¿Qué es un ataque DDoS?

Agosto 2, 2021 8:00 am Publicado por Deja tus comentarios

Un DDoS, o Ataque de Denegación de Servicio Distribuido (Distributed Denial-of-Service) es probablemente una de las armas más potentes y peligrosas en Internet, ya que pueden dejar a una máquina o red completamente fuera de línea de forma indefinida, en algunos casos por largos períodos de tiempo, provocando enormes daños económicos a las empresas.

Este tipo de ataques consiste en un tsunami de datos y/o peticiones que colapsan el ancho de banda y/o recursos del CPU de un equipo, firewall, o router. A diferencia de DoS, Ataque de Denegación de Servicio, un DDoS implica que el ataque no proviene de un sólo origen, sino que de múltiples fuentes, haciéndolo exponencial y más complejo de mitigar. El ataque DDoS más grande a la fecha fue el que sucedió en Febrero de 2020, cuando Amazon Web Services fue atacado con más de 2.300 Gbps de tráfico DDoS (https://www.thesslstore.com/blog/largest-ddos-attack-in-history/).

Tipos de ataques DDoS

A grandes rasgos, hay 3 tipos de ataques DDoS:

  1. Basado en volumen: Este tipo de ataque es muy común y busca saturar completamente el ancho de banda de un equipo/servidor/red para que sea inaccesible desde Internet, ya que miles o decenas de miles de orígenes infectados realizan un ataque coordinado. Se mide en el volumen de tráfico de bajada que le llega a la víctima, se suele medir en Mbps o Gbps (Gigabits por segundo). Aunque podría afectar el tráfico de subida.
  2. Basado en protocolo: Este tipo de ataque no se basa principalmente en el volumen de datos que se envían a una víctima, sino que usa paquetes de tamaño muy pequeño que saturan el CPU o memoria de la víctima, más que atacar su ancho de banda. Sin embargo, su efecto suele ser similar provocando que la red sea inaccesible, ya sea porque queda offline o con una afectación muy grave de pérdida de paquetes. Se mide normalmente en Pps (Paquetes por segundo).
  3. Basado en Aplicación: Es una variación del ataque de protocolo, pero que busca, no saturar directamente los recursos de CPU o memoria de la víctima, sino atacar el número máximo de conexiones de un servicio, ya sea base de datos, servidor Web, u otro. Se mide normalmente en Rps (Requests por segundo).

¿Por qué se producen estos ataques?

Lamentablemente se ha vuelto una práctica común en los últimos años, y se caracterizan por ser habitualmente ataques de corta duración, sin embargo, hay veces que estos ataques pueden durar horas o días.

Las razones son diversas, pero entre las más comunes se incluyen:

  • Empresas con conductas delictuales, hay empresas poco éticas que suelen realizar ataques DDoS para tratar de desconectar de Internet (o dañar el rendimiento significativamente) a sus competidores. Ejemplos de esto son ISPs con prácticas criminales atacando a otros ISPs en su zona, empresas que quieren afectar eventos de otras empresas como Cyber Monday o Black Friday
  • Malos perdedores de juegos en línea, este tipo de ataques normalmente afecta a servidores de juegos o a conexiones residenciales, pero en el caso de algunos pequeños ISPs puede tumbar también la red del ISP al no tener suficientes recursos de red o de procesamiento para soportar el ataque.
  • Extorsión, cyber delincuentes que usan ataques DDoS para afectar las operaciones de una empresa y extosionar económicamente a la víctima pidiendo dinero (normalmente en algun tipo de criptomoneda) para dejar de atacar y que así la víctima pueda volver a estar online.
  • Ideologías, este es un fenomeno más reciente donde se ataca por razones de ideología política, religiosa o de otro tipo. Estos ataques son realizados por “hacktivistas”.
  • Cyber guerra, aunque probablemente no se reconozca, otra motivación puede ser dejar gran parte de la infraestructura de Internet de un país enemigo fuera de línea, o por ejemplo para dejar sin conectividad un sitio web de oposición política y otro tipo de contenido.

¿Cómo saber si estoy siendo víctima de un ataque DDoS?

Los ataques de DoS y DDoS normalmente presentan algunos sintomas que pueden ser confundidos con otros problemas, por lo que es muy útil tener un sistema de monitoreo con gráficas y análisis de red para ver que es normal y que no. Algunos de estos sintomas incluyen:

  • Desconexión completa de Internet
  • CPU del router o equipo al 100%
  • Lentitud de acceso a ciertas páginas Web o a todo destino en Internet
  • Aparición excesiva de CAPTCHAs

Próximamente publicaremos un artículo sobre cómo prevenir y mitigar este tipo de ataques. Además, cubriremos cómo recolectar la información para tomar acciones legales contra el atacante.

No olvides suscribirte a nuestro newsletter.

« | »