Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Combatir la denegación de servicio en su origen
Joao Correia
27 de febrero de 2023 - Evangelista técnico
Los ataques de denegación de servicio (DoS) son un tipo especial de amenaza a la ciberseguridad. El atacante no necesita piratear sus sistemas o encontrar una brecha en su seguridad. El atacante ni siquiera necesita tener conocimientos o recursos sustanciales a su disposición para lanzar un ataque DoS efectivo - sólo necesita pagar 30 USD al mes y puede alquilar una botnet para dejar fuera de Internet de forma efectiva una red de pequeña/mediana empresa durante algún tiempo.
Los ataques DoS -no, no MS-DOS, el venerable sistema operativo de antaño- se dividen en dos grandes categorías: tráfico de red abrumador que bloquea eficazmente el tráfico legítimo para que no llegue a sus sistemas y peticiones abrumadoras que inmovilizan una cantidad considerable de recursos para responder e impiden que sus sistemas atiendan las peticiones legítimas. Hay otras situaciones límite que entran dentro de la denegación de servicio en sentido amplio (por ejemplo, dañar físicamente un servidor o una línea de comunicación), pero se trata de casos excepcionales y no de la norma.
También existe una distinción entre un ataque de denegación de servicio lanzado por un único individuo y un único sistema de origen, o con un número reducido de sistemas de origen, y los lanzados por cientos de miles de sistemas simultáneamente contra un sistema o red objetivo (un ataque de denegación de servicio distribuido, o DDoS).
En 2020, Amazon anunció que se había defendido con éxito contra el mayor ataque DDoS conocido públicamente en ese momento: 2,3 Tbps de tráfico estaba golpeando la red de AWS, dirigido a un pequeño subconjunto de servicios alojados. Eso son 2,3 terabits de tráfico por segundo, cada segundo, durante un periodo de tiempo. Eso es cerca de 300 gigabytes por segundo, o, en números de persona mayor, 67 DVDs de datos por segundo, cada segundo (si no estás familiarizado, un DVD es como Netflix, pero sin la parte de "red", y sólo contiene una película).
Pero eso fue en 2020. En 2018, github se había defendido de otro ataque a gran escala de aproximadamente ese tamaño: 1,3 Tbps. Sigue siendo una cantidad asombrosa de datos, pero en términos actuales, es como una pintura rupestre comparada con la Mona Lisa.
Un avance rápido hasta 2023, y CloudFlare acaba de anunciar que han detenido un ataque DDoS de 71 millones de peticiones por segundo. Aunque no podemos comparar exactamente las cifras, ya que AWS informó de sus resultados en tráfico de red y Cloudflare en solicitudes por segundo (o, el ataque de AWS fue del tipo de inundación de red y el de CloudFlare del tipo de agotamiento de recursos), sigue siendo una cifra increíblemente alta.
¿Cómo es posible siquiera lanzar ataques de esta magnitud?
Hay varios factores que contribuyen al aparente crecimiento en escala que ha estado experimentando el DoS. En primer lugar, y bastante importante, es el hecho de que los proveedores de nube a hiperescala tienen las conexiones de red más grandes de Internet, por lo que el tráfico de esta magnitud podrá llegar a sus redes y servicios alojados. En segundo lugar, lanzar un ataque DoS no depende "sólo" de los recursos propios del atacante.
Lanzar ataques DoS con éxito suele implicar aprovechar vulnerabilidades en multitud de sistemas que no están dispuestos a ello. Una táctica común es encontrar algún tipo de servicio que responda a una petición con más datos de los que se le enviaron - por ejemplo, una consulta DNS para google.com responde con muchos más caracteres de los que se enviaron inicialmente en la petición. Si además puedes encontrar una forma de engañar al servidor DNS para que envíe la respuesta a tu objetivo, acabas de encontrar los peones que necesitas para realizar un DoS. Esto se denomina "DoS de amplificación".
Se han descubierto varios servicios vulnerables a la amplificación, es decir, vulnerables a ser explotados por un atacante para inundar un objetivo, como los servidores DNS servidores DNS BIND o servidores LDAP expuestos a Internet. Así, un simple atacante tomando café en casa podría recopilar una lista de servidores DNS (y hay miles de ellos), escribir un sencillo script y, ¡tachán! - DDoS listo para funcionar.
Si un atacante no está dispuesto a pasar por la molestia de hacer una simple búsqueda en Shodan de esos servidores DNS, tal vez disponga de 30 USD para suscribirse a una oferta de DoS-as-a-service. Sí, así es. Con tan sólo 30 dólares al mes, puede "alquilar" una red de bots lista y dispuesta a participar en tales esfuerzos. Pague más para obtener más bots o periodos más largos disponibles para sus ataques.
¿Qué es una botnet? Pues bien, se trata de un grupo de estaciones de trabajo o servidores, normalmente empresariales, que disponen de un software oculto que les permite ser controlados de forma remota -y, por tanto, convertidos en armas- por un actor malicioso o un grupo de amenazas.
¿Y para qué sirve un ataque DoS?
Los motivos suelen ser el beneficio económico o el perjuicio económico. Esto puede conseguirse tomando como rehén a una organización con amenazas del tipo "páguenos X cantidad de bitcoins o sus sistemas quedarán fuera de servicio", o causando un daño financiero directo eliminando los sistemas que sustentan la capacidad de una empresa para hacer negocios o ventas.
Elija lo que elija el atacante, la víctima pierde.
¿Cómo se puede combatir?
Aparte de confiar en que tu ISP filtre el tráfico, o contratar algún servicio de protección como Cloudflare, no hay mucho más que puedas hacer. E incluso entonces, no estás "resolviendo" el problema, sólo estás añadiendo un búfer (con suerte) lo suficientemente grande entre tu red y el atacante. En el momento en que tu cortafuegos perimetral o de aplicaciones corta el tráfico DoS, ya es demasiado tarde - la tubería ya está obstruida y no importa si taponas el sumidero o no. E, incluso si de alguna manera evitas que el tráfico llegue al interior de tu red, puede ser de tal escala que inunde la red de tu ISP en su lugar, y acabe afectando a tu disponibilidad independientemente de tus esfuerzos.
Y aquí es donde un ataque DoS es diferente de otras amenazas de ciberseguridad de vainilla, como el ransomware o un hacker que encuentra su camino en un sistema. El atacante no necesita ningún conocimiento interno sobre sus sistemas, no necesita ninguna habilidad de hacking, per se, e incluso si usted ha parcheado a tiempo para cumplir con sus requisitos de cumplimiento, en realidad no hace una diferencia.
Combatir eficazmente los ataques de denegación de servicio requiere un esfuerzo más amplio para luchar directamente contra las redes de bots y parchear los servicios de amplificación, en lugar de operar a nivel del objetivo. En cierto modo, eliminar las armas en lugar de proteger los objetivos.
Los botnets se crean cuando los sistemas se infectan, y este es el enfoque tradicional - phishing, vulnerabilidades sin parchear, configuraciones erróneas - y estos sí pueden parchearse eficazmente. Los servicios de amplificación suelen ser el resultado de errores en el diseño o la implementación de dichos servicios, y eso también se puede parchear. Esto no hace más que reforzar la necesidad de parchear adecuadamente todos sus sistemas. No porque usted sea la víctima del DoS, sino porque sus sistemas pueden ser el arma apuntada contra los sistemas de otros.
La mejor opción para luchar contra esto es en la fuente, y la "fuente" es cualquier sistema infectado o sin parchear. Dado que no es posible adivinar qué servicio se va a encontrar vulnerable para ser utilizado como amplificador en un ataque de este tipo, el mejor consejo es simplemente parchear todo lo que se pueda, en todas partes, y hacerlo todo el tiempo. Si esto le resulta abrumador porque es disruptivo, busque opciones no disruptivas, como live patching.
Mantener seguros los sistemas propios también ayuda a mantener seguros los sistemas de los demás.
