Los 10 ataques DDoS más comunes: Fortinet
Una estrategia de defensa contra los ataques de negación distribuida de servicio (DDoS por sus siglas en inglés) incluye la habilidad de distinguir entre diferentes tipos de ataques y conocer lo que se enfrenta. Por ello la compañía presenta los diez tipos de ataques más comunes que se observarán en el entorno de las amenazas DDoS:
1. Syn flood (Inundación Syn): Ocurre cuando una persona o programa logra hacerse pasar por otro, falsificando datos (spoof) e inunda con paquetes SYN la tabla de conexión de los servidores, bombardeándolos hasta que en efecto los hace caer. Este ataque puede ser detenido por software de firewalls. Los ataques de alto ancho de banda sin embargo, requieren equipo especializado con capacidades de proxy SYN.
2. Zombi flood (Inundación Zombi): Ocurre cuando conexiones que no han sido falsificadas sobrecargan los servicios, causando parálisis en la red. A diferencia de los ataques Syn flood, son más difíciles de detener a menos que la víctima tenga algún tipo de tecnología de mitigación de comportamiento. Más difíciles de controlar son los zombi de alto ancho de banda, las cuales requieren lógica especializada para conexiones legítimas y límite de rango.
3. ICMP Flood (Inundación ICMP): Ocurre como resultado de paquetes ICMP que sobrecargan los servidores a tal grado de ocasionar una falla en el sistema. Un volumen bajo de ataques ICMP puede ser detenido con listas de control de acceso (ACLs por sus siglas en inglés) en los ruteadores y switches. Los ICMP de alto ancho de banda necesitan de equipo especializado.
4. Inundación de puertos fuera de servicio (Non-service Port Flood): En este ataque paquetes TCP/UDP bombardean los servidores, elevando el flujo de tráfico en servidores sin uso. Se puede combatir con ACLs.
5. Inundación de puertos de servicio (Service Port Flood): Los paquetes bombardean los puertos en servicio que ya habilitan el tráfico pesado (como por ejemplo el puerto TCP 80) hacia y desde la red de la organización. No se pueden detener o desacelerar por muchas de las soluciones estándares de seguridad y de red – incluyendo firewalls, switches, dispositivos IPS y ruteadores.
6. Fragment flood (Inundación fragmentada): Ocurre cuando paquetes fragmentados sobrecargan los servidores. No pueden ser frustrados con el esquema estándar de firewalls, switches y ruteadores. En cambio, requieren soluciones más robustas para detenerlos de raíz.
7. HTTP GET Flood (Inundación HTTP GET): Resulta de bots orientados a las conexiones que inundan los servidores afectando el tráfico de la red en puertos de servicio como el HTTP, mientras se hacen pasar por usuarios legítimos. Los firewalls, switches y ruteadores tampoco los detendrán. Para hacerlo, la organización víctima deberá reforzar su estructura de seguridad con soluciones más resistentes.
8. Blended Flood (Inundación mezclada): Se da cuando múltiples tipos de ataques se combinan en el servidor, lo que termina confundiendo al equipo. No pueden ser detenidos con facilidad por firewalls, swithces, ruteadores, ni dispositivos IPS.
9. Anomalous Packet Flood (Inundación de paquete anómalos): Paquetes con encabezados o estado anómalos sobrecargan los servidores y ahogan la red. Sin embargo, las organizaciones pueden aprovechar algunos firewalls y dispositivos IPS para detener estos ataques. Para tal fin, las soluciones diseñadas para detectar y proteger las redes de asaltos DDoS pueden fácilmente detener este tipo de ataques.
10. Inundación de una región foránea: Ocurre cuando bots de una específica región geográfica atacan los servidores de la organización víctima. Los ataques son usualmente generados a través de campañas dirigidas muy completas y son difíciles de reprimir. Los equipos de seguridad para combatir estos ataques necesitarán tecnologías de visibilidad con la habilidad de detectar patrones de comportamiento irregulares o anómalos.
