Ataques DDoS

por

 Ultimamente se han puesto de moda los ataques DDoS (Distributed Denial Of Service Attack) o Ataque de Denegación de Servicio Distribuido (aquí una explicación peculiar DDoS de lo que significa este tipo de ataques), que justamente al proveedor de hosting de este portal le pasó la semana pasada, y tardaron casi un par de días en resolverlo. Incluso después de estar resuelto, había días en que la Web se encontraba inestable y se caía cada dos por 3. Y ahora mismo está pasando con muchos otros sitios conocidos como se puede ver por ejemplo en este este artículo, al parecer como un intento de callar a los bloggers que exponen cierta información de la cual hay muchos intereses de por medio.

Al leer noticias de este tipo, me pregunté “pero un sitio como como un Hosting, con tantos recursos ¿no le debería resultar sencillo solucionar el problema que está sufriendo?“. La respuesta que se me vino a la mente fue instantánea: “seguramente que no, ¡si no ya lo hubieran hecho!” De una u otra forma también es algo que me compete en mi trabajo, ya que administro las VPNs de la organización así como otros servidores de datos, comunicaciones y transferencias de archivo, aunque no somos proveedores de servicios Internet, pero nuestro rubro de negocio lo determina. Así que empecé a preocuparme por el asunto y digo: «¿Qué pasaría si también nos atacaran?»

 

Veamos en pocas palabras, qué es un ataque DoS (Denial of Service) o DDoS (Ataque de denegación de servicio): es un proceso que tiene el objetivo de estropear el acceso de usuarios al servidor, como lo representa la siguiente imágen:

ataque-ddospng.jpg
¿Qué hacer ante un ataque de este tipo?
Antes que nada debemos definir a qué tipo de ataque DoS pertenece:
  • Net Flood: varias “computadoras zombies” degradan la conectividad a internet de una red, saturando sus enlaces (medios) de comunicación.
  • Syn Flood: utilizando el concepto de la regla “conexión en tres pasos” -en dónde para decir que hay conexión se deben seguir tres pasos-, cuando el último paso no se conctreta, queda la conexión en un estado “semiabierto”. Lo que busca el Syn Flood es crear muchas conexiones de este tipo.
  • Connection Flood: como sabemos, todo servidor tiene un límite de conexiones simultáneas tolerables, que, al ser alcanzado, no se recibirán más conexiones. Como la conexión a un servidor es del tipo “tres pasos”, se tiene constancia de la identidad del atacante.
¿Qué sigue ahora?
No mucho. Simplemente comprender que el diseño de inherentes no es perfecto y puede tener fallos, y que no son solucionables en un corto plazo de tiempo.
  • Net Flood: nada por hacer, no hay solución.
  • Syn Flood: instalando un SO especializado en el server se soluciona.
  • Connection Flood: se puede detectar con un administrador de sistemas, para luego filtrarlos con algún cortafuegos corporativo.

Como ven todo parece muy fácil y no tan amplio. Pero la realidad no es tan así, y cuando aparecen problemas de este tipo es necesario contar con personas especializadas en el tema para salir del mismo. Hay que usar herramientas de harware (en la mayoría de los casos) y software para tener el soporte necesario, y sobretodo mucho coordinación con el proveedor de la conexión a Internet que usamos.

y vosotros ¿Qué tanto estáis preparados?

2 comentarios en «Ataques DDoS»

Los comentarios están cerrados.