A lo largo de los años, la denegación de servicio distribuida (DDoS) ha sido una forma muy fiable de asegurarse de que un servicio alojado (como un sitio web o algún servicio como la PlayStation Network) no vea la luz del día al menos durante un tiempo.

El poder que ejercen estos ataques hace que la gente sienta curiosidad por los mecanismos que hay detrás de ellos, por lo que nos hemos tomado el tiempo de explicar cómo funcionan e incluso hemos llegado a demostrar a fondo lo enormes que pueden llegar a ser algunos de estos ataques, hasta el punto de que uno de ellos puede llegar a dejar fuera de servicio a sectores enteros de Internet a millones de personas. Sin embargo, apenas se habla públicamente de cómo funcionan las contramedidas (por ejemplo, la protección contra los DDoS).

El problema de debatir sobre la protección DDoS

Internet es un enorme conjunto de redes conectadas a través de un gigantesco y desordenado vacío. Hay trillones de pequeños paquetes que viajan a casi la velocidad de la luz por todo el mundo. Para dar sentido a su desorientador y misterioso funcionamiento interno, Internet se divide en grupos. Estos grupos se dividen a menudo en subgrupos, y así sucesivamente.

En realidad, esto hace que la discusión sobre la protección DDoS sea un poco complicada. La forma en que un ordenador doméstico se protege de los DDoS es a la vez similar y ligeramente diferente de la forma en que lo hace el centro de datos de una empresa multimillonaria. Y aún no hemos llegado a los proveedores de servicios de Internet (ISP). Hay tantas formas de clasificar la protección DDoS como de clasificar las diferentes piezas que componen Internet con sus miles de millones de conexiones, sus clusters, sus centrales continentales y sus subredes.

Dicho esto, vamos a intentar un enfoque quirúrgico que toque todos los detalles relevantes e importantes del asunto.

El principio detrás de la protección DDoS

Si estás leyendo esto sin tener un conocimiento claro de cómo funciona el DDoS, te sugiero que leas la explicación que enlacé anteriormente o de lo contrario puede ser un poco abrumador. Hay dos cosas que puedes hacer a un paquete entrante: puedes ignorarlo o redirigirlo. No puedes evitar que llegue porque no tienes control sobre el origen del paquete. Ya está aquí y tu software quiere saber qué hacer con él.

Esta es una verdad universal a la que todos nos atenemos, e incluye a los ISP que nos conectan a Internet. Es la razón por la que tantos ataques tienen éxito: como no puedes controlar el comportamiento de la fuente, ésta puede enviarte suficientes paquetes para saturar tu conexión.

Cómo lo hacen el software y los routers (sistemas domésticos)

Si ejecuta un cortafuegos en su ordenador o su router tiene uno, suele seguir un principio básico: si el tráfico DDoS llega volando, el software hace una lista de IPs que están entrando con tráfico ilegítimo.

RELACIONADO:  5 alternativas a Dropbox para Linux

Lo hace notando cuando algo le envía un montón de datos basura o solicitudes de conexión con una frecuencia poco natural, como más de cincuenta veces por segundo. Entonces bloquea todas las transacciones procedentes de esa fuente. Al bloquearlas, tu ordenador no tiene que gastar recursos adicionales para interpretar los datos que contiene. El mensaje simplemente no llega a su destino. Si el cortafuegos de un ordenador te bloquea e intentas conectarte a él, obtendrás un tiempo de espera de la conexión porque todo lo que envíes simplemente será ignorado.

Esta es una forma maravillosa de protegerse contra los ataques de denegación de servicio (DoS) de una sola IP, ya que el atacante verá un tiempo de espera de la conexión cada vez que compruebe si su obra está haciendo algún progreso. Con una denegación de servicio distribuida, esto funciona porque todos los datos procedentes de las IPs atacantes serán ignorados.

Hay un problema con este esquema.

En el mundo de Internet, no existe el «bloqueo pasivo». Necesitas recursos incluso cuando ignoras un paquete que viene hacia ti. Si estás usando software, el punto de ataque se detiene en tu ordenador pero sigue atravesando tu router como una bala a través del papel. Eso significa que tu router está trabajando incansablemente para dirigir todos los paquetes ilegítimos en tu dirección.

Si estás utilizando el cortafuegos del router, todo se detiene ahí. Pero eso sigue significando que tu router está escaneando el origen de cada paquete y luego iterando la lista de IPs bloqueadas para ver si debe ser ignorado o permitido.

Ahora, imagina que tu router tiene que hacer lo que acabo de mencionar millones de veces por segundo. Tu router tiene una cantidad finita de potencia de procesamiento. Una vez que alcance ese límite, tendrá problemas para priorizar el tráfico legítimo, sin importar los métodos avanzados que utilice.

Dejemos todo esto a un lado para discutir otra cuestión. Suponiendo que tengas un router mágico con una cantidad infinita de potencia de procesamiento, tu proveedor de Internet te sigue dando una cantidad finita de ancho de banda. Una vez que se alcanza ese límite de ancho de banda, tendrás dificultades para realizar incluso las tareas más sencillas en la web.

Así que la solución definitiva al DDoS es tener una cantidad infinita de potencia de procesamiento y una cantidad infinita de ancho de banda. Si alguien descubre cómo lograrlo, ¡estamos de enhorabuena!

Cómo manejan sus cargas las grandes empresas

La belleza de cómo las empresas manejan los DDoS radica en su elegancia: utilizan sus infraestructuras existentes para contrarrestar cualquier amenaza que se les presente. Por lo general, esto se hace a través de un equilibrador de carga, una red de distribución de contenidos (CDN), o una combinación de ambos. Los sitios web y servicios más pequeños pueden subcontratar esta tarea a un tercero si no tienen el capital necesario para mantener una serie de servidores tan extensa.

RELACIONADO:  Por que la madera es un material renovable

Con una CDN, el contenido de un sitio web se copia en una gran red de servidores distribuidos por muchas zonas geográficas. Esto hace que el sitio web se cargue rápidamente independientemente del lugar del mundo en el que te conectes.

Los equilibradores de carga complementan esto redistribuyendo los datos y catalogándolos en diferentes servidores, priorizando el tráfico por el tipo de servidor más adecuado para el trabajo. Los servidores de menor ancho de banda con grandes discos duros pueden manejar grandes cantidades de archivos pequeños. Los servidores con conexiones de enorme ancho de banda pueden manejar la transmisión de archivos más grandes. (Piensa en «YouTube»).

Y así es como funciona

¿Ves a dónde quiero llegar con esto? Si un ataque llega a un servidor, el equilibrador de carga puede seguir el rastro del DDoS y dejar que siga golpeando ese servidor mientras redirige todo el tráfico legítimo a otra parte de la red. La idea aquí es utilizar una red descentralizada a su favor, asignando los recursos donde se necesitan para que el sitio web o el servicio puedan seguir funcionando mientras el ataque se dirige a un «señuelo». Bastante inteligente, ¿no?

Como la red está descentralizada, obtiene una ventaja significativa sobre los simples cortafuegos y cualquier protección que puedan ofrecer la mayoría de los routers. El problema aquí es que se necesita mucho dinero para poner en marcha su propia operación. Mientras crecen, las empresas pueden confiar en los grandes proveedores especializados para que les den la protección que necesitan.

Cómo lo hacen los gigantes

Hemos recorrido las pequeñas redes domésticas e incluso nos hemos aventurado en el ámbito de las megacorporaciones. Ahora es el momento de adentrarnos en la etapa final de esta búsqueda: vamos a ver cómo las propias empresas que te dan una conexión a Internet se protegen para no caer en un oscuro abismo. Esto está a punto de complicarse un poco, pero intentaré ser lo más conciso posible sin una tesis que induzca a la baba sobre los distintos métodos de protección DDoS.

Los ISP tienen sus propias formas de manejar las fluctuaciones de tráfico. La mayoría de los ataques DDoS apenas se registran en sus radares, ya que tienen acceso a una cantidad casi ilimitada de ancho de banda. Su tráfico diario entre las 7 y las 11 de la tarde (también conocido como la «hora punta de Internet») alcanza niveles que superan con creces el ancho de banda que se obtendría de un flujo DDoS medio.

Por supuesto, dado que estamos hablando de Internet, hay (y ha habido a menudo) ocasiones en las que el tráfico se convierte en algo mucho más que un parpadeo en el radar.

Estos ataques llegan con vientos huracanados e intentan desbordar la infraestructura de los ISP más pequeños. Cuando su proveedor levanta las cejas, rápidamente recurre a un arsenal de herramientas a su disposición para combatir esta amenaza. Recuerda que estos tipos tienen enormes infraestructuras a su disposición, por lo que hay muchas formas de que esto se produzca. Aquí están las más comunes:

  • Agujero negro desencadenado de forma remota – Suena como algo sacado de una película de ciencia ficción, pero el RTBH es algo real documentado por Cisco. Hay muchas maneras de hacerlo, pero te daré la versión «rápida y sucia»: un ISP se comunicará con la red de la que proviene el ataque y le dirá que bloquee todo el tráfico saliente que se lanza en su dirección. Es más fácil bloquear el tráfico que sale que los paquetes que entran. Por supuesto, todo lo que provenga del ISP objetivo aparecerá como si estuviera fuera de línea para las personas que se conecten desde el origen del ataque, pero esto hace el trabajo y no requiere mucha molestia. El resto del tráfico mundial no se ve afectado.
  • Scrubbers – Algunos ISP muy grandes tienen centros de datos llenos de equipos de procesamiento que pueden analizar los patrones de tráfico para separar el tráfico legítimo del tráfico DDoS. Como se requiere mucha potencia de cálculo y una infraestructura establecida, los ISP más pequeños suelen recurrir a la subcontratación de este trabajo a otra empresa. El tráfico del sector afectado pasa por un filtro, y la mayoría de los paquetes DDoS se bloquean mientras se permite el paso del tráfico legítimo. Esto asegura el funcionamiento normal del ISP a costa de enormes cantidades de potencia de cálculo.
  • Un poco de vudú de tráfico – Utilizando un método conocido como «traffic shaping», el ISP se limitará a embestir todo lo que el ataque DDoS trae consigo en su IP de destino mientras deja todos los demás nodos en paz. Esto básicamente arrojará a la víctima bajo el autobús para salvar al resto de la red. Es una solución muy fea y a menudo la última que un ISP utilizará si la red está en una crisis grave, y necesita una acción rápida y decisiva para asegurar la supervivencia del conjunto. Piensa en ello como un escenario en el que «las necesidades de muchos superan a las de unos pocos».
RELACIONADO:  Downsampling: Cómo sobreacelerar la resolución de tu pantalla para jugar

El problema con el DDoS es que su eficacia va de la mano de los avances en la potencia de los ordenadores y la disponibilidad del ancho de banda. Para luchar realmente contra esta amenaza, tenemos que utilizar métodos avanzados de modificación de la red que superan con creces las capacidades del usuario doméstico medio. Probablemente sea bueno que los hogares no sean a menudo objetivos directos de los DDoS.

Por cierto, si quieres ver dónde se producen estos ataques en tiempo real, consulta el Mapa de Ataques Digitales.

¿Has sido alguna vez víctima de este tipo de ataques en tu casa o en tu lugar de trabajo? Cuéntanos tu historia en un comentario!