Ataque DDOS ¿Qué es un ataque DDoS (denegación de servicio distribuido)?
Un ataque DDoS o de denegación de servicio distribuido es un ciberataque en el que múltiples sistemas comprometidos, a menudo organizados como una botnet, inundan una red, un servidor o un servicio online objetivo con un volumen abrumador de tráfico. Este aumento repentino de tráfico puede ralentizar los sistemas del objetivo o incluso provocar que su caída, con la consiguiente negación del acceso a usuarios legítimos. Los ataques DDoS son una de las formas más disruptivas de ciberamenazas, capaces de provocar tiempos de inactividad significativos, pérdidas financieras importantes y grandes daños a la reputación. A medida que los servicios basados en la nube y las operaciones online continúan creciendo, el riesgo y el impacto de los ataques DDoS han aumentado en todos los sectores.
- Ataques DoS frente a ataques DDoS
- ¿Cuáles son los tipos de ataques DDoS?
- Cómo mitigar un ataque DDoS
- HPE Aruba Networking y protección contra DDoS
Ataques DoS frente a ataques DDoS
Un ataque de denegación de servicio (DoS) y un ataque DDoS tienen como objetivo interrumpir la disponibilidad de un servicio, pero difieren significativamente en enfoque y escala. Un ataque DoS generalmente se lanza desde una única fuente, mediante el envío de una avalancha de solicitudes para saturar un recurso de red o servidor hasta que no pueda funcionar correctamente. Si bien tienen un gran impacto, los ataques DoS suelen ser más fáciles de detectar y mitigar porque se originan desde un solo lugar.
Por el contrario, los ataques DDoS dependen de múltiples fuentes, a menudo distribuidas en varias regiones geográficas, para ejecutar un ataque. Estas fuentes, normalmente dispositivos infectados controlados por un atacante, forman una botnet. El atacante ordena a la botnet que sature un objetivo, como un sitio web o una aplicación, con una avalancha de solicitudes que agotan sus recursos y lo dejan sin capacidad de respuesta. Esta naturaleza distribuida hace que los ataques DDoS sean mucho más difíciles de bloquear, ya que parecen provenir de muchas direcciones IP y ubicaciones geográficas diferentes. En consecuencia, los ataques DDoS pueden ser mucho más difíciles de contrarrestar y requieren defensas avanzadas de múltiples capas para manejar el gran volumen de tráfico y distinguir a los usuarios legítimos de los maliciosos.
¿Cuáles son los tipos de ataques DDoS?
Los ataques DDoS explotan vulnerabilidades en diferentes capas del modelo OSI. Al centrarse en capas específicas, los atacantes pueden afectar a varios aspectos del rendimiento de la red e interrumpir la disponibilidad del servicio. Los principales tipos de ataques DDoS se dividen en tres categorías: ataques basados en volumen, basados en protocolo y en la capa de aplicación.
Ataques basados en volumen
Los ataques basados en volumen se centran en saturar el ancho de banda de un objetivo, a menudo mediante la inundación de la capa de red (Capa 3) con datos. El objetivo es consumir todo el ancho de banda disponible, bloqueando el tráfico legítimo que llega al servidor.
- Inundaciones de UDP: en una inundación de UDP, grandes cantidades de paquetes del Protocolo de datagramas de usuario (UDP) se dirigen hacia puertos aleatorios en el servidor, lo cual provoca la saturación de la red y el agotamiento del ancho de banda. Las inundaciones de UDP pueden provocar que los servidores respondan con mensajes de error de destino ICMP inalcanzable si los puertos de destino están cerrados, lo que atasca el tráfico de red e intensifica el ataque.
- Inundación de ICMP (inundación de ping): una inundación de ICMP, también conocida como inundación de ping, envía una gran cantidad de solicitudes de eco ICMP (pings) al servidor de destino. El servidor intenta responder a cada ping, consumiendo recursos de la red y provocando latencia o, en casos extremos, tiempo de inactividad del servidor.
- Ataques de amplificación: Este tipo de ataque explota protocolos vulnerables como DNS para amplificar el tráfico dirigido al servidor objetivo. Por ejemplo, la amplificación de DNS utiliza resolutores de DNS abiertos para enviar grandes volúmenes de datos de respuesta al objetivo, lo que provoca una congestión significativa en la red.
Ataques basados en protocolo
Los ataques DDoS basados en protocolo explotan las debilidades de los protocolos en las capas de red (capa 3) y transporte (capa 4). Estos ataques agotan los recursos del servidor, como la memoria o las tablas de conexión, lo que dificulta la conexión de usuarios legítimos. .
- Inundación de SYN (capa 4): Las inundaciones de SYN tienen como objetivo el proceso de enlace TCP (handshake) y envían numerosas solicitudes SYN al destino pero sin completar nunca el enlace. Esto agota los recursos de memoria del servidor, ya que mantiene múltiples conexiones incompletas, lo que eventualmente bloquea nuevas conexiones.
Normalmente, para establecer una conexión TCP, un cliente envía una solicitud SYN a un servidor, que el servidor reconoce enviando una solicitud SYN-ACK. A continuación, el cliente establece la conexión respondiendo con un ACK. En caso de un ataque de inundación de SYN, el atacante sobrecarga el servidor con solicitudes SYN mientras falsifica la dirección IP de origen, por lo que el servidor no puede enviar respuestas SYN-ACK al cliente. - Ping de muerte (capa 3): un ping de muerte envía paquetes ICMP de gran tamaño que exceden el límite de tamaño definido por el protocolo IP. Cuando el objetivo intenta volver a ensamblar el paquete, este puede caerse o congelarse debido al tamaño inusualmente grande de los datos, lo que causa disrupción en el servicio.
- Ataque smurf o pitufo (capa 3): en un ataque smurf o pitufo, los atacantes envían una solicitud ICMP falsificada a una dirección de difusión, lo que hace que varios dispositivos de la red respondan a la dirección falsificada. Esto sobrecarga el objetivo con una avalancha de respuestas ICMP y satura la red.
- Suplantación de IP (capas 3 y 4): la suplantación de IP disfraza la dirección IP de origen de los paquetes, haciendo que parezca que el tráfico del ataque proviene de fuentes legítimas o fiables. La suplantación de IP a menudo mejora la eficacia de otros ataques basados en protocolo, lo que dificulta identificar y bloquear la verdadera fuente del ataque.
Ataques a la capa de aplicación
Los ataques a la capa de aplicación (capa 7) se centran en causar disrupción en servicios de aplicación específicos sobrecargando el objetivo con solicitudes. Estos ataques son muy efectivos porque imitan patrones de tráfico legítimos, lo que hace que sea difícil detectarlos y mitigarlos.
- Inundación de HTTP: una inundación de HTTP envía numerosas solicitudes HTTP GET o POST a un servidor web, consumiendo sus recursos. Al atacar URL específicas que consumen muchos recursos, las inundaciones de HTTP pueden agotar la capacidad de procesamiento y el ancho de banda del servidor.
- Slowloris: slowloris mantiene abiertas múltiples conexiones al servidor de destino enviando solicitudes HTTP parciales sin completarlas. Esto consume los recursos del servidor mientras intenta mantener cada conexión abierta, lo que eventualmente provoca una denegación de servicio para usuarios legítimos.
- Inundaciones de consultas DNS: los atacantes inundan el servidor DNS con consultas DNS excesivas, consumiendo sus recursos y anulando su capacidad para responder a solicitudes legítimas. Al atacar la infraestructura DNS, los atacantes pueden interrumpir la disponibilidad de los servicios asociados con un dominio específico.
- Ataques basados en bots: las botnets, o redes de dispositivos infectados, pueden enviar grandes volúmenes de solicitudes aparentemente legítimas a un servidor. Estas solicitudes se asemejan al comportamiento típico del usuario, lo que hace difícil diferenciar entre tráfico normal y malicioso.
Cómo mitigar un ataque DDoS
Para mitigar eficazmente un ataque DDoS se requiere una combinación de estrategias defensivas que puedan filtrar, detectar y responder al tráfico malicioso. A continuación, se muestran algunos métodos utilizados de manera generalizada:
- Limitación de velocidad: al establecer límites en la cantidad de solicitudes permitidas desde una sola dirección IP, las organizaciones pueden evitar que los ataques DDoS saturen sus servidores. La limitación de velocidad puede aprovechar el aprendizaje automático para ajustar automáticamente los umbrales para la cantidad de solicitudes, lo que permite un control dinámico y preciso durante un ataque DDoS. La limitación de velocidad también ayuda a distinguir las solicitudes legítimas de las maliciosas al filtrar el tráfico sospechoso. Las soluciones SD-WAN seguras avanzadas pueden integrar esta funcionalidad para proteger a las organizaciones contra ataques DDoS.
- Acceso a la red de confianza cero (ZTNA): ZTNA limita el acceso a los recursos de la red en función de la identidad del usuario, aplicando el principio del mínimo privilegio. Esto reduce las posibilidades de que agentes maliciosos obtengan acceso no autorizado a sistemas críticos, lo que dificulta que los ataques DDoS lleguen a partes sensibles de la red.
- Cortafuegos: los firewalls de aplicaciones web (WAF) actúan como un proxy inverso entre una red y sus usuarios, inspeccionando las solicitudes entrantes para detectar y bloquear el tráfico malicioso. Los WAF son particularmente útiles contra ataques a la capa de aplicación. Como alternativa, los cortafuegos de próxima generación (NGFW) con capacidades IDS/IPS agregan una capa adicional de protección al detectar y responder a firmas de ataques conocidas y comportamientos de tráfico anormales, deteniendo de manera proactiva solicitudes sospechosas que pueden indicar un intento de DDoS.
- Ruta de agujeros negros: esta técnica se utiliza para dirigir el tráfico hacia una ruta nula, donde se descarta de manera efectiva. Cuando un ataque DDoS tiene como objetivo una dirección IP específica, el administrador de red puede configurar el enrutamiento para descartar todo el tráfico hacia esa IP. Además, una solución SD-WAN puede enrutar dinámicamente el tráfico a través de enlaces de red no afectados, lo que ayuda a mantener la conectividad con otras partes de la red.
- Redes de distribución de contenido (CDN): las CDN distribuyen el tráfico de red entre múltiples servidores ubicados en diversas regiones geográficas, minimizando el riesgo de sobrecarga. Al equilibrar la carga en toda la infraestructura CDN, ayudan a absorber y dispersar el tráfico DDoS.
Una mitigación eficaz de DDoS normalmente implica la combinación de varias de estas técnicas para proporcionar una protección integral. La supervisión proactiva y las pruebas periódicas también ayudan a garantizar que las defensas sigan siendo efectivas contra las tácticas de DDoS en constante evolución.
HPE Aruba Networking y protección contra DDoS
La protección contra DDoS de HPE Aruba Networking, integrada en su plataforma SASE (Secure Access Service Edge), ofrece herramientas avanzadas para defenderse de ataques DDoS al combinar capacidades SD-WAN seguras con protección contra DDoS adaptativa basada en aprendizaje automático y acceso a la red de confianza cero (ZTNA).
HPE Aruba Networking SASE, a través de su SD-WAN EdgeConnect segura, utiliza el aprendizaje automático para ajustar los umbrales de DoS dinámicamente en tiempo real en función del comportamiento actual de la red. Esta capacidad DDoS adaptativa incluye dos características principales (limitación automática de velocidad y Smart Burst o ráfaga inteligente) para una mejor gestión de la defensa. La limitación automática de velocidad establece umbrales mínimos para el tráfico basándose en el análisis de patrones de red con aprendizaje automático, mientras que Smart Burst maneja ráfagas de tráfico legítimas para evitar que el tráfico malicioso consuma el ancho de banda de la red, al distribuir la capacidad de flujo no utilizada entre las zonas del cortafuegos. En conjunto, estas características ayudan a prevenir disrupciones causadas por tráfico malicioso y, al mismo tiempo, permiten que las aplicaciones fundamentales para el negocio sigan funcionando sin problemas.
Además, la solución proporciona una variedad de herramientas de análisis e informes en tiempo real que permiten a los administradores supervisar las violaciones de umbrales, ver las principales fuentes de tráfico y analizar eventos DDoS. Esta visibilidad ayuda a los equipos de red a realizar ajustes informados para mantener la seguridad de la red en línea con las amenazas emergentes. El cortafuegos de próxima generación integrado de EdgeConnect SD-WAN protege aún más la red con funciones como IDS/IPS y segmentación basada en roles. IDS/IPS detecta patrones de ataque y la segmentación limita el movimiento lateral dentro de la red.
HPE Aruba Networking ZTNA sigue un enfoque de «nunca confiar, siempre verificar», manteniendo los servicios internos ocultos de internet y eliminando los puntos de entrada para ataques DDoS. Solo los dispositivos autenticados y autorizados pueden acceder a recursos específicos, lo que evita que los delincuentes dirijan sus ataques directamente a los servicios. A diferencia de las VPN, ZTNA no otorga un acceso amplio, lo que reduce la superficie de ataque y contiene las amenazas al imponer conexiones estrictas y únicas a recursos autorizados a través de la segmentación de aplicaciones. Al verificar continuamente las identidades, HPE Aruba Networking ZTNA permite que solo el tráfico legítimo llegue a las aplicaciones autorizadas, lo que minimiza el riesgo de sobrecarga de los recursos de la red y hace que los ataques a gran escala sean menos factibles.
Además de SD-WAN y ZTNA, HPE Aruba Networking SASE incorpora una SWG (puerta de enlace web segura) para proteger a los usuarios y dispositivos contra amenazas basadas en la web y un CASB (agente de seguridad para el acceso a la nube) para proteger el acceso a aplicaciones SaaS, supervisar el uso y proteger contra la pérdida de datos.
Al integrar estas tecnologías, HPE Aruba Networking SASE ofrece un enfoque de múltiples capas para la defensa contra DDoS, ayudando a las organizaciones a reducir el impacto de los ataques DDoS, mientras protege la integridad de la red y mantiene seguras las operaciones empresariales.
