Tipos de ataques DDoS

Durante las últimas dos décadas, muchas empresas y gobiernos se han preocupado cada vez más por la propagación de diferentes tipos de ataques DDoS. Reportado por primera vez en 1996Los ataques distribuidos de denegación de servicio (DDoS) son una gama de amenazas cibernéticas devastadoras y en constante evolución que interrumpen las redes electrónicas al inundarlas con tráfico que no pueden manejar.

Los hacktivistas pueden utilizar los ataques DDoS para demostrar su protesta contra la censura de Internet y otras iniciativas controvertidas. También abre varias vías para que los piratas informáticos persigan objetivos nefastos. El último giro en la epidemia de DDoS es "Ransom DDoS", que es una plataforma que permite a los piratas informáticos extorsionar a las organizaciones a cambio de detener una incursión a gran escala.

DDoS es un fenómeno complejo que puede dificultar su derrota debido a su naturaleza heterogénea y muchas tácticas.

Hay tres c fundamentalescategorías de los ataques DDoS que conforman el núcleo de este ecosistema:

Ataque volumétrico DDoS

Los ataques volumétricos constituyen el tipo más común de ataque DDoS. Aunque producen una gran cantidad de tráfico, que a veces supera los 100 Gbps, los piratas informáticos no tienen que generar mucho. Esto hace que los ataques volumétricos sean uno de los tipos más fáciles de ataques DDoS, ya que puede utilizar una pequeña cantidad de tráfico de ataque a través de una dirección IP falsificada para generar gigabits.

Los ataques volumétricos basados ​​en espejos se utilizan para apuntar a servicios. Envían solicitudes legítimas utilizando direcciones IP falsificadas a un servidor DNS y NTP. Cuando los servidores DNS o los servidores NTP responden, responden a solicitudes legítimas. Esta suele ser la dirección IP falsificada. En tal caso, el ataque tiene como objetivo la dirección URL falsificada, que luego es bombardeada en el flujo de datos amplificados.

Ataque DDoS basado en protocolo

Los ataques de protocolo están diseñados para aprovechar una debilidad en la capa 3 y la capa 4 de las capas OSI. TCP Syn Flood es el ataque de protocolo más conocido. Esto implica enviar una serie de comandos TCP SYN a un objetivo, lo que puede abrumarlo y dejarlo sin respuesta. Además de ser un ataque a las aplicaciones, la reciente interrupción de Dyn también incluyó el puerto 53 de inundación de TCP Syn de los servidores de Dyn. En última instancia, los ataques de protocolo tienen como objetivo agotar los recursos del servidor o los recursos del firewall.

Ataque DDoS basado en aplicaciones

Los ataques DDoS contra aplicaciones son los más difíciles de detectar y, en algunos casos, incluso de mitigar. Los ataques a la capa de aplicación son los ataques más sofisticados y sigilosos porque pueden generar tráfico a un ritmo bajo con una sola máquina atacante. Estos ataques son difíciles de detectar utilizando los sistemas tradicionales de monitoreo basados ​​en flujo.

Los piratas informáticos que utilizan ataques a la capa de aplicación tienen un conocimiento profundo sobre los protocolos y las aplicaciones involucradas. El tráfico de ataques dirigido a las capas de la aplicación suele ser legítimo. Implica la activación de un proceso de back-end que acapara los recursos y los hace inaccesibles, lo que hace que estos ataques sean más difíciles de prevenir.

Recientemente, NS1, un proveedor de servicios de DNS basado en la nube, sufrió un ataque DDoS contra su infraestructura de DNS anycast. Algunos de los sitios web más conocidos, como Yelp, se vieron afectados por el ataque. NS1 confirmó el ataque y dijo que era una combinación de ataques volumétricos y de capa de aplicación que incluían ataques de paquetes mal formados y consultas directas de DNS maliciosas. Los atacantes atacaron la infraestructura de NS1 y su proveedor de alojamiento, provocando la caída de su sitio web.

Aparte de estas tres categorías mencionadas anteriormente, los ataques DDoS se clasifican en docenas de subcategorías que se incluyen en cualquiera de las tres categorías principales y muestran algunas características únicas.


A continuación, se muestran algunos ejemplos más de tipos modernos de ataques DDoS:

Ataque DDoS SYN Flood

Este ataque aprovecha el protocolo de enlace de tres vías de TCP y se utiliza para establecer cualquier conexión entre clientes, hosts y servidores mediante el protocolo TCP. Un cliente normalmente envía un mensaje SYN (sincronización) al host para solicitar una conexión.

Un ataque de inundación SYN implica el envío de una multitud de mensajes desde una dirección falsificada. El resultado es que el servidor receptor no puede procesar o almacenar tantos archivos SYN y niega el servicio a los clientes.

Ataque DDoS TERRESTRE

Para llevar a cabo un ataque de denegación de red de área local (LAND), un actor de amenazas envía un correo SYN fabricado en el que las direcciones IP de destino y de origen son las mismas. Cuando el servidor de destino intenta responder a este mensaje, crea respuestas recurrentes para sí mismo. Esto provoca un escenario de error que eventualmente puede llevar a que el host de destino no pueda responder.

Ataque DDoS SYN-ACK Flood

Este vector de ataque explota la etapa de comunicación TCP, donde el servidor genera un paquete SYN-ACK para reconocer la solicitud del cliente. Los delincuentes inundan la RAM y la CPU del servidor de destino con una gran cantidad de paquetes SYNACK no autorizados para ejecutar estos ataques DDoS.

ACK & PUSH ACK Inundación Ataque DDoS

Una vez que el protocolo de enlace de tres vías TCP ha establecido una conexión, los paquetes ACK y PUSH ACK pueden enviarse uno tras otro hasta que finalice la sesión. Un servidor de destino que sufre estos ataques DDoS no puede identificar dónde se originaron los paquetes falsificados y, por lo tanto, desperdicia sus recursos de procesamiento tratando de determinar cómo debe manejarlos.

Ataque de inundación de ACK fragmentado

Este tipo de ataque DDoS es una imitación de la técnica ACK & PUSH ACK Flood. Son simples ataques DDoS que inundan una red informática objetivo con un número limitado de paquetes ACK fragmentados. Cada paquete ACK tiene un tamaño máximo de 1500 bytes. Es un problema común para los enrutadores y otros equipos de red intentar reensamblar estos paquetes fragmentados. Los sistemas de prevención de intrusiones (IPS) pueden detectar paquetes fragmentados y bloquearlos para que no lleguen a sus firewalls.

Flood de sesión falsificada (ataque de sesión falsa)

Los ciberdelincuentes pueden utilizar paquetes SYN falsos para eludir las herramientas de protección de la red. También envían varios paquetes ACK y al menos un paquete RST o FIN. Esto permite a los delincuentes eludir las defensas que se centran en el tráfico entrante y no devolver el análisis del tráfico.

Ataque de inundación UDP

Estos ataques DDoS explotan múltiples paquetes del Protocolo de datagramas de usuario (UDP). Las conexiones UDP no tienen un mecanismo de negociación como TCP, por lo que las opciones para la verificación de la dirección IP son limitadas. El volumen de tráfico ficticio generado por esta explotación excede la capacidad máxima del servidor para procesar y responder a las solicitudes.

Ataque de inundación de DNS

Esta es una variante de UDP Flood, y es una que se dirige específicamente a servidores DNS. Este malhechor crea paquetes de solicitud de DNS falsos que parecen legítimos y parecen provenir de muchas direcciones IP diferentes. DNS Flood es una de las incursiones DDoS de denegación de servicio más difíciles de detectar y de la que se recupera.

Ataque de inundación de VoIP

Este ataque DDoS es uno de los tipos más frecuentes de ataques DDoS y tiene como objetivo un servidor de Protocolo de voz sobre Internet (VoIP). Una multitud de solicitudes de VoIP fraudulentas se envían desde muchas direcciones IP para agotar los recursos del servidor de destino y derribarlo.

Ataque de inundación NTP

Network Time Protocol (NTP), un protocolo de red que ha existido desde el principio y es responsable de la sincronización del reloj entre dispositivos electrónicos, es la clave para otro vector de ataque DDoS. El objetivo es sobrecargar la red de destino con paquetes UDP mediante el uso de servidores NTP de acceso público.

Ataque de inundación CHARGEN

Similar a NTP, el Protocolo generador de caracteres, o CHARGEN, es una versión anterior de NTP. Fue desarrollado en la década de 1980. A pesar de esto, todavía se usa en ciertos dispositivos conectados como impresoras y fotocopiadoras. Implica enviar pequeños paquetes que contienen la IP fabricada por un servidor víctima a dispositivos con el protocolo CHARGEN habilitado. Los dispositivos conectados a Internet envían paquetes de inundación UDP al servidor de la víctima en respuesta. Esto inunda el servidor con datos redundantes.

Ataque de inundación SSDP

Al ejecutar ataques DDoS basados ​​en reflexión del Protocolo simple de descubrimiento de servicios (SSDP) en dispositivos en red que ejecutan servicios Universal Plug and Play (UPnP), los malhechores pueden explotar estos dispositivos. El atacante envía pequeños paquetes UDP, que contienen direcciones IP falsas, a varios dispositivos compatibles con UPnP. El servidor se ve abrumado por estas solicitudes hasta que se ve obligado a cerrarse.

Ataque de inundación HTTP

En este tipo de ataques DDoS, un atacante envía solicitudes GET / POST aparentemente legítimas a un servidor o aplicación web, desviando la mayoría o todos los recursos. Esta técnica involucra redes de bots compuestas por "computadoras zombies" que han sido previamente infectadas por malware.

¿Está preparado para este tipo de ataques DDoS? Obtener protección DDoS avanzada para su sitio web sin cambiar de host ahora.