Qu es un ataque DDoS?

DDoS son las siglas de Distributed Denial of Service. La traduccin es ataque distribuido
denegacin de servicio, y traducido de nuevo significa que se ataca al servidor desde muchos
ordenadores para que deje de funcionar.

Cuando hay demasiadas peticiones a un servidor web este se queda sin recursos, se cuelga y
deja de funcionar. Puede que se apague directamente o que slo deje de responder
conexiones. De cualquiera de las dos formas, el servidor no volver a la normalidad hasta que
el ataque pare, ya sea porque los atacantes han parado o porque se logrado bloquear las
conexiones ilegtimas (veremos ms adelante cmo), y se rearranque todo lo que haya dejado
de funcionar.

Este es el concepto bsico del DDoS, aunque se puede modificar para que sea ms efectivo.
Por ejemplo, se pueden enviar los datos muy lentamente haciendo que el servidor consuma
ms recursos por cada conexin, o alterar los paquetes para que el servidor se quede esperando
indefinidamente una respuesta de una IP falsa.

Cmo se lleva a cabo un ataque DDoS?

Como el concepto bsico del DDoS es simple, realizar los ataques es relativamente fcil. De
hecho, valdra con que hubiese un nmero suficientemente grande de personas recargando la
web continuamente para que se caiga. Sin embargo, las herramientas que se suelen usar son
algo ms complejas.

Con ellas se pueden crear muchas conexiones simultneas o enviar paquetes alterados con las
tcnicas que comentaba antes. Tambin permiten modificar los paquetes poniendo como IP de
origen una IP falsa, de forma que no pueden detectar quin es el atacante real.

Otra tcnica para llevar a cabo los DDoS es usar botnets: redes de ordenadores infectados por
un troyano y que un atacante puede controlar remotamente. De esta forma, los que saturan el
servidor son computadoras de gente que no sabe que estn participando en un ataque DDoS,
por lo que es ms difcil encontrar al verdadero atacante.

Qu mtodos de defensa existen?

Se debe revisar la configuracin de Routers y Firewalls para detener IPs invlidas as como
tambin el filtrado de protocolos que no sean necesarios. Algunos firewalls y routers proveen la
opcin de prevenir inundaciones (floods) en los protocolos TCP/UDP. Adems es aconsejable
habilitar la opcin de logging (logs) para llevar un control adecuado de las conexiones que existen
con dichos routers.
Cmo medida de respuesta es muy importante contar con un plan de respuesta a incidentes. Si
ocurre algn hecho de este tipo, cada persona dentro de la organizacin debera saber cul es su
funcin especfica.

Otras de las alternativas que se deben tener en cuenta es la solicitud ayuda al Proveedor de
Servicios de Internet (ISP). Esto puede ayudar a bloquear el trfico ms cercano a su origen sin
necesidad de que alcance a la organizacin.

En caso de contar con IDS/IPS (intrusin-detection/prevention system), estos pueden detectar el

mal uso de protocolos vlidos como posibles vectores de ataque. Se debe tener en cuenta, adems,
la configuracin de estas herramientas. Esto debe realizarse con el tiempo necesario y
mediante personal capacitado, intentando en lo posible mantener actualizadas las firmas de estos
dispositivos. Cabe destacar que es de suma importancia analizar los casos de falsos positivos para
llevar a cabo una posible reconfiguracin de este tipo de herramientas.

Algunos consejos un poco ms tcnicos que pueden ayudar son:

Limitar la tasa de trfico proveniente de un nico host.

Limitar el nmero de conexiones concurrentes al servidor.

Restringir el uso del ancho de banda por aquellos hosts que cometan violaciones.

Realizar un monitoreo de las conexiones TCP/UDP que se llevan a cabo en el servidor

(permite identificar patrones de ataque).

Posiblemente este tipo de ataques seguirn ocurriendo a lo largo del tiempo. Es por esto que es
necesario adoptar medidas preventivas para intentar evitarlos as como tambin contar con los
recursos necesarios a la hora de responder en caso de que el ataque fuera exitoso.