Introducción a DDoS

Visión general

Este curso proporciona una descripción general de los ataques distribuidos de denegación de
servicio (DDoS) y sirve como base para futuros cursos de capacitación. Al finalizar este curso, los
participantes deben tener una comprensión de alto nivel de DDoS y las motivaciones comunes de
los atacantes. Se incluye una revisión de los fundamentos específicos de la red junto con detalles
de las convenciones utilizadas en todo el portal de capacitación en línea.

Definiendo DDoS
Figura 1.1

Figura 1.1: Control central

Un ataque de denegación de servicio (DoS) es cualquier ataque que impide que un usuario
legítimo acceda a un recurso de red. Un ataque de denegación de servicio distribuido (DDoS) es
aquel que utiliza múltiples recursos de red como fuente del vector de ataque específico. El uso de
múltiples recursos está pensado principalmente como un método para amplificar las capacidades
de un solo atacante, pero también puede ayudar a ocultar la identidad de un atacante y complicar
los esfuerzos de mitigación. La mayoría de los ataques DDoS aprovechan una "botnet", que es una
red de sistemas informáticos conectados a Internet controlados centralmente por un atacante
(Figura 1.1). Las botnets pueden variar en tamaño desde un puñado de sistemas hasta decenas de
millones. La mayoría de las botnets utilizan recursos informáticos comprometidos sin el
conocimiento del propietario.
Figura 1.2

Figura 1.2: Tríada de seguridad

Dentro del alcance más amplio de la seguridad de la información, los ataques DDoS caen dentro
del pilar "Disponibilidad" de la Tríada de la CIA (Figura 1.2). DDoS difiere de otras áreas de
explotación de seguridad de la información que intentan alterar u obtener acceso a los datos para
causar daños. Los ataques DDoS se basan en la noción de que es el acceso legítimo del usuario a
los datos lo que proporciona valor para una organización, y eliminar ese acceso causa el mayor
daño.

Impacto DDoS
Daño a la reputación

Al provocar una interrupción, un atacante puede afectar negativamente la reputación de una

empresa.
Pérdida de ingresos directos

Una interrupción en un recurso de red que genera ingresos directamente, como el comercio
electrónico o los medios en línea, puede afectar directamente a una organización.
Productividad perdida

Un ataque DDoS a menudo impide que los empleados realicen sus responsabilidades normales.
Pantalla de humo de ataque

Un ataque DDoS se puede utilizar para ocultar otras actividades nefastas del personal de seguridad
de la información.
Motivaciones del atacante
Extorsión

Una motivación común para los ataques DDoS es la extorsión de dinero de la empresa objetivo. En
un esquema típico de extorsión DDoS, el atacante se comunicará anónimamente con la
organización víctima para solicitar que se pague una cantidad específica de dinero para evitar un
ataque futuro. A menudo, el atacante probará sus capacidades realizando un ataque DDoS
limitado en un momento específico. La transferencia anónima de fondos generalmente se realiza
utilizando la moneda virtual de Bitcoin. Una banda ciberdelincuente conocida como DD4BC fue
expuesta en diciembre de 2015 por operar un anillo de extorsión DDoS masivo.
Hacktivista

Dentro del alcance de DDoS, el "hacktivismo" es el uso de DDoS para promover una agenda
política específica. Un ataque de este tipo a menudo irá precedido de una declaración pública del
atacante en las redes sociales u otros foros públicos que detalle una queja o manifiesto específico.
Las víctimas de estos ataques a menudo son marcas o compañías bien establecidas que
probablemente sufrirán daños sustanciales en la reputación por el impacto asociado al cliente y la
cobertura de noticias. El ejemplo más conocido de este tipo de atacante es el colectivo hacktivista
"Anónimo", que se ha atribuido la responsabilidad de los ataques DDoS contra Bank of America,
Visa, Mastercard, la Iglesia de Scientology y muchos otros.
Patrocinado por el Estado / Terrorismo cibernético

Una campaña de terrorismo cibernético involucra a una nación u organización terrorista que
realiza un ataque DDoS. El objetivo principal es a menudo silenciar el habla de ciertas fuentes, o la
interrupción sustancial de la infraestructura y el comercio de telecomunicaciones del objetivo.
Estos tipos de ataques DDoS son generalmente mucho más grandes y mejor orquestados debido a
los importantes recursos del atacante. Un ejemplo sospechoso ocurrió en marzo de 2015 cuando
un bombardeo de DDoS originario de China apuntó a recursos específicos contra China alojados en
Github. Otros ejemplos incluyen un ataque DDoS de tres semanas en la primavera de 2007 dirigido
al país de Estonia, que efectivamente desconectó al país de Internet. El ataque estuvo vinculado a
una disputa política con Rusia.
Vendetta personal

Los orígenes históricos de DDoS provienen principalmente de disputas en línea entre individuos o
grupos pequeños. Este tipo de ataques creció en popularidad a fines de la década de 1990 en los
sistemas de chat en línea. El objetivo principal de estos ataques es "castigar" a alguien por un error
percibido, o silenciar su discurso. Este tipo de ataques aún prevalecen hoy.
Rivalidad empresarial

El propósito de estos ataques es causar impacto financiero o vergüenza a un competidor

comercial. Estos ataques suelen ser de larga duración y se dirigen a los recursos responsables de la
generación de ingresos, como los sistemas de comercio electrónico. El advenimiento de los
servicios DDoS de alquiler, donde alguien puede comprar un ataque DDoS por menos de $ 20, ha
facilitado y ha hecho que este tipo de ataque sea más común.
Actualización de redes
Modelo OSI
En todo el portal de capacitación, se harán referencias al modelo de interconexión de sistemas
abiertos (OSI). Este es un modelo conceptual que estandariza las funciones de comunicación
dentro de los sistemas conectados a la red. La mayoría de los ataques DDoS caen dentro de las
capas 3, 4 y 7 y los cursos posteriores discutirán estas áreas en detalle. No se requiere una
comprensión del modelo OSI para los principiantes, pero se recomienda para los aprendices
avanzados.

Layer Protocol Data Unit Purpose Examples

High-Level
7 Application Data HTTP, HTTPS, DNS
Application APIs
Data translation
CSS, HTML, XML,
6 Presentation Data between a service
JSON
and application
Managing
5 Session Data RPC
communication
Transmission of data
4 Transport Segment/Datagram between points on a TCP, UDP
network
Management of a
3 Network Packet IPv4, IPv6, ICMP
multi-node network
Transmission of data
2 Data Link Frame between physically PPP, L2TP
connected devices
Transmission of data
1 Physical Bit stream over a DSL, Ethernet
physical medium
 Capa Unidad de dato de Propósito Ejemplos
protocolo
APIs de aplicaciones
7 Aplicación Datos HTTP, HTTPS, DNS
de alto nivel
Data translation
CSS, HTML, XML,
6 Presentación Datos between a service
JSON
and application
Gestionar la
5 Sesión Datos RPC
comunicación.
Transmisión de datos
4 Trasporte Segmento/Datagram entre puntos en una TCP, UDP
red
Gestión de una red de
3 Red Paquete IPv4, IPv6, ICMP
múltiples nodos.
Transmisión de datos
entre dispositivos
2 Enlace de datos Frame PPP, L2TP
físicamente
conectados.
Transmisión de flujo
1 Physical Bit de datos a través de DSL, Ethernet
un medio físico

Enrutamiento / conectividad WAN

Internet es una colección de redes informáticas interconectadas que se comunican mediante

protocolos IPv4 o IPv6 (Figura 1.3). Las redes pequeñas, como las de un usuario doméstico o una
pequeña empresa, se conectan a Internet a través de proveedores de servicios de Internet (ISP)
más grandes. Los ISP y otras redes grandes se conectan entre sí a través de uno o más puntos de
interconexión públicos y privados donde se puede intercambiar el tráfico de red. Las conexiones
entre dispositivos de red consisten en cableado de fibra óptica o cobre con una capacidad máxima
específica. La interconexión de redes grandes es administrada principalmente por el protocolo
BGP que crea un mecanismo para intercambiar información de ruta (o ruta). Esta información de
enrutamiento permite que una red conectada a Internet anuncie a todo Internet las rutas para
llegar a esa red.
IPv4 / IPv6

El Protocolo de Internet es el protocolo que utilizan todos los dispositivos conectados a Internet
para comunicarse en Internet. Todos los protocolos de capa superior (en el modelo OSI) están
encapsulados dentro de este protocolo de nivel inferior. El encabezado de un paquete IP contiene
una variedad de información, sobre todo la dirección de origen y de destino para los dispositivos
de red que se están comunicando.
TCP

El Protocolo de control de transmisión (TCP) es un protocolo de capa 4 (en el modelo OSI) y se

utiliza para establecer circuitos virtuales entre dos aplicaciones. Un circuito virtual es un canal de
comunicación confiable basado en la conexión. Los datos TCP están contenidos dentro de un
paquete IP y se hacen confiables mediante la adición de sumas de verificación, información de
pedidos y un mecanismo de reconocimiento. La comunicación en un circuito virtual TCP
completamente establecido es difícil de falsificar. El protocolo de enlace TCP de 3 vías se ilustra en
la Figura 1.4.
UDP

El Protocolo de datagramas de usuario (UDP) es un protocolo de capa 4 (en el modelo OSI) y se

utiliza para la transmisión de datos sin conexión entre aplicaciones. UDP contiene una suma de
comprobación, pero no garantiza la fiabilidad ni el orden de los datos a menos que se implemente
dentro de un protocolo de capa superior. Debido a esta limitación, un atacante a menudo puede
forjar una comunicación basada en UDP.

ICMP
El Protocolo de mensajes de control de Internet (ICMP) está contenido en un paquete IP, pero a
menudo se considera un protocolo de capa 3 (en el modelo OSI). El protocolo se utiliza
principalmente para dispositivos de red intermedios para comunicar mensajes de error a un
remitente de datos. ICMP contiene una suma de comprobación, pero no garantiza la fiabilidad ni
el orden de los datos. Debido a esta limitación, un atacante a menudo puede falsificar un mensaje
ICMP.

HTTP (S)
El Protocolo de transferencia de hipertexto (HTTP) y su equivalente encriptado HTTPS son
protocolos de aplicación de capa 7 utilizados para la comunicación de datos en la World Wide
Web. Las solicitudes HTTP y HTTPS se envían dentro de los circuitos virtuales TCP, lo que da como
resultado un canal de comunicación confiable. El uso de TCP dificulta mucho la falsificación de
cierta información del cliente, como las direcciones IP de origen.

DNS
El protocolo del Sistema de nombres de dominio (DNS) es un mecanismo para que las aplicaciones
obtengan información de dirección IP para nombres de red legibles por humanos. El protocolo
DNS opera principalmente a través de UDP, pero también puede funcionar a través de TCP para
ciertas transacciones de información de gran tamaño y para compatibilidad heredada. Las
solicitudes DNS que se emiten utilizando UDP se pueden falsificar fácilmente para que contengan
una dirección IP de origen falsa. Es muy difícil falsificar la dirección IP de origen de una solicitud
DNS enviada a través de un circuito virtual TCP.

BGP
El Border Gateway Protocol (BGP) es el mecanismo por el cual las redes en Internet se conectan
entre sí (pares). Al establecer una sesión de emparejamiento con una red, cada participante de
BGP intercambia información de la tabla de enrutamiento que contiene todas las redes a las que
se puede acceder a través del par.
Convenciones

Capturas de paquetes
Las capturas de paquetes a las que se hace referencia en todo el portal de capacitación están en el
formato predeterminado comúnmente asociado con la utilidad tcpdump. A continuación se
muestra un ejemplo de salida con ciertos campos explicados. Se puede encontrar una explicación
más completa del formato en el sitio web tcpdump. No se requiere una comprensión de esta
salida para los principiantes, pero se recomienda para los aprendices avanzados.

Example:

14:48:48.426426 IP 192.168.1.10.49761 > 52.84.29.143.443: Flags [S], seq 514717318,

win 65535, options [mss 1460,nop,wscale 5,nop,nop,TS val 928812599 ecr 0,sackOK,eol],
length 0

14:48:48.426426
- La marca de tiempo a la que se observó el paquete
192.168.1.10.49761
- La dirección IP de origen y el puerto del paquete
52.84.29.143.443
- La dirección IP de destino y el puerto del paquete.
Banderas
- Las banderas de protocolo establecidas, si las hay
S=SYN, .=ACK, F=FIN, P=PUSH, R=RST
Restante
- Varias opciones de protocolo dependientes del contexto

Gráficos métricos
Los gráficos métricos a los que se hace referencia en todo el portal de capacitación generalmente
se muestran como datos de series de tiempo con los puntos de datos cronológicamente más
recientes en el lado derecho del eje X.