Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Visión general
Este curso proporciona una descripción general de los ataques distribuidos de denegación de
servicio (DDoS) y sirve como base para futuros cursos de capacitación. Al finalizar este curso, los
participantes deben tener una comprensión de alto nivel de DDoS y las motivaciones comunes de
los atacantes. Se incluye una revisión de los fundamentos específicos de la red junto con detalles
de las convenciones utilizadas en todo el portal de capacitación en línea.
Definiendo DDoS
Figura 1.1
Un ataque de denegación de servicio (DoS) es cualquier ataque que impide que un usuario
legítimo acceda a un recurso de red. Un ataque de denegación de servicio distribuido (DDoS) es
aquel que utiliza múltiples recursos de red como fuente del vector de ataque específico. El uso de
múltiples recursos está pensado principalmente como un método para amplificar las capacidades
de un solo atacante, pero también puede ayudar a ocultar la identidad de un atacante y complicar
los esfuerzos de mitigación. La mayoría de los ataques DDoS aprovechan una "botnet", que es una
red de sistemas informáticos conectados a Internet controlados centralmente por un atacante
(Figura 1.1). Las botnets pueden variar en tamaño desde un puñado de sistemas hasta decenas de
millones. La mayoría de las botnets utilizan recursos informáticos comprometidos sin el
conocimiento del propietario.
Figura 1.2
Dentro del alcance más amplio de la seguridad de la información, los ataques DDoS caen dentro
del pilar "Disponibilidad" de la Tríada de la CIA (Figura 1.2). DDoS difiere de otras áreas de
explotación de seguridad de la información que intentan alterar u obtener acceso a los datos para
causar daños. Los ataques DDoS se basan en la noción de que es el acceso legítimo del usuario a
los datos lo que proporciona valor para una organización, y eliminar ese acceso causa el mayor
daño.
Impacto DDoS
Daño a la reputación
Una interrupción en un recurso de red que genera ingresos directamente, como el comercio
electrónico o los medios en línea, puede afectar directamente a una organización.
Productividad perdida
Un ataque DDoS a menudo impide que los empleados realicen sus responsabilidades normales.
Pantalla de humo de ataque
Un ataque DDoS se puede utilizar para ocultar otras actividades nefastas del personal de seguridad
de la información.
Motivaciones del atacante
Extorsión
Una motivación común para los ataques DDoS es la extorsión de dinero de la empresa objetivo. En
un esquema típico de extorsión DDoS, el atacante se comunicará anónimamente con la
organización víctima para solicitar que se pague una cantidad específica de dinero para evitar un
ataque futuro. A menudo, el atacante probará sus capacidades realizando un ataque DDoS
limitado en un momento específico. La transferencia anónima de fondos generalmente se realiza
utilizando la moneda virtual de Bitcoin. Una banda ciberdelincuente conocida como DD4BC fue
expuesta en diciembre de 2015 por operar un anillo de extorsión DDoS masivo.
Hacktivista
Dentro del alcance de DDoS, el "hacktivismo" es el uso de DDoS para promover una agenda
política específica. Un ataque de este tipo a menudo irá precedido de una declaración pública del
atacante en las redes sociales u otros foros públicos que detalle una queja o manifiesto específico.
Las víctimas de estos ataques a menudo son marcas o compañías bien establecidas que
probablemente sufrirán daños sustanciales en la reputación por el impacto asociado al cliente y la
cobertura de noticias. El ejemplo más conocido de este tipo de atacante es el colectivo hacktivista
"Anónimo", que se ha atribuido la responsabilidad de los ataques DDoS contra Bank of America,
Visa, Mastercard, la Iglesia de Scientology y muchos otros.
Patrocinado por el Estado / Terrorismo cibernético
Una campaña de terrorismo cibernético involucra a una nación u organización terrorista que
realiza un ataque DDoS. El objetivo principal es a menudo silenciar el habla de ciertas fuentes, o la
interrupción sustancial de la infraestructura y el comercio de telecomunicaciones del objetivo.
Estos tipos de ataques DDoS son generalmente mucho más grandes y mejor orquestados debido a
los importantes recursos del atacante. Un ejemplo sospechoso ocurrió en marzo de 2015 cuando
un bombardeo de DDoS originario de China apuntó a recursos específicos contra China alojados en
Github. Otros ejemplos incluyen un ataque DDoS de tres semanas en la primavera de 2007 dirigido
al país de Estonia, que efectivamente desconectó al país de Internet. El ataque estuvo vinculado a
una disputa política con Rusia.
Vendetta personal
Los orígenes históricos de DDoS provienen principalmente de disputas en línea entre individuos o
grupos pequeños. Este tipo de ataques creció en popularidad a fines de la década de 1990 en los
sistemas de chat en línea. El objetivo principal de estos ataques es "castigar" a alguien por un error
percibido, o silenciar su discurso. Este tipo de ataques aún prevalecen hoy.
Rivalidad empresarial
El Protocolo de Internet es el protocolo que utilizan todos los dispositivos conectados a Internet
para comunicarse en Internet. Todos los protocolos de capa superior (en el modelo OSI) están
encapsulados dentro de este protocolo de nivel inferior. El encabezado de un paquete IP contiene
una variedad de información, sobre todo la dirección de origen y de destino para los dispositivos
de red que se están comunicando.
TCP
ICMP
El Protocolo de mensajes de control de Internet (ICMP) está contenido en un paquete IP, pero a
menudo se considera un protocolo de capa 3 (en el modelo OSI). El protocolo se utiliza
principalmente para dispositivos de red intermedios para comunicar mensajes de error a un
remitente de datos. ICMP contiene una suma de comprobación, pero no garantiza la fiabilidad ni
el orden de los datos. Debido a esta limitación, un atacante a menudo puede falsificar un mensaje
ICMP.
HTTP (S)
El Protocolo de transferencia de hipertexto (HTTP) y su equivalente encriptado HTTPS son
protocolos de aplicación de capa 7 utilizados para la comunicación de datos en la World Wide
Web. Las solicitudes HTTP y HTTPS se envían dentro de los circuitos virtuales TCP, lo que da como
resultado un canal de comunicación confiable. El uso de TCP dificulta mucho la falsificación de
cierta información del cliente, como las direcciones IP de origen.
DNS
El protocolo del Sistema de nombres de dominio (DNS) es un mecanismo para que las aplicaciones
obtengan información de dirección IP para nombres de red legibles por humanos. El protocolo
DNS opera principalmente a través de UDP, pero también puede funcionar a través de TCP para
ciertas transacciones de información de gran tamaño y para compatibilidad heredada. Las
solicitudes DNS que se emiten utilizando UDP se pueden falsificar fácilmente para que contengan
una dirección IP de origen falsa. Es muy difícil falsificar la dirección IP de origen de una solicitud
DNS enviada a través de un circuito virtual TCP.
BGP
El Border Gateway Protocol (BGP) es el mecanismo por el cual las redes en Internet se conectan
entre sí (pares). Al establecer una sesión de emparejamiento con una red, cada participante de
BGP intercambia información de la tabla de enrutamiento que contiene todas las redes a las que
se puede acceder a través del par.
Convenciones
Capturas de paquetes
Las capturas de paquetes a las que se hace referencia en todo el portal de capacitación están en el
formato predeterminado comúnmente asociado con la utilidad tcpdump. A continuación se
muestra un ejemplo de salida con ciertos campos explicados. Se puede encontrar una explicación
más completa del formato en el sitio web tcpdump. No se requiere una comprensión de esta
salida para los principiantes, pero se recomienda para los aprendices avanzados.
Example:
14:48:48.426426
- La marca de tiempo a la que se observó el paquete
192.168.1.10.49761
- La dirección IP de origen y el puerto del paquete
52.84.29.143.443
- La dirección IP de destino y el puerto del paquete.
Banderas
- Las banderas de protocolo establecidas, si las hay
S=SYN, .=ACK, F=FIN, P=PUSH, R=RST
Restante
- Varias opciones de protocolo dependientes del contexto
Gráficos métricos
Los gráficos métricos a los que se hace referencia en todo el portal de capacitación generalmente
se muestran como datos de series de tiempo con los puntos de datos cronológicamente más
recientes en el lado derecho del eje X.