Los ataques de Denegación de Servicio, también conocidos como DoS son un problema de ciberseguridad que pone en peligro la continuidad de las operaciones empresariales y hace que su negocio penda de un hilo si no se cuentan con las medidas de protección y mitigación adecuadas.
En este artículo te enseñaremos cómo frenar un ataque de este tipo y además aprenderás a reconocer cuándo estás siendo atado y por qué tipo de ataque.
Un ataque de Denegación de Servicio, también conocido por sus siglas en inglés DoS, es un tipo de ataque que se dirige a un sistema con la finalidad de impedir la disponibilidad de sus servicios y el acceso a su información almacenada.
DoS se encarga de agotar los recursos y evitar que los usuarios legítimos puedan navegar libremente por la red o realizar operaciones en un host.
La denegación de servicio provoca el consumo de recursos de forma desproporcionada hasta que logra colapsar a los equipos. Y para abrumar la infraestructura de manera más amplificada, los atacantes utilizan más sistemas informáticos para eficientar su ataque, a esto se le llama DDoS.
Los ataques de Denegación de Servicio Distribuido (DDoS) se originan de distintas fuentes desde una misma ubicación o de diferentes. Este tipo de ataque suele ser mucho más perjudicial y peligroso que el DoS simple, pues abarca una amplia cantidad de técnicas que extienden el ataque.
Aún así el fin de ambos es inhabilitar los servidores, servicios e infraestructuras a través de la sobrecarga del ancho de banda y, por supuesto, el acaparamiento de recursos.
Para poder implementar una defensa, primero es primordial saber cómo detectar un ataque y para esto deben monitorearse los sistemas e identificar anomalías de su comportamiento habitual.
Debido a que existen variados tipos de DoS, no existe una sola forma de detectarlos, pues hay distintas señales que podrían indicar que estamos bajo ataque. Pero de manera general podemos analizar los siguientes aspectos:
Es normal que las redes, navegadores y servidores cuenten con una latencia, pero si esta excede su lentitud y responde de forma no convencional, podría tratarse de un ataque de Denegación de Servicio, por lo que vale la pena evaluar el problema.
Este punto también se ve reflejado en el mal rendimiento de los sitios web, una disminución significativa en su velocidad de carga, inaccesibilidad o funcionamiento ineficiente.
Cuando se detecta que hay un consumo excesivo e inusual de recursos, puede sospecharse de un ataque DoS.
El aumento de tráfico de red, más si viene de manera repentina y es anormal, puede indicar peligro, más si viene de manera repentina y es anormal, en especial si las solicitudes provienen de múltiples direcciones IP en un lapso de tiempo corto.
Esto es fácilmente identificable si previamente ya se contaba con un monitoreo que arrojaba datos sobre cómo actuaba la red y cuál era su tráfico recurrente. Acudiendo a los registros es posible localizar los datos de las conexiones sospechosas.
Una señal de ataque de Denegación de Servicio son los recurrentes intentos de conexión por parte de usuarios desconocidos en lapsos de tiempo determinados.
Es importante monitorizar patrones inusuales de acceso, como un aumento repentino en el número de conexiones simultáneas o el acceso a recursos que normalmente no son solicitados por usuarios legítimos.
Implementar medidas de autenticación robustas y sistemas de detección de intrusos puede ayudar a identificar y mitigar estos riesgos.
Una vez que se ha detectado una anomalía, es importante verificar que se está bajo ataque DoS, distinguiendo que esta no solo sea una interrupción o latencia común y corriente.
Para reforzar la hipótesis de ataque, además de analizar que se están manifestando los puntos revisados en al apartado anterior pueden realizarse pruebas controladas de carga para observar cómo responde el sistema bajo diferentes condiciones.
También puede evaluarse si la latencia o interrupción afecta a todos los usuarios o solo a algunos, ya que un ataque de Denegación de Servicio generalmente impacta a múltiples usuarios simultáneamente.
Igualmente, una estrategia bastante útil para verificar la sospecha de ataque es consultar al proveedor de servicios de red o hosting, ya que ellos cuentan con herramientas y servicios para detectar y mitigar ataques DoS.
Cuando se haya verificado que los sistemas están bajo un ataque de Denegación de servicios, lo que sigue es identificar la ruta del ataque para localizar al autor, para esto lo primero que se debe hacer es:
Al seguir estos pasos, se puede obtener una comprensión más clara del ataque y de su origen, lo que facilitará la implementación de medidas adecuadas durante la mitigación del impacto
En este paso también resulta relevante saber si se recibieron mensajes de extorsión o si se cuentan con sospechosos que tengan interés en amenazar a la organización, como las empresas competencia, los hacktivistas o incluso exempleados, pues esto podría ser un indicador de dónde se origina el ataque.
Ya que tenga claro hacia dónde se dirige el ataque, será más fácil decidir cómo priorizar la protección de los activos.
Su valor deberá equipararse con las ganancias que generan o bien el costo que provocaría su inactividad, siendo las de mayor valor las que se mantengan activas y las de menor valor las que deban ser deshabilitadas.
Al identificar y clasificar las aplicaciones según su importancia y el riesgo que representan, se puede asignar recursos de manera más efectiva.
Los aspectos a tomar en cuenta para llevar a cabo dicha jerarquización son:
Implementar un enfoque proactivo y basado en riesgos permitirá a las empresas adaptarse rápidamente a las amenazas emergentes y asegurar su continuidad operativa.
Al saber el origen de las amenazas de Denegación de Servicio y haber puesto a salvo a las aplicaciones, puede procederse a capturar el tráfico.
Este proceso consiste en tomar paquetes completos e informarse sobre el ataque lo que permite analizar el comportamiento del tráfico malicioso y entender mejor su naturaleza.
Para poder visualizar estos paquetes deben configurarse filtros de tráfico que detecten de dónde provienen las IPs sospechosas, y consecuentemente implementen medidas de bloqueo como las listas negras.
Basándose en el análisis del tráfico capturado, se pueden implementar medidas inmediatas para mitigar el ataque
Algo que debe de hacerse como un paso a la par, y no consecutivo, en este proceso es la protección del usuario.
Al empezar a combatir el ataque de Denegación de Servicios, una de las estrategias consistirá en bloquear el acceso a algunas IP, lo que dejará a los usuarios sin acceso a los sistemas.
Para lidiar con el problema sin quitarle el servicio al usuario, inicialmente es recomendable hacer una lista blanca con las direcciones de los asociados legítimos y protegerlos por medio de una VPN.
Siempre es importante mantener informados a los usuarios sobre la situación, así como actualizarlos sobre el ataque y compartirles información sobre las medidas que se están tomando para resolverlo, esto con el fin de mantener su confianza.
Tan pronto como se cumplan los pasos anteriores podrá procederse a la mitigación del ataque mediante el despliegue de una serie de medidas que reduzcan los daños y poco a poco restauren los servicios.
A continuación te mencionamos dichas medidas:
Aumentar la memoria, la potencia de procesamiento y el ancho de banda puede ayudar a manejar el tráfico adicional que genera un ataque de Denegación de Servicio, y así mismo permitir que los usuarios legítimos sigan accediendo a los servicios sin interrupciones.
Las Access Control Lists deben actualizarse, bloquear IPs sospechosas o maliciosas y, de esta manera, limitar el tráfico no deseado y proteger los sistemas de usuarios no autorizados, lo que reduce la sobrecarga y por ende el riesgo de interrupciones.
Pueden configurarse y modificar las entradas DNS para que el ataque pueda redirigirse a un servidor alternativo que esté preparado para manejar grandes volúmenes de tráfico o que esté diseñado para filtrar ataques.
Esta desviación impide que el tráfico malicioso llegue a los servidores principales y de esta forma protege los recursos críticos.
Es importante identificar y desactivar temporalmente aplicaciones o servicios que están causando cuellos de botella en el sistema, es decir, aquellas que consumen muchos recursos y que pueden ser más susceptibles a caídas durante un ataque.
Al desactivar estas aplicaciones, se liberan recursos que pueden ser utilizados para manejar el tráfico legítimo, lo que asegura que los servicios más críticos para el negocio puedan seguir operando.
A través de los firewalls y sistemas de detección de intrusiones se implementan medidas para identificar, bloquear y depurar el tráfico del ataque, protegiendo, de este modo, la infraestructura de la empresa y su continuidad.
Ya hablamos de la desviación de tráfico malicioso pero otra estrategia efectiva es establecer canales alternativos de comunicación para asegurar que los usuarios legítimos puedan acceder a los servicios sin ser afectados por el ataque, lo que protege y permite el acceso a su información sensible.
Cuando sucede un ataque de Denegación de Servicio, o cualquiera que comprometa la ciberseguridad, es común que la reputación empresarial se vea afectada, por lo que es crucial tener un plan de relaciones públicas que preserve la imagen.
Además de mantener informados y actualizados sobre el problema a los clientes y a las partes implicadas, como ya habíamos mencionado; debe trabajarse en la gestión de la percepción pública.
Para esto un portavoz, responsable de todas las comunicaciones relacionadas con el incidente, deberá generar una narrativa en torno al ataque, con información coherente que resalte las acciones tomadas para proteger a los clientes y asegure que se están implementando medidas para mejorar la seguridad.
De igual manera, debe mantenerse abierto el canal de comunicación para escuchar las preocupaciones y preguntas de los usuarios para procurar no perder su confianza.
Una vez superado el incidente, es fundamental implementar mejoras visibles en la seguridad y realizar campañas de comunicación que destaquen el compromiso de la empresa con la ciberseguridad.
Tan pronto como se haya mitigado el ataque, el siguiente objetivo será restaurar el servicio y minimizar los efectos negativos sobre las operaciones del negocio.
El incidente debe ser registrado, e incluir información como los flujos de red del ataque y los servidores asaltados, para más adelante poder realizar un análisis y adoptar medidas de prevención ajustadas a los hechos. Este registro también podría resultar útil para denunciar ante las autoridades.
El DoS debe ser clasificado por su tipo, el impacto que causó y la urgencia con la que se atendió. Si más adelante vuelve a desarrollarse un incidente similar, podrá tratarse con un Workaround (una solución provisional por ser un problema conocido).
La aplicación de las soluciones regresará a la normalidad a la empresa y podrán dar por terminado el incidente si el estado funcional se ha recuperado.
Para evaluar que en DoS ha terminado es necesario asegurarse de que los servicios afectados sean accesibles de nuevo, que el rendimiento de la infraestructura se estabilice y que el tráfico de red actúe como habitualmente lo hace.
Ahora que sabes como defenderte de un ataque de Denegación de Servicio, seguramente estarás preguntándote ¿Cómo funcionan y por qué provocan tantas afectaciones en el sistema? Así que a continuación desglosamos su funcionamiento para que lo tengas más claro.
El ataque DoS, como ya revisamos con anterioridad, amplifica su potencial mediante la denegación distribuida, donde se conjuntan cientos de computadoras para intentar acceder al sistema y la información, sobrepasando la capacidad de procesamiento de los servidores.
Este grupo de equipos de computación son llamados botnets, y están infectados por un virus que el atacante controla de manera remota.
Los botnets atacan la dirección IP y abruman las solicitudes, buscando de esta forma agotar los recursos y consumir el ancho de banda para dejar inútil al servicio y a los clientes sin disponibilidad del mismo.
Se encarga de sobrecargar el sistema de la empresa víctima con paquetes de peticiones (tráfico falso) para provocar que el servidor se vuelva inaccesible al tráfico legítimo.
Por medio de la falsificación de direcciones IP de la víctima (IP spoofing), el atacante realiza solicitudes ping (comando que se utiliza para enviar paquetes de datos a una dirección IP específica) para que los dispositivos respondan y se amplifique el tráfico inicial de ataque.
Envía una gran cantidad de tráfico a los recursos de red para exceder la capacidad de procesamiento del sistemas y se sobrecargue el búfer (memoria temporal) con más datos de los que le es posible contener.
Consiste en consumir los recursos de una máquina para dejarla fuera de servicio. Esto se hace mediante el envío de múltiples solicitudes de conexión SYN que producen lentitud o falta de respuesta del servidor.
Para comprenderlo mejor explicaremos el proceso de SYN:
SYN es un tipo de paquete que se utiliza en el proceso de establecimiento de una conexión TCP (Protocolo de Control de Transmisión) cliente/servidor.
El cliente envía un paquete SYN para iniciar una conexión, después el servidor responde con un paquete SYN/ACK para reconocer la información y para finalizar el cliente devuelve el paquete ACK para confirmar la recepción del paquete del servidor.
Cuando se completan estos tres pasos la TCP se abre y queda disponible para recibir y enviar datos.
La denegación de servicio explota su funcionamiento enviando muchos paquetes SYN al servidor, el cual dejará el puerto abierto para recibir datos pero sin recibir el paquetes ACK finales, sino recibiendo aún paquetes SYN que abarcarán todos los puertos y mermarán el funcionamiento del servidor.
Este tipo de ataque de denegación de servicio explota el User Data Protocolo a través del envío de un gran volumen de paquetes para que la capacidad de procesamiento se vea rebasada y se bloquee la función de respuesta.
Cabe señalar que los firewalls también se ven afectados por este tipo de inundación (flood).
Dentro de esta inundación, puede usarse adicionalmente el NTP amplification que aprovecha el Network Time Protocol para amplificar el tráfico UDP y desbordar los servidores de la víctima para que su infraestructura sea inaccesible al tráfico de los usuarios legítimos.
Este método de ataque se enfoca en enviar solicitudes múltiples que obligan al servidor a usar un gran número de recursos para responder, y tiene como consecuencia la saturación del canal.
El HTTP food además tiene tres subtipos de ataque:
Mac Flood compromete la seguridad de los sistemas de red dedicados a la conmutación, es una técnica de denegación de servicio que explota la forma en que los switches de red gestionan las direcciones MAC.
Cuando la tabla de direcciones MAC del switch se llena, ya no puede aprender nuevas direcciones lo cual permite que el atacante intercepte el tráfico destinado a otros dispositivos en la red y pueda capturar datos sensibles e información privada.
Al igual que hay diferentes métodos para realizar ataques DoS, también existen diversos tipos, y es importante conocer cada uno pues como revisamos con anterioridad, según el ataque que se ejecute se tomarán medidas para enfrentarlo, por ello te los presentamos a continuación:
El DoS por inundación resulta de la inyección de volúmenes amplios de tráfico que consumen el ancho de banda de la víctima.
Esta se encarga de falsificar la IP original de la organización atacada y enviar abundantes paquetes para explotar las funcionalidades de los protocolos de red.
Los ataques de denegación de servicio distribuido y reflejado (DrDoS) permiten a los atacantes despistar el rastreo para evitar que se descubra su origen, esto lo hacen a través del uso de terceros, quienes son forzados a emitir tráfico malicioso.
DrDoS reemplaza la dirección de la víctima para conseguir que las máquinas intermedias respondan a la solicitud, de esta forma se aumenta el tamaño del ataque.
A diferencia del DoS basado en reflexión, este tipo de ataque realiza las solicitudes a terceras partes y su estrategia es falsificar la dirección de retorno para que las respuestas lleguen a la víctima en lugar de al atacante.
Este tipo de Denegación de Servicio amplifica el efecto del ataque y ayuda al cracker cuando cuenta con un número limitado de recursos.
Estos ataques se realizan en menor volumen y aprovechan los sistemas vulnerables para enviar peticiones que aparentan legitimidad pero los sobrecargan.
Un ataque a nivel aplicación puede hacerse hacia adelante, lo que significa que se abruma al servidor web enviando un gran número de solicitudes de búsqueda, intensificando el uso de memoria.
O hacia atrás, lo cual quiere decir que se realizan muchas solicitudes de documentos de gran tamaño para consumir todo el ancho de banda disponible.
El ataque de Denegación de Servicio por fragmentación de paquetes IP, es muy diferente a otros tipos de DoS, pues no tiene la necesidad de saturar los sistemas con amplias solicitudes, sino que más bien se enfoca en colapsar su objetivo a partir de un proceso complejo.
El atacante envía un flujo de fragmentos pequeños de paquetes, y cuando el servidor intenta reconstruir el datagrama se lleva consigo múltiples recursos que lo paralizan.
No solo es importante saber cómo lidiar con un ataque de Denegación de Servicio, sino que para anticipar que suceda deben implementarse mecanismos de prevención para minimizar las probabilidades de daño. Conoce las medidas de seguridad que puedes tomar:
Contar con servidores robustos y de alto rendimiento permitirán manejar grandes volúmenes de tráfico y múltiples solicitudes de manera simultánea, lo cual reducirá la susceptibilidad a sobrecargas cuando los picos de tráfico crezcan.
Esta medida ayudará a mantener la disponibilidad del servicio y ante un ataque poder distribuir el tráfico de manera eficiente (esto puede lograrse de mejor forma implementando balanceadores de carga).
Al contar con un equipo dedicado a la gestión de incidentes, las amenazas podrán ser respondidas con mayor rapidez y de esta forma minimizar el impacto del ataque, pues se tendrá una detección temprana de los DoS y por ende muy buenas defensas.
Este servicio de administración puede ser complementado con una mesa de ayuda para facilitar la comunicación entre el equipo de TI y los usuarios, obteniendo así una recepción de reportes de problema y otorgando respuestas rápidas a los mismos.
Cuando hay un ataque, por lo primero que van los delincuentes es por el robo de datos, ya que a través de ello pueden dejar a un negocio inactivo. Contar con un sistema de respaldo y un plan de recuperación puede garantizar la continuidad del negocio.
En caso de un ataque exitoso que comprometa la disponibilidad del servicio esta medida permitirá restaurar rápidamente los datos y servicios críticos.
Software Defined Networking ayuda a distribuir un servidor web en distintos nodos, así si un ataque de Denegación de Servicio llega a ejecutarse, tendrá parte del servidor indisponible, lo que reduce el impacto en la disponibilidad del servicio.
Una SDN permite gestionar dinámicamente el tráfico y la capacidad de red, lo cual facilita la reconfiguración veloz si un DoS ataca, lo que quiere decir que vuelve a los sistemas más resilientes.
Ya analizamos el funcionamiento de un ataque DoS y sabemos que saturar la red es su estrategia principal, por lo que una respuesta intuitiva es aumentar el número de conexiones que permite el sistema operativo y adicionar recursos de memoria para poder recibir una buena cantidad de nuevas solicitudes.
Con un buen manejo de la cola de espera, el sistema operativo no se ralentizará ni colapsará.
Los agentes son sistemas inteligentes capaces de percibir a adaptarse a su entorno para responder autónoma y prácticamente a estímulos del ambiente.
Estos están configurados con un objetivo, por lo que cuentan con conocimiento para lograrlo pero también pueden obtener aprendizajes en el camino para eficientar su operación.
Para un ataque de Denegación de Servicio, se utiliza un multiagente el cual, a través de su red neuronal, puede predecir el protocolo utilizado en el DoS
Su diseño se basa en la metodología Plan, Do, Check, Act:
Esta estrategia representa un enfoque innovador y efectivo para la ciberseguridad pues se asegura que los sistemas evolucionen y se adapten a un panorama de amenazas cambiante, lo cual mejora la resiliencia de la infraestructura de red.
Las empresas son potenciales víctimas de un ataque de denegación de servicio, por lo cual es importante que los sistemas estén listos para recibirlo y tener el menor impacto posible.
Tanto la red como el servidor necesitan añadir más capacidad de ancho de banda y optimizar sus recursos, configurar su software y hardware desplegando un antiDoS, utilizar redes de distribución de contenidos para mitigar ataques de inundación y limitar conexiones simultáneas configurando umbrales de tráfico.
Mientras, el sitio web precisa de preparar su infraestructura por medio de la priorización de las funciones más importantes del sitio y con un plan para la continuidad de operaciones en un estado de funcionalidad mínima que atienda solo a las funciones más importantes durante un ataque DoS.
Estas medidas ayudan a garantizar que, incluso bajo un ataque, los servicios críticos puedan seguir funcionando, con inactividad mínima.
Para mitigar los ataques de denegación de servicio en la capa de red es importante implementar múltiples niveles de defensa, como firewalls, sistemas de detección de intrusos (IDS) y sistemas de prevención de intrusos (IPS).
Los firewalls (cortafuegos) se dedican a gestionar grandes tasas de conexión y, por supuesto, manejar ataques volumétricos.
Mientras los sistemas de detección y prevención de intrusiones ayudan a filtrar y bloquear el tráfico indeseado, limitando la entrada de direcciones IP sospechosas que pudieran estar involucradas en un ataque DDoS.
Cada capa proporciona una barrera adicional, lo que dificulta que un ataque llegue a afectar los sistemas críticos. Además, se pueden detectar y mitigar ataques en diferentes etapas.
En las aplicaciones deben introducirse mecanismos para evitar intentos de entrada, para esto es bueno, por ejemplo, eliminar las actividades automatizadas, analizar el contenido de los servidores e instalar parches y actualizaciones que reduzcan las vulnerabilidades que podrían ser explotadas en un ataque DoS.
También es recomendable que se instalen en ellas herramientas de antivirus o antimalware para alertar sobre cambios irregulares y cuidar su integridad.
Cuando se emplean herramientas de monitoreo de tráfico, se vuelve más sencillo detectar patrones irregulares y evaluar si se está efectuando un ataque de Denegación de Servicio, para poder responder velozmente y mitigar el impacto.
Lo mejor que se puede hacer si se está bajo ataque de Denegación de Servicios, es documentar todo lo que está ocurriendo y realizar un registro y captura de los paquetes que están afectando a los sistemas para identificar ataques en tiempo real.
Por eso contar con sistemas de supervisión es esencial para recopilar información y que esta pueda ser analizada posteriormente, creando un camino que mejore las defensas.
Tener medido el impacto que un ataque de Denegación de Servicio produciría en las operaciones de una empresa, daría un panorama más amplio sobre daño inminente.
De esta forma las organizaciones podrán priorizar sus inversiones en seguridad y desarrollar planes de contingencia adecuados que mitiguen el impacto financiero y operativo de un DoS.
Es necesario desarrollar planes que consideren interrupciones causadas por ataques de denegación de servicio.
Para asegurar la continuidad es recomendable contar con infraestructuras redundantes e implementar respaldos que permitan mantener la operatividad durante el DoS.
La capacitación del personal sobre los riesgos que puede significar un ataque de denegación de servicio, así como la educación sobre prácticas seguras en el ciberespacio, son útiles para poder prevenir y responder a los DoS.
Los empleados estarán preparados para recibir el ataque y facultados para minimizar el impacto, lo que contribuye a una cultura de seguridad dentro de la organización.
Evaluar que tan penetrables son los sistemas, a través de pruebas de penetración y simulacros de incidentes, ayudará a verificar si las defensas son lo suficientemente eficaces para lidiar con un ataque de Denegación de Servicio.
Estos test también serán útiles para identificar las brechas de seguridad y asimismo optimizar la respuesta a incidentes.
Los ataques de denegación de servicio son un peligro inminente para las redes y servidores conectados a internet, de los cuales dependen en gran medida las empresas, por ello es importante saber cómo proteger a los sistemas y defenderlos de impactos perjudiciales para los negocios y su reputación.
En Servnet contamos con personal capacitado para auxiliarte cuando estés bajo ataque y brindarte herramientas de mitigación de DoS. Contacta con un especialista e infórmate sobre las soluciones a este ciberataque.