Los ataques DDoS son un tipo de ataque de denegación de servicio en el que un gran número de ordenadores «zombie» envía paquetes o intenta establecer conexiones con un servidor remoto, o víctima, al mismo tiempo logrando saturar la red, acaparar todos los recursos y dejar al servidor remoto bloqueado y sin servicio. La mayoría de estos ataques informáticos suelen realizarse desde redes de ordenadores, o botnets, en manos de piratas informáticos llegando a generar tráficos superiores al gigabit por segundo. Reconocer los ataques DDoS es muy importante para pararlo.
Los responsables de la seguridad de sitios web o plataformas online suelen contratar servicios de mitigación y de seguridad para proteger sus servidores y sus plataformas con el fin de evitar caer víctimas de este tipo de ataques informáticos estableciendo una especie de «capa intermedia» encargada de filtrar todo el tráfico malicioso para evitar que afecte al servidor real.
La mayoría de las soluciones de seguridad basadas en la nube funcionan simplemente cambiando la configuración DNS de un sitio web para configurarse a sí misma entre el servidor de destino (una página web, por ejemplo) y los usuarios. De esta manera todo el tráfico que generen los usuarios y los piratas informáticos pasa a través de ellas, se analiza, y en el caso de que se trate de tráfico legítimo se reenvía al destino.
Según un último estudio sobre seguridad informática, en más del 70% de las ocasiones este tipo de plataformas de seguridad son totalmente ineficaces ya que los piratas son capaces de obtener la dirección IP real del servidor y enviar los ataques directamente a la dirección IP en vez de al dominio, saltándose estos servidores de seguridad y atacando directamente a su objetivo.
Existen varias formas de conseguir la dirección real de un sitio web para lanzar diferentes ataques informáticos como DDoS pese a estar oculto en un servidor de seguridad basado en la nube. Las más antiguas se basan en la búsqueda de resultados en bases de datos de tráfico, en analizar los registros de DNS, la resolución de subdominios que se resuelvan a su vez el dominio principal y en analizar el propio código fuente del sitio web objetivo. Otras técnicas más modernas y complicadas de bloquear es cuando el sitio web objetivo genera conexiones salientes, el análisis de los certificados SSL, el análisis de archivos confidenciales alojados en el servidor víctima del ataque y durante las operaciones de migración o de mantenimiento de los servidores de seguridad, ya que dejan el sitio web objetivo expuesta temporalmente.
Una forma sencilla de comprobar la eficacia de un servidor de seguridad de cara a ocultar la dirección IP real de un sitio web es CloudPiecer, una plataforma que comprueba la seguridad de una web frente a diferentes vectores de ataque que nos permite saber si nuestro servidor de seguridad está protegiendo correctamente nuestra web o nuestro servidor o en realidad podemos estar expuestos a posibles ataques DDoS por parte de piratas informáticos. Puedes ver las diferencias entre MAC y dirección IP.
¿Conoces algún caso en el que alguna plataforma web haya sido atacada pese a tener contratado un servicio de seguridad basado en la nube?