Posted on

Ataques DDoS: Qué son y cómo DDoS

, Author

Actualizado el 10/6/2020

Un ataque DDoS (Distributed Denial-of-Service) es muy similar a un ataque DoS (Denial-of-Service), con la única diferencia de que el mismo ataque es llevado a cabo por muchas personas diferentes (o botnets) exactamente al mismo tiempo. Por lo tanto, el DDoS es una cuestión de escala.

Después de seleccionar un servicio como objetivo, siga estos cinco pasos para montar un ataque DoS:

  1. Lance una herramienta DoS, como LOIC.

  2. Especifique la dirección IP del servidor que desea atacar.

  3. Elige un puerto que sepas que está abierto y que acepte conexiones entrantes.

  4. Selecciona TCP.

  5. Pulsa el botón para iniciar el ataque.

Para montar un ataque DDoS, haz lo mismo que para un ataque DoS, excepto con la herramienta HOIC. Esta es la forma de DDoS:

  1. Encuentra y elige un servicio.

  2. Selecciona un puerto abierto.

  3. Lanza HOIC.

  4. Aumenta los Hilos.

  5. Apunta a la URL deseada.

  6. Aumenta la Potencia a Alta.

  7. Selecciona tu Booster.

  8. Monta el ataque.

Vamos a repasar primero un ataque DoS para que se entienda mejor un ataque DDoS.

¿Qué es un ataque de denegación de servicio (DoS)?

DoS es un ciberataque diseñado para saturar un servicio en línea, hacer que su sistema se caiga, negando así el servicio a los clientes, empleados, etc. Para llevar a cabo un ataque DoS, todo lo que tienes que hacer es:

  1. Encontrar y elegir un servicio como objetivo.

  2. Seleccionar un puerto abierto.

  3. Abordar el servicio.

En esencia, un ataque DoS es bastante sencillo y simple de llevar a cabo. La verdadera cuestión aquí es si usted tiene suficiente escala para abrumar a su sistema de destino.

Aquí está un desglose de cada paso.

Encontrar y elegir un servicio para apuntar

El primer paso para montar un DoS es encontrar un servicio que puede apuntar. Esto tendría que ser algo con puertos abiertos y vulnerabilidades, y que aceptará las conexiones entrantes.

Algunos de los servicios que podrían cumplir estos criterios son:

  • Servidores web

  • Servidores DNS

  • Servidores de correo electrónico

  • Servidores FTP

  • Servidores Telnet

Lo que hace que estos servicios sean tan fáciles de atacar es que aceptan conexiones no autenticadas.

Seleccionar un puerto abierto

Ver una lista de puertos abiertos en Windows abriendo la línea de comandos de DOS, introduciendo netstat y pulsando Enter. Para ver los puertos con los que se comunica un ordenador, escriba netstat -an |find /i «established».

La configuración de los puertos varía de un programa a otro, pero la idea general es la misma en todos ellos. Cuando intentes acceder a un puerto, sabrás que no es accesible si el mensaje «Connecting…» se cuelga y luego la ventana desaparece. Si es accesible, obtendrá una ventana vacía o verá un texto similar a «220 ESMTP hablado aquí.»

Si lo prefiere, aquí tiene tres herramientas que puede utilizar para encontrar puertos abiertos:

  1. Telnet

  2. CurrPorts

  3. TCPEye

Abordar el servicio

Lo ideal es elegir un servicio que no tenga un límite máximo en el número de conexiones que permite. La mejor manera de averiguar si un servicio no tiene un límite máximo es enviarle unos cientos de miles de conexiones y luego observar lo que sucede.

Para lograr un efecto óptimo, debe enviar consultas e información específicas. Por ejemplo, si te diriges a un servidor web con un motor de búsqueda, no te limites a solicitar una página web o a pulsar F5 un montón de veces. Solicite una consulta de búsqueda compleja que vaya a consumir una cantidad significativa de potencia para resolverla. Si hacer eso una sola vez tiene un impacto notable en el backend, entonces hacer eso cien veces por segundo probablemente hará caer el servidor.

Puedes hacer lo mismo contra un servidor DNS. Puedes forzarlo a resolver consultas DNS complejas que no están en la caché. Hazlo con la suficiente frecuencia y hará caer el servidor.

Para un servicio de correo electrónico, puedes enviar muchos archivos adjuntos de gran tamaño, si puedes conseguir una cuenta legítima en su servidor. Si no puedes, es bastante fácil falsificarla.

Si no puedes apuntar a ningún servicio específico, puedes simplemente inundar un host con tráfico, excepto que el ataque podría no ser tan elegante y seguramente requeriría un poco más de tráfico.

Una vez que haya abrumado el sistema, el entorno está preparado para un ataque.

Cómo montar un ataque DoS

Una vez que haya realizado los procesos de huella de red, escaneo y enumeración, debería tener una buena idea de lo que está sucediendo en la red a la que se dirige. Aquí hay un ejemplo de un sistema particular que te gustaría atacar. Es 192.168.1.16 (un controlador de dominio y servidor web de Windows 2008).

Para atacarlo, siga estos 5 pasos:

1. Lanza tu herramienta favorita para atacar sistemas. A mí me gusta el Cañón de Iones de Órbita Baja (LOIC). Esta es la herramienta más fácil de entender porque es bastante obvio lo que está haciendo.

Otras herramientas DoS que se pueden utilizar para atacar incluyen XOIC, HULK, DDOSIM, R.U.D.Y., y Tor’s Hammer.

2. Especifica la dirección IP del servidor que quieres atacar, que en este caso es 192.168.1.16. Bloquea la misma.

3. Elige un puerto que sepas que está abierto y que acepte conexiones entrantes. Por ejemplo, elija el puerto 80 para montar un ataque basado en la web.

4. Seleccione TCP para especificar qué recursos atar.

5. Haga clic en el botón para montar el ataque.

Verá que los datos solicitados aumentan rápidamente.

El incremento de datos puede empezar a ralentizarse un poco, en parte porque estarás consumiendo recursos en el cliente, y también porque el propio servidor se estaría quedando sin recursos o empezando a defenderse de tu ataque.

Qué hacer cuando el host comienza a defenderse

Algunos hosts pueden ser configurados para buscar patrones, identificar ataques y comenzar a defenderse. Para contrarrestar su defensa, puede:

  1. Detener el ataque momentáneamente (haciendo clic en el mismo botón en el que hizo clic para montar el ataque).

  2. Cambiar el puerto que está atacando.

  3. Reduzca un poco el ataque, lo que añade confusión.

En nuestro ejemplo, cambiará el puerto del puerto 80 al puerto 88 (si revisa la captura de pantalla del escáner de puertos avanzado, verá que el puerto 88 también está abierto). Una vez que haya terminado de cambiar la configuración, puede reanudar el ataque haciendo clic en el botón de ataque de nuevo.

Ahora está atacando un puerto diferente (que equivale a un servicio diferente) de una manera ligeramente diferente y a una velocidad diferente. La velocidad sólo es importante si estás atacando desde un solo cliente.

Así es como se vería un ataque cuando haces este tipo de DoS desde una sola máquina.

¿Qué es un ataque DDoS? Atacar a varios clientes a la vez

Un ataque de denegación de servicio distribuido (DDoS) se realiza con el objetivo de derribar un sitio web o servicio inundándolo con más información o procesamiento del que el sitio web puede manejar. Es prácticamente lo mismo que un ataque DoS, con la diferencia de que es llevado a cabo por muchas máquinas diferentes a la vez.

Dependiendo de la situación, un cliente que ataca de esta manera puede o no afectar inmediatamente al rendimiento del servidor, pero un ataque DDoS no tiene por qué detenerse en un solo cliente. Normalmente, montarías este ataque contra diferentes puertos en diferentes momentos, y tratarías de imprimir si tus acciones están afectando a los servicios. Mejor aún, cerrará el servidor.

Si el ataque está produciendo el efecto deseado, podría escalarlo ejecutando el LOIC en una docena (o incluso cientos) de máquinas al mismo tiempo. Gran parte de esta acción se puede programar, lo que significa que puedes capturar el tráfico y reproducirlo en la línea de comandos en diferentes objetivos. O bien, puedes reproducirlo como parte de un guión de diferentes atacantes, que podrían ser tus compañeros, tus zombis, o ambos. A menudo, el malware (botnets, explorado más adelante) se utiliza para lanzar los ataques porque el malware puede ser programado para lanzarse exactamente en el mismo momento.

Esto es cuando la velocidad se vuelve menos importante porque tienes un centenar de clientes diferentes atacando al mismo tiempo. Puedes ralentizar las cosas en cada cliente individual y todavía ser capaz de montar un ataque bastante eficaz.

La pantalla se vería igual en cada máquina individual si montaras el ataque desde cientos o miles de máquinas, que si lo hicieras en una sola.

¿Qué es una botnet?

Según explica la Internet Society:

«Una botnet es una colección de ordenadores de usuario conectados a Internet (bots) infectados por un software malicioso (malware) que permite que los ordenadores sean controlados de forma remota por un operador (bot herder) a través de un servidor de Comando y Control (C&C) para realizar tareas automatizadas en dispositivos que están conectados a muchos ordenadores, como robar información o lanzar ataques a otros ordenadores. El malware de las redes de bots está diseñado para dar a sus operadores el control de muchos ordenadores de usuarios a la vez. Esto permite a los operadores de botnets utilizar recursos informáticos y de ancho de banda a través de muchas redes diferentes para realizar actividades maliciosas».

Aunque son una gran ayuda para los hackers, las botnets son más bien un azote para gran parte de la sociedad online. Las botnets:

  • Pueden extenderse a grandes distancias, incluso operar en diferentes países.

  • Restringen la apertura, la innovación y el alcance global de Internet.

  • Impactan los derechos fundamentales de los usuarios al bloquear la libertad de expresión y de opinión, y violar la privacidad.

Cómo hacer un ataque DDoS

Para montar más de 256 ataques DDoS simultáneos que hagan caer un sistema, un equipo de varios usuarios puede utilizar High Orbit Ion Cannon (HOIC) al mismo tiempo, y puede emplear el script complementario «booster».

Para hacer un ataque DDoS, encuentra y elige un servicio, selecciona un puerto abierto, y abruma el servicio siguiendo estos pasos:

  1. Lanza HOIC.

  2. Aumenta los Hilos.

  3. Apunta a la URL deseada.

  4. Aumenta la Potencia a Alta.

  5. Selecciona tu Booster.

  6. Monta el ataque.

¿Por qué los hackers ilegales realizan ataques DoS y DDoS?

Los ataques DoS y DDoS son excesivamente destructivos y puede costar trabajo lanzarlos, pero son utilizados por los ciberdelincuentes como un arma a utilizar contra un competidor, como forma de extorsión o como cortina de humo para ocultar la extracción de datos sensibles.

Además, a veces los ataques se montan por una o varias de estas razones:

  • Guerras territoriales basadas en Internet.

  • Una expresión de ira o un castigo.

  • Práctica, o simplemente para ver si se puede hacer.

  • Para la «diversión» de causar caos.

El daño causado por los ataques DDoS es extremadamente significativo. Cisco ha informado de algunos datos y estimaciones reveladores:

  • El número de ataques DDoS globales se duplicará de 7,9 millones en 2018 a 15,4 millones en 2023.

  • El tamaño medio de un ataque DDoS es de 1 Gbps, lo que puede dejar a una organización completamente fuera de línea.

Una encuesta de ITIC de 2019 encontró que «una sola hora de tiempo de inactividad ahora cuesta al 98% de las empresas al menos 100.000 dólares. Y el 86% de las empresas dice que el coste de una hora de inactividad es de 300.000 dólares o más.» El 34% dice que cuesta entre 1 y 5 millones de dólares estar fuera de servicio durante una hora.

Un ejemplo reciente de ataque DDoS es el de Amazon Web Services en febrero de 2020. El gigante de la computación en la nube fue atacado y envió hasta la asombrosa cifra de 2,3 terabytes de datos por segundo durante tres días seguidos.

Si quieres navegar por los ataques mundiales que se producen en tiempo real (o casi), consulta un mapa de amenazas de ciberataques.

Cómo proteger tu negocio de los ataques DoS y DDoS

Para proteger tu negocio de los ataques DoS y DDoS, aquí tienes algunas recomendaciones:

  1. Instala software de seguridad y mantenlo actualizado con los últimos parches.

  2. Asegure todas las contraseñas.

  3. Utilice los servicios anti-DDoS para reconocer los picos legítimos de tráfico en la red, frente a un ataque.

  4. Tenga un ISP de respaldo para que su proveedor de ISP pueda redirigir su tráfico.

  5. Use servicios que dispersen el tráfico de ataque masivo entre una red de servidores.

  6. Actualice y configure sus cortafuegos y routers para que rechacen el tráfico fraudulento.

  7. Integre el hardware del front-end de la aplicación para filtrar y clasificar los paquetes.

  8. Utilice un sistema de IA de autoaprendizaje que enrute y analice el tráfico antes de que llegue a los ordenadores de la empresa.

  9. Emplee a un hacker ético para que busque y encuentre puntos desprotegidos en su sistema.

Es una tarea difícil proteger a su empresa de los ataques DoS y DDoS, pero determinar sus vulnerabilidades, tener un plan de defensa e idear tácticas de mitigación son elementos esenciales de la seguridad de la red.

Aprenda más sobre el hacking ético

El hacking ético es una herramienta importante y valiosa utilizada por los profesionales de la seguridad informática en su lucha contra las costosas y potencialmente devastadoras violaciones cibernéticas. Utiliza técnicas de hacking para obtener información sobre la eficacia del software y las políticas de seguridad, de modo que se pueda promulgar una mejor protección de las redes.

Los principios rectores básicos a seguir cuando se hackea legalmente son:

  • Nunca utilices tus conocimientos para beneficio personal.

  • Sólo hazlo cuando te hayan dado el derecho.

  • No utilices software pirata en tus ataques.

  • Ten siempre integridad y sé digno de confianza.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.