24 JUL 2018

Ataques Dos y DDoS: ¿qué son?

Los ataques DoS: qué son

Un DoS (Denial of Service – denegación de servicio) es un ataque cuyo objectivo es evitar la erogación o el uso de un servicio, para que no esté disponible o utilizable por los usuarios legítimos.

Hay varios tipos de ataques DoS:

  • Algunos ataques hacker aprovechan de una vulnerabilidad conocida en un sistema determinado, para bloquearlo y hacerlo inutilizable (Ping of Death es un ataque de este tipo).
  • Los ataques DoS están más extendidos y tienen como objetivo saturar los recursos disponibles (por ejemplo: espacio en el sistema de archivos, ancho de banda, memoria). Son, por lo tanto, ataques volumétricos, en el sentido de que el atacante intenta generar una gran cantidad de datos para saturar las estructuras de datos del objetivo. Para aumentar su eficacia y potencia, los atacantes explotan varias máquinas al mismo tiempo (por ejemplo, una botnet). Así nace el DDoS (Distributed Denial of Service – Denegación de Servicio Distribuido).
  • Los ataques más comunes se pueden aplicar o realizar en la capa de red.
  • Hoy en día son muy peligrosos los llamados Multivector DDoS que alternan diferentes tipos de ataques en un esquema diseñado específicamente para maximizar los efectos negativos.

 

¿Cómo evitar y bloquear un ataque DDoS?

Nota de dolor. Depende del tipo de ataque que se sufre. No siempre está posible o fácil defenderse o mitigar un ataque DDoS. Para algunos tipos hay defensas técnicas (SYN COOKIES por ejemplo) o instrumentos como cortafuegos e IPS. Si el ataque es volumétrico y está dirigido al ancho de banda, se usan técnicas de QoS para tratar de mitigarlo o hacer que sea menos efectivo. También hay servicios puestos a disposición por varios proveedores como Imperva, Akamai o Cloudflare que están especializados en proteger los recursos web de los ataques DDoS.

 

Ataques DoS y DDoS breve historia

El primer ataque DoS en la historia remonta a 1974, hecho por David Dennis, un estudiante adolescente que había descubierto un comando para ejecutarse en los terminales PLATO (una especie de prima red, de primera plataforma multiusuario) del CERL. El comando descubierto por Dennis (llamado “external” o “ext”) permitía la interacción con dispositivos externos conectados a los terminales, pero si el terminal no había dispositivos conectados, el resultado era el bloque del terminal que tenía que ser apagado y encendido nuevamente para volver a funcionar.

Uno de los primeros ataques DDoS, en cambio, remonta a agosto de 1999. En este caso, un hacker, utilizando un instrumento llamado “Trinoo”, apagó la red informática de la Universidad de Minnesota durante 2 días. Trinoo era una red de máquinas comprometidas (llamadas “Masters” y “Daemons”), el hacker enviaba una instrucción DoS a algunos Masters que a su vez transmitían las instrucciones a cientos de máquinas Daemons para iniciar una inundación de UDP contra las direcciones IP de destino.

Los ataques DDoS comenzaron a ser más consistentes en la década de 2000 cuando involucraron  muchas empresas, instituciones financieras y agencias gubernamentales.

Unos años más tarde, empezaron los ataques a los servidores DNS (Domain Name Service, el servicio que traduce los nombres de los nodos de red (hosts) en direcciones IP) .

 

Ataques DoS y DDoS famosos

Se han registrado muchos ataques DoS y DDoS famosos. Referirlos todos en este artículo es imposible, pero mencionaremos algunos de ellos:

 

Gusano Morris

Es noviembre de 1988 cuando el estudiante universitario Robert Tappan Morris, para medir el tamaño de Internet, lanzó un gusano que infectó 60,000 nodos de la red Arpanet. El lanzamiento de este gusano, pero, fue un error, de hecho en el código había un error que no podía entender si el sistema estuviera limpio o infectado y así el virus se copió repetidamente en miles de sistemas.

Robert Tappan Morris fue la primera persona condenada por piratería informática en Estados Unidos de América.

 

Code Red

Code Red es un virus que remonta a julio de 2001 e infectó 359.104 servidores en solo 14 horas. Code Red incluso logró atacar el sitio web de la Casa Blanca, aunque no hubo daños importantes en este caso porque la dirección IP del sitio, en el último momento, fue cambiada momentáneamente.

Code Red atacó los ordenadores que usaban el sistema de servidor web Microsoft IIS. Cuando se llegaba a un sitio web alojado en un servidor víctima de Code Red, aparecía el mensaje: “Welcome to http://www.worm.com! Hacked by Chinese”.

Code Red explotaba un error de programación de Microsoft en el Microsoft Internet Information Server (que contribuía a la indexación de las páginas web).

 

SQL Slammer

También este ataque explotó una vulnerabilidad de los sistemas Microsoft a pesar de que Microsoft había lanzado 6 meses antes el parche para corregir este error, actualización que muchos usuarios no instalaron subestimando los riesgos.

SQL Slammer se lanzó en enero de 2003 y en solo 15 minutos infectó miles de servidores en todo el mundo. Corea del Sur permaneció sin internet y comunicaciones móviles durante varias horas. Bank of America fue víctima del gusano: los usuarios no pudieron usar sus cajeros automáticos durante muchas horas. SQL Slammer también fue responsable de vuelos cancelados y de interferencias con las llamadas al 911.

 

GitHub

Entre los ataques DDoS más recientes está lo a GitHub, un servicio de alojamiento web para proyectos de software. Además de ser uno de los más recientes – remonta a finales de febrero de 2018 – parece ser el mayor ataque DDoS de todos los tiempos. El ataque a GitHub explotó una falla de seguridad en los servidores de memcached. El ataque duró 8 minutos y alcanzó un pico de 1,35 Tbps de tráfico a través del envio de 126.9 millones de paquetes por segundo.

 

DynDNS

Otro ataque DDoS famoso remonta a octubre de 2016 cuando el ataque DDoS derribó al proveedor DyDnS (conecta al usuario con el sitio solicitado, como Amazon, Skype, Spotify, Netflix y Twitter). El ataque inicialmente involucró a los usuarios de la costa este de Estados Unidos, pero dos ataques sucesivos involucraron más zonas, dejando a miles de usuarios sin la posibilidad de conectarse durante una docena de horas a sus sitios favoritos. El protagonista del ataque fue el malware Mirai que infectó varios dispositivos del Internet de las Cosas, en particular grabadoras de video y cámaras con componentes de la compañía china “XiongMai Technology”. El malware Mirai, gracias a un software de código abierto, logra encontrar dispositivos inseguros en la red y conectarse a ellos tomando su control usando una de las 68 credenciales predeterminadas de los productores. Mirai también puede contar con el protocolo Universal Plug and Play (UPnP) que para los productos más recientes se establece de manera predeterminada sin autenticación, por lo que es posible introducirse en la red local a la que están conectados los dispositivos sin problemas y sin la necesidad de direcciones IP.

Elaborado por Lucia D’Adamo, en colaboración con Alberto Fiore, supervisado por Marco Pirrone