Orígenes de las amenazas de denegación de servicio
En los ataques convencionales de denegación de servicio, el hacker transmite múltiples solicitudes a la máquina o servicio de destino con direcciones de Protocolo de Internet (IP) de retorno ficticio. Cuando el servidor intenta autenticar estas direcciones, encuentra una ola de respuestas de código de error, lo que activa una cadena recurrente de tráfico SMTP que puede saturar rápidamente el servidor. De manera similar, con un ataque Smurf, el pirata informático transmitiría paquetes a varios hosts con una dirección IP suplantación que pertenecía a esas máquinas de destino. Cuando las máquinas host receptoras responden, se inundan de manera efectiva con el tráfico de paquetes que responde.
En una inundación de SYN, un atacante aprovecha el proceso TCP 3-Way Handshake (SYN, SYN-ACK, ACK) para desconectar un servicio. En el protocolo de enlace de 3 vías, el servidor A iniciaría un mensaje de solicitud de Sincronización TCP al servidor B. Al recibir la solicitud, el host B (el equipo de destino) envía un paquete de confirmación de sincronización al servidor A. Es en este punto que se produce el ataque de denegación de servicio. En un intercambio legítimo para establecer una conexión de socket TCP, el siguiente paso sería que el host A envíe un mensaje de reconocimiento al host B, pero cuando el hacker que controla el host A evita que esto suceda, el apretón de manos no se puede completar. El resultado es que el host B tiene un puerto conectado que no está disponible para solicitudes adicionales. Cuando el atacante envía solicitudes repetidas de esta naturaleza, todos los puertos disponibles en el host B pueden bloquearse rápidamente y no estar disponibles.
Evolución de las amenazas de denegación de servicio
Las inundaciones SYN, los ataques bananeros y otros tipos de hackeos DoS convencionales todavía están en uso hoy en día y, por supuesto, los ataques DDoS impulsados por botnet siguen siendo una amenaza constante. Pero los hackers malintencionados en los últimos años han ampliado el número de máquinas y servicios a los que se dirigen, y han ampliado considerablemente la superficie de amenaza. Cada vez más, las organizaciones son blanco de ataques de “degradación del servicio” de menor intensidad que infligen costosas ralentizaciones del servicio sin que los recursos estén completamente fuera de línea. Este método de ataque se ha vuelto cada vez más común a medida que más y más organizaciones confían en Amazon Web Services (AWS) y ofertas similares en la nube para impulsar sus operaciones web.
Cuando un gran minorista, proveedor de servicios financieros, marca de consumo o empresa comercial similar aloja su sitio web en AWS, Microsoft Azure u otro operador de nube, el acuerdo se regirá por un Acuerdo de Nivel de Servicio. En efecto, el operador de la nube, por un precio determinado, promete poner a disposición los recursos de procesamiento, el ancho de banda y la infraestructura de soporte necesarios para que ese sitio web admita X cantidades de tráfico web, donde X se mediría en gigabytes de datos, número de ventas al por menor. transacciones, horas de tiempo de actividad y métricas relacionadas. Si las cargas de tráfico exceden los niveles acordados, lo que sería positivo si el tráfico es legítimo, al propietario del sitio web se le cobraría una tarifa más alta. Este proceso suele estar completamente automatizado, como ocurre con Amazon CloudWatch, que tiene funciones de escalado automático para aumentar o disminuir dinámicamente los recursos de procesamiento según sea necesario.
Denigración costosa del servicio
Como podría imaginarse, los malos actores pueden inyectarse a sí mismos en estas relaciones dirigiendo tráfico ilegítimo a un sitio web objetivo y aumentar fácilmente el costo de hacer negocios para una organización objetivo. Los servidores “zombis” pulsantes que envían ráfagas de tráfico intermitentes se utilizan con frecuencia en este tipo de ataques. Dado que las cargas de tráfico en cuestión son ocasionales y no provienen obviamente de una fuente maliciosa, se parecen mucho al tráfico legítimo, lo que significa que puede ser extremadamente difícil para el personal de ciberseguridad descubrirlas y detenerlas.
Otro conjunto de herramientas utilizadas en este tipo de incidentes de denegación de servicio o degradación del servicio son las llamadas aplicaciones "estresantes" que fueron diseñadas originalmente para ayudar a los propietarios de sitios web a identificar puntos débiles en su infraestructura web. Estas aplicaciones, fáciles de obtener y de usar, incluido WebHive, se pueden instalar en múltiples instancias de la nube para desarrollar capacidades DDoS formidables. Coordinadas juntas de esta manera, estas herramientas de ataque pueden desconectar grandes sitios web comerciales durante períodos prolongados.
Puntos clave de denegación de servicio
Los ataques de denegación de servicio han cambiado y cambiado a lo largo de los años, pero el daño causado continúa aumentando. Una encuesta realizada por el Instituto Ponemon a grandes empresas de diversos sectores industriales encontró que la compañía típica sufre cuatro incidentes de denegación de servicio anualmente, y que el costo total promedio anual para hacer frente a DoS es de aproximadamente $1.5 millones. Implementar una arquitectura de seguridad que le permita detectar, prevenir y responder a ataques DoS es un paso fundamental en cualquier programa de ciberseguridad eficaz.
Comentarios