¿Qué es un ataque DDoS? El significado y los 5 tipos principales

SoftwareLab Blog

¿Qué es un ataque DDoS?

Un ataque DDoS está diseñado para poner fuera de servicio páginas web y redes informáticas. Es una forma de crimen cibernético que envía torrentes continuos de tráfico falso a servicios online, como páginas web, hasta que se paralizan o rompen. Es difícil pararlos y hasta las páginas más grandes han sido víctimas de estos ataques en el pasado. Siga leyendo para aprender más sobre los ataque de DDoS más comunes.

¿Qué aprenderá en este artículo?

Los ataques DDoS se dirigen hacia páginas web, no hacia individuos. Así que, si no es propietario de una página web, está a salvo de esta amenaza. Aun así, recomendamos no correr riesgos en la red. Protéjase hoy mismo y eche un vistazo a la lista de los 5 mejores software antivirus.

Tibor Moes

Fundador, SoftwareLab

Ataque DDoS

Imagine que es dueño de una cafetería. Un día abre su negocio y una gran cantidad de personas atraviesa sus puertas. Un día ajetreado, piensa usted, es bueno para el negocio. Bueno, es cierto que será un día muy ajetreado, pero no será bueno para el negocio. La gente se sienta en sus mesas, pero no pide nada. Siguen entrando, ocupando espacio, y se lo ponen difícil a sus clientes reales para que compren cualquier cosa. Finalmente, la aglomeración acabará bloqueando la entrada a su tienda e impedirá que se pueda servir a sus clientes legítimos.

Así sería un ataque DDoS si ocurriera en la vida real.

¿Qué es un ataque DDoS?

El ataque DDoS es un acrónimo de Denegación de Servicio Distribuido. Convierte el servicio online en no disponible a través del bombardeo con tráfico desde diferentes fuentes.

Es un tipo de ataque de Denegación de Servicio (DoS), que proviene de una sola fuente: solo una conexión de red o un dispositivo comprometido. Los ataques DDoS, en comparación, son ataques que provienen de múltiples fuentes.

En esencia, un ataque de Denegación de Servicio es cualquier método que impide a los clientes reales acceder a los recursos de la red. El ejemplo de la cafetería se puede aplicar a cualquier tipo de recurso de la red: un servidor de juegos o una página web, por ejemplo.

Cuando el servidor o la página están siendo el blanco de un ataque DDos, serán incapaces de satisfacer su propósito real. Como el ataque sobrecarga esa página o servidor de juegos con tráfico falso, el tráfico real, las personas que quieran unirse al juego o visitar la página web, no podrán hacerlo.

La mayoría de los ataques DDos se implantan a través de “botnets”, una red de bots, o una red de dispositivos peligrosos conectada a internet, controlada por un hacker. El número de botnets puede variar desde unos pocos dispositivos hasta millones de ellos. Peor aún, como la mayoría de botnets son recursos invadidos, los propietarios reales de estos dispositivos ni siquiera saben que los están usando para llevar a cabo ataques DDos.

Multiplicar las fuentes de los ataques amplifica la efectividad del ataque, al mismo tiempo que ayuda a ocultar la identidad del autor.

¿Tipos de ataques de DDoS?

Para comprender mejor cómo detener un ataque DDoS, necesitará entender en qué consisten los diferentes tipos. Los ataques DDos se dividen en tres amplias categorías, que dependen de hacia dónde se dirige el ataque:

  1. Ataques por volumen – como su propio nombre indica, este tipo de ataques DDoS aprovecha los volúmenes. Los ataques DDoS basados en el volumen también se llaman “inundaciones”. Este es el tipo más básico y la definición en sí misma de un ataque DDoS.
  2. Ataques de protocolo – Este tipo de ataques DDoS se centran en enviar olas de bots a protocolos específicos: por ejemplo, balanceadores de carga, cortafuegos o los servidores de internet que componen los recursos de la red que intentan derribar.
  3. Ataques a las aplicaciones – Se consideran el más serio y sofisticado tipo de ataque DDoS. Estos ataques se dirigen hacia las aplicaciones de internet mediante el aprovechamiento de las vulnerabilidades de estas. También llamados “Ataques de la capa 7”, los ataques a las aplicaciones todavía funcionan de la misma forma, pero necesitan mucha menos fuerza bruta porque se centran en los puntos débiles de los servidores atacados. Se necesita mucho menos tráfico de bot para monopolizar procesos y protocolos específicos de estos puntos débiles. El ataque también resulta mucho más difícil de detectar porque el volumen bajo de tráfico que genera puede parecer legítimo.

Los 5 ataques DDoS más comunmente usados

Los ataques DDoS más empleados derivan de las tres categorías arriba mencionadas:

  1. Inundación de UDP (Protocolo de Datagramas de Usuario)

Las aplicaciones usan protocolos de comunicación para conectarse a través de internet. Los protocolos más comúnmente usados son los Protocolos de Control de Transmisión (TCP o en ocasiones TCP/IP, IP significa Protocolo de Internet) o Protocolo de Datagramas de Usuario (UDP o UDP/IP). Mandan paquetes de datos a internet para establecer conexiones y enviar datos correctamente.

Una inundación de UDP es exactamente lo que cabe esperar: un ataque de protocolo DDoS hacia el UDP.

The perpetrator sends the target UDP packets with false information—the targeted network resource will be unable to match the UDP packet with the right associated applications, and will return an error message. Repeat this enough times and the system can become overwhelmed, ultimately becoming unresponsive.

El autor envía al UDP atacado paquetes con información falsa, los recursos de la red atacados no serán capaces de hacer coincidir el paquete de UDP con las aplicaciones asociadas acertadas, y devolverá un mensaje de error. Repetir esto las suficientes veces y el sistema se sobrecargará, hasta que quede anulado.

  1. Inundación de DNS (Servidor de Nombre de Dominio)

Los Servidores de Nombre de Dominio (DNS) son servidores de ordenadores que traducen URLs de las páginas web en sus direcciones IP reales. Por ejemplo, cuando usted visita Facebook para conectarse con sus amigos y familia, usted teclea Facebook[.]com en su navegador. Lo que usted le está diciendo realmente a su ordenador es que vaya a una de las direcciones IP de Facebook (Facebook tiene muchas, ya que tiene que albergar mucho tráfico). Una de las direcciones IP de Facebook es 66.220.144.0.

Los servidores de DNS traducen los nombres que usted conoce de las páginas web en sus direcciones IP reales.

Así que, ¿qué pasaría si usa un ataque DDoS para inundar los servidores de DNS para que no puedan desempeñar esta función? Este es exactamente el objetivo de la inundación de DNS.

  1. Inundación de SYN (Synchronize)

Una petición de SYN es parte de un proceso de secuencia de conexión de tres vías a través de TCP (Proyectos de Cooperación Técnica). No se preocupe, esto puede sonar muy técnico, pero es bastante sencillo:

Primero, se envía una petición de SYN (sincronización) a un host. Entonces, el host devuelve una respuesta SYN-ACK (sincronización – conocimiento). El host que ha solicitado una secuencia de tres vías entonces finaliza el protocolo con una respuesta ACK (conocimiento). Lo que este proceso permite es que dos hosts o dos ordenadores negocien cómo se comunicarán para continuar hacia delante.

Una inundación de SYN paraliza el proceso de secuencia de tres vías en primer lugar. El atacante envía múltiples solicitudes de SYN, ya sea desde una dirección IP falsa, o simplemente no responde a la petición de SYN-ACK desde el sistema atacado. El sistema atacado sigue esperando el último paso de la secuencia de tres vías, la respuesta de ACK, para cada solicitud.

Esto se hace con la rapidez y volumen suficientes hasta atascar los recursos del sistema atacado, hasta que no se puedan realizar nuevas conexiones, y como resultado se obtiene la denegación de servicio.

  1. Inundación de HTTP

HTTP significa Protocolo de Transferencia de Hipertexto, y también es el fundamento de la transferencia de datos en internet. De hecho, ahora mismo puede verlo en su barra de dirección, con una “S” adicional que significa HTTP segura.

Como con todos los demás protocolos, HTTP utiliza unos pocos tipos de solicitud para enviar o pedir información, así como HTTP POST y GET. El uso más típico de una inundación de HTTP es para que los hackers obtengan información útil de una página web y escondan sus huellas con un gran número de solicitudes de HTTP POST o GET, para sobrecargar la aplicación web o el servidor.

Este método requiere menos ancho de banda para ejecutarse, pero puede forzar los servidores a que sobrecarguen sus recursos.

  1. Inundación de ICMP (Ping)

El Protocolo de Mensajes de Control de Internet es un protocolo que denuncia errores, usado ampliamente por las utilidades de diagnóstico ping (Packet Internet Groper), entre otros. Básicamente, un “ping” se hace en una página web para comprobar si se puede acceder a ella. Los resultados del ping le indicarán algunos problemas de la conectividad, y a partir de ahí usted puede empezar a solucionarlos.

Un ping envía un paquete pequeño de información al recurso de red objetivo (por ejemplo, una página web), y ese recurso devuelve un paquete de información de tamaño similar al remitente.

Una inundación de Ping es simplemente una avalancha de solicitudes de ping, de tal magnitud que la banda ancha de la red del sistema atacado se obstruye al intentar responder a cada solicitud.

Otro tipo de ataque DDoS que usa ping es el llamado Ping de la Muerte, que, en lugar de usar grandes cantidades de paquetes de datos de tamaños similares, elude las medidas de seguridad y envía paquetes de datos de gran tamaño o malformados para sobrecargar el sistema atacado.

¿Cómo detener los ataques DDoS?

Los ataques DDoS son difíciles de identificar. Un administrador del sistema que realiza tareas de mantenimiento o incluso un problema técnico con un recurso de la red en particular puede producir síntomas similares a un ataque DDoS. Aun así, es mejor mantenerse alerta y mirar con atención y detenimiento un funcionamiento muy lento o la no disponibilidad de servicios.

La protección contra DDoS se puede realizar a través del control de tráfico y con análisis de cortafuegos o sistemas de detección de intrusión, estos pueden detectar e identificar los ataques DDoS. Los administradores de sistemas también pueden programar alertas de actividad de tráfico anómalo, como puede ser un volumen anormalmente alto de tráfico de datos o caídas de paquetes de la red, que corresponden a ciertos criterios.

Las malas noticias son que los ataques DDoS modernos pueden ser tan grandes y sofisticados, que resolverlos por uno mismo es casi imposible. Tendrá que llamar a su proveedor de internet (ISP) o a un experto en anulación de DDoS para eliminar por completo la amenaza.

Si está siendo atacado, hay varias cosas que puede intentar para ganar tiempo y llamar a su proveedor de internet o a un experto:

  • Aumentar el suministro del ancho de banda – aumente la disponibilidad de su banda ancha a varias veces mayor cantidad del límite actual, para poder soportar sobretensiones repentinas del tráfico de datos.
  • Defienda el perímetro de la red de su propio servidor – puede mitigar los efectos de un ataque DDoS continuo al afinar algunos perímetros de la red:
  • Limitar la velocidad de su router ayuda a prevenir la sobrecarga de su servidor de internet.
  • Introducir filtros ayuda a su router a identificar fuentes de ataque obvias.
  • Crear tiempos de espera (timeouts) más agresivos para las conexiones inacabadas. Algunos de los ataques DDoS se aprovechan de los protocolos inacabados para obstruir su banda ancha. Timeouts más agresivos ayudan a cerrar vectores de ataques DDoS activos.
  • Descartar paquetes de datos malformados y falsos.
  • Reducir los umbrales de SYN, UDP e ICMP, tres de los ataques DDoS más comunes.

Una vez que afine estos retoques, puede ganar algo de tiempo para que su proveedor de internet se ocupe del ataque DDoS, o para que un experto lo resuelva.

Por otro lado, las compañías de seguridad en internet ofrecen productos y servicios que pueden ayudar a prevenir los ataques y refuerzan la protección contra los DDoS. La mejor manera de prevenir, identificar y detener los ataques DDoS es a través de un software de protección contra DDoS.

¿Estás protegido?

Cada minuto, hay más de 400 ataques cibernéticos

SoftwareLab.org is operated by Momento Ventures Inc. © 2019. All rights reserved.

Disclaimer: SoftwareLab.org is not an antivirus, VPN or hosting service provider and does not endorse the use of the products featured on this website for unlawful means. It is the responsibility of the user to adhere to all applicable laws. We have no control over the third-party websites we link to and they are governed by their own terms and conditions. SoftwareLab.org is supported by advertisement in order to be a free-to-use resource. We strive to keep the information accurate and up-to-date, but cannot guarantee that it is always the case.