Seguridad 101, los principales DDoS
(América Latina) Todo lo que uno debe hacer es dar un vistazo a los últimos encabezados para saber que los ataques de Denegación Distribuida de Servicio (DDoS) son cada vez más comunes en el ámbito empresarial. Estos días, poderosos DDoS tienen la habilidad de apagar docenas de servidores, causando horas de pérdida de servicio, mientras se causa daño a las marcas, lo que le cuesta a las compañías victimizadas millones en ingresos perdidos.
Muchos de estos ataques vienen ahora equipados con capacidades sigilosas que pueden fácilmente esquivar las soluciones de seguridad más tradicionales. Una comprensiva estrategia de defensa contra la evolucionante amenaza DDoS incluye la habilidad de distinguir entre diferentes tipos de ataques y conocer a lo que uno se enfrenta. Con eso en mente, aquí están los 10 tipos de ataques más comunes que observará en el entorno de las amenazas DDoS.
1. Syn Flood: Este tipo de ataque ocurre cuando una persona o programa logra hacerse pasar por otro exitosamente, falsificando datos e inunda con paquetes SYN la tabla de conexión de los servidores, bombardeándolos hasta que en efecto los hacen caer. La buena noticia es que el bajo volumen de ataques SYN flood puede ser detenido fácilmente por software de firewalls.
2. Zombi Flood: Este ataque ocurre cuando conexiones que no han sido falsificadas sobrecargan los servicios, causando parálisis en la red. A diferencia de SYN flood, los asaltos Zombi flood son más difíciles de detener a menos que la víctima atacada tenga algún tipo de tecnología de mitigación de comportamiento.
3. ICMP Flood: Este ocurre como resultado de paquetes ICMP que sobrecargan los servidores a tal grado de ocasionar una falla en el sistema. Un volumen bajo de ICMP flood puede ser detenido fácilmente con Listas de Control de Acceso en los ruteadores y switches. Los ICMP flood de alto ancho de banda, necesitan de equipo especializado.
4. Inundación de Puertos Fuera de Servicio: En este ataque, paquetes TCP/UDP bombardean los servidores, elevando el flujo de tráfico en servidores sin uso. Las organizaciones pueden combatir fácilmente este tipo de ataques con ACLs, pero ataques más poderosos requieren de soluciones de seguridad más fuertes.
5. Inundación de Puertos de Servicio: Desde este tipo de problema, los paquetes bombardean los puertos en servicio que ya habilitan el tráfico pesado hacia y desde la red de la organización. Para bloquear estas amenazas las organizaciones deberán invertir en tecnologías de seguridad más sofisticadas.
6. Fragment Flood: Como su nombre sugiere, este tipo de ataque ocurre cuando paquetes fragmentados sobrecargan los servidores. Como en los ataques de inundación de puertos de servicio, los ataques por inundación fragmentada no pueden ser frustrados con el esquema estándar de firewalls, switches y ruteadores. En cambio, éstos requieren soluciones más robustas para detenerlos de raíz.
7. HTTP GET Flood: Es el resultado de bots orientados a las conexiones que inundan los servidores afectando el tráfico de la red en puertos de servicio como el HTTP, mientras se hacen pasar por usuarios legítimos. Los firewalls, switches y ruteadores tampoco los detendrán. Para hacerlo, la organización víctima deberá reforzar su estructura de seguridad con soluciones más resistentes.
8. Blended Flood: Se dan cuando múltiples tipos de ataques se combinan en el servidor, lo cual al final termina confundiendo al equipo. Debido a su complejidad, no pueden ser detenidos con facilidad por firewalls, swithces, ruteadores, ni dispositivos IPS.
9. Anomalous Packet Flood: Se tratan de paquetes con encabezados o estado anómalos que sobrecargan los servidores y ahogan la red. Sin embargo, las organizaciones pueden aprovechar algunos firewalls y dispositivos IPS para detener estos ataques. Para tal fin, las soluciones diseñadas para detectar y proteger las redes de asaltos DDoS pueden fácilmente detener este tipo de ataques.
10. Inundación de una Región Foránea: Esto ocurre cuando bots de una específica región geográfica atacan los servidores de la organización víctima. Asismimo, son usualmente generados a través de campañas dirigidas muy completas, y como tales, son usualmente más difíciles de reprimir. Entre otras cosas, los equipos de seguridad diseñados para combatir estos ataques necesitarán contener tecnologías de visibilidad con la habilidad de detectar automáticamente patrones de comportamiento irregulares o anómalos.
Por Stefanie Hoffman, Blogger de Fortinet
