inundación de tráfico
las Botnets se utilizan para crear una inundación HTTP o HTTPS. La botnet de equipos se utiliza para enviar lo que parecen ser solicitudes HTTP o HTTPS legítimas para atacar y abrumar a un servidor web. HTTP-abreviatura de HyperText Transfer Protocol – es el protocolo que controla cómo se formatean y transmiten los mensajes. Una solicitud HTTP puede ser una solicitud GET o una solicitud POST., Esta es la diferencia:
- Una solicitud GET Es aquella en la que se recupera información de un servidor.
- Una solicitud POST es aquella en la que se solicita que la información se cargue y almacene. Este tipo de solicitud requiere un mayor uso de recursos por parte del servidor web de destino.
mientras que las inundaciones HTTP que utilizan solicitudes POST utilizan más recursos del servidor web, las inundaciones HTTP que utilizan solicitudes GET son más simples y fáciles de implementar.
los ataques DDoS se pueden comprar en los mercados negros
ensamblar las botnets necesarias para realizar ataques DDoS puede llevar mucho tiempo y ser difícil.,
los ciberdelincuentes han desarrollado un modelo de negocio que funciona de esta manera: los ciberdelincuentes más sofisticados crean botnets y las venden o alquilan a ciberdelincuentes menos sofisticados en la web oscura, esa parte de Internet donde los delincuentes pueden comprar y vender productos como botnets y números de tarjetas de crédito robados de forma anónima.
la web oscura generalmente se accede a través del navegador Tor, que proporciona una forma anónima de buscar en Internet. Las Botnets se alquilan en la web oscura por tan solo un par de cientos de dólares., Varios sitios web oscuros venden una amplia gama de bienes ilegales, servicios y datos robados.
de alguna manera, estos sitios web oscuros funcionan como minoristas en línea convencionales. Pueden proporcionar garantías a los clientes, descuentos y calificaciones de los usuarios.
¿cuáles son los síntomas de un ataque DDoS?
los ataques DDoS tienen síntomas definitivos. El problema es que los síntomas son tan similares a otros problemas que podría tener con su computadora, que van desde un virus hasta una conexión a Internet lenta, que puede ser difícil decirlo sin un diagnóstico profesional., Los síntomas de un DDoS incluyen:
- Acceso lento a los archivos, ya sea local o remotamente
- una incapacidad a largo plazo para acceder a un sitio web en particular
- desconexión de Internet
- Problemas para acceder a todos los sitios web
- cantidad excesiva de correos electrónicos no deseados
La mayoría de estos síntomas pueden ser difíciles de identificar como inusuales. Aún así, si dos o más ocurren durante largos períodos de tiempo, puede ser víctima de un DDoS.,
tipos de ataques DDoS
los ataques DDoS generalmente consisten en ataques que caen en una o más categorías, con algunos ataques más sofisticados que combinan ataques en diferentes vectores. Estas son las categorías:
- ataques basados en volumen. Estos envían cantidades masivas de tráfico para abrumar el ancho de banda de una red.
- ataques de protocolo. Estos están más enfocados y explotan vulnerabilidades en los recursos de un servidor.
- ataques de aplicaciones. son la forma más sofisticada de ataques DDoS, centrándose en aplicaciones web particulares.,
He aquí un vistazo más de cerca a los diferentes tipos de ataques DDoS.
ataques de conexión TCP
los ataques de conexión TCP o inundaciones SYN explotan una vulnerabilidad en la secuencia de conexión TCP comúnmente conocida como la conexión de enlace de tres vías con el host y el servidor.
Aquí está cómo. El servidor de destino recibe una solicitud para iniciar el apretón de manos. En una inundación SYN, el apretón de manos nunca se completa. Eso deja el puerto conectado como ocupado y no disponible para procesar más solicitudes., Mientras tanto, el ciberdelincuente continúa enviando más y más solicitudes abrumadora todos los puertos abiertos y apagar el servidor.
ataques de aplicación
los ataques de capa de aplicación, a veces denominados ataques de capa 7, se dirigen a las aplicaciones de la víctima del ataque de manera más lenta. De esa manera, pueden aparecer inicialmente como solicitudes legítimas de los usuarios, hasta que es demasiado tarde, y la víctima se siente abrumada e incapaz de responder. Estos ataques están dirigidos a la capa donde un servidor genera páginas web y responde a solicitudes http.,
a menudo, los ataques a nivel de aplicación se combinan con otros tipos de ataques DDoS dirigidos no solo a las aplicaciones, sino también a la red y el ancho de banda. Los ataques a la capa de aplicación son particularmente amenazadores. ¿Por qué? Son económicos de operar y más difíciles de detectar para las empresas que los ataques enfocados en la capa de red.
ataques de fragmentación
Los ataques de fragmentación son otra forma común de ataque DDoS., El cibercriminal explota vulnerabilidades en el proceso de fragmentación de datagramas, en el que los datagramas IP se dividen en paquetes más pequeños, se transfieren a través de una red y luego se vuelven a ensamblar. En los ataques de fragmentación, los paquetes de datos falsos que no se pueden volver a ensamblar abruman al servidor.
en otra forma de ataque de fragmentación llamado ataque de lágrima, el malware enviado evita que los paquetes se vuelvan a ensamblar. La vulnerabilidad explotada en los ataques de lágrima ha sido parcheada en las versiones más recientes de Windows, pero los usuarios de versiones obsoletas seguirían siendo vulnerables.,
ataques volumétricos
Los ataques volumétricos son la forma más común de ataques DDoS. Usan una botnet para inundar la red o el servidor con tráfico que parece legítimo, pero que supera las capacidades de procesamiento del tráfico de la red o el servidor.
tipos de amplificación DDoS
en un ataque de amplificación DDoS, los ciberdelincuentes abruman un servidor del sistema de nombres de dominio (DNS) con lo que parecen ser solicitudes legítimas de servicio., Utilizando diversas técnicas, el ciberdelincuente es capaz de ampliar las consultas DNS, a través de una botnet, en una gran cantidad de tráfico dirigido a la red objetivo. Esto consume el ancho de banda de la víctima.
Chargen Reflection
una variación de un ataque de amplificación DDoS explota Chargen, un antiguo protocolo desarrollado en 1983. En este ataque, pequeños paquetes que contienen una IP falsa de la víctima objetivo se envían a dispositivos que operan Chargen y son parte del Internet de las cosas. Por ejemplo, muchas copiadoras e impresoras conectadas a Internet utilizan este protocolo., Los dispositivos luego inundan el destino con paquetes de protocolo de datagramas de usuario (UDP), y el destino no puede procesarlos.
reflexión DNS
los ataques de reflexión DNS son un tipo de ataque DDoS que los ciberdelincuentes han utilizado muchas veces. La susceptibilidad a este tipo de ataque se debe generalmente a que los consumidores o las empresas tienen enrutadores u otros dispositivos con servidores DNS mal configurados para aceptar consultas desde cualquier lugar en lugar de servidores DNS correctamente configurados para proporcionar servicios solo dentro de un dominio de confianza.,
los ciberdelincuentes envían consultas DNS falsas que parecen provenir de la red del objetivo, por lo que cuando los servidores DNS responden, lo hacen a la dirección de destino. El ataque se magnifica consultando un gran número de servidores DNS.
echa un vistazo al mapa de ataques digitales DDoS
El Mapa de ataques digitales fue desarrollado por Arbor Networks ATLAS Global threat intelligence system. Utiliza datos recopilados de más de 330 clientes ISP que comparten de forma anónima el tráfico de red y la información de ataques
eche un vistazo al mapa de ataques Digital., Le permite ver en un mapa global dónde se producen los ataques DDoS con información actualizada cada hora.
cómo protegerse de ataques distribuidos de denegación de servicio
protegerse de un ataque DDoS es una tarea difícil. Las empresas tienen que planificar la defensa y mitigación de tales ataques. Determinar sus vulnerabilidades es un elemento inicial esencial de cualquier protocolo de protección.
Método 1: Tomar Medidas rápidas
cuanto antes se identifique un ataque DDoS en curso, más fácilmente se podrá contener el daño., Las empresas deben usar tecnología o servicios anti-DDoS que puedan ayudarlo a reconocer picos legítimos en el tráfico de red y un ataque DDoS.
Si encuentra que su empresa está bajo ataque, debe notificar a su proveedor de ISP lo antes posible para determinar si su tráfico puede ser redirigido. Tener un ISP de respaldo también es una buena idea. Además, considere los servicios que dispersan el tráfico masivo de DDoS entre una red de servidores que hacen que el ataque sea ineficaz.,
Los proveedores de servicios de Internet utilizarán el enrutamiento de agujero negro que dirige el tráfico a una ruta nula a veces conocida como un agujero negro cuando se produce un tráfico excesivo, lo que evita que el sitio web o la red objetivo se bloquee, pero el inconveniente es que tanto el tráfico legítimo como el ilegítimo se redirige de esta manera.
Método 2: Configurar cortafuegos y enrutadores
los cortafuegos y enrutadores deben configurarse para rechazar el tráfico falso y debe mantener sus enrutadores y cortafuegos actualizados con los últimos parches de seguridad. Estos siguen siendo su línea inicial de defensa.,
el hardware front-end de la aplicación que se integra en la red antes de que el tráfico llegue a un servidor analiza y filtra paquetes de datos clasificando los datos como prioritarios, regulares o peligrosos a medida que ingresan a un sistema y se puede usar para bloquear datos amenazantes.