Denegación de servicio distribuido (Distributed Denial of Service, DDoS)

DDoS es un intento de agotar los recursos disponibles para una red, una aplicación o un servicio para que los usuarios genuinos no puedan obtener acceso.

Comenzando en 2010, y motivado en gran medida por el auge del hacktivismo, hemos visto un renacimiento en ataques DDoS que ha llevado a la innovación en las áreas de herramientas, objetivos y técnicas. Hoy en día, la definición de un ataque DDoS sigue volviendo más complicada. Los delincuentes cibernéticos utilizan una combinación de ataques de muy alto volumen, junto con infiltraciones más sutiles y difíciles de detectar que se dirigen a las aplicaciones, así como a la infraestructura de seguridad de redes existente, como firewalls e IPS.

¿Cuáles son los diferentes tipos de ataques DDoS?

Los ataques de denegación de servicio distribuido varían significativamente, y existen miles de maneras diferentes en las que se puede realizar un ataque (vectores de ataque), pero un vector de ataque generalmente caerá en una de tres categorías amplias:

Ataques volumétricos
Ataques de agotamiento de estado TCP
Ataques de nivel de aplicación

Ataques volumétricos

Los ataques volumétricos intentan consumir el ancho de banda ya sea dentro de la red/servicio de destino, o entre la red/servicio de destino y el resto de Internet. Estos ataques son simplemente para causar congestión.

Ataques de agotamiento de estado TCP

Los ataques de agotamiento de estado TCP intentan consumir las tablas de estado de conexión que están presentes en varios componentes de infraestructura, como los equilibradores de carga, firewalls y los servidores de aplicaciones. Incluso los dispositivos de alta capacidad capaces de mantener el estado en millones de conexiones pueden ser derribados por estos ataques.

Ataques de nivel de aplicación

Los ataques de nivel de aplicación tienen como objetivo a algún aspecto de una aplicación o servicio en la capa 7. Estos son los ataques más letales, ya que pueden ser muy efectivos con tan solo una máquina atacante generando una baja tasa de tráfico (esto hace que estos ataques sean muy difíciles de detectar y mitigar de forma proactiva). Los ataques de capa de aplicación han llegado a la prevalencia durante los últimos tres o cuatro años y los ataques de capa de aplicación simple "flood" (HTTP GET flood etc.) han sido los ataques de denegación de servicio que se han visto en el panorama.

Los atacantes sofisticados actuales están mezclando los ataques volumétricos, de estado de agotamiento y de capa de aplicación contra los dispositivos de infraestructura, todo en un solo y sostenido ataque. Estos ataques cibernéticos son populares porque son difíciles de defender y a menudo altamente efectivos.

El problema no termina ahí. Según Frost & Sullivan, los ataques DDoS se “están utilizando cada vez más como una táctica de desviación para los ataques persistentes selectivos”. Los atacantes están utilizando las herramientas DDoS para distraer a los equipos de redes y de seguridad y al mismo tiempo intentan inyectar amenazas persistentes avanzadas como el malware a la red, con el objetivo de robar información de IP y/o clientes críticos o financieros.

Glosario de ataques DDoS

¿Por qué son tan peligrosos los ataques DDoS?

DDoS representa una amenaza significativa para la continuidad del negocio. A medida que las organizaciones se han vuelto más dependientes de Internet y de las aplicaciones y servicios basados en la web, la disponibilidad se ha vuelto tan esencial como la electricidad.

DDoS no es solo una amenaza para los minoristas, los servicios financieros y las empresas de videojuegos con una necesidad obvia de disponibilidad. Los ataques DDoS también se dirigen a las aplicaciones de negocios de misión crítica que su organización confía para gestionar las operaciones diarias, como correo electrónico, automatización de equipos de ventas, CRM y varios otros. Adicionalmente, otros sectores, tales como la fabricación, farmacéutica y atención médica, tienen propiedades web internas en las cuales confían la cadena de suministro y otros socios comerciales para las operaciones diarias de negocios. Todos estos son objetivos para los atacantes cibernéticos sofisticados de hoy en día.

Las computadoras calavera HTTP de ataques de inundación se centran en el sitio web

¿Cuáles son las consecuencias de un ataque DDoS?

Cuando un sitio web o aplicación de orientación pública no está disponible, eso puede resultar en clientes enfadados, pérdidas de ingresos y daños a la marca. Cuando las aplicaciones críticas del negocio no están disponibles, las operaciones y la productividad se paralizan. Los sitios Web internos en los que los socios confían significan interrupción en la cadena de suministro y la producción.

Una campaña DDoS exitosa también significa que su organización ha invitado a más ataques. Puede esperar que los ataques continúen hasta que se desplieguen las defensas contra DDoS más sólidas.

Flechas verdes y grises de los ataques de inundación de SYN centrándose en los dispositivos

¿Cuáles son las opciones de protección contra ataques DDoS?

Dada la naturaleza de alto perfil de los ataques DDoS y sus potencialmente devastadoras consecuencias, varios proveedores de seguridad han empezado a ofrecer soluciones de protección contra ataques DDoS. Con tanta importancia en su decisión, es crítico entender las fortalezas, y las debilidades, de las opciones.

Signos de un ataque de lectura lenta que entra en las flechas desde la izquierda

Soluciones de infraestructura existentes

(Firewalls, sistemas de detección/protección contra intrusiones, controladores de entrega de aplicaciones/equilibradores de carga)

Los dispositivos IPS, firewalls y otros productos de seguridad son elementos esenciales de una estrategia de defensa estratificada, pero están diseñados para resolver problemas de seguridad que son fundamentalmente diferentes de los Productos de detección y mitigación de DDoS dedicados. Los dispositivos IPS, por ejemplo, bloquean los intentos que causan el robo de datos. Mientras tanto, un firewall actúa como ejecutor de políticas para evitar el acceso no autorizado a los datos. Si bien estos productos de seguridad abordan la “integridad y confidencialidad de la red” de manera eficaz, no abordan una preocupación fundamental respecto de los ataques DDoS: “la disponibilidad de la red”. Además, los dispositivos IPS y firewalls son soluciones insertadas estatales, lo que significa que son vulnerables a los ataques DDoS y a menudo se convierten en los propios objetivos.

Similar a IDS/IPS y firewalls, los ADC y equilibradores de carga no tienen más visibilidad del tráfico de redes ni inteligencia sobre amenazas integrada y también son dispositivos estatales vulnerables a los ataques de agotamiento del estado. El aumento de las amenazas volumétricas que agotan el estado y los ataques de nivel de aplicación combinados hacen que los ADC y equilibradores de carga sean una solución limitada y parcial para los clientes que requieren la mejor protección contra ataques DDoS.

Ataques de Post lentos del temporizador de red CDN

Redes de entrega de contenido (Content Delivery Networks, CDN)

La verdad es que una CDN aborda los síntomas de un ataque DDoS al simplemente absorber estos grandes volúmenes de datos. Permite que toda la información entre. Todos son bienvenidos. Hay tres advertencias aquí. La primera es que debe haber ancho de banda disponible para absorber este tráfico de gran volumen, y algunos de estos ataques basados en la volumetría están superando los 300 Gbps, y hay un precio por toda esta capacidad. En segundo lugar, hay maneras alrededor de la CDN. No todas las páginas web o activos usarán la CDN. En tercer lugar, una CDN no puede proteger de un ataque basado en aplicaciones. Así que es mejor dejar que la CDN haga lo que se diseñó para hacer.

Firewalls de aplicaciones web protegen contra ataques

Firewall de aplicaciones web (Web Application Firewall, WAF)

Un WAF es un dispositivo de procesamiento de paquetes de estado diseñado para detener ataques de aplicaciones basadas en la web y, por lo tanto, no detiene todos los tipos de ataques DDoS como los ataques de agotamiento del estado TCP. Cualquier tipo de ataque de inundación de reflejo o amplificación que use numerosas fuentes abrumaría a un WAF, lo que haría que toda la solución fuera inútil. La conclusión es que estas dos tecnologías son complementarias en su uso para proteger a las organizaciones del ataque, pero un WAF no protegerá contra los amplios vectores de los ataques DDoS.

¿Cuál es el enfoque de NETSCOUT Arbor para la protección DDoS?

La solución Arbor contra ataques DDoS de NETSCOUT ha estado protegiendo las redes más grandes y más exigentes del mundo contra ataques DDoS durante más de una década. Creemos firmemente que la mejor manera de proteger sus recursos contra ataques DDoS modernos es a través de un despliegue multicapa de soluciones de mitigación contra ataques DDoS creadas a propósito.

Solo con una defensa de múltiples capas estrechamente integrada puede proteger adecuadamente a su organización del espectro completo de los ataques DDoS.

Los clientes de NETSCOUT gozan de una ventaja competitiva considerable dándoles una perspectiva micro de su propia red a través de nuestros productos, combinados con una vista macro del tráfico de Internet mundial, a través de NETSCOUT Cyber Threat Horizon, una interfaz a nuestra inteligencia sobre amenazas ATLAS y una visualización del mapa de ataques DDoS.