David Alfaro.
Un ataque DDoS busca saturar o colapsar un servicio específico, impidiendo que usuarios legítimos puedan hacer uso de él.
Hay varios tipos, como los “aplicativos”, que explotan vulnerabilidades causantes de fallas de servicio, los de “saturación de protocolos”, como SYNFlood y los más reconocidos “volumétricos”, que buscan congestionar enlaces de comunicaciones y dispositivos intermedios de red y seguridad. De manera individual ya son una problemática seria, pero lo son más cuando son lanzados en conjunto como una cortina de humo para esconder otros ataques que buscan de manera específica la explotación de vulnerabilidades que permitan el acceso no autorizado a información relevante.
Respecto de los volumétricos, ya es común ver varios ataques mensuales de más de 50 Gbps y algunos en el extranjero alcanzan peaks de hasta 400 Gbps, un caudal no despreciable.
El hecho de que sean distribuidos implica que su dirección IP de origen no es única, haciendo difícil su seguimiento y bloqueo. Para ello, los atacantes se valen de variadas técnicas: redes de bots, que se pueden con cierto esfuerzo implementar o de lo contrario arrendar, e incluyen miles de estaciones ingenuamente cautivas; o la utilización de protocolos que permiten amplificación de tráfico, consistente en emitir pequeñas consultas y recibir grandes volúmenes de tráfico. Aquí se cuentan protocolos como NTP, SNMP, Char- Gen, SSDP y DNS. Este último permite un factor de amplificación de hasta 54 veces la consulta original.
Para implementar un ataque DDoS de DNS se requieren 2 cosas:
1)Un resolver abierto. Puede ver si sus resolvers están listados en este sitio: http:// openresolverproject.org. No será el único, hay más de 30 millones de servidores en el mundo en esta condición.
2)Redes públicas que permitan spoofing, con lo cual es posible utilizar la técnica de Reflection. Valide si su red no está aplicando el estándar BCP38, especialmente si es un ISP. Más datos en http://spoofer. caida.org
Si bien no hay una estrategia maestra para enfrentarlos, hay algunas consideraciones que han mostrado buenos resultados en el tiempo:
a)No sea parte del problema y cierre servidores abiertos como DNS y NTP (http://openntpproject. org). Procure no contribuir con redes spoofeables.
b)Conozca sus redes, sus consumos típicos y sus vulnerabilidades, corríjalas.
c)Conozca a su proveedor de Internet y establezca un contacto cercano.
d)Si sufre un ataque, tómese un espacio de tiempo para capturar datos que pueda analizar posteriormente.
e)Mitigue el ataque, bloquee lo que pueda con las herramientas de las que disponga, incluso, ACL’s en routers. Si su ISP puede hacer lo mismo ‘aguas arriba’ cuanto mejor.
f)Analice la evidencia, aprenda de ella e implemente mejoras.
Si para su negocio es importante el uptime de sus sitios, considere migrar servicios a nubes distribuidas (CDNs) y de gran calibre, agregue también contención perimetral de DDoS para todas las variantes.
