Cómo DDoS | Herramientas para ataques DoS y DDoS

¿Qué son los ataques DoS y DDoS?

Los ataques de denegación de servicio (DoS) y de denegación de servicio distribuido (DDoS) son intentos maliciosos de interrumpir las operaciones normales de un servidor, servicio o red objetivo abrumándolo con una avalancha de tráfico de Internet.

Los ataques DDoS logran esta interrupción mediante el envío de tráfico malicioso desde una sola máquina – normalmente un ordenador. Pueden ser muy sencillos; un ataque básico de inundación de ping puede llevarse a cabo enviando más peticiones ICMP (ping) a un servidor objetivo de las que éste es capaz de procesar y responder de forma eficiente.

Los ataques DDoS, por su parte, utilizan más de una máquina para enviar tráfico malicioso a su objetivo. A menudo, estas máquinas forman parte de una red de bots, un conjunto de ordenadores u otros dispositivos que han sido infectados con malware y que, por tanto, pueden ser controlados de forma remota por un atacante individual. En otras circunstancias, varios atacantes individuales lanzan ataques DDoS trabajando juntos para enviar tráfico desde sus ordenadores individuales.

Los ataques DDoS son más frecuentes y dañinos en la Internet moderna por dos razones. En primer lugar, las herramientas de seguridad modernas han evolucionado para detener algunos ataques DoS ordinarios. En segundo lugar, las herramientas de ataque DDoS se han vuelto relativamente baratas y fáciles de manejar.

¿Cómo se clasifican las herramientas de ataque DoS/DDoS?

Existen varias herramientas que pueden adaptarse para lanzar ataques DoS/DDoS, o que están explícitamente diseñadas para ese fin. La primera categoría son a menudo «»estresores»» – herramientas con el propósito declarado de ayudar a los investigadores de seguridad y a los ingenieros de redes a realizar pruebas de estrés contra sus propias redes, pero que también pueden utilizarse para realizar ataques genuinos.

Algunas están especializadas y sólo se centran en una capa particular del modelo OSI, mientras que otras están diseñadas para permitir múltiples vectores de ataque. Las categorías de herramientas de ataque incluyen:

Herramientas de ataque bajas y lentas

Como su nombre indica, estos tipos de herramientas de ataque utilizan un bajo volumen de datos y operan muy lentamente. Diseñadas para enviar pequeñas cantidades de datos a través de múltiples conexiones con el fin de mantener los puertos de un servidor objetivo abiertos el mayor tiempo posible, estas herramientas continúan ocupando los recursos del servidor hasta que es incapaz de mantener conexiones adicionales. De manera única, los ataques bajos y lentos pueden a veces ser efectivos incluso cuando no se usa un sistema distribuido como una botnet y son comúnmente usados por una sola máquina.

Herramientas de ataque a la capa de aplicación (L7)

Estas herramientas apuntan a la capa 7 del modelo OSI, donde ocurren las solicitudes basadas en Internet como HTTP. Utilizando un ataque de inundación HTTP para abrumar a un objetivo con solicitudes HTTP GET y POST, un actor malicioso puede lanzar tráfico de ataque que es difícil de distinguir de las solicitudes normales realizadas por los visitantes reales.

Herramientas de ataque a la capa de protocolo y transporte (L3/L4)

Descendiendo más en la pila de protocolos, estas herramientas utilizan protocolos como UDP para enviar grandes volúmenes de tráfico a un servidor objetivo, como durante una inundación UDP. Aunque a menudo son ineficaces individualmente, estos ataques se encuentran típicamente en forma de ataques DDoS donde el beneficio de las máquinas atacantes adicionales aumenta el efecto.

¿Cuáles son las herramientas de ataque DoS/DDoS comúnmente utilizadas?

Algunas herramientas comúnmente utilizadas incluyen:

Low Orbit Ion Cannon (LOIC)

El LOIC es una aplicación de pruebas de estrés de código abierto. Permite realizar ataques a la capa de protocolo TCP y UDP mediante una interfaz WYSIWYG fácil de usar. Debido a la popularidad de la herramienta original, se han creado derivados que permiten lanzar ataques utilizando un navegador web.

High Orbit Ion Cannon (HOIC)

Esta herramienta de ataque fue creada para sustituir a LOIC ampliando sus capacidades y añadiendo personalizaciones. Utilizando el protocolo HTTP, el HOIC es capaz de lanzar ataques dirigidos que son difíciles de mitigar. El software está diseñado para que un mínimo de 50 personas trabajen juntas en un esfuerzo de ataque coordinado.

Slowloris

Slowloris es una aplicación diseñada para instigar un ataque bajo y lento a un servidor objetivo. Necesita una cantidad relativamente limitada de recursos para crear un efecto dañino.

R.U.D.Y (R-U-Dead-Yet)

R.U.D.Y. es otra herramienta de ataque bajo y lento diseñada para permitir al usuario lanzar fácilmente ataques utilizando una simple interfaz de apuntar y hacer clic. Al abrir múltiples solicitudes HTTP POST y luego mantener esas conexiones abiertas el mayor tiempo posible, el ataque tiene como objetivo abrumar lentamente al servidor objetivo.

¿Cómo puedo defenderme contra las herramientas DoS/DDoS?

Dado que los ataques DoS y DDoS toman una variedad de formas, mitigarlos requiere una variedad de tácticas. Las tácticas comunes para detener los ataques DDoS incluyen:

• Limitación de la tasa: Limitar el número de peticiones que un servidor aceptará durante una determinada ventana de tiempo
• Firewalls de aplicaciones web: Herramientas que filtran el tráfico web en función de una serie de reglas
• Difusión de la red ennycast: Colocación de una gran red distribuida en la nube entre un servidor y el tráfico entrante, proporcionando recursos informáticos adicionales con los que responder a las solicitudes.

Cloudflare aplica todas estas estrategias y más para defenderse de los ataques DoS y DDoS más grandes y complejos. Más información sobre la protección DDoS de Cloudflare y su funcionamiento.