¿Qué es un ataque DDoS?
DDoS son las
siglas de Distributed
Denial of Service. La traducción es “ataque distribuido
denegación de servicio”, y traducido de nuevo significa que se ataca al
servidor desde muchos ordenadores para que deje de funcionar.
¿Cómo se lleva a cabo un ataque DDoS?
Por,
Inundación SYN (SYN Flood)…
Cuando una
máquina se comunica mediante TCP/IP
con otra, envía una serie de datos junto a la petición real. Estos datos forman la cabecera de la
solicitud. Dentro de la cabecera se encuentran unas señalizaciones llamadas Flags
(banderas). Estas señalizaciones (banderas) permiten
iniciar una conexión, cerrarla, indicar que una solicitud es urgente, reiniciar
una conexión, etc.
Las banderas
se incluyen tanto en la solicitud (cliente), como en la respuesta (servidor).
Para
aclararlo, veamos cómo es un intercambio estándar TCP/IP:
1) Establecer Conexión: el cliente envía una Flag SYN; si el
servidor acepta la conexión, éste debería responderle con un SYN/ACK; luego el
cliente debería responder con una Flag ACK.
1-Cliente
--------SYN-----> 2 Servidor
4-Cliente
<-----syn span="" style="mso-spacerun: yes;"> 3 Servidor
5-Cliente
--------ACK-----> 6 Servidor
2) Resetear Conexión: al haber algún error o pérdida de
paquetes de envío se establece envío de Flags RST:
1-Cliente
-------Reset-----> 2-servidor
4-Cliente
<----reset 3-servidor="" span="">
5-Cliente
--------ACK------> 6-Servidor
La
inundación SYN envía un flujo de paquetes TCP/SYN (varias peticiones con Flags
SYN en la cabecera), muchas veces con la dirección de origen falsificada. Cada uno de los paquetes recibidos es tratado
por el destino como una petición de conexión, causando que el servidor intente
establecer una conexión al responder con un paquete TCP/SYN-ACK y esperando el
paquete de respuesta TCP/ACK (Parte del proceso de establecimiento de conexión
TCP de 3 vías). Sin embargo, debido a que la dirección de origen es falsa o la
dirección IP real no ha solicitado la conexión, nunca llega la respuesta.
Estos
intentos de conexión consumen recursos en el servidor y copan el número de
conexiones que se pueden establecer, reduciendo la disponibilidad del servidor
para responder peticiones legítimas de conexión.
¿Cómo afecta un DDoS a una web?
Depende del
ataque y del servidor. Los
servidores se pueden proteger contra estos ataques con filtros que rechacen los paquetes mal formados o
modificados con IPs falsas, de forma que al servidor sólo le llegan los
paquetes legítimos. Por supuesto, las medidas no son infalibles y el servidor
siempre puede acabar saturado si el ataque es suficientemente masivo y está
bien preparado.
¿Y
qué ocurre cuando el servidor se satura?
Simplemente
deja de estar disponible durante un tiempo hasta que el ataque para. Es muy
difícil que se produzcan daños físicos en el servidor. Además, el DDoS por sí sólo no permite entrar en el
servidor: para ello es necesario aprovechar alguna vulnerabilidad, y eso no
es nada fácil.
Así que,
básicamente, un DDoS sólo
puede provocar la caída de la web, nada más. Dependiendo del
tipo de web esto puede ser una catástrofe o no. Si la web genera dinero (venta
online, publicidad), el propietario deja de ganar dinero mientras esa web está
caída. Imaginaos las pérdidas que puede llegar a tener Amazon, por ejemplo, si
su página está caída durante un día.
¿sirven
los DDoS como medio de protesta?
La respuesta
depende de la persona, pero… comparto la postura bastante clara: no sirven.
Ya hemos
visto que en webs que no
son comerciales un DDoS tiene un impacto muy limitado. A la
institución no le fastidian demasiado y como no se requieren demasiadas
personas para llevar a cabo el ataque podrán decir que es un “grupo
minoritario” el que protesta.
Pero no sólo
es que no produzcan muchos efectos positivos: producen efectos negativos. La gente más
ajena a internet suele asociar “ataque informático” con “hackers” y estos con
“gente peligrosa”. Con dar un poco de cancha a esta asociación es muy fácil
descalificar sin argumentos las protestas, porque, ¿quién va a apoyar, debatir
o escuchar a “gente peligrosa”?
Además, este
tipo de protesta se podría calificar como “violenta”: es un ataque directo al
fin y al cabo. Y como siempre ocurre, si protestas de esta forma contra alguna
iniciativa, los que la apoyen se
negarán en redondo a escucharte.
Por esto, creo que los DDoS no deberían ser usados
como forma de protesta. Hay formas muchísimo mejores, más
éticas y más efectivas de protestar
¿Qué
métodos de defensa existen?
- Se debe
revisar la configuración
de Routers y Firewalls para
detener IPs
inválidas así como también el filtrado de protocolos que no
sean necesarios. Algunos firewalls
y routers proveen
la opción de prevenir
inundaciones (floods) en los protocolos TCP/UDP.
- Además es
aconsejable habilitar la opción
de logging
(logs) para llevar un control adecuado de las conexiones
que existen con dichos routers.
- Cómo
medida de respuesta es muy importante contar
con un plan de respuesta a incidentes. Si ocurre algún hecho de
este tipo, cada persona dentro de la organización debería saber cuál es su
función específica.
- Otras de
las alternativas que se deben tener en cuenta es la solicitud ayuda al Proveedor de Servicios de Internet
(ISP). Esto puede ayudar a bloquear el tráfico más cercano a su origen
sin necesidad de que alcance a la organización
Algunos consejos un poco más
técnicos que pueden ayudar son:
- Limitar la tasa de tráfico
proveniente de un único host.
- Limitar el número de conexiones
concurrentes al servidor.
- Restringir el uso del ancho de
banda por aquellos hosts que cometan violaciones.
- Realizar un monitoreo de las
conexiones TCP/UDP que se llevan a cabo en el servidor (permite identificar
patrones de ataque).
Fuente:
Internet
wikipedia.org
optical.pe
incibe-cert.es
