• Sitios de compra por Internet
• Casinos en línea
• Cualquier empresa u organización que dependa de la prestación de servicios en línea.
Los recursos de red (tales como los servidores web) tienen un límite finito de solicitudes que pueden atender al mismo tiempo. Además del límite de capacidad del servidor, el canal que conecta el servidor a Internet tiene un ancho de banda o capacidad limitados. Cuando la cantidad de solicitudes sobrepasa los límites de capacidad de cualquiera de los componentes de la infraestructura, el nivel de servicio probablemente se vea afectado de alguna de las siguientes maneras:
• Casinos en línea
• Cualquier empresa u organización que dependa de la prestación de servicios en línea.
Cómo funciona un ataque DDoS
Los recursos de red (tales como los servidores web) tienen un límite finito de solicitudes que pueden atender al mismo tiempo. Además del límite de capacidad del servidor, el canal que conecta el servidor a Internet tiene un ancho de banda o capacidad limitados. Cuando la cantidad de solicitudes sobrepasa los límites de capacidad de cualquiera de los componentes de la infraestructura, el nivel de servicio probablemente se vea afectado de alguna de las siguientes maneras:
• La respuesta a las solicitudes será mucho más lenta de lo normal.
• Es posible que se ignoren algunas (o todas) las solicitudes de los usuarios.
Por regla general, la intención primordial del atacante es evitar por completo el funcionamiento normal del recurso web, una "denegación" total del servicio. El atacante también puede solicitar un pago para detener el ataque. En algunos casos, el objetivo del ataque DDoS puede ser desacreditar o dañar el negocio de un competidor.
• Es posible que se ignoren algunas (o todas) las solicitudes de los usuarios.
Por regla general, la intención primordial del atacante es evitar por completo el funcionamiento normal del recurso web, una "denegación" total del servicio. El atacante también puede solicitar un pago para detener el ataque. En algunos casos, el objetivo del ataque DDoS puede ser desacreditar o dañar el negocio de un competidor.
Uso de una "red zombi" de botnet para lanzar un ataque DDoS
Para enviar una cantidad extremadamente grande de solicitudes al recurso víctima, el cibercriminal a menudo establece una "red zombi" de computadoras infectadas. Como el delincuente controla las acciones de cada computadora infectada en la red zombi, la gran escala del ataque puede desbordar los recursos web de la víctima.
Tipos de ataques de DDoS
Los ataques de denegación de servicio consisten en atacar de manera constante los recursos de red, usando una o más categorías. Algunos suelen combinar técnicas sofisticadas empleando diferentes vectores. Las categorías que son utilizadas para realizar estos ataques son:
• Ataques basados por volúmenes - Se envían cantidades masivas de tráfico hasta colapsar el ancho de banda.
• Ataques por protocolos - Se enfocan en buscar vulnerabilidades en los recursos de los servidores y eventualmente los explotan.
• Ataques por aplicaciones web - Son los ataques más sofisticados, ya que se enfocan en ciertas aplicaciones webs.
• Ataques por conexiones TCP - Encuentran vulnerabilidades en conexiones TCP y posteriormente inundan de tráfico el servidor web.
• Ataques por fragmentación - Se da cuando se logra explotar el proceso de fragmentación de datagramas, en el cual una IP es dividida en paquetes más pequeños. Durante el ataque se inyectan paquetes falsos maliciosos que colapsarán eventualmente el servidor.
• Ataques por protocolos - Se enfocan en buscar vulnerabilidades en los recursos de los servidores y eventualmente los explotan.
• Ataques por aplicaciones web - Son los ataques más sofisticados, ya que se enfocan en ciertas aplicaciones webs.
• Ataques por conexiones TCP - Encuentran vulnerabilidades en conexiones TCP y posteriormente inundan de tráfico el servidor web.
• Ataques por fragmentación - Se da cuando se logra explotar el proceso de fragmentación de datagramas, en el cual una IP es dividida en paquetes más pequeños. Durante el ataque se inyectan paquetes falsos maliciosos que colapsarán eventualmente el servidor.
Cómo protegernos de un ataques DDoS
Debido a que la detección de ataques de denegación de servicio distribuido es más compleja de identificar en comparación con un virus, para prevenirlos se debe aplicar una variedad de estrategias:
Limita la tasa de peticiones
Limitar el número de peticiones que un servidor aceptará durante un tiempo determinado es una buena manera de mitigar ataques de denegación de servicio. Hay que tener claro que limitar la velocidad de peticiones ralentiza los trabajos de raspadores webs. También reduce los intentos de fuerza bruta para iniciar sesión. Aplicarlo como única solución será insuficiente para prevenir un ataque DDoS.
Limitar el número de peticiones que un servidor aceptará durante un tiempo determinado es una buena manera de mitigar ataques de denegación de servicio. Hay que tener claro que limitar la velocidad de peticiones ralentiza los trabajos de raspadores webs. También reduce los intentos de fuerza bruta para iniciar sesión. Aplicarlo como única solución será insuficiente para prevenir un ataque DDoS.
Implementar un Firewall de aplicaciones webs
Un Firewall de aplicaciones web es una herramienta que puede ser útil para mitigar ataques de DDoS en capa 7. Implementando el WAF (Web Application Firewall) entre internet y el servidor de origen, puede servir como un proxi de reversa. Protege así el servidor objetivo de numerosos tipos de tráfico malicioso.
Al filtrar las peticiones usando como base una serie de reglas para identificar herramientas empleadas en ataques DDoS, los ataques en capa 7 pueden ser impedidos. Una de las principales características que tiene el WAF es su capacidad para implementar rápidamente reglas personalizadas ante un ataque.
Un Firewall de aplicaciones web es una herramienta que puede ser útil para mitigar ataques de DDoS en capa 7. Implementando el WAF (Web Application Firewall) entre internet y el servidor de origen, puede servir como un proxi de reversa. Protege así el servidor objetivo de numerosos tipos de tráfico malicioso.
Al filtrar las peticiones usando como base una serie de reglas para identificar herramientas empleadas en ataques DDoS, los ataques en capa 7 pueden ser impedidos. Una de las principales características que tiene el WAF es su capacidad para implementar rápidamente reglas personalizadas ante un ataque.
Aplica redes de difusión Anycast
Al aplicar una red de difusión Anycast se mitigan ataques de denegación de servicio ya que, al dispersar el tráfico malicioso, se puede enviar a través de una red de servidores hasta una red externa. Esto es algo muy similar a como cuando se canaliza un río a través de canales más pequeños y separados. Este tráfico se vuelve manejable y se puede llevar hasta una desembocadura sin que afecte el entorno.
Es importante señalar que la efectividad de una red de difusión Anycast dependerá del tamaño del ataque y la eficiencia de la red interna.
Al aplicar una red de difusión Anycast se mitigan ataques de denegación de servicio ya que, al dispersar el tráfico malicioso, se puede enviar a través de una red de servidores hasta una red externa. Esto es algo muy similar a como cuando se canaliza un río a través de canales más pequeños y separados. Este tráfico se vuelve manejable y se puede llevar hasta una desembocadura sin que afecte el entorno.
Es importante señalar que la efectividad de una red de difusión Anycast dependerá del tamaño del ataque y la eficiencia de la red interna.
La empresa Radware ha hecho pública una guía básica para protegerse contra los ataques de denegación de servicio (DDoS). Según este documento, los ataques de denegación de servicio (DDoS) no son un fenómeno nuevo; pero sí lo es la frecuencia y el carácter (político-social) que han tomado en los últimos tiempos, especialmente a raíz del fenómeno Wikileaks y la adopción de los ataques DDoS por el colectivo Anonymous como método de reivindicación y protesta.
Entre los consejos que recoge la Guía se sitúan los siguientes:
Comprobar y delimitar el perímetro para la mitigación de un ataque: es preciso asegurar que la solución que emplean tiene capacidades específicas para reconocer el perímetro y detectar anomalías; reconocer las actividades de los intrusos en tiempo real; repeler todos los ataques a los niveles de aplicaciones; discriminar entre el tráfico legítimo y el ilegítimo; y contar con un registro que recoja los datos detallados de cada ataque y rápidamente informe de la situación.
La necesidad de emplear tecnologías de seguridad complementarias
Utilizar sistemas de cortafuegos y de prevención de intrusiones, así como soluciones de seguridad que certifiquen con éxito la mitigación de ataques conocidos y desconocidos, incluyendo:
• Herramientas anti ataques DDoS para prevenir ataques de inundación de red.
• Herramientas de análisis de comportamiento de red, que puedan detectar sistemas de firmas en tiempo real para defenderse ante ataques por mal uso de las aplicaciones y ataques en tiempo real.
• Sistemas de prevención de intrusión contra vulnerabilidades conocidas de aplicaciones.
• Mecanismos de defensa activos para niveles de aplicaciones.
• Estrategias de emergencias activas contraataques, con capacidades en alerta
Estar preparado para contraataques, con un sistema proactivo de defensa y a la vez ofensivo.
Diseñar un plan sólido para integrar técnicos especializados en tiempo real que aseguren que las herramientas, alertas, correlación y mitigación se manejan adecuadamente.
Asegurarse de que el equipo está preparado para proporcionar asistencia de forma inmediata y mitigación activa; o contraatacar las acciones de defensa tan pronto como el sistema se encuentre bajo un ataque.
La defensa activa equivale a un contraataque proporcional que acabe con los últimos vestigios de los ataques DDoS y que acabe con el incidente de forma definitiva.
Si tu organización ha sido víctima de un ataque de denegación de servicio y, por ende, la ciberseguridad está comprometida, hay varias medidas que se pueden tomar. Algunas de ellas son:
Entre los consejos que recoge la Guía se sitúan los siguientes:
Comprobar y delimitar el perímetro para la mitigación de un ataque: es preciso asegurar que la solución que emplean tiene capacidades específicas para reconocer el perímetro y detectar anomalías; reconocer las actividades de los intrusos en tiempo real; repeler todos los ataques a los niveles de aplicaciones; discriminar entre el tráfico legítimo y el ilegítimo; y contar con un registro que recoja los datos detallados de cada ataque y rápidamente informe de la situación.
La necesidad de emplear tecnologías de seguridad complementarias
Utilizar sistemas de cortafuegos y de prevención de intrusiones, así como soluciones de seguridad que certifiquen con éxito la mitigación de ataques conocidos y desconocidos, incluyendo:
• Herramientas anti ataques DDoS para prevenir ataques de inundación de red.
• Herramientas de análisis de comportamiento de red, que puedan detectar sistemas de firmas en tiempo real para defenderse ante ataques por mal uso de las aplicaciones y ataques en tiempo real.
• Sistemas de prevención de intrusión contra vulnerabilidades conocidas de aplicaciones.
• Mecanismos de defensa activos para niveles de aplicaciones.
• Estrategias de emergencias activas contraataques, con capacidades en alerta
Estar preparado para contraataques, con un sistema proactivo de defensa y a la vez ofensivo.
Diseñar un plan sólido para integrar técnicos especializados en tiempo real que aseguren que las herramientas, alertas, correlación y mitigación se manejan adecuadamente.
Asegurarse de que el equipo está preparado para proporcionar asistencia de forma inmediata y mitigación activa; o contraatacar las acciones de defensa tan pronto como el sistema se encuentre bajo un ataque.
La defensa activa equivale a un contraataque proporcional que acabe con los últimos vestigios de los ataques DDoS y que acabe con el incidente de forma definitiva.
Qué hacer en caso de haber sido víctima de un ataque DDoS
• Eliminar las infecciones en los dispositivos comprometidos de manera individual con un software de seguridad.
• Aislar y asegurar el tráfico usando subredes, reglas de firewall y administrar minuciosamente los accesos e identificaciones en la red.
• Aplicar un filtrado/enrutamiento de red de tipo blackhole.
• Desplegar instancias sin IP’s públicas.
• Habilitar el balanceador de carga basado en proxis.
Afortunadamente existen en el mercado numerosas empresas que ofrecen servicios de protección contra ataques DDoS. Ya sea desde la nube o por medio de soluciones de seguridad. En cualquier caso, se debe aplicar una combinación de técnicas para mitigar, en lo posible, ataques a la red.
Afortunadamente existen en el mercado numerosas empresas que ofrecen servicios de protección contra ataques DDoS. Ya sea desde la nube o por medio de soluciones de seguridad. En cualquier caso, se debe aplicar una combinación de técnicas para mitigar, en lo posible, ataques a la red.
.png)
No hay comentarios:
Publicar un comentario