Lo primero que vamos a hacer es tratar el tema de qué es un ataque DDoS, cuánto suelen durar y algunos mitos relacionados con este tipo de ataques tan populares y utilizados por ciberdelincuentes. Posteriormente, hablaremos en detalle de la mitigación de estos DDoS con diferentes técnicas que existen actualmente.
Qué es un ataque DoS, duración, mitos y diferencias con DDoS
Los ataques de denegación de servicio (DoS) tienen como objetivo interrumpir o debilitar firewalls, servicios en línea y sitios web. Esto lo consiguen enviando millones de peticiones de manera continuada, saturando los sistemas con tráfico malicioso o enviando solicitudes que no se han realizado legítimamente. La diferencia con respecto a los ataques de denegación de servicio distribuido (DDoS), es que, en este último, el ataque es ejecutado por miles de equipos simultáneamente, y no solamente por uno de ellos.
El primer paso de un atacante de DDoS es conseguir un ejército de máquinas comprometidas o bots. El siguiente paso consiste en manejar esa red de dispositivos que controlan desde una ubicación remota enfocando su ataque hacia un único objetivo. A este conjunto de máquinas comprometidas se las conoce como botnets, y pueden utilizarse para perpetrar ataques DDoS realmente dañinos.
Una de las técnicas más utilizadas para realizar un ataque de DDoS es la saturación de ancho de banda con grandes volúmenes de tráfico. También pueden hacerlo saturando los recursos del sistema con solicitudes de conexión semiabiertas o bloqueando servidores de aplicaciones web con voluminosas solicitudes de información aleatoria.
Los ataques de DDoS siguen siendo un problema en la actualidad. Si bien, hay que señalar que los del tipo DDoS Ransom Notes ya son cosa del pasado. Por si no lo sabéis, son del tipo en el que a las víctimas de esa organización o empresa les llega una nota de rescate. En ella se le pide que se realice un pago al cibercriminal para que no empiece ejecutar ataques DDoS contra su empresa.
Luego también está la creencia de que nuestro proveedor de internet (ISP) y el proveedor de servicios en la nube nos protegen de este tipo de ataques. Si bien es cierto parcialmente, las soluciones y defensas que tienen, no siempre son suficientes. Otro factor a tener en cuenta es que la tendencia actual es que los ataques DDoS cada vez duran más. De vez en cuando, nos encontramos que un ataque a veces puede llegar a durar entre 5 o 6 días. Eso sin duda supone un perjuicio para las organizaciones, empresas y víctimas que lo sufren. En RedesZone hemos hablado anteriormente sobre los mitos de los ataques DDoS, algo fundamental para saber de verdad qué puede hacer este tipo de ataques y qué no.
Introducción a la mitigación de ataques DDoS
La mitigación de DDoS la podríamos definir como la práctica de bloquear y absorber picos maliciosos en el tráfico de red y el uso de aplicaciones causados por ataques DDoS. Su objetivo consiste en permitir que el tráfico legítimo fluya sin obstáculos, y afecte lo menos posible al trabajo diario de esa organización.
Las estrategias y tecnologías de mitigación de DDoS están destinadas a contrarrestar los riesgos comerciales planteados por los diferentes tipos de ataque DDoS que pueden perpetuarse contra una empresa. Estas estrategias y tecnologías empleadas, tienen como fin preservar un funcionamiento óptimo de esos recursos de la empresa que los ciberdelincuentes pretenden paralizar.
La mitigación de DDoS nos permite dar una respuesta más rápida a los ataques DDoS. En este sentido, los delincuentes utilizan a menudo este tipo de ataques como una cortina de humo. Así, pretenden camuflar otros tipos de ataques, como la exfiltración, explotación de brechas de seguridad etc. Si estamos preparados, tendremos más tiempo y recursos para evitar esa posible fuga de información.
Estrategias para la implementación de la mitigación de DDoS
A la hora de adoptar medidas que contribuyen a la capacidad de mitigación de DDoS para reducir el impacto de estos ataques podemos emplear varias estrategias. Si queremos que la mitigación de DDoS sea efectiva, nuestro primer paso debe basarse en la construcción de una infraestructura sólida.
La mejor forma de empezar es fortaleciendo las capacidades de ancho de banda, y luego realizando una segmentación segura de redes y de los centros de datos de nuestra empresa. Además, debemos tener una técnica de establecimiento de duplicación y conmutación por error sin olvidarnos de configurar aplicaciones y protocolos para la resiliencia. Tampoco debemos olvidarnos de reforzar la disponibilidad y el rendimiento a través de recursos como las redes de entrega de contenido (CDN).
No obstante, la arquitectura más robusta y los servicios CDN por sí solos no son suficientes para detener los ataques DDoS actuales. En ese sentido, hay que señalar que requieren de más capas de protección para una mitigación DDoS eficaz. Con volúmenes de ataques cada vez más grandes que incluso pueden llegar a 1 TBps y de larga duración que pueden superar incluso los 5 días, es necesario buscar nuevas medidas.
Por ese motivo, una mitigación de DDoS eficaz debe ofrecer algún método para eliminar el tráfico incorrecto lo más rápido posible sin impedir el tráfico legítimo, las solicitudes de conexión o las transacciones de aplicaciones. Así, las organizaciones pueden volver a la normalidad lo antes posible.
En ese sentido, las empresas deben reforzar sus estrategias de mitigación de DDoS mediante una planificación eficaz de la respuesta a incidentes. Así, deben prepararse siguiendo estos puntos:
- Preparando libros de respuesta para numerosos escenarios de ataque a los que pueda ser sometida la empresa.
- Debemos someter las capacidades de nuestra empresa a pruebas de estrés periódicas para mejorar y garantizar nuestras defensas frente a los ataques.
Tecnología y servicios que podemos usar para la mitigación de DDoS
El administrador de una red o el equipo de seguridad de una empresa, para realizar las funciones de mitigación de DDoS suelen buscar tecnología o servicios. Su intención es que éstos les ayuden a determinar automáticamente si se trata de tráfico legítimo o de ataques de DDoS reales.
La mayoría de las estrategias de mitigación de DDoS se basan en el análisis de tráfico. Este método consiste en la monitorización del tráfico 24 horas al día los 7 días de la semana. Su finalidad es estar atento a las amenazas y detectar los primeros signos de actividad DDoS, antes de que se convierta en un problema con volúmenes inmanejables de datos, que perjudiquen el rendimiento de la red empresarial. Por otro lado, las organizaciones que no tienen el personal para cubrir ese servicio en la nube, con frecuencia recurren a proveedores de servicios administrados para cumplir con ese rol. No obstante, la mitigación de DDoS propia puede minimizar el coste del tiempo de inactividad ya que se pueden poner a trabajar de forma inmediata y exclusiva a ello.
La monitorización también suele venir respaldada por una tecnología de detección de anomalías. Gracias a sus fuentes de inteligencia de amenazas, rastrean los últimos indicadores de compromiso (IOC) relacionados con las tácticas de ataque DDoS más modernos. Luego, los expertos aportan su respuesta de forma manual o con tecnologías automatizadas.
Las empresas y la mitigación de los ataques DDoS
Las empresas frecuentemente utilizan una combinación de soluciones locales como dispositivos de mitigación de DDoS, firewalls y dispositivos de gestión de amenazas unificados, para bloquear la actividad DDoS. No obstante, hay que señalar que esto necesita de un ajuste significativo de los dispositivos y que el hardware además limita la cantidad de tráfico que puede absorber.
Las organizaciones que no tienen equipos propios o infraestructuras necesarias para realizar esta tarea, están recurriendo a soluciones de mitigación de DDoS basadas en la nube o en empresas de soluciones de seguridad administradas. Su funcionamiento se basa en el monitoreo y la detección de anomalías de los que hemos hablado antes. De este modo, cuando detectan tráfico o actividad maliciosa, la infraestructura de mitigación de DDoS redirigirá ese tráfico a través de un sistema de filtrado basado en la nube, antes de cruzar el borde de la red, y sólo dejará pasar el tráfico legítimo para que la actividad de la empresa continúe de la forma habitual.
Por último, si bien la respuesta inicial al ataque se automatiza a través de la tecnología, la mitigación eficaz de DDoS también requiere un equipo bien capacitado para realizar cambios sobre la marcha de los escenarios. Si una empresa posee el suyo propio, es un valor añadido para la seguridad de la misma.
Fuente obtenida de: https://www.redeszone.net/tutoriales/seguridad/funcionamiento-ataques-ddos-mitigacion/