Análisis ciberataques DrDoS

De Eduard Bardají

Análisis ataques DrDos

Los ataques DDoS o de Denegación de Servicio Distribuidos son una variante de los ataques DoS (Denial of Service) y tienen como objetivo inhabilitar un servidor, un servicio o una infraestructura. 

Este tipo de ataque se puede llevar a cabo por diferentes vías: 

  1. Por saturación del ancho de banda del servidor para dejarlo inaccesible.

  2. Por agotamiento de los recursos del sistema de la máquina, impidiendo así que ésta responda al tráfico legítimo.

El objetivo de estos es generar la saturación de los puertos con múltiples flujos de información, sobrecargando el servidor para que éste no pueda seguir prestando sus servicios. Por eso se conoce como “denegación de servicio”, porque el servidor no puede atender la gran cantidad de solicitudes que le llegan. 

Este tipo de redes  puede ser monetizado como un servicio del tipo CaaS (Crime a As Service), es decir, la red de equipos bajo control se vende o alquila a un tercero, para que este sea quién los utilice en sus ataques.

No obstante, ante la utilización de algunos protocolos que no se diseñaron teniendo en cuenta la seguridad y este tipo de ataques, surgió la Denegación de Servicio Distribuido Reflejado (DrDoS, Distributed Reflection/Reflective Denial of Service) que rápidamente se ha extrapolado a otros entornos, como por ejemplo, los dispositivos IoT, que podrían verse comprometidos y comportarse como un elemento más de una botnet

Nueva llamada a la acción

Características de los ataques DrDoS

Distribuyen el tráfico

Los ataques DrDoS aprovechan múltiples servidores vulnerables distribuidos en diferentes ubicaciones para inundar su objetivo con tráfico malicioso.

Amplifican el tráfico

Los ataques DrDoS explotan protocolos de Internet que pueden generar respuestas mucho más grandes que las solicitudes originales. Una acción que se conoce como amplificación del tráfico. 

Pueden falsificar la IP de origen

Los ciberdelincuentes falsifican la dirección IP del usuario con la dirección de origen en las solicitudes enviadas a los servidores de reflejo. Esto provoca que las respuestas amplificadas se dirijan al usuario al que se quiere atacar, en vez de regresar al atacante. Una acción que dificulta la identificación del origen del ataque. 

Aprovechan Botnets

Los ciberdelincuentes, para lanzar ataques DrDoS a gran escala, suelen aprovechar botnets, redes de dispositivos comprometidos (ordenadores, servidores, dispositivos IoT, etc.) controlados de forma remota. 

Son fáciles de ejecutar

Los ataques DrDoS suelen ser fáciles de ejecutar, ya que los atacantes sólo necesitan acceso a herramientas automatizadas que les permitan identificar y explotar servidores vulnerables. 

Cómo funcionan los ataques DrDoS

A diferencia de los DDoS, los DrDoS funcionan al explotar la capacidad de muchos sistemas en línea para responder a solicitudes de información. 

El atacante falsifica la dirección IP de la víctima y envía solicitudes masivas a servidores abiertos, como servidores DNS, NTP (Network Time Protocol) o SNMP (Simple Network Management Protocol). Estos servidores responden a la solicitud, pero en lugar de enviar la respuestas a la dirección IP falsificada del atacante, la envían a la dirección IP de la víctima, inundando su red con una avalancha de datos no solicitados. De esta manera, se sobrecargan los recursos de la red de la víctima, dejando sus servicios inaccesibles para usuarios legítimos. 

Por tanto, en esta variante, lo que buscan los ciberdelincuentes es que los paquetes de petición o acceso al servicio que se desea utilizar como base para el ataque, sean originados con un pequeño tamaño para generar el mayor número posible de ellos. 

A pesar de que el ataque provoca un gran impacto en los sistemas atacados, su eficacia se ve afectada al generar las peticiones desde un solo equipo. Es por eso, que los ciberdelincuentes recurren a lanzar las peticiones originales, no desde un equipo, sino desde decenas o miles, a través de redes botnet bajo su control y utilizando muchos sistemas intermedios amplificados. De esta manera, obtenemos un ataque mucho más difícil de contrarrestar. 

Cómo defenderse de un ataque DrDoS

  1. Monitorización de tráfico: Monitorizar constantemente el tráfico de red puede ayudar a identificar patrones inusuales que puedan indicar un ataque DrDoS en curso. Para ello, contar con un especialista en ciberseguridad es fundamental, puesto que dispone de las herramientas y conocimientos adecuados para realizar esta monitorización. 

  2. Implementar firewalls: Configurar firewalls y dispositivos de seguridad para bloquear o limitar el tráfico entrante sospechoso puede ayudar a mitigar los efectos de un ataque DrDoS. 

    En ESED trabajamos con firewalls que utilizan tecnología de vanguardia como la inteligencia artificial. La utilización de la tecnología Deep Learning permite detectar el malware desconocido que se esconde en las cargas sospechosas de forma rápida y efectiva. 

  3. Disponer de filtrado de tráfico: Utiliza sistemas de filtrado de tráfico para bloquear paquetes de datos maliciosos o sospechosos antes de que lleguen a tu red.

  4. Configuración correcta de los servidores: Asegura que los servidores que podrían ser utilizados para amplificar el tráfico están bien configurados y no son susceptibles a la explotación.

  5. Ten un Disaster Recovery Plan: Un Disaster Recovery Plan o un plan de recuperación ante desastres es un conjunto de acciones y recursos, técnicos y humanos, que sirven para establecer protocolos de actuación. Se trata de determinar cómo va a proceder la empresa para minimizar los daños y recuperar la normalidad en el mínimo tiempo posible y al menor coste. 

  6. Mitigación en la nube: Considera el uso de servicios de mitigación de DDoS basados en la nube ofrecidos por proveedores especializados. Estos servicios pueden ayudar a filtrar el tráfico malicioso antes de que llegue a tu red.

  7. Formación en ciberseguridad para empresas: Capacitar al personal sobre las señales de un posible ataque DrDoS y las medidas que pueden tomar para mitigar sus efectos puede ayudar a fortalecer la postura de seguridad de la organización. 

    En ESED ofrecemos cursos en ciberseguridad para empleados de empresas, enseñándoles buenas prácticas informáticas, para no comprometer la información y seguridad del negocio. 

ESED tu mejor aliado contra ciberataques

Sin duda, la mejor opción para prevenir ciberataques a parte de lo mencionado anteriormente, es contar con un especialista en ciberseguridad que entienda en la materia. 

Los especialistas en ciberseguridad crean, prueban y analizan sistemas para mantener los datos y la información a salvo de los ciberdelincuentes y otras amenazas externas. Su labor y principal objetivo es el de identificar amenazas y encontrar formas de mantener segura toda la infraestructura informática y dispositivos contra malware y virus que pueden poner en riesgo la información de la empresa (contraseñas, datos de los clientes, información confidencial de empresa, información de proveedores, etc.) 

Estos son algunos de los beneficios de contar con un especialista en ciberseguridad

Esperamos que este artículo te haya ayudado a comprender la amenaza que supone un ataque DrDoS para las empresas. 

¿Sabes cuál es el nivel de seguridad de tu sistema? ¿Quieres saber si es vulnerable a ciberataques? ¡Contáctanos