoría de las empresas.
Además, un buen ISP debe contar con personal con experiencia en detener ataques DDoS. Por lo tanto, en caso de que identifique síntomas de un ataque DDoS, puede simplemente llamar a su ISP o proveedor de alojamiento para solicitar ayuda. Dependiendo de la fuerza del ataque DDoS, su ISP podría haberlo detectado y detenido antes que usted.
4. Proteja el perímetro de su red
Por su cuenta, puede establecer algunas medidas técnicas para mitigar al menos parcialmente el efecto de cualquier ataque DDoS, especialmente tras una detección temprana.
Puede:
- Siempre que sea posible, elimine de forma más agresiva el tiempo de conexión semiabierta.
- Elimine los paquetes malformados y falsificados lo antes posible.
- Limite la velocidad de su enrutador para evitar ataques DDoS volumétricos.
- Establecer umbrales más bajos para inundaciones SYN, ICMP y UDP.
- Establecer un sistema de detección de botnets para detectar la actividad de botnets lo antes posible.
5. Aumente su ancho de banda
Una de las claves para proteger sus servicios web de ataques DDoS es tener más ancho de banda.
Si tiene más ancho de banda del que probablemente necesitará, podrá adaptarse a picos inesperados y ganar más tiempo para mitigar cualquier intento de DDoS. Sin embargo, aumentar su ancho de banda para posibles picos no siempre es la solución más rentable.
6. Desarrollar un plan de respuesta a DDoS
Cuando se identifica un ataque DDoS, en la mayoría de los casos ya es demasiado tarde.
Por lo tanto, la mejor forma de detener un ataque DDoS es crear un plan de respuesta detallado que enumere exhaustivamente los pasos de respuesta necesarios y planificados previamente cuando se detecta un ataque.
Su plan debe incluir:
- A quién llamar (proveedor de ISP, servicio de mitigación de DDoS, etc.).
- Qué pasos debe seguir cada miembro de los equipos de TI y seguridad.
- Si necesitará o no comunicarse con sus clientes, proveedores y terceros interesados, y los pasos exactos para hacerlo.
Los ataques DDoS pueden durar mucho tiempo, por lo que el plan de respuesta para detener un ataque DDoS debe detallar especialmente cómo gestionar las comunicaciones internas y externas durante este tiempo.
Las 7 capas OSI
El modelo de interconexión de sistemas abiertos (OSI) es un modelo conceptual desarrollado por la ISO (Organización Internacional de Normalización) que estandariza las funciones de comunicación de un sistema informático/de red. El modelo OSI consta de siete “capas” diferentes con funciones diferenciadas:
Capa 1: Capa física
La capa 1 se refiere al aspecto hardware, responsable de transmitir y recibir datos sin procesar entre el hardware físico y un medio de transmisión físico. En resumen, esta capa es responsable de controlar la conexión física entre dispositivos.
Capa 2: Capa de enlace de datos
Esta capa es responsable de controlar la entrega de datos de nodo a nodo, asegurándose de que la transferencia de datos esté libre de errores a través de la capa física.
Capa 3: Capa de red
La capa 3 es responsable de controlar la transmisión de datos de dos hosts ubicados en redes diferentes, lo que incluye:
- Enrutamiento: determina cuál ruta es la más ideal desde el origen hasta el destino.
- Direccionamiento lógico: define un esquema de direccionamiento para identificar con precisión todos los dispositivos en diferentes redes.
Capa 4: Capa de transporte
Mueve datos entre la capa 3 y la capa 5. Los datos de la capa de transporte se denominan segmentos porque se segmentan antes de volver a ensamblarse para garantizar la entrega de extremo a extremo. La capa de transporte también verifica si la transmisión de datos es exitosa y retransmite los datos si se encuentra un error.
Capa 5: Capa de sesión
La función principal de la capa 5 es mantener sesiones y conexiones confiables. También es responsable de la autenticación de sincronización para garantizar la seguridad.
Capa 6: Capa de presentación
También conocida como capa de traducción, la función principal de esta capa es traducir o convertir datos (es decir, de EBCDIC a ASCII), así como realizar el cifrado/descifrado y la compresión para garantizar la presentación confiable de datos completos.
Capa 7: Capa de aplicación
En la parte superior del modelo OSI, esta capa facilita las interacciones de interfaz entre los usuarios finales y la aplicación mediante funcionalidades de red. Esta capa también es responsable de:
- Administrar el funcionamiento de la aplicación mientras utiliza los recursos de la red.
- Proporcionar mensajes de error a los usuarios finales cuando sea necesario.
Podemos ilustrar las capas OSI enviando una carta dentro de un sobre cerrado de la siguiente manera:
- El contenido de la carta son los datos sin procesar (capas 5, 6 y 7).
- La carta se coloca dentro de un sobre estandarizado según el estándar de transmisión (capa 4).
- Para asegurarnos de que la carta se envíe correctamente, debemos definir la dirección del destinatario y la identidad del destinatario (capa 3).
- Enviamos la carta a través de un cartero (capa 2), y el cartero entregará la carta a un destinatario físico (capa 1).
Técnicas de mitigación de ataques DDoS para cada capa OSI
Los cibercriminales pueden lanzar distintos tipos de ataques DDoS dirigidos a distintas capas de OSI que afectarán a las capas de distintas maneras. A continuación, analizamos ejemplos de técnicas DDoS en cada capa, sus posibles impactos y las opciones de mitigación disponibles:
Capa 1: Física
La capa 1 no es un objetivo para los ataques DDoS, pero puede ser un objetivo de manipulación física, obstrucción o incluso destrucción. Esto provocará fallas en los activos físicos, lo que, a su vez, puede producir un efecto similar a los ataques DDoS: impedir que la aplicación brinde servicio a los usuarios.
Mitigación: auditar, rastrear y proteger los activos físicos.
Capa 2: Enlace de datos
La inundación de control de acceso al medio (MAC) es un tipo de ataque DDoS diseñado para saturar el conmutador de red con paquetes de datos. La inundación MAC interrumpirá el flujo habitual de transmisión de datos entre el remitente y el destinatario de la capa 2, lo que provocará que el flujo de datos se disperse por todos los puertos y confunda a toda la red.
Mitigación: utilice conmutadores de red avanzados que se puedan configurar para limitar la cantidad de direcciones MAC que se pueden aprender en los puertos de red. Otra opción es autenticar las direcciones MAC descubiertas con un servidor de autenticación, autorización y contabilidad (AAA) para filtrar posibles intentos de inundación de MAC.
Capa 3: Red
Un tipo muy común de ataque DDoS dirigido a la capa 3 de OSI es la inundación del Protocolo de mensajes de control de Internet (ICMP), que utiliza ICMP para sobrecargar el ancho de banda de la red. Un ataque de inundación ICMP también puede provocar una carga adicional en el cortafuegos, lo que abre vulnerabilidades a otros tipos de ataques (incluidos los ataques que no son DDoS).
Mitigación: Limitar la velocidad del tráfico ICMP es el método de mitigación más común y efectivo.
Capa 4: Transporte
Hay dos ataques DDoS populares dirigidos a la capa de transporte: el ataque smurf y el ataque de inundación SYN.
Un ataque smurf utiliza el malware DDoS.Smurf y es bastante similar al ataque de inundación ICMP pero mucho más amplificado. Los ataques de inundación SYN (o inundación TCP SYN), por otro lado, envían solicitudes de conexión rápidas a un servidor sin finalizar la conexión, lo que causa confusión y potencialmente lleva a la necesidad de reparar la sobrecarga del servidor .
Mitigación: los ISP pueden realizar un blackholing, que consiste en bloquear todo el tráfico entrante a un sitio web afectado por ataques de capa 4. El blackholing se realiza para proteger a otros clientes de los ISP de verse afectados por el ataque.
Capa 5: Sesión
Los atacantes pueden lanzar ataques DDoS personalizados dirigidos al software que se ejecuta en el conmutador de red. Esto puede impedir que los administradores del sistema realicen funciones de gestión del conmutador, lo que puede hacer que todo el software no esté disponible.
Mitigación: varía según el conmutador de red y la solución de software que lo controla. Asegúrese de que el software y el firmware del conmutador estén actualizados con los últimos parches de seguridad en todo momento.
Capa 6: Presentación
Los atacantes pueden utilizar solicitudes SSL malformadas para atacar la capa 6 de OSI. La inspección de paquetes de cifrado SSL individuales consume muchos recursos y los atacantes aprovechan este problema utilizando ataques SSL para canalizar ataques HTTP dirigidos al servidor de red. Las solicitudes SSL malformadas pueden provocar que el sistema afectado deje de aceptar conexiones SSL o se bloquee o reinicie automáticamente.
Mitigación: una opción viable es descargar el tráfico SSL y luego inspeccionarlo para detectar señales de ataques en una plataforma de entrega de aplicaciones (ADP). La ADP también debe garantizar que el tráfico se vuelva a cifrar y se reenvíe a la fuente. De esta manera, los datos no cifrados solo estarán disponibles en la memoria protegida y en hosts seguros.
Capa 7: Aplicación
En la capa superior del modelo OSI, los atacantes pueden usar ataques DDoS de capa 7, como abusar de solicitudes PDF GET, HTTP GET e inundaciones HTTP POST para saturar la aplicación de modo que no pueda acceder a más recursos y, al mismo tiempo, no pueda brindar servicios a sus usuarios finales.
Mitigación: Se necesitan software de protección DDoS de capa 7 y de gestión avanzada de bots para prevenir ataques de capa 7 mediante el monitoreo de aplicaciones de software para detectar intentos de ataque lo antes posible. Una vez detectados, los intentos de ataque se pueden detener y rastrear hasta una fuente específica. Si bien la detección de ataques DDoS de capa 7 es un desafío, una vez detectados, es más fácil rastrear el tráfico hasta una fuente específica en comparación con otros tipos de ataques DDoS.
Si bien hay siete capas OSI diferentes, los ataques DDoS se dirigen más comúnmente a las capas 3, 4 y 7 debido a la relativa facilidad de implementación y, sin embargo, a los impactos potencialmente masivos:
Ataques DDoS de capa 3 y capa 4
Los ataques a las capas tres y cuatro, también denominados ataques DDoS volumétricos, suelen depender de volúmenes de solicitudes extremadamente altos (también denominados inundaciones). Estos ataques suelen implicar inundaciones SYN, ICMP y UDP.
La idea básica es que al saturar la capa de red y la capa de transporte, el ataque ralentizará el rendimiento del servidor, consumirá ancho de banda y, en última instancia, impedirá que los usuarios legítimos accedan al sitio web o la aplicación.
Ataques DDoS de capa 7
Los ataques de capa 7 están diseñados para atacar elementos específicos de la infraestructura de una aplicación.
Los ataques de capa 7 se asemejan al tráfico legítimo de usuarios, por lo que son muy difíciles de detectar y mitigar. Los atacantes avanzados también pueden utilizar bots sofisticados que pueden aleatorizar o cambiar repetidamente sus firmas, lo que hace que sea aún más difícil detectar los intentos de ataques de capa 7.
Como se mencionó anteriormente, se requieren soluciones avanzadas de monitoreo y detección para monitorear la aplicación en busca de posibles ataques de capa 7.
Tipos comunes de tráfico DDoS
Muchos tipos de ataques DDoS utilizan encabezados HTTP.
Los encabezados HTTP son campos que describen qué recursos solicita el cliente: URL de un sitio web, imagen JPEG, formularios, etc. Los encabezados HTTP también brindan información sobre qué tipo de navegador web y sistema operativo (OS) utiliza el cliente (a través del encabezado USER AGENT).
Además de USER AGENT, otros encabezados HTTP comunes son GET, POST, LANGUAGE y ACCEPT. En los ataques DDoS, el atacante puede usar y modificar los encabezados para:
- Sobrecargar el servidor web.
- Preguntar la identidad del atacante.
- Engañar a un proxy de almacenamiento en caché para que no almacene en caché la información, de modo que sea más difícil rastrear al atacante.
DDoS comunes basados en encabezados HTTP
A continuación se muestra una lista de tipos de tráfico DDoS comunes basados en encabezados HTTP:
- Solicitud HTTP POST: este encabezado envía datos que el servidor debe procesar para confundirlo y sobrecargarlo. Por ejemplo, la solicitud POST puede extraer datos de una base de datos de formularios, codificarlos y luego enviar el contenido al servidor, lo que sobrecarga al servidor.
- Inundación de HTTP POST: los atacantes utilizan un gran volumen de solicitudes POST, por lo que el servidor no puede responder a todas ellas. El ataque de inundación de HTTP POST sobrecargará el servidor, lo que provocará un alto uso de los recursos del sistema que ralentizará o incluso bloqueará el servidor.
- Solicitud HTTPS POST: similar a la anterior, esta es una versión cifrada de una solicitud HTTP POST. Los datos que se transfieren de ida y vuelta con este tipo de tráfico están cifrados, por lo que la inspección y la detección también son más difíciles.
- HTTPS POST Flood: otra versión de HTTP POST flood enviada a través de un cifrado SSL (HTTPS). El uso de SSL significa que antes de poder inspeccionar el ataque, primero debemos descifrar la solicitud, por lo que la inspección consume más recursos.
- Solicitud HTTP GET: encabezado que realiza una solicitud de información al servidor. Con una solicitud GET, un cliente solicita al servidor recursos como, por ejemplo, una imagen que será renderizada por su navegador.
- HTTP GET Flood: HTTP GET Flood es un tipo de técnica de ataque DDoS de capa 7 (capa de aplicación) que envía un volumen masivo de solicitudes GET al servidor para saturarlo y que no pueda responder a solicitudes legítimas de los usuarios.
- Solicitud HTTPS GET: una solicitud HTTP GET que se envía a través de una sesión SSL. El tráfico debe descifrarse antes de poder inspeccionarlo.
- HTTPS GET Flood: un HTTP GET Flood configurado con cifrado SSL. Al igual que otros ataques basados en HTTPS, primero debemos descifrar la solicitud antes de poder mitigar el ataque.
- Inundación ICMP: protocolo utilizado principalmente en mensajes de error, rara vez para intercambiar datos entre sistemas. En una inundación ICMP, el atacante ataca la capa 3 OSI utilizando una cantidad masiva de mensajes ICMP para sobrecargar el ancho de banda del servidor, negando su servicio a usuarios legítimos.
- Inundación UDP: una técnica común que se utiliza para atacar servidores con un mayor ancho de banda. No necesitamos hacer ninguna conexión y es bastante fácil generar mensajes UDP (protocolo 17) utilizando varios lenguajes de programación diferentes. Por lo tanto, lanzar una inundación UDP es bastante fácil y asequible.
- Inundación MAC: un tipo relativamente raro de ataque DDoS de capa 2 en el que el atacante envía múltiples tramas Ethernet falsas con diferentes direcciones MAC. Los conmutadores de red están diseñados para tratar las direcciones MAC por separado, por lo que reservan algunos recursos para cada solicitud. En la inundación MAC, se utiliza toda la memoria de un conmutador de red, lo que lo sobrecarga y hace que deje de responder. En ciertos casos, un ataque de inundación MAC puede inhabilitar por completo el enrutador, lo que interrumpe toda la red.
Cómo detener los ataques DDoS: hágalo usted mismo
No se pueden evitar los ataques DoS. Los cibercriminales van a atacar. Algunos van a alcanzar a sus objetivos, independientemente de las defensas que se hayan implementado. Sin embargo, hay algunas medidas preventivas que puede tomar por su cuenta:
- Monitorear su tráfico para buscar anomalías, incluidos picos de tráfico inexplicables y visitas desde direcciones IP y geolocalizaciones sospechosas. Todos estos podrían ser signos de que los atacantes están realizando «ensayos» para probar sus defensas antes de lanzar un ataque en toda regla. Reconocerlos por lo que son puede ayudarlo a prepararse para el ataque que se avecina.
- Esté atento a las redes sociales (en particular Twitter) y a los sitios públicos de basura (por ejemplo, Pastebin.com) para detectar amenazas, conversaciones y alardes que puedan indicar un ataque inminente.
- Considere la posibilidad de utilizar pruebas DDoS de terceros (es decir, pruebas de penetración ) para simular un ataque contra su infraestructura de TI, de modo que pueda estar preparado cuando llegue el momento de la verdad. Cuando realice esta prueba, realice pruebas contra una amplia variedad de ataques, no solo aquellos con los que está familiarizado.
- Cree un plan de respuesta y un equipo de respuesta rápida, es decir, un grupo designado de personas cuyo trabajo sea minimizar el impacto de un ataque. Cuando planifique, establezca procedimientos para sus equipos de atención al cliente y comunicación, no solo para sus profesionales de TI.
Para protegerse realmente de los ataques DDoS modernos, debe utilizar una solución de mitigación de DDoS. Las soluciones se pueden implementar en las instalaciones, pero lo más común es que las proporcionen como servicio proveedores externos. Explicamos más sobre los servicios de mitigación de DDoS en la siguiente sección.
El panorama se pone peor
Durante los últimos años, el tamaño de los ataques fue en aumento. Normalmente, los ataques se mantienen por debajo de los 100 Mbps. Pero, ha habido ataques con picos de 253 Gbps. Otros han escalado a 500 Gbps. Pero, sin dudas el premio tristemente destacado se lo lleva uno registrado en noviembre de 2020.
Dicho ataque, ocupo el ancho de banda del objetivo en solo 1,5 minutos. Y lo peor, registrando una capacidad de 1,4 Tbps. Esto, claramente hace que la gran mayoría de proveedores y sitios web sean susceptibles de caer ante esta situación.
Esto, obliga a las personas y empresas a prepararse cada vez a situaciones más difíciles. Esto entre otros, requiere mayor demanda de recursos que por obvias razones, va acompañado de mayor complejidad.
Mitigación de DDoS: ¿Cómo funciona la protección anti-DDoS?
El primer paso para seleccionar una solución de mitigación de DDoS es evaluar el riesgo. Algunas preguntas básicas importantes son:
- ¿Qué activos de infraestructura necesitan protección?
- ¿Cuáles son los puntos débiles o puntos únicos de falla?
- ¿Qué se necesita para derribarlos?
- ¿Cómo y cuándo sabrás que te están atacando? ¿Será demasiado tarde?
- ¿Cuáles son los impactos (financieros y de otro tipo) de una interrupción prolongada?
Armado con esta información, es momento de priorizar sus preocupaciones y examinar varias opciones de mitigación de DDoS dentro del marco de su presupuesto de seguridad.
Si gestiona un sitio web comercial o aplicaciones en línea (por ejemplo, aplicaciones SaaS, banca en línea, comercio electrónico), probablemente querrá una protección permanente las 24 horas del día, los 7 días de la semana. Por otro lado, un gran bufete de abogados puede estar más interesado en proteger su infraestructura (incluidos los servidores de correo electrónico, los servidores FTP y las plataformas administrativas) que su sitio web. Este tipo de empresa puede optar por una solución «a pedido».
El segundo paso es elegir el método de implementación. La forma más común y eficaz de implementar protección DDoS a pedido para los servicios de infraestructura principales en toda una subred es mediante el enrutamiento del protocolo de puerta de enlace de borde ( BGP ). Sin embargo, esto solo funcionará a pedido, lo que requerirá que active manualmente la solución de seguridad en caso de un ataque.
Por lo tanto, si necesita una protección DDoS permanente para su aplicación web, debe utilizar la redirección de DNS para redirigir todo el tráfico del sitio web (HTTP/HTTPS) a través de la red de su proveedor de protección DDoS (normalmente integrada con una red de distribución de contenido). La ventaja de esta solución es que la mayoría de las CDN ofrecen escalabilidad de guardia para absorber ataques volumétricos, al mismo tiempo que minimizan la latencia y aceleran la distribución de contenido.
Mitigación de ataques a la capa de red
Para hacer frente a los ataques a la capa de red se necesita una escalabilidad adicional, más allá de lo que su propia red puede ofrecer.
Por lo tanto, en caso de un ataque, se realiza un anuncio BGP para garantizar que todo el tráfico entrante se enrute a través de un conjunto de centros de depuración. Cada uno de ellos tiene la capacidad de procesar cientos de Gbps de tráfico. Los servidores potentes ubicados en los centros de depuración filtrarán los paquetes maliciosos y solo reenviarán el tráfico limpio al servidor de origen a través de un túnel GRE.
Este método de mitigación proporciona protección contra ataques directos a IP y suele ser compatible con todo tipo de infraestructuras y protocolos de comunicación (por ejemplo, UDP, SMTP, FTP, VoIP).
La mitigación de los ataques a la capa de aplicación se basa en soluciones de creación de perfiles de tráfico que pueden escalar según demanda y, al mismo tiempo, distinguir entre bots maliciosos y visitantes legítimos del sitio web.
Para la elaboración de perfiles de tráfico, las mejores prácticas requieren heurísticas basadas en firmas y comportamientos, combinadas con puntuación de reputación de IP y un uso progresivo de desafíos de seguridad (por ejemplo, desafíos de JS y cookies).
¿Cómo nos preparamos?
Claramente la situación es compleja. Recopilamos una serie de sugerencias que quizás puedan resultarte útiles.
- Haz análisis frecuentes, para identificar el flujo normal y detectar picos anormales.
- Configura tu web de manera optima, con las herramientas necesarias para mitigar o impedir los ataques. Una de ellas, es la configuración apropiada de Firewalls.
- Asegúrate de que lo que instales en tu sitio web, provenga de fuentes confirmadas y seguras. Los backdoors o fuentes dudosas, pueden ser excelentes herramientas para que los cibercriminales te ataquen.
- Disminuye las vulnerabilidades de tu sitio web o aplicaciones. Una gestión segura, implica también análisis continuo de posibles puntos débiles, como puertos o mantener todo el software actualizado.
- Prepara el plan de contingencia mas apto. Contratar mucha capacidad de ancho de banda y crear backups a salvo y de manera periódica, puede ser de gran ayuda ante un posible ataque.
Espero que este articulo sirva para aclararte algunas dudas y, sobre todo, puedas actuar de manera optima para evitar o mitigar dichos ataques. Recuerda que todas las aplicaciones y sitios webs pueden caer. Lo importante es recuperar lo antes posible el control de tu sistema.
Preguntas frecuentes
¿Se pueden detener los ataques DDoS?
La mejor manera de detener los ataques DDoS es prevenirlos desde el principio. Si un ataque DDoS ya está en curso, sus efectos solo pueden mitigarse, ya que el daño puede estar ya hecho.
¿Cómo se pueden detener los ataques DDoS?
El método que se utiliza para detener un ataque DDoS depende de la capa a la que se dirige el ataque. Los ataques de capa 7 son los más difíciles de detectar porque el tráfico de bots puede parecerse al tráfico humano. Para defenderse de los ataques DDoS de capa 7 se necesita una solución avanzada que pueda supervisar constantemente todo el tráfico.
La detención de ataques DDoS en otras capas OSI varía según la capa objetivo:
- La capa 2 requiere limitar o autenticar las direcciones MAC.
- La capa 3 requiere limitación de velocidad.
- La capa 4 suele estar protegida mediante agujeros negros.
- La capa 6 requiere el uso de un ADP para descargar el tráfico SSL e inspeccionarlo antes de permitir la conexión.
¿Cuánto duran los ataques DDoS?
Si no se controlan, los ataques DDoS pueden durar tanto como el cibercriminal tenga el deseo y los recursos para continuar. Hay algunos ataques DDoS extremadamente breves que envían suficiente tráfico en unos pocos minutos como para apagar un servidor web por completo, momento en el que el ataque no puede continuar.
Responder rápidamente a un ataque DDoS en curso puede reducir la duración a menos de un día, o menos si tiene un plan de respuesta DDoS muy sólido y un proveedor de alojamiento reactivo.
No te detengas, sigue avanzando
Aquí tienes un propósito para este 2025 que debes considerar seriamente: si has querido mejorar tus habilidades en hacking, Ciberseguridad y programación ahora es definitivamente el momento de dar el siguiente paso. ¡Desarrolla tus habilidades aprovechando nuestros cursos a un precio increíble y avanza en tu carrera! El mundo necesita más hackers…
¿Quieres iniciarte en hacking y ciberseguridad pero no sabes por dónde empezar? Inicia leyendo nuestra guia gratuita: Cómo Iniciarse en Hacking y Ciberseguridad en 2025 que te lleva de 0 a 100. Desde los fundamentos más básicos, pasando por cursos, recursos y certificaciones hasta cómo obtener tu primer empleo.
Hemos creado una ruta de 0 a 100. Un plan de desarrollo que va desde las bases: cómo aprender hacking, qué aprender, en qué orden; pasando por las areas técnicas necesarias como Linux, Redes, Programación y los conocimientos necesarios en ciber seguridad, hacking, pentesting hasta la práctica y el inicio laboral: Crear tu propio laboratorio, certificaciones, adquirir experiencia e iniciarse laboralmente.
Hacker de 0 a 100 desde las bases hasta conseguir empleo
Este es un mega post. Una guía con más de 400 artículos que te llevaran por el camino del hacker. Esta guía es gratuita y esta creada gracias al esfuerzo y al trabajo combinado de Alvaro Chirou y mío (Laprovittera Carlos).
Creamos esta guía: Cómo Iniciarse en Hacking y Ciberseguridad en 2025 y curso: Cómo iniciarse en Hacking y Ciberseguridad para que puedas iniciarte en este mundo. Puedes arrancar ahora, GRATIS, solo necesitas un PC, conexión a internet y paciencia (Ser hacker NO ES un camino de la noche a la mañana).
El Hacking y la ciberseguridad es una carrera divertida, emocionante y gratificante que te recompensará y desafiará por igual. Sin embargo, para quienes buscan adentrarse en este campo en auge y en constante evolución, puede resultar difícil saber por dónde empezar. ¡Ahí es donde entra en juego nuestra guía en ciberseguridad!
Esta es la hoja de ruta hacia el trabajo de ciberseguridad de tus sueños. Te ayudará a entender qué conocimientos, habilidades y certificados son necesarios para alcanzar tus metas profesionales y tener una carrera próspera. Si quieres ser consultor de ciberseguridad, analista de malware, evaluador de penetración, analista de SOC o cualquier otro puesto de ciberseguridad, esta guía es lo que necesitas.
Esta guía va a tener una actualización constante durante todo el año. Para no hacer de esta guía un post maratónicamente largo voy a dividirlo en varios capítulos que van desde como iniciar en hacking y ciberseguridad, pasando por conocimientos básicos como Redes, Linux, Programación, Hasta como obtener certificaciones y trabajo. Cada capítulo contiene links a otros posts en donde desarrollo mejor cada tema y a webs externas que complementan este material.
Lo que vas a aprender en esta guía de Hacking y Ciberseguridad
Esta es la guía completa de Cómo Iniciarse en Hacking y Ciberseguridad en 2025:
- La mejor forma de Aprender Hacking y Ciberseguridad en 2025
- Lo que tienes que saber antes de empezar tu vida de hacker
- Habilidades y Competencias que debe tener un Hacker Profesional
- El Camino del Hacker – Las 3 etapas de una carrera exitosa
- Inicia tu carrera como Hacker – GENERAL CYBER SECURITY
- Qué es Realmente el Hacking y Cómo Puedo Trabajar Legalmente
- Tipos de Hackers y Teams
- Cómo Iniciarse en Hacking y Redes en 2025
- Hardware para Hacking de Redes
- Cómo Iniciarse en Hacking y Linux en 2025
- Cómo Iniciarse en Hacking y Programación en 2025
- Python para hackers en 2025
- Cómo Aprender Inglés para Hackers: Guía Definitiva 2025
- Arma tu PC ideal para Hacking en 2025
- Cómo crear un Laboratorio de Hacking en 2025
- Las 500 Mejores Herramientas para Hackers
- Cómo obtener Práctica como Hacker en 2025
- Cómo Iniciarse en CTF en 2025 y Aprender a Hackear practicando
- Mas de 100 Webs de CTF para Practicar hacking en 2025
- Cómo Obtener tus Primeras Certificaciones en 2025
- Las 10 Mejores Certificaciones de Hacking en 2025
- IA y Hacking en 2025
- OSINT en 2025 Guía Definitiva
- Hardware para Hackers en 2025
- Guia Definitiva de Flipper Zero
- Cómo Iniciarse como Pentester en 2025
- Iniciarse como Pentester en 2025 – Reconocimiento y Enumeración
- Cómo Identificar Sistemas Vulnerables y Recopilar información
- Explotación de Vulnerabilidades con Metasploit
- Post Explotación, Pivoting y Movimiento Lateral
- Reporte del Pentest, Remediación y Seguimiento
- Inicia en hacking y ciberseguridad como analista SOC en 2025
- Cómo Conseguir Trabajo de Hacker en 2025
- Como Iniciarse en Bug Bounty en 2025
- Cómo Aumentar tu Salario Pasando de Hacker Jr a Sr
- Cómo Avanzar en tu Carrera de Hacker y llegar a ser CISO
- SIGUE APRENDIENDO EN NUESTRO BLOG
Aprende con nuestros más de 100 cursos que tenemos disponibles para vos
¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?
Sobre los autores
Álvaro Chirou
Yo soy Álvaro Chirou, tengo más de 20 Años de experiencia trabajando en Tecnología, eh dado disertaciones en eventos internacionales como OWASP, tengo más de 2.000.000 estudiantes en Udemy y 100 formaciones profesionales impartidas en la misma. Puedes seguirme en mis redes:
Laprovittera Carlos
Soy Laprovittera Carlos. Con más de 20 años de experiencia en IT brindo Educación y Consultoría en Seguridad de la Información para profesionales, bancos y empresas. Puedes seguirme en mis redes:
Compartimos estos recursos para ayudar a la comunidad de hacking y ciberseguridad. COMPARTE y Siéntete libre de agregar más sugerencias en los comentarios a continuación, respondemos todos y cada uno de los comentarios.