10 Denegación de Servicio

10 Denegación de Servicio

Nota importada desde Inbox durante consolidacion bulk.

10 Denegación de Servicio

1. Resumen Ejecutivo

Este documento ofrece una visión general de los ataques de Denegación de Servicio (DoS) y Denegación de Servicio Distribuido (DDoS), una de las mayores amenazas para la disponibilidad de los recursos en redes informáticas. Su objetivo principal no es robar información, sino hacer que un sistema o servicio sea inaccesible para sus usuarios legítimos. Para ello, los atacantes explotan vulnerabilidades en protocolos de red, especialmente del modelo TCP/IP, o utilizan redes de ordenadores comprometidos conocidas como botnets. A lo largo de este análisis, se abordarán los conceptos fundamentales de DoS y DDoS, las diversas técnicas de ataque (volumétricas, de protocolo y de capa de aplicación), las herramientas utilizadas para ejecutarlos y, finalmente, las contramedidas y estrategias de detección esenciales para protegerse de estas ofensivas.

2. Conceptos de Ataques de Denegación de Servicio

Los principios fundamentales de los ataques de denegación de servicio se centran en agotar los recursos de un objetivo hasta que no pueda seguir funcionando correctamente.

  • Ataque de Denegación de Servicio (DoS) Un ataque DoS es una ofensiva lanzada desde un único sistema contra un ordenador o red con el fin de "reducir, restringir o impedir la accesibilidad de los recursos del sistema a sus usuarios legítimos". El atacante inunda el sistema víctima con solicitudes de servicio o tráfico ilegítimo para sobrecargar sus recursos, como el ancho de banda, la CPU o la memoria. El objetivo no es obtener acceso no autorizado, sino simplemente interrumpir el servicio.
  • Ataque de Denegación de Servicio Distribuido (DDoS) Un ataque DDoS es una versión a gran escala y coordinada de un ataque DoS. Se lanza desde "una multitud de sistemas comprometidos (Botnet) que atacan a un único objetivo". Esto multiplica exponencialmente la efectividad del ataque, ya que el volumen de tráfico generado es inmenso. En este escenario, los sistemas comprometidos se denominan "víctimas secundarias" o "zombies", mientras que el objetivo final es la "víctima primaria". Esta distribución hace que el ataque sea mucho más difícil de mitigar y de rastrear hasta el atacante original.
  • Botnets Una botnet (contracción de "robot network") es una red de ordenadores infectados con software malicioso (bots) que están bajo el control de un atacante, conocido como "botmaster". Estos ejércitos de "zombies" pueden ser instruidos de forma remota a través de un servidor de Comando y Control (C&C) para realizar acciones maliciosas de forma simultánea. Aunque pueden usarse para diversas actividades ilegales (spam, robo de datos, etc.), su uso más devastador es el lanzamiento de ataques DDoS a gran escala.
  • Crimen Cibernético Organizado A diferencia de los atacantes individuales, los sindicatos del crimen organizado operan con una estructura jerárquica para maximizar sus beneficios. Estos grupos crean, gestionan y alquilan botnets como un servicio, ofreciendo "el despliegue de ataques DoS masivos contra cualquier objetivo por un precio". La estructura suele incluir un jefe (el empresario), un subjefe (gestor del C&C y proveedor de troyanos), gerentes de campaña (que ejecutan los ataques) y revendedores de los datos robados.

3. Técnicas de Ataques de Denegación de Servicio

Los atacantes emplean una amplia variedad de técnicas, que generalmente se clasifican en tres categorías: volumétricas, de protocolo y de capa de aplicación.

  • Ataque de Inundación UDP (UDP Flood) El atacante envía un gran volumen de paquetes UDP con direcciones IP de origen falsificadas (spoofing) a puertos aleatorios del servidor objetivo. El servidor intenta procesar estos paquetes buscando la aplicación asociada a cada puerto. Al no encontrarla, responde con un mensaje ICMP "Destino Inaccesible". Este proceso consume los recursos del servidor y el ancho de banda de la red hasta agotarlos.
  • Ataque de Inundación SYN (SYN Flood) Esta técnica explota el "handshake de tres vías" de TCP. El atacante envía una avalancha de paquetes SYN con IP de origen falsificada. El servidor responde a cada uno con un SYN/ACK y reserva recursos, esperando un ACK final que nunca llegará. Esto llena rápidamente la cola de conexiones pendientes del servidor, impidiendo que acepte nuevas conexiones legítimas.
  • Ataque Ping de la Muerte (Ping of Death - PoD) Consiste en enviar un paquete IP malformado o de un tamaño superior al máximo permitido (65,535 bytes), fragmentado en varias partes. Cuando el sistema operativo del objetivo intenta reensamblar los fragmentos, el tamaño excesivo del paquete resultante puede causar un desbordamiento de búfer y provocar el bloqueo o reinicio del sistema.
  • Ataque Smurf Es un ataque de amplificación. El atacante envía una gran cantidad de paquetes de solicitud ICMP ECHO a la dirección de broadcast de una red, pero falsifica la dirección IP de origen para que sea la de la víctima. Como resultado, todos los dispositivos activos en esa red responden con un paquete ICMP ECHO Reply directamente a la víctima, inundándola con tráfico no solicitado.
  • Ataque de Capa de Aplicación (HTTP Flood / Slowloris) Estos ataques se dirigen a vulnerabilidades en las aplicaciones web y son más difíciles de detectar.
    • HTTP Flood: Genera un gran número de peticiones GET o POST que parecen legítimas, forzando al servidor a consumir recursos (CPU, RAM, conexiones a base de datos) para atenderlas.
    • Slowloris: En lugar de inundar, este ataque abre múltiples conexiones con el servidor y las mantiene activas enviando peticiones HTTP parciales de forma muy lenta. Esto agota el número máximo de conexiones concurrentes que el servidor puede manejar, denegando el servicio a usuarios legítimos sin necesidad de un gran ancho de banda.
  • Ataque de Denegación de Servicio Permanente (PDoS o Phlashing) Es el tipo de ataque más destructivo, ya que causa un "daño irreversible al hardware del sistema". En lugar de solo interrumpir el servicio, el atacante intenta sabotear el hardware enviando actualizaciones de firmware fraudulentas o corruptas, un proceso conocido como "bricking a system". Esto requiere que la víctima reemplace o reinstale físicamente el hardware dañado.
  • Ataque de Denegación de Servicio Distribuido por Reflexión (DRDoS) También conocido como ataque "spoofed", utiliza múltiples máquinas intermediarias y secundarias (reflectores) para amplificar el ataque. El atacante envía peticiones a servidores de terceros (como DNS o NTP) con la IP de origen falsificada para que sea la de la víctima. Estos servidores, al responder a una petición aparentemente legítima, envían sus respuestas masivamente a la víctima, que es inundada por tráfico que no solicitó.
  • Ataque Multi-Vector Combina ataques volumétricos, de protocolo y de capa de aplicación, lanzándolos de forma secuencial o en paralelo. El objetivo es confundir a los sistemas de mitigación, que pueden estar enfocados en detener un tipo de vector mientras otro diferente causa el daño.

4. Herramientas de Ataques de Denegación de Servicio

Existen diversas herramientas, algunas de las cuales son utilizadas tanto para pruebas de estrés legítimas como para ataques maliciosos.

  • Herramientas para Escritorio
    • LOIC (Low Orbit Ion Cannon): Una de las herramientas más conocidas. Puede inundar un servidor con paquetes TCP, UDP o peticiones HTTP para interrumpir el servicio. Es un ataque a nivel de aplicación.
    • HOIC (High Orbit Ion Cannon): Una evolución de LOIC, diseñada para atacar hasta 256 URLs simultáneamente. Utiliza un sistema de scripting para evadir contramedidas básicas.
    • Otras herramientas: Incluyen XOIC, HULK (HTTP Unbearable Load King), Slowloris, PyLoris y módulos de Metasploit.
  • Herramientas para Móviles Los dispositivos móviles también pueden ser utilizados para lanzar ataques, a menudo formando parte de botnets móviles.
    • LOIC (versión Android): Aplicación para Android que permite realizar ataques de inundación TCP, UDP y HTTP desde un dispositivo móvil.
    • AnDOSid: Herramienta que permite simular un ataque DoS (inundación HTTP POST) desde teléfonos móviles.

5. Contramedidas de Ataques de Denegación de Servicio

La defensa contra ataques DoS/DDoS requiere una estrategia de múltiples capas que abarque desde la prevención y la detección hasta la respuesta y la mitigación.

  • Defensa General contra Ataques de Denegación de Servicio Las estrategias generales de respuesta ante un ataque en curso son:
    • Absorber el ataque: Utilizar capacidad de red adicional para soportar el tráfico malicioso. Requiere una planificación y recursos significativos.
    • Degradar servicios: Mantener en funcionamiento únicamente los servicios críticos mientras se detienen los no esenciales para conservar recursos.
    • Apagar los servicios: Como último recurso, desconectar todos los servicios hasta que el ataque cese.
  • Defensa contra Ataques de Inundación y Spoofing
    • Filtrado de Ingreso (Ingress Filtering): Técnica usada por los ISPs para "impedir la falsificación de la dirección de origen del tráfico de Internet". Bloquea los paquetes que llegan con una IP de origen que no debería ser posible desde su punto de entrada.
    • Filtrado de Egreso (Egress Filtering): Escanea los paquetes que salen de una red para asegurar que la IP de origen pertenece a dicha red. Esto evita que los sistemas internos sean utilizados para ataques de spoofing.
    • TCP Intercept: Una función de los routers (como los de Cisco) que protege contra inundaciones SYN. El router intercepta las peticiones SYN, establece la conexión con el cliente y solo después la pasa al servidor, validando que la petición es legítima.
    • Limitación de Tasa (Rate Limiting): Configurar los dispositivos de red para controlar la cantidad de tráfico de entrada o salida, reduciendo así el impacto de las inundaciones.
  • Defensa contra Botnets
    • Filtrado RFC 3704: Un filtro que niega el tráfico proveniente de direcciones IP falsificadas o no asignadas (conocidas como "bogons").
    • Filtrado por Reputación de IP: Utilizar servicios que mantienen bases de datos actualizadas de IPs maliciosas conocidas (botnets, spam, etc.) para bloquearlas proactivamente. Cisco IPS es un ejemplo.
    • Black Hole Filtering: Técnica en la que el tráfico no deseado dirigido a una IP específica es descartado a nivel de enrutamiento, a menudo en colaboración con el ISP.
  • Técnicas de Mitigación y Desvío
    • Balanceo de Carga: Distribuir el tráfico entre múltiples servidores replicados para gestionar mejor el aumento de carga durante un ataque.
    • Honeypots: Desplegar sistemas señuelo con baja seguridad para atraer a los atacantes. Esto permite "obtener información sobre los atacantes, sus técnicas y herramientas" y desviarlos de los sistemas críticos. Herramientas como KFSensor simulan servicios vulnerables para este fin.
  • Soluciones de Hardware y Servicios
    • Appliances de Protección DDoS: Dispositivos de hardware especializados como FortiDDoS, Check Point DDoS Protector y A10 Thunder TPS ofrecen mitigación de alto rendimiento y baja latencia.
    • Servicios de Protección en la Nube: Proveedores como Akamai, Cloudflare y DOSarrest ofrecen servicios que filtran el tráfico en la nube, absorbiendo los ataques antes de que lleguen a la infraestructura del cliente.

6. Técnicas de Detección de Ataques de Denegación de Servicio

Detectar un ataque lo antes posible es clave para una mitigación efectiva. Las técnicas de detección se basan en identificar desviaciones anómalas en las estadísticas del tráfico de red.

  • Análisis Forense Post-Ataque
    • Análisis de Patrones de Tráfico: Tras un ataque, se analizan los datos de tráfico para identificar características únicas del ataque, lo que ayuda a crear mejores filtros para el futuro.
    • Rastreo de Paquetes (Packet Traceback): Intentar rastrear el tráfico del ataque hasta su origen real. Es complejo debido al spoofing, pero puede ayudar a identificar y bloquear las fuentes.
    • Análisis de Registros (Logs): Revisar los registros de firewalls, servidores, routers e IDS/IPS es fundamental para identificar la fuente, el tipo y la escala del ataque.
  • Detección en Tiempo Real
    • Perfilado de Actividad (Activity Profiling): Se monitorea la tasa de paquetes promedio de los flujos de red. "Un aumento en los niveles de actividad [...] o un aumento en el número total de clústeres distintos (ataque DDoS)" son indicadores de un posible ataque.
    • Detección Secuencial de Punto de Cambio: Utiliza algoritmos estadísticos (como CUSUM) para "isolar cambios en las estadísticas del tráfico de red" que se desvían drásticamente del comportamiento normal.
    • Análisis de Señales Basado en Wavelets: Descompone el tráfico de red en componentes de distintas frecuencias. El tráfico normal suele ser de baja frecuencia, mientras que los ataques a menudo introducen componentes de alta frecuencia, que esta técnica puede detectar.

7. Conclusión

Los ataques de Denegación de Servicio y Denegación de Servicio Distribuido representan una amenaza persistente y grave para la continuidad de negocio en el mundo digital. Comprender los conceptos fundamentales que los sustentan, como el funcionamiento de las botnets y las tácticas de crimen organizado, es el primer paso para una defensa eficaz. Los atacantes disponen de un arsenal de técnicas en constante evolución —desde inundaciones de fuerza bruta hasta sofisticados ataques de capa de aplicación— y herramientas de fácil acceso. Por lo tanto, no existe una única solución mágica. La protección efectiva radica en una estrategia de defensa en profundidad que combine contramedidas proactivas (filtrado, limitación de tasa), tecnologías de mitigación avanzadas (appliances y servicios en la nube) y sistemas de detección inteligentes capaces de identificar anomalías en tiempo real. La preparación y la capacidad de respuesta rápida son, en última instancia, los factores clave para minimizar el impacto de estos ataques inevitables.

Guía de Estudio: Ataques de Denegación de Servicio (DoS/DDoS)

Introducción

Esta guía de estudio ha sido diseñada para proporcionar un entendimiento completo y estructurado de los ataques de Denegación de Servicio (DoS) y Denegación de Servicio Distribuido (DDoS). Su propósito es servir como un recurso de aprendizaje y repaso para estudiantes y profesionales de la ciberseguridad. A lo largo de este documento, se cubrirán los conceptos fundamentales de los ataques DoS/DDoS, las técnicas de ataque más comunes, las herramientas utilizadas para ejecutarlos y las contramedidas esenciales para su detección y mitigación, permitiendo al lector construir una base sólida de conocimiento sobre una de las amenazas más significativas para la disponibilidad de servicios en la actualidad.

I. Resumen de Conceptos Fundamentales

Ataque de Denegación de Servicio (DoS) Un ataque DoS es una ofensiva lanzada desde un único sistema contra un objetivo (servidor, red, aplicación) con el fin de agotar sus recursos y hacerlo inaccesible para los usuarios legítimos.

  • Objetivo Principal: No es robar datos, sino interrumpir la disponibilidad del servicio.
  • Método: Inundar al objetivo con tráfico o solicitudes de servicio ilegítimas para sobrecargar sus recursos (CPU, memoria, ancho de banda).
  • Tipos de Impacto:
    • Consumo de ancho de banda.
    • Agotamiento de recursos del sistema (CPU, RAM).
    • Bloqueo de la pila TCP/IP mediante paquetes corruptos.

Ataque de Denegación de Servicio Distribuido (DDoS) Un ataque DDoS es una versión coordinada y a gran escala de un ataque DoS, lanzado desde múltiples sistemas comprometidos distribuidos geográficamente.

  • Características:
    • Utiliza una botnet (red de ordenadores "zombies") para multiplicar el volumen del ataque.
    • El objetivo final es la víctima primaria, mientras que los sistemas utilizados para atacar son las víctimas secundarias.
    • Es mucho más difícil de mitigar y rastrear que un ataque DoS debido a la multiplicidad de orígenes.
  • Impacto: Pérdida de reputación, pérdidas financieras, interrupción completa de las operaciones de una organización.

Botnet Una botnet (del inglés robot network) es una red de dispositivos infectados con malware (bots) que están bajo el control de un atacante, conocido como botmaster.

  • Funcionamiento:
    • El botmaster gestiona la red a través de un servidor de Comando y Control (C&C).
    • Los dispositivos infectados, llamados zombies, reciben órdenes del C&C para ejecutar acciones maliciosas de forma simultánea.
  • Usos Comunes:
    • Lanzamiento de ataques DDoS.
    • Envío masivo de spam.
    • Robo de credenciales y datos sensibles (keylogging, sniffing).
    • Fraude de clics en publicidad.

Crimen Cibernético Organizado Se refiere a grupos criminales que operan con una estructura jerárquica y modelos de negocio para ejecutar ciberataques a cambio de un beneficio económico.

  • Estructura Típica:
    • Jefe (Boss): El empresario que dirige la operación.
    • Subjefe (Underboss): Gestiona la infraestructura técnica, como los servidores C&C y la provisión de troyanos.
    • Gerentes de Campaña (Campaign Managers): Ejecutan los ataques específicos utilizando las botnets.
    • Revendedores de Datos (Data Resellers): Venden la información robada.
  • Modelo de Negocio: Ofrecen "DDoS como servicio" (DDoS-for-hire), alquilando sus botnets para atacar a cualquier objetivo por un precio.

II. Técnicas / Métodos / Procesos Clave

Los ataques DoS/DDoS se clasifican principalmente en tres categorías según el vector de ataque.

Ataques Volumétricos Su objetivo es consumir todo el ancho de banda disponible del objetivo, saturando la conexión a internet. Se miden en bits por segundo (bps).

  • Inundación UDP (UDP Flood): El atacante envía una gran cantidad de paquetes UDP a puertos aleatorios del servidor objetivo. El servidor consume recursos al verificar qué aplicación está a la escucha en esos puertos y, al no encontrarla, responde con un paquete ICMP "Destino Inaccesible", agotando su capacidad.
  • Inundación ICMP (ICMP Flood): Similar al anterior, pero utilizando paquetes ICMP (como los de ping). El objetivo se ve abrumado al intentar procesar y responder a cada solicitud, saturando el ancho de banda.
  • Ataque Smurf: Es un ataque de amplificación. El atacante envía paquetes ICMP a una dirección de broadcast de red, falsificando la IP de origen para que sea la de la víctima. Todos los dispositivos de esa red responden a la víctima, multiplicando el tráfico del ataque.

Ataques de Protocolo Explotan vulnerabilidades en los protocolos de red (principalmente TCP/IP) para agotar los recursos de procesamiento de los equipos de red, como firewalls o balanceadores de carga. Se miden en paquetes por segundo (pps).

  • Inundación SYN (SYN Flood): Explota el handshake de tres vías de TCP. El atacante envía una avalancha de paquetes SYN con IPs de origen falsas. El servidor responde con SYN-ACK y reserva recursos para cada conexión, esperando un ACK final que nunca llega, llenando así su tabla de conexiones pendientes.
  • Ping de la Muerte (Ping of Death - PoD): Consiste en enviar un paquete IP fragmentado que, una vez reensamblado por el objetivo, supera el tamaño máximo permitido (65,535 bytes). Esto puede causar un desbordamiento de búfer y provocar el bloqueo o reinicio del sistema.
  • Ataque de Fragmentación: El atacante envía una gran cantidad de fragmentos de paquetes TCP o UDP, dificultando su reensamblaje por parte del sistema víctima. El consumo excesivo de recursos para reensamblar estos fragmentos (a menudo con contenido aleatorio) puede colapsar el sistema.

Ataques de Capa de Aplicación (Capa 7) Se dirigen a vulnerabilidades específicas en aplicaciones o servicios web para hacerlos inaccesibles. Son más difíciles de detectar porque pueden parecer tráfico legítimo. Se miden en solicitudes por segundo (rps).

  • Ataque HTTP GET/POST: El atacante envía un gran volumen de solicitudes HTTP (GET para pedir contenido, POST para enviar datos) que parecen legítimas. El servidor consume todos sus recursos (CPU, RAM, conexiones a base de datos) para procesar estas solicitudes, denegando el servicio a usuarios reales.
  • Ataque Slowloris: En lugar de inundar con tráfico, este ataque abre múltiples conexiones al servidor y las mantiene activas enviando cabeceras HTTP parciales de forma muy lenta. Esto agota el número máximo de conexiones concurrentes que el servidor puede manejar, bloqueando el acceso a nuevos usuarios sin necesidad de un gran ancho de banda.
  • Ataque Multi-Vector: Combina ataques de las tres categorías (volumétricos, de protocolo y de aplicación) de forma simultánea o secuencial. Su objetivo es confundir a los sistemas de mitigación, que pueden estar preparados para un tipo de ataque pero ser vulnerables a otro.

III. Herramientas / Recursos / Ejemplos Notables

Existen diversas herramientas que pueden ser utilizadas tanto para pruebas de estrés legítimas como para lanzar ataques DoS/DDoS.

  • LOIC (Low Orbit Ion Cannon): Una de las herramientas más famosas y sencillas. Permite a un usuario inundar un servidor con paquetes TCP, UDP o solicitudes HTTP. Fue ampliamente utilizada por grupos de hacktivistas.
  • HOIC (High Orbit Ion Cannon): Considerada una evolución de LOIC, es capaz de atacar hasta 256 dominios simultáneamente. Utiliza scripts para generar tráfico HTTP POST y GET con el objetivo de evadir contramedidas básicas.
  • Slowloris: Herramienta diseñada específicamente para ejecutar el ataque del mismo nombre. Es muy eficaz contra servidores web que no están configurados para limitar el tiempo de espera de las conexiones.
  • HULK (HTTP Unbearable Load King): Es un script de Python que genera un gran volumen de solicitudes HTTP únicas para ofuscar el ataque y dificultar su detección por parte de los sistemas de caché y mitigación.
  • AnDOSid: Una herramienta para dispositivos Android que permite simular y ejecutar ataques DoS (principalmente inundaciones HTTP POST) desde un teléfono móvil.

IV. Contramedidas / Soluciones / Buenas Prácticas

La defensa contra los ataques DoS/DDoS requiere un enfoque multicapa.

Estrategias de Respuesta

  • Absorción: Utilizar una infraestructura con suficiente capacidad de red y recursos para absorber el pico de tráfico del ataque sin que afecte al servicio.
  • Limitación de Tasa (Rate Limiting): Configurar los dispositivos de red para limitar la cantidad de tráfico que se acepta desde una misma fuente en un período de tiempo determinado.
  • Filtrado de Tráfico:
    • Filtrado de Ingreso (Ingress Filtering): Los proveedores de servicios de internet (ISP) bloquean los paquetes que llegan con una dirección IP de origen falsa o que no debería provenir de esa ruta.
    • Black Hole Filtering: Redirige todo el tráfico (tanto legítimo como malicioso) dirigido a la IP de la víctima a un "agujero negro", descartándolo por completo. Es una medida drástica pero efectiva para detener un ataque.
  • TCP Intercept: Una función de los routers que intercepta las solicitudes SYN. El router completa el handshake con el cliente antes de pasar la conexión al servidor, filtrando así las inundaciones SYN.

Soluciones Proactivas y de Mitigación

  • Balanceo de Carga: Distribuir el tráfico entrante entre múltiples servidores para que ningún servidor individual se vea sobrecargado.
  • Honeypots: Desplegar sistemas señuelo con vulnerabilidades aparentes para atraer a los atacantes. Esto permite estudiar sus métodos y herramientas en un entorno controlado, desviando la atención de los sistemas críticos.
  • Servicios de Protección DDoS en la Nube: Proveedores como Cloudflare, Akamai o AWS Shield ofrecen servicios que se sitúan entre el objetivo y el resto de internet. Analizan y "limpian" el tráfico, absorbiendo y filtrando los ataques antes de que lleguen a la infraestructura del cliente.
  • Appliances de Protección DDoS: Dispositivos de hardware especializados que se instalan en el centro de datos para detectar y mitigar ataques a nivel de red y aplicación en tiempo real.

V. Resumen del Módulo

Esta guía ha detallado la naturaleza y el funcionamiento de los ataques de Denegación de Servicio (DoS) y Denegación de Servicio Distribuido (DDoS). Se han explorado los conceptos fundamentales, incluyendo el papel crucial de las botnets y el crimen organizado. Se analizaron las principales técnicas de ataque, clasificadas en volumétricas, de protocolo y de capa de aplicación, junto con las herramientas más comunes para su ejecución. Finalmente, se presentaron las contramedidas y buenas prácticas esenciales, destacando que una defensa eficaz requiere una estrategia integral que combine la protección a nivel de red, la mitigación en la nube y la configuración segura de las aplicaciones para garantizar la disponibilidad de los servicios.

Cuestionario de Preguntas Cortas

Responde cada pregunta en 2-3 oraciones.

  1. ¿Cuál es la diferencia fundamental entre un ataque DoS y un ataque DDoS?
  2. ¿Qué es una botnet y cuál es su función principal en un ataque DDoS?
  3. Explica brevemente cómo funciona un ataque de inundación SYN (SYN Flood).
  4. ¿Por qué los ataques de capa de aplicación son generalmente más difíciles de detectar que los ataques volumétricos?
  5. ¿Qué es un ataque de Denegación de Servicio por Reflexión (DRDoS) y por qué es efectivo?
  6. Describe el propósito de la herramienta LOIC (Low Orbit Ion Cannon).
  7. ¿En qué consiste la técnica de contramedida conocida como "Black Hole Filtering"?
  8. ¿Cómo ayuda un servicio de protección DDoS en la nube a mitigar un ataque?
  9. Define qué es un ataque "Slowloris" y por qué no requiere un gran ancho de banda.
  10. ¿Qué es el "Filtrado de Ingreso" (Ingress Filtering) y quién suele implementarlo?

Clave de Respuestas del Cuestionario

  1. La diferencia fundamental radica en el origen del ataque. Un ataque DoS se origina desde una única fuente, mientras que un ataque DDoS se lanza desde múltiples fuentes distribuidas (una botnet), lo que lo hace mucho más potente y difícil de bloquear.
  2. Una botnet es una red de ordenadores infectados y controlados por un atacante. Su función principal en un ataque DDoS es generar un volumen masivo y coordinado de tráfico o solicitudes contra un objetivo, multiplicando la fuerza del ataque.
  3. Un ataque de inundación SYN explota el proceso de conexión TCP. El atacante envía una avalancha de paquetes SYN con IPs falsas, haciendo que el servidor reserve recursos para conexiones que nunca se completarán y agotando su capacidad para aceptar conexiones legítimas.
  4. Los ataques de capa de aplicación utilizan solicitudes que parecen legítimas (como peticiones HTTP), lo que los hace difíciles de distinguir del tráfico normal. A diferencia de los ataques volumétricos, no dependen de la fuerza bruta del tráfico, sino de la explotación de la lógica de la aplicación.
  5. Un ataque DRDoS utiliza servidores de terceros (reflectores) para amplificar el ataque. El atacante envía solicitudes a estos servidores con la IP de la víctima falsificada, provocando que todas las respuestas se dirijan a la víctima, inundándola con tráfico no solicitado.
  6. LOIC es una herramienta de código abierto utilizada para pruebas de estrés y ataques DoS. Su propósito es permitir a un usuario inundar un servidor objetivo con una gran cantidad de paquetes TCP, UDP o solicitudes HTTP para interrumpir su servicio.
  7. El Black Hole Filtering es una contramedida que consiste en descartar todo el tráfico dirigido a una dirección IP específica a nivel de enrutador. Aunque detiene el ataque, también bloquea el tráfico legítimo, haciendo que el servicio sea inaccesible.
  8. Un servicio de protección en la nube actúa como un intermediario que filtra el tráfico antes de que llegue al servidor del cliente. Utiliza su infraestructura masiva para absorber el tráfico del ataque y algoritmos avanzados para distinguir y bloquear las solicitudes maliciosas, permitiendo que solo el tráfico legítimo pase.
  9. Un ataque Slowloris consiste en abrir muchas conexiones a un servidor y mantenerlas activas enviando datos parciales muy lentamente. Esto agota el pool de conexiones del servidor, impidiendo que atienda a nuevos usuarios, y no requiere un gran ancho de banda porque su eficacia se basa en la lentitud y no en el volumen.
  10. El Filtrado de Ingreso es una técnica que bloquea paquetes de red que tienen direcciones IP de origen falsificadas. Generalmente es implementado por los Proveedores de Servicios de Internet (ISP) para evitar que los atacantes dentro de su red lancen ataques con IPs falseadas.

Preguntas de Ensayo

  1. Compara y contrasta las tres categorías principales de ataques DDoS (volumétricos, de protocolo y de capa de aplicación). Discute cuál consideras más peligrosa para una organización moderna y por qué.
  2. Describe la estructura y el modelo de negocio del crimen cibernético organizado en el contexto de los ataques DDoS como servicio. ¿Cómo ha impactado este modelo en la proliferación de dichos ataques?
  3. Analiza las ventajas y desventajas de utilizar un servicio de mitigación de DDoS basado en la nube frente a una solución de hardware (appliance) local. ¿En qué escenarios sería preferible cada uno?
  4. Explica en detalle el funcionamiento de un ataque de amplificación, como el ataque Smurf o un ataque de amplificación de DNS. ¿Qué características de ciertos protocolos de red los hacen vulnerables a ser utilizados como reflectores?
  5. Imagina que eres el CISO de una empresa de comercio electrónico. Diseña una estrategia de defensa en profundidad contra ataques DDoS, detallando las medidas preventivas, de detección y de respuesta que implementarías en las diferentes capas de tu infraestructura (red, aplicación, personal).

Glosario de Términos Clave

  • Absorción de Ataque: Estrategia de mitigación que consiste en utilizar una infraestructura con capacidad de red y procesamiento suficiente para soportar el volumen de un ataque DDoS sin afectar a los usuarios legítimos.
  • Amplificación: Técnica de ataque DDoS en la que un atacante utiliza servidores de terceros (reflectores) para multiplicar el volumen del tráfico dirigido a la víctima.
  • Ancho de Banda (Bandwidth): La cantidad máxima de datos que se pueden transmitir a través de una conexión de red en un período de tiempo determinado.
  • Ataque de Capa de Aplicación: Ataque DDoS que se dirige a vulnerabilidades en las aplicaciones (Capa 7 del modelo OSI), como servidores web o bases de datos.
  • Ataque de Protocolo: Ataque DDoS que explota debilidades en los protocolos de red (Capas 3 y 4 del modelo OSI), como TCP o ICMP.
  • Ataque Volumétrico: Ataque DDoS cuyo objetivo es saturar el ancho de banda de la red de la víctima con un volumen masivo de tráfico.
  • Black Hole Filtering: Técnica de mitigación que descarta todo el tráfico (legítimo y malicioso) dirigido a una IP específica.
  • Bot: Un programa de software que realiza tareas automatizadas. En un contexto malicioso, es un dispositivo infectado y controlado por un atacante.
  • Botmaster: El individuo o grupo que controla una botnet.
  • Botnet: Una red de dispositivos comprometidos (zombies) controlados remotamente por un atacante para realizar acciones coordinadas.
  • C&C (Comando y Control): El servidor centralizado que un botmaster utiliza para enviar órdenes y gestionar una botnet.
  • DDoS (Distributed Denial-of-Service): Un ataque de denegación de servicio lanzado desde múltiples fuentes distribuidas.
  • DoS (Denial-of-Service): Un ataque de denegación de servicio lanzado desde una única fuente.
  • Filtrado de Ingreso (Ingress Filtering): Práctica de seguridad de red en la que un ISP verifica que el tráfico entrante tiene una dirección IP de origen legítima.
  • Handshake de Tres Vías (Three-Way Handshake): El proceso utilizado por el protocolo TCP para establecer una conexión entre un cliente y un servidor (SYN, SYN-ACK, ACK).
  • Honeypot: Un sistema informático señuelo diseñado para atraer y registrar los intentos de ataque, desviando la atención de los sistemas reales.
  • Inundación SYN (SYN Flood): Un tipo de ataque de protocolo que explota el handshake de tres vías de TCP para agotar los recursos del servidor.
  • Limitación de Tasa (Rate Limiting): Una técnica de contramedida que restringe la cantidad de solicitudes que un servidor acepta de una fuente en un período de tiempo determinado.
  • PDoS (Permanent Denial-of-Service): Un ataque que causa un daño irreversible al hardware de un sistema, por ejemplo, corrompiendo su firmware. También conocido como "phlashing".
  • Zombie: Un ordenador o dispositivo que ha sido comprometido por un atacante y se ha convertido en parte de una botnet.

Themes