¿Qué es un ataque DDoS?

DDoS son las siglas de Distributed Denial of Service. La traducción es “ataque distribuido denegación de servicio”,
y traducido de nuevo significa que se ataca al servidor desde muchos ordenadores para que deje de funcionar.

Pero aun así esto no nos guía mucho sobre lo que es un DDoS. Para explicarlo voy a recurrir a una simple analogía en
la que nuestro servidor es un auxiliar que atiende a personas en una ventanilla.

Nuestro auxiliar es muy eficiente y es capaz de atender a varias personas a la vez sin despeinarse: es su carga normal.
Pero un día empiezan a llegar cientos de personas a la ventanilla a pedirle cosas a nuestro auxiliar. Y como cualquier
humano normal, cuando hay mucha gente dándole la lata no puede atender a todos y empieza a atender más lento de lo
normal. Si viene todavía más gente probablemente acabe hasta las narices, se marchará de la ventanilla y ya no
atenderá a nadie más.

En el servidor pasa lo mismo: cuando hay demasiadas peticiones se queda sin recursos, se cuelga y deja de funcionar.
Puede que se apague directamente o que sólo deje de responder conexiones. De cualquiera de las dos formas, el servidor
no volverá a la normalidad hasta que el ataque pare, ya sea porque los atacantes han parado o porque se logrado bloquear
las conexiones ilegítimas (veremos más adelante cómo), y se rearranque todo lo que haya dejado de funcionar.

Este es el concepto básico del DDoS, aunque se puede modificar para que sea más efectivo. Por ejemplo, se pueden
enviar los datos muy lentamente haciendo que el servidor consuma más recursos por cada conexión (Slow Read es un
ejemplo de ataque de este tipo), o alterar los paquetes para que el servidor se quede esperando indefinidamente una
respuesta de una IP falsa (el nombre técnico es SYN flood, y podéis saber algo más de él y cómo se mitiga aquí).

¿Cómo se lleva a cabo un ataque DDoS?

Como el concepto básico del DDoS es simple, realizar los ataques es relativamente fácil. De hecho, valdría con que
hubiese un número suficientemente grande de personas recargando la web continuamente para tirarla. Sin embargo, las
herramientas que se suelen usar son algo más complejas.

Con ellas se pueden crear muchas conexiones simultáneas o enviar paquetes alterados con las técnicas que comentaba
antes. También permiten modificar los paquetes poniendo como IP de origen una IP falsa, de forma que no pueden
detectar quién es el atacante real.

Otra técnica para llevar a cabo los DDoS es usar botnets: redes de ordenadores infectados por un troyano y que un
atacante puede controlar remotamente. De esta forma, los que saturan el servidor son ordenadores de gente que no sabe
que están participando en un ataque DDoS, por lo que es más difícil encontrar al verdadero atacante.

¿Cómo afecta un DDoS a una web?

Depende del ataque y del servidor. Los servidores se pueden proteger contra estos ataques con filtros que rechacen
los paquetes mal formados o modificados con IPs falsas, de forma que al servidor sólo le llegan los paquetes legítimos.
Por supuesto, las medidas no son infalibles y el servidor siempre puede acabar saturado si el ataque es suficientemente
masivo y está bien preparado.

Para que os hagáis una idea del volumen necesario para que un DDoS sea efectivo, abajo tenéis un gráfico que
representa el tráfico de un servidor a lo largo del tiempo. El tráfico durante el ataque (en verde) es tan grande que
apenas se aprecia el tráfico normal del servidor.
¿Y qué ocurre cuando el servidor se satura? Simplemente deja de estar disponible durante un tiempo hasta que el
ataque para. Es muy difícil que se produzcan daños físicos en el servidor. Además, el DDoS por sí sólo no permite
entrar en el servidor: para ello es necesario aprovechar alguna vulnerabilidad, y eso no es nada fácil.

Así que, básicamente, un DDoS sólo puede provocar la caída de la web, nada más. Dependiendo del tipo de web
esto puede ser una catástrofe o no. Si la web genera dinero (venta online, publicidad), el propietario deja de ganar
dinero mientras esa web está caída. Imaginaos las pérdidas que puede llegar a tener Amazon, por ejemplo, si su página
está caída durante un día.

Pero, ¿qué pasa cuando la página es simplemente informativa, como pueden ser las de instituciones públicas? La
verdad es que no pasa mucho. La institución no depende de la web para funcionar. En su lugar se suelen usar redes
internas que no están accesibles desde Internet, sólo desde dentro de la propia institución, por lo que no se ven afectadas
por el ataque. Lo único que ocurre es que el que quiera ver alguna información de esa página tendrá que esperarse un
rato a que esté disponible.

Esto me lleva inevitablemente a hacerme la siguiente pregunta: ¿sirven los DDoS como medio de protesta? La
respuesta depende de la persona, pero yo tengo mi postura bastante clara: no sirven.

Ya hemos visto que en webs que no son comerciales un DDoS tiene un impacto muy limitado. A la institución no
le fastidian demasiado y como no se requieren demasiadas personas para llevar a cabo el ataque podrán decir que es un
“grupo minoritario” el que protesta.

Pero no sólo es que no produzcan muchos efectos positivos: producen efectos negativos. La gente más ajena a internet
suele asociar “ataque informático” con “hackers” y estos con “gente peligrosa”. Con dar un poco de cancha a esta
asociación es muy fácil descalificar sin argumentos las protestas, porque, ¿quién va a apoyar, debatir o escuchar a
“gente peligrosa”?

Además, este tipo de protesta se podría calificar como “violenta”: es un ataque directo al fin y al cabo. Y como siempre
ocurre, si protestas de esta forma contra alguna iniciativa, los que la apoyen se negarán en redondo a escucharte.

Por esto, creo que los DDoS no deberían ser usados como forma de protesta. Hay formas muchísimo mejores, más
éticas y más efectivas de protestar. El reciente blackout contra SOPA o el #manifiesto en España contra Ley Sinde son
dos ejemplos de iniciativas que han tenido más éxito que atacar páginas web.
¿En qué consiste la protección anti-DDoS?

Funcionamiento de un ataque DDoS

Las probabilidades de tener que enfrentarse a un ataque DDoS son muy altas, y los intentos
numerosos.

El objetivo de un ataque DDoS es inhabilitar un servidor, un servicio o una infraestructura

sobrecargando el ancho de banda del servidor o acaparando sus recursos hasta agotarlos.

Durante un ataque DDoS, se envían multitud de peticiones simultáneamente desde

múltiples puntos de la Red. La intensidad de este "fuego cruzado" desestabiliza el servicio
o, aún peor, lo inhabilita.

Lo que ofrecemos para proteger sus servicios

Para proteger sus servicios y servidores de los ataques, OVH ofrece una solución de
mitigación basada en la tecnología VAC. Se trata de una combinación exclusiva de técnicas
destinadas a:
 Analizar en tiempo real y a alta velocidad todos los paquetes.
 Aspirar el tráfico entrante de su servidor.
 Mitigar, es decir, identificar todos los paquetes IP ilegítimos, dejando pasar los
paquetes IP legítimos.

Objetivos del ataque y tipos de ataque

Existen tres estrategias que pueden inhabilitar un sitio web, servidor o infraestructura:

 Ancho de banda: Ataque que consiste en saturar la capacidad de la red del servidor,
haciendo que sea imposible llegar a él.
 Recursos: Ataque que consiste en agotar los recursos del sistema de la máquina,
impidiendo que esta pueda responder a las peticiones legítimas.
 Explotación de fallos de software: Categoría de ataque que explota fallos en el
software que inhabilitan el equipo o toman su control.
Nombre del Nivel Tipo de
Explicación del ataque
ataque OSI ataque

También denominado Ping Flood. Envío masivo de

ICMP echo paquetes (ping), que implican una respuesta por parte
L3 Recursos
request flood de la víctima (pong) con el mismo contenido que el
paquete de origen.

Envío de paquetes IP que remiten voluntariamente a

IP Packet
L3 Recursos otros paquetes que nunca se envían, saturando así la
Fragment Attack
memoria de la víctima.

Ataque por saturación ICMP que usurpa la dirección de

Ancho de
SMURF L3 origen para redirigir las múltiples respuestas hacia la
banda
víctima.

Envío masivo de paquetes IGMP (protocolo de gestión

IGMP Flood L3 Recursos
de grupos de internet)

Envío de paquetes ICMP que explotan fallos del

Ping of Death L3 Explotación
sistema operativo

TCP SYN Flood L4 Recursos Envío masivo de solicitudes de conexión TCP

TCP Spoofed SYN Envío masivo de solicitudes de conexión TCP

L4 Recursos
Flood usurpando la dirección de origen

Envío masivo de solicitudes de conexión TCP a un gran

número de máquinas, usurpando la dirección de origen
TCP SYN ACK Ancho de
L4 por la dirección de la víctima. En ancho de banda de
Reflection Flood banda
la víctima queda saturada por las respuestas a dichas
peticiones.

TCP ACK Flood L4 Recursos Envío masivo de acuses de recibo de segmentos TCP

Envío de segmentos TCP que remiten voluntariamente

TCP Fragmented
L4 Recursos a otros que nunca se envían, saturando la memoria de
Attack
la víctima

Ancho de Envío masivo de paquetes UDP (sin necesidad de

UDP Flood L4
banda establecer conexión previa)

Envío de datagramas que remiten voluntariamente a

UDP Fragment
L4 Recursos otros datagramas que nunca se envían, saturando así
Flood
la memoria de la víctima

Envío masivo de peticiones DNS usurpando al dirección

Distributed DNS de origen de la víctima hacia un gran número de
Ancho de
Amplification L7 servidores DNS legítimos. Como la respuesta tiene un
banda
Attack mayor volumen que la pregunta, el ataque se
amplifica

Ataque de un servidor DNS mediante el envío masivo

DNS Flood L7 Recursos
de peticiones
HTTP(S) Ataque de un servidor web mediante el envío masivo
L7 Recursos
GET/POST Flood de peticiones

Ataque de un servidor DNS mediante el envío masivo

DDoS DNS L7 Recursos de peticiones desde un gran número de máquinas
controladas por el atacante