Todo lo que uno debe hacer es dar un vistazo a los últimos encabezados para saber que los ataques de Negación Distribuida de Servicio (DDoS por sus siglas en inglés) son cada vez más comunes en el ámbito empresarial. Estos días, poderosos ataques DDoS tienen la habilidad de apagar docenas de servidores, causando horas de pérdida de servicio, mientras se causa daño a las marcas, lo que le cuesta a las compañías millones en ingresos perdidos.
Muchos de estos ataques vienen ahora equipados con capacidades sigilosas que pueden fácilmente esquivar las soluciones de seguridad más tradicionales. Una comprensiva estrategia de defensa contra la amenaza DDoS incluye la habilidad de distinguir entre diferentes tipos de ataques y conocer a lo que uno se enfrenta. Con eso en mente, aquí están los 10 tipos de ataques mas comunes en el entorno de las amenazas DDoS.
1. Syn Flood (Inundación Syn)
Este tipo de ataque ocurre cuando una persona o programa logra hacerse pasar por otro exitosamente, falsificando datos (spoof) e inunda con paquetes SYN la tabla de conexión de los servidores, bombardeándolos hasta que en efecto los hacen caer. La buena noticia es que el bajo volumen de ataques SYN flood puede ser detenido fácilmente por software de firewalls. Los ataques SYN flood de alto ancho de banda sin embargo, requieren equipo especializado con capacidades de proxy SYN.
2. Zombi Flood (Inundación Zombi)
Este ataque ocurre cuando conexiones que no han sido falsificadas sobrecargan los servicios, causando parálisis en la red. A diferencia de los ataques SYN flood, los asaltos Zombi flood son más difíciles de detener a menos que la víctima atacada tenga algún tipo de tecnología de mitigación de comportamiento. Aun más difíciles de controlar son los Zombi floods de alto ancho de banda, las cuales requieren lógica especializada para conexiones legítimas y límite de rango.
3. ICMP Flood (Inundación ICMP)
Este ataque ocurre como resultado de paquetes ICMP que sobrecargan los servidores a tal grado de ocasionar una falla en el sistema. Un volumen bajo de ataques ICMP flood puede ser detenido fácilmente con Listas de Control de Acceso (ACLs por sus siglas en inglés) en los ruteadores y switches. Como otros ataques de ancho de banda alto, los ICMP flood de alto ancho de banda, necesitan de equipo especializado.
4. Inundación de Puertos Fuera de Servicio (Non-service Port Flood)
En este ataque, paquetes TCP/UDP bombardean los servidores, elevando el flujo de tráfico en servidores sin uso. Las organizaciones pueden combatir fácilmente este tipo de ataques con ACLs, pero ataques más poderosos requieren de soluciones de seguridad más fuertes.
5. Inundación de Puertos de Servicio (Service Port Flood)
En este tipo de ataques, los paquetes bombardean los puertos en servicio que ya habilitan el tráfico pesado (como por ejemplo el puerto TCP 80) hacia y desde la red de la organización. Estos tipos de ataques son de los más traicioneros debido al hecho de que no se pueden detener o desacelerar por muchas de las soluciones estándares de seguridad y de red – incluyendo firewalls, switches, dispositivos IPS y ruteadores. Para bloquear estas amenazas las organizaciones deberán invertir en tecnologías de seguridad más sofisticadas.
6. Fragment Flood (Inundación fragmentada)
Como su nombre sugiere, este tipo de ataque ocurre cuando paquetes fragmentados sobrecargan los servidores. Como en los ataques de inundación de puertos de servicio, los ataques por inundación fragmentada no pueden ser frustrados con el esquema estándar de firewalls, switches y ruteadores. En cambio, éstos requieren soluciones más robustas para detenerlos de raíz.
7. HTTP GET Flood ( Inundación HTTP GET)
Este tipo de ataque resulta de bots orientados a las conexiones que inundan los servidores afectando el tráfico de la red en puertos de servicio como el HTTP, mientras se hacen pasar por usuarios legítimos. Los firewalls, switches y ruteadores tampoco los detendrán. Para hacerlo, la organización víctima deberá reforzar su estructura de seguridad con soluciones más resistentes.
8. Blended Flood (Inundación Mezclada)
Esto se da cuando múltiples tipos de ataques se combinan en el servidor, lo cual al final termina confundiendo al equipo. Debido a su complejidad, no pueden ser detenidos con facilidad por firewalls, swithces, ruteadores, ni dispositivos IPS.
9. Anomalous Packet Flood (Inundación de Paquete Anómalos)
En ese tipo de ataque, paquetes con encabezados o estado anómalos sobrecargan los servidores y ahogan la red. Sin embargo, las organizaciones pueden aprovechar algunos firewalls y dispositivos IPS para detener estos ataques. Para tal fin, las soluciones diseñadas para detectar y proteger las redes de asaltos DDoS pueden fácilmente detener este tipo de ataques.
10. Inundación de una Región Foránea
Esto ocurre cuando bots de una específica región geográfica atacan los servidores de la organización víctima. Este tipo de ataques son usualmente generados a través de campañas dirigidas muy completas, y como tales, son usualmente más difíciles de reprimir. Entre otras cosas, los equipos de seguridad diseñados para combatir estos ataques necesitarán contener tecnologías de visibilidad con la habilidad de detectar automáticamente patrones de comportamiento irregulares o anómalos.
Por Stefanie Hoffman, de Fortinet