Son muchos los tipos de ataques que podemos sufrir en la red. Hay muchas variedades de malware y técnicas que utilizan los piratas informáticos para comprometer nuestros sistemas y dispositivos. Por suerte también tenemos diferentes herramientas con las que podemos defendernos. El problema es que a veces no sabemos si realmente somos víctimas de un ataque. En este artículo vamos a explicar cómo saber si estamos siendo víctimas de un ataque DDoS. También daremos algunos consejos para proteger nuestra red de este tipo de ataques.
Qué son los ataques DDoS
Los ataques DDoS son aquellos que tienen como misión hacer que un servidor no funcione correctamente. Significa denegación de servicio, si lo traducimos al español. Básicamente es eso, denegar el acceso al servidor y no ofrecer servicio a los usuarios. Por ejemplo, un ataque contra una página web que quede inoperativa. Aunque existen varias formas de llevar a cabo este tipo de ataques, lo más frecuente es que sea por saturación del servicio. Envían una gran cantidad de solicitudes y ese servidor no es capaz de atender a todas y se satura. Queda, en definitiva, inoperativo.
Para poder llevar a cabo ataques DDoS se necesitan múltiples dispositivos en red. Por eso ahí las botnets son importantes. De esta forma pueden realizar las solicitudes que lleguen a comprometer la estabilidad y el buen funcionamiento de ese servidor. Generalmente utilizan ordenadores zombis o bots. Básicamente son equipos que han sido infectados previamente y son utilizados para este tipo de fines. Los usuarios de estos equipos no saben realmente que están siendo utilizados. Un conjunto de equipos infectados es lo que forman una botnet.
Partiendo desde la base, el objetivo máximo de la protección contra ataques DDoS radica en un objetivo, y no es otro que asegurar la disponibilidad del servicio para los usuarios legítimos, siendo estos clientes, empleados o asociados de un negocio.
Como objetivo secundario, tenemos el hecho de evitar o prevenir que se caiga cualquiera de los sistemas, lógicamente, si este objetivo no es alcanzado, será realmente complicado asegurar el primero, que es la disponibilidad, sin embargo, existe una cierta lógica en que el objetivo primario sea la disponibilidad, porque si lo vemos en orden inverso, podría generarse mucho daño colateral de cara a los usuarios, y esto es lo último que queremos y lo primero que querremos evitar siempre por lo que debemos siempre mantener nuestras prioridades en el orden correcto.
Dicho esto, hay tres tipos de estrategias que deberíamos implementar para la prevención de ataques DDoS, la primera, debería ser desviación mediante políticas, la segunda es utilizar la extracción al detectar patrones de ataques dinámicos y la tercera es elaborada mediante reputación IP como causas por la cuales vas a bloquear un mensaje o requerimiento que entrante en tu entorno.
Considerando la segunda estrategia, lo que es importante en este sentido es que es muy importante que se elabore un aprendizaje automático, ya que esto nos permitirá entender los comportamientos que son normales en el tráfico de nuestro entorno o servicio, sea este el que sea, y así tener la capacidad de desviar estos ataques cuando se presenten sin ningún tipo de problema y aplicando políticas ya preestablecidas debido a ese aprendizaje automático del tráfico.
Lo que es esencial es poder reconocer los patrones o comportamientos inusuales de los ataques cuando se presentan y poder separarlos de lo que es el comportamiento normal de los usuarios que interactúan de manera real con nuestros servicios y todo esto es necesario que se haga en tiempo real.
Cómo saber si somos víctimas de un ataque DDoS
Hemos visto qué es un ataque DDoS y ahora vamos a explicar cómo saber si estamos sufriendo uno. Podemos saberlo gracias a varios aspectos bastante visibles y que pasamos a explicar a continuación.
Una excesiva latencia de la página
Una de las formas más comunes de saber que estamos siendo víctimas de un ataque DDoS es que haya una excesiva latencia de la página. Esto significa que los navegadores de los usuarios finales y los servidores responden de manera lenta, hay mucho retraso en la carga y a la hora de navegar por el sitio.
Si esto ocurre podríamos estar ante un ataque de este tipo que esté provocando un mal funcionamiento de la página. Esto nos obligará a tomar medidas para conseguir que todo vuelva a funcionar correctamente.
Monitorizar el tráfico
También podemos detectarlo gracias a monitorizar el tráfico web. Podemos tener un registro de todo el tráfico y cómo actúa. De esta forma podremos encontrar problemas, entradas de tráfico inusuales, que puedan indicar que estamos ante un ataque DDoS.
Es posible además monitorizar el periodo de impacto y con qué frecuencia se repite lo mismo dentro de un tiempo en concreto. Siempre conviene utilizar programas y servicios que nos ayude a obtener más información sobre la conexión y detectar picos de tráfico inusual.
Ver un usuario sospechoso
Una muestra más es cuando vemos un usuario en concreto que está las 24 horas del día enviando solicitudes cada cierto tiempo, que suele ser unos pocos segundos. Esta sería una indicación de que podemos estar sufriendo un ataque DDoS, aunque no se refleje en un mal funcionamiento.
En esta ocasión va a ser interesante también monitorizar la red y el tráfico. Esto es lo que nos indicará que hay algún usuario concreto que no debería estar y que hace saltar las alarmas.
Tiempo de demora
Podemos verificar también cualquier comportamiento sospechoso con tráfico desconocido hacia nuestro dispositivo o servidor. Al verificar las cargas de tráfico, la cantidad de uso de CPU y el tiempo que puede demorar en dar servicio puede ser un indicio a tener en cuenta.
Siempre que encontremos que hay un consumo excesivo, algo que no suele ser lo habitual, podríamos dudar de si estamos ante un ataque DDoS que está derivando tráfico sospechoso.
Cómo protegernos de ataques DDoS
Por suerte podemos tener en cuenta diferentes factores para protegernos frente a los ataques DDoS. Vamos a nombrar una serie de recomendaciones que conviene tener en cuenta para evitar tener este tipo de problemas. Pasos sencillos que podemos tener presentes siempre, pero que pueden servir para mejorar nuestra seguridad y reducir el riesgo de problemas.
Detectar el ataque antes de que ocurra
Existen herramientas para tener un monitoreo continuo y poder analizar nuestro sitio web. De esta forma podremos detectar posibles ataques DDoS antes de que realmente se lleve a cabo y sea un problema.
También podemos hacer uso de firewall y sistemas de detección de posibles intrusos. Por ejemplo, podemos ver los patrones de los últimos meses y ver si de repente hay una actividad inusual que pueda indicar que se está llevando a cabo un intento de ataque DDoS. La idea es que cuanto antes podamos detectar un ataque de este tipo, mejor.
Usar la prevención de ataques DDoS en la nube
También podemos hacer uso de la prevención de ataques DDoS en la nube. Podemos hacer uso del hardware propio para intentar evitar ataques DDoS. Sin embargo, en muchas ocasiones esto no es suficiente. Ahí es donde entra en juego la prevención de ataques DDoS en la nube.
Además, estos servicios de prevención de ataques DDoS en la nube están diseñados precisamente para eso, para evitar este tipo de problemas. Esto significa que van a estar más preparados para ello.
Mantener la seguridad en la web
No puede faltar la seguridad en la web. Hay muchos plugins que podemos instalar y no todos ellos son seguros. En algunos casos puede haber vulnerabilidades que ponga en riesgo la seguridad. Podría haber fallos que son aprovechados por los piratas informáticos para ejecutar sus amenazas.
Por tanto, debemos mantener siempre la seguridad en la web. Podemos hacer uso de herramientas diseñadas para ello y también prestar mucha atención a los plugins que instalemos.
Contar con un buen ancho de banda
Una medida de al menos mitigar los ataques DDoS es contar con un buen ancho de banda. Esto significa que en caso de sufrir algún ataque de este tipo habría un mayor margen de maniobra para evitar problemas.
Lo interesante es evitar este tipo de ataques. Sin embargo, puede ocurrir que por muchas medidas que tengamos ese ataque ocurra. Si tenemos más ancho de banda significa que vamos a poder hacer frente a esa gran cantidad de solicitudes y no comprometer el buen funcionamiento.
Configuración del firewall
Una de las barreras que podemos utilizar es la de configurar correctamente un firewall. De esta forma podremos monitorizar el tráfico entrante y definir diferentes pautas para decidir qué puede entrar y qué no. Esto es totalmente configurable.
Los firewalls o cortafuegos los podemos instalar en ordenadores y también en servidores. Van a ser los encargados de decidir qué conexiones aceptan y cuáles no. Podemos decir que son herramientas indispensables para poder mejorar la seguridad en la red y evitar problemas de este tipo.
Mantener nuestros equipos seguros
Otro paso importante para evitar que nuestros equipos se vean afectados por un ataque DDoS es mantenerlos seguros. Es algo que hay que tener en cuenta en todo tipo de dispositivo que estemos usando. También en cualquier sistema operativo. Un buen antivirus, como puede ser Windows Defender, Avast, Bitdefender o Kaspersky, por nombrar algunos, es una buena idea.
Con esto nos referimos también a que se encuentren perfectamente actualizados. A veces pueden surgir vulnerabilidades que son aprovechadas por los piratas informáticos para desplegar sus amenazas. Gracias a contar con los últimos parches de seguridad podremos evitar problemas como ataques DDoS.
Herramientas específicas
También podemos hacer uso de herramientas específicas que se encarguen de controlar y monitorizar nuestro tráfico. De esta forma podrán alertar de posibles anomalías e incluso bloquear tráfico que pueda ser malicioso. Tenemos a nuestra disposición muchos programas de este tipo que puedan ayudar a mejorar nuestra seguridad en la red.
Es lo que veíamos antes cuando hablábamos de detectar a usuarios ilegítimos en la red. Con programas de monitoreo podremos saber en todo momento quién está conectado y que salten alertas si detecta algo que no debería.
Prevenir ante el primer síntoma
Por otra parte, siempre que tengamos una pista o sospecha de que algo va mal, hay que actuar. Por ejemplo, si vemos que hay una serie de direcciones que constantemente intentan entrar en nuestro servidor. Siempre podemos actuar y bloquearlas.
Este consejo es importante para la seguridad en la red. En estos casos el tiempo va a ser muy importante. Cuanto antes solventemos un problema, mucho mejor. Podremos evitar que vaya a más, algo que es esencial en el caso de prevenir ataques DDoS.
No cometer errores
El sentido común es muy importante y debe estar presente en todo momento. No debemos cometer nunca errores que puedan ser aprovechados por piratas informáticos para llevar a cabo sus ataques. Hablamos por ejemplo de descargar archivos adjuntos maliciosos que nos llegan por correo o descargar software de sitios de terceros que han podido ser modificados de forma maliciosa.
Es importante minimizar la superficie expuesta. Básicamente significa la parte que podría ser atacada y de esta forma limitar esos posibles ataques. Un ejemplo sería restringir el tráfico directo de Internet a ciertas partes de la infraestructura.
Debemos en todo momento mantener el sentido común y no cometer errores. Con esto tendremos mucho ganado no solo para evitar ataques DDoS, sino también cualquier tipo de amenaza que pueda llegar a comprometer la seguridad de nuestros sistemas. Es algo que debemos aplicar en todo momento, sin importar el tipo de dispositivo que estemos utilizando.
Mitigación de ataques DDoS
La mitigación de DDoS la podríamos definir como la práctica de bloquear y absorber picos maliciosos en el tráfico de red y el uso de aplicaciones causados por ataques DDoS. Su objetivo consiste en permitir que el tráfico legítimo fluya sin obstáculos, y afecte lo menos posible al trabajo diario de esa organización.
Las estrategias y tecnologías de mitigación de DDoS están destinadas a contrarrestar los riesgos comerciales planteados por los diferentes tipos de ataque DDoS que pueden perpetuarse contra una empresa. Estas estrategias y tecnologías empleadas, tienen como fin preservar un funcionamiento óptimo de esos recursos de la empresa que los ciberdelincuentes pretenden paralizar.
La mitigación de DDoS nos permite dar una respuesta más rápida a los ataques DDoS. En este sentido, los delincuentes utilizan a menudo este tipo de ataques como una cortina de humo. Así, pretenden camuflar otros tipos de ataques, como la exfiltración, explotación de brechas de seguridad etc. Si estamos preparados, tendremos más tiempo y recursos para evitar esa posible fuga de información.
Estrategias para la implementación
A la hora de adoptar medidas que contribuyen a la capacidad de mitigación de DDoS para reducir el impacto de estos ataques podemos emplear varias estrategias. Si queremos que la mitigación de DDoS sea efectiva, nuestro primer paso debe basarse en la construcción de una infraestructura sólida.
La mejor forma de empezar es fortaleciendo las capacidades de ancho de banda, y luego realizando una segmentación segura de redes y de los centros de datos de nuestra empresa. Además, debemos tener una técnica de establecimiento de duplicación y conmutación por error sin olvidarnos de configurar aplicaciones y protocolos para la resiliencia. Tampoco debemos olvidarnos de reforzar la disponibilidad y el rendimiento a través de recursos como las redes de entrega de contenido (CDN).
No obstante, la arquitectura más robusta y los servicios CDN por sí solos no son suficientes para detener los ataques DDoS actuales. En ese sentido, hay que señalar que requieren de más capas de protección para una mitigación DDoS eficaz. Con volúmenes de ataques cada vez más grandes que incluso pueden llegar a 1 TBps y de larga duración que pueden superar incluso los 5 días, es necesario buscar nuevas medidas.
Por ese motivo, una mitigación de DDoS eficaz debe ofrecer algún método para eliminar el tráfico incorrecto lo más rápido posible sin impedir el tráfico legítimo, las solicitudes de conexión o las transacciones de aplicaciones. Así, las organizaciones pueden volver a la normalidad lo antes posible.
En ese sentido, las empresas deben reforzar sus estrategias de mitigación de DDoS mediante una planificación eficaz de la respuesta a incidentes. Así, deben prepararse siguiendo estos puntos:
- Preparando libros de respuesta para numerosos escenarios de ataque a los que pueda ser sometida la empresa.
- Debemos someter las capacidades de nuestra empresa a pruebas de estrés periódicas para mejorar y garantizar nuestras defensas frente a los ataques.
Tecnologías y servicios que podemos usar
El administrador de una red o el equipo de seguridad de una empresa, para realizar las funciones de mitigación de DDoS suelen buscar tecnología o servicios. Su intención es que éstos les ayuden a determinar automáticamente si se trata de tráfico legítimo o de ataques de DDoS reales.
La mayoría de las estrategias de mitigación de DDoS se basan en el análisis de tráfico. Este método consiste en la monitorización del tráfico 24 horas al día los 7 días de la semana. Su finalidad es estar atento a las amenazas y detectar los primeros signos de actividad DDoS, antes de que se convierta en un problema con volúmenes inmanejables de datos, que perjudiquen el rendimiento de la red empresarial. Por otro lado, las organizaciones que no tienen el personal para cubrir ese servicio en la nube, con frecuencia recurren a proveedores de servicios administrados para cumplir con ese rol. No obstante, la mitigación de DDoS propia puede minimizar el coste del tiempo de inactividad ya que se pueden poner a trabajar de forma inmediata y exclusiva a ello.
La monitorización también suele venir respaldada por una tecnología de detección de anomalías. Gracias a sus fuentes de inteligencia de amenazas, rastrean los últimos indicadores de compromiso (IOC) relacionados con las tácticas de ataque DDoS más modernos. Luego, los expertos aportan su respuesta de forma manual o con tecnologías automatizadas.
Las empresas y la mitigación DDoS
Las empresas frecuentemente utilizan una combinación de soluciones locales como dispositivos de mitigación de DDoS, firewalls y dispositivos de gestión de amenazas unificados, para bloquear la actividad DDoS. No obstante, hay que señalar que esto necesita de un ajuste significativo de los dispositivos y que el hardware además limita la cantidad de tráfico que puede absorber.
Las organizaciones que no tienen equipos propios o infraestructuras necesarias para realizar esta tarea, están recurriendo a soluciones de mitigación de DDoS basadas en la nube o en empresas de soluciones de seguridad administradas. Su funcionamiento se basa en el monitoreo y la detección de anomalías de los que hemos hablado antes. De este modo, cuando detectan tráfico o actividad maliciosa, la infraestructura de mitigación de DDoS redirigirá ese tráfico a través de un sistema de filtrado basado en la nube, antes de cruzar el borde de la red, y sólo dejará pasar el tráfico legítimo para que la actividad de la empresa continúe de la forma habitual.
Por último, si bien la respuesta inicial al ataque se automatiza a través de la tecnología, la mitigación eficaz de DDoS también requiere un equipo bien capacitado para realizar cambios sobre la marcha de los escenarios. Si una empresa posee el suyo propio, es un valor añadido para la seguridad de la misma.
Tipos de ataques DDoS
Los ataques DDoS pueden ser de diferentes tipos. Si bien todos se basan en el mismo fundamento, hay algunas cosas diferentes que hacen que el ataque sea de otro tipo de DDoS. Algunos de ellos son:
- UDP Flood: Este ataque se aprovecha del protocolo UDP. Se basa en inundarlos puertos de forma aleatoria con numerosos paquetes UDP, causando que el equipo que sea la víctima, compruebe cada petición a cada puerto. Como el número de paquetes enviados es muy alto, los recursos del servidor o equipo se agotan, y en una última instancia puede llegar a ocasionar una inaccesibilidad al sistema.
- ICMP Flood: Es muy similar al ataque de inundación UDP, pero en este caso realiza la saturación con el recurso de destino con solicitudes de paquetes eco ICMP. Por lo cual realiza envíos de los paquetes sin esperar a la respuesta de los mismos. Lo que ocasiona es un consumo muy alto del ancho de banda entrante y saliente, porque las solicitudes tratarán de ser respondidas con paquetes ICMP a la vez que no paran de llegar nuevos paquetes.
- Service Port Flood: En este caso los paquetes van dirigidos a puertos estándar en los que se sabe que habrá un mayor tráfico entrante, y saliente. Es uno de los más complejos para evitar y detener, por lo cual es importante establecer sistemas de seguridad específicos para este tipo de ataque.
- HTTP Flood: Hace uso de las peticiones GET y POST, y hace que parezcan válidas al atacar servidores o aplicaciones web. No utiliza paquetes de gran tamaño, por lo cual utiliza menos ancho de banda para inhabilitar al objetivo. Uno de los usos más comunes, es que atrapa a los equipos para utilizarlos luego en otros ataques a otros destinos. Incluso puede hacer que se encuentre inactiva hasta que sea necesario utilizarla.
Por tanto, estas son algunas cuestiones importantes cuando hablamos de ataques DDoS. Es importante saber detectarlos a tiempo, pero más aún saber proteger los equipos y evitar que este problema llegue a estar presente.