Ataques DDoS

--Originally published at Héctor H.F. Blog

Hola a todos, ha pasado una semana desde mi último post. En esta ocasión les hablaré de algo que estuvo en boca de todos el viernes pasado, que se volvió trending topic mundialmente: DDoS. Prácticamente en todas las redes sociales se mencionó esta palabra aunque la mayoría de los que la utilizaron en su vida la habían escuchado. Voy a definir un poco la palabra DDoS, y cada parte de la definición trataré de relacionarla con el ataque masivo del 21 de octubre.

Resultado de imagen para ddos attack

Para empezar, las siglas DDoS significan “Distributed Denial of Service” (ataque distribuido de denegación de servicio). Básicamente lo que esto significa es cuando un servidor es atacado desde muchos ordenadores. Un muy buen ejemplo que encontré en esta página http://www.genbeta.com/web/son-los-ataques-ddos-efectivos-como-medio-de-protesta para explicar lo que es este concepto es el siguiente: es como cuando un vendedor atiende a una persona: lo trata de hacer de la mejor manera, pero si se va aglomerando cada vez más gente conforme pasan los minutos, su servicio comenzará a ser cada vez más lento hasta que definitivamente no pueda continuar. Esto precisamente ocurre con cualquier servidor de cualquier sitio web si se le ataca: hay muchas peticiones, se queda falto de recursos para atenderlas y no puede continuar operando. Obviamente unos servidores son más poderosos que otros, así que es más difícil tirar, como ocurrió el viernes, Twitter o Netflix que tirar la página de mi universidad (basta con ser día de generar turno para hacer los horarios del próximo semestre).

snow white i cant do not want run away im out

Algunas formas de tirar un sitio web son muy sencillas de lograr, una es la que ya mencioné: muchísimos dispositivos tratando de acceder al mismo tiempo a determinada página. Los servidores de las redes sociales por supuesto que toleran a millones de usuarios a la vez, pero una página como la

filmeditor what double double toil and trouble eric mccormack
Un ejemplo del tráfico recibido en un ataque DDoS
scared boy meets world terrified cory matthews ben savage
un negocio pequeño basta con que algunas decenas o cientos de usuarios entren para que el sitio quede fuera de servicio. ¿Cómo le hicieron entonces para tirar Twitter y Spotify? Con herramientas un poco más avanzadas. Una técnica muy utilizada es la de enviar paquetes alterados para que el servidor espere una respuesta por tiempo indefinido de una dirección falsa. Otra forma es infectar con troyanos a distintas computadoras alrededor del mundo, para poder controlarlas e ingresar al sitio web objetivo. Los usuarios de estas computadoras ni en cuenta que tienen esto en su máquina ni que gracias a ellos fue un ataque exitoso. Y esto es un arma de doble filo, ya que además de tirar el servidor, con este método se torna más complicado dar con el responsable de estos actos, ya que, en teoría, fueron miles o millones los que provocaron el ataque DDoS.

filmeditor what double double toil and trouble eric mccormack

Aquí una imagen que muestra el tráfico en un servidor. Lo que se aprecia en verde es el tráfico durante el ataque, mientras que el tráfico normal es prácticamente imposible de visualizar.

Un ejemplo del tráfico recibido en un ataque DDoS

Ya una vez hecho el ataque, los administradores del servidor tienen dos opciones: rezarle a todos los santos para que el ataque finalice o combatirlo. ¿Cómo un servidor puede combatir estos ataques? Otra vez, depende del poder del servidor. Algunos tienen la capacidad de detectar paquetes malignos y rechazarlos, y otros también tendrán esta protección, pero muy débil y fácil de burlar, así que a estos últimos solo les queda esperar a que la cantidad de direcciones que conectan con el servidor disminuya.

Por lo general, estos ataques no tienen como consecuencia pérdida monetaria para la empresa, a menos que el sitio sea de compras en línea, un banco o algo que maneje dinero, ya que al no estar disponible la página, obviamente la gente no puede hacer compras o transacciones mientras el ataque está llevándose a cabo.

Creo que con lo anterior quedó más que claro lo que un ataque DDoS provoca. Si no es así, por favor hagánmelo saber en los comentarios, así mismo cualquier corrección o información adicional que pudiera haber.

Ataque del viernes 21 de octubre

Como ya se mencionó, el viernes 21 de octubre hubo un ataque DDoS que provocó la caída de distintas páginas web mundialmente famosas como Twitter, Spotify, Netflix, Airbnb, Github, Reddit, entre otras.

scared boy meets world terrified cory matthews ben savage

Aparentemente, según el portal Hacker News, este ataque fue hacia el servidor DNS de Dyn, que administra los dominios de las páginas.

Algunas de estas páginas estuvieron fuera de circulación entre una hora y dos. Aún no se da con los responsables, pero según la firma de inteligencia FlashPoint, pudo ser provocado por hackers amateurs. Flashpoint, durante los ataques, logró confirmar que estos fueron iniciados por un servidor comandado por Mirai, el mismo tipo de botnets que se usaron para atacar otro sitio en Francia. Mirai es una herramienta precisamente para todo esto, tiene como objetivo routers, DVRs y cámaras de seguridad para crear botnets y llevar a cabo ataques DDoS. Más sobre la investigación que está haciendo FlashPoint puede ser encontrada en este link http://www.genbeta.com/actualidad/el-ataque-contra-dyn-dns-que-sacudio-internet-fue-probablemente-obra-de-hackers-amateurs

Por mi parte, es todo por hoy, esperen mi próximo post.

¡Hasta pronto!

Héctor H.F.