Los ataques de Denegación de Servicio (DoS) y Denegación de Servicio Distribuídos (DDoS) se han tornado cada vez más frecuentes, y muchas veces son utilizados por los hacktivistas como medio de protesta, o incluso se llevan a cabo por redes botnets que utilizan a sus equipos víctimas con esta finalidad. En nuestra “Guía para controlar un ataque de Denegación de Servicio” se explican las diferentes etapas para gestionar la respuesta a este tipo de ataques. Sin embargo, creemos que es necesario agregar cierto contenido técnico para comprender la naturaleza de los mismos.
¿En qué consiste un ataque de DOS?
Un ataque de Denegación de Servicio tiene como objetivo dejar inaccesible a un determinado recurso (generalmente un servidor web). Estos ataques generalmente se llevan a cabo mediante el uso de herramientas que envían una gran cantidad de paquetes de forma automática para desbordar los recursos del servidor logrando de esta manera que el propio servicio quede inoperable. Además, se suelen coordinar ataques involucrando un gran número de personas para que inicien este tipo de ataque en simultáneo, tratándose así de un ataque de denegación de servicio distribuido, el cuál muchas veces es un poco más difícil de contener.
¿Qué métodos de defensa existen?
Se debe revisar la configuración de Routers y Firewalls para detener IPs inválidas así como también el filtrado de protocolos que no sean necesarios. Algunos firewalls y routers proveen la opción de prevenir inundaciones (floods) en los protocolos TCP/UDP. Además es aconsejable habilitar la opción de logging (logs) para llevar un control adecuado de las conexiones que existen con dichos routers.
Cómo medida de respuesta es muy importante contar con un plan de respuesta a incidentes. Si ocurre algún hecho de este tipo, cada persona dentro de la organización debería saber cuál es su función específica.
Otras de las alternativas que se deben tener en cuenta es la solicitud ayuda al Proveedor de Servicios de Internet (ISP). Esto puede ayudar a bloquear el tráfico más cercano a su origen sin necesidad de que alcance a la organización.
En caso de contar con IDS/IPS (intrusión-detection/prevention system), estos pueden detectar el mal uso de protocolos válidos como posibles vectores de ataque. Se debe tener en cuenta, además, la configuración de estas herramientas. Esto debe realizarse con el tiempo necesario y mediante personal capacitado, intentando en lo posible mantener actualizadas las firmas de estos dispositivos. Cabe destacar que es de suma importancia analizar los casos de falsos positivos para llevar a cabo una posible reconfiguración de este tipo de herramientas.
Algunos consejos un poco más técnicos que pueden ayudar son:
- Limitar la tasa de tráfico proveniente de un único host.
- Limitar el número de conexiones concurrentes al servidor.
- Restringir el uso del ancho de banda por aquellos hosts que cometan violaciones.
- Realizar un monitoreo de las conexiones TCP/UDP que se llevan a cabo en el servidor (permite identificar patrones de ataque).
Posiblemente este tipo de ataques seguirán ocurriendo a lo largo del tiempo. Es por esto que es necesario adoptar medidas preventivas para intentar evitarlos así como también contar con los recursos necesarios a la hora de responder en caso de que el ataque fuera exitoso.
Fernando Catoira
Analista de Seguridad