Cómo realizar DDoS como un hacker ético

Antes de explicarte cómo aplicar DDoS a alguien, quiero dejar claras algunas cuestiones. Lanzar un ataque de denegación de servicio distribuido por cualquier otro motivo que no sean las pruebas de seguridad es ilegal.

En la piratería ética, los ataques DDoS se pueden utilizar como parte de las actividades de evaluación de vulnerabilidades y pruebas de seguridad. Si ese es el caso, asegúrese de que existan pautas estrictas y acuerdos legales antes de comenzar a trabajar.

Necesitará el consentimiento explícito de la organización que se está probando y debería poder controlar el ataque con cuidado para evitar causar un daño real. Los ataques DDoS no autorizados son ilegales y pueden tener graves consecuencias legales.

¿Qué es un ataque DDoS?

Un ataque DDoS es un ataque de denegación de servicio (DoS) que utiliza una botnet para inundar al objetivo con tráfico malicioso.

Te Interesa: Cómo elegir la mejor universidad para estudiar ciberseguridad en España

Los piratas informáticos lanzan ataques DDoS para interrumpir o desactivar un sitio web o servicio. Lo logran enviando al servidor web más solicitudes de las que el sitio web de destino puede procesar. Debido a los ataques DDoS, los usuarios de una organización:

• ya no podrán acceder a la información que necesitan,
• Tendrá que lidiar con una aplicación que funciona muy lentamente.

Mientras que los ataques DoS utilizan sólo una fuente para enviar la información, un ataque DDoS utiliza miles o cientos de miles de dispositivos infectados para inundar su objetivo. Por lo tanto, los ataques DDoS afectan más que los DoS.

El propósito de un ataque DDoS

Los actores de amenazas utilizan ataques DDoS para diversos fines. A diferencia del caso de los ataques de ransomware, no se esperan ganancias financieras rápidas al planificar un ataque DDoS. Sin embargo, puede suceder que los piratas informáticos intenten extorsionar a una empresa utilizando DDoS como arma. A continuación se detallan las razones por las que los piratas informáticos lanzan ataques DDoS:

DDoS como técnica de ofuscación

En muchos casos, los piratas informáticos utilizan los ataques DDoS como cortinas de humo. Al desactivar el servidor web del objetivo, intentan ocultar el verdadero final: la implementación de malware o la filtración de datos.

Te Interesa: ¿Qué es un CISO y cuál es su rol en una organización?

Derribar a los competidores

Los ciberdelincuentes podrían utilizar ataques DDoS como arma contundente contra sus competidores. Por ejemplo, es posible que quieran cerrar un sitio que aloja una herramienta de ciberseguridad o cerrar una pequeña tienda en internet que opera en el mismo nicho.

Intentos de extorsión

Los actores maliciosos a veces piden a sus víctimas que paguen una tarifa para detener la denegación de servicio distribuida.

Hacktivismo

Los hacktivistas son activistas que utilizan el ciberdelito como herramienta de protesta. Los ataques DDoS son baratos y relativamente fáciles de realizar, ya que hay muchas herramientas DDoS gratuitas disponibles. Por lo tanto, se convirtieron en la forma favorita de ciertos grupos de activismo para expresar su opinión. Su objetivo es perturbar los servicios en internet y los sitios web de las organizaciones objetivo para llamar la atención.

Los hacktivistas utilizan ataques DDoS también porque pueden lanzarlos de forma anónima, por lo que a las autoridades les resultará difícil descubrir quién lo hizo.

Te Interesa: ¿Qué es el hacking ético y cómo se practica de manera responsable?

No todos los hacktivistas luchan por una buena causa. Los piratas informáticos apoyados por el Estado, como el grupo de amenazas prorruso KillNet, utilizan ataques DDoS para perturbar las actividades de otros gobiernos. Como apuntar a organizaciones de atención médica.

Diversión y gloria

A veces, es posible que el atacante ni siquiera tenga un motivo. Simplemente lo hace para reírse, buscando poner a prueba sus habilidades o simplemente causar caos. Entonces, no importa cuán pequeña y supuestamente insignificante parezca una organización, existe la posibilidad de que los piratas informáticos la apunten en un ataque DDoS. Esto significa que todos los CIO o CTO de una empresa deben tomar las medidas de seguridad adecuadas para evitar un ataque DDoS .

Pruebas del sistema

En los ejercicios de equipo rojo, los piratas informáticos éticos simulan escenarios de ataques del mundo real para evaluar la postura de seguridad general de una organización. Estos pueden incluir ataques DDoS. La actividad puede ser parte de un conjunto más amplio de tácticas para evaluar qué tan bien una organización puede defenderse contra múltiples vectores de ataque.

Los piratas informáticos éticos utilizan ataques DDoS controlados y limitados para probar la resistencia de un sistema y su capacidad para manejar una afluencia repentina de tráfico. Esto les ayuda a identificar debilidades en la infraestructura:

Te Interesa: ¿Cuáles son las ventajas del hacking ético?

• ancho de banda de red inadecuado,
• balanceadores de carga mal configurados,
• Recursos insuficientes del servidor.

Cómo hacer DDoS a alguien

Hay más de una forma de llevar a cabo un ataque de denegación de servicio. Algunos métodos son más fáciles de ejecutar que otros, pero no tan potentes. A veces, es posible que el atacante quiera hacer un esfuerzo adicional para asegurarse de que la víctima reciba el mensaje, de modo que pueda contratar una botnet dedicada para llevar a cabo el ataque.

Redes de bots

Una botnet es un conjunto de computadoras u otros dispositivos conectados a Internet que han sido infectados con malware y ahora responden a las órdenes y comandos de una computadora central, llamada Centro de Comando y Control .

Las grandes botnets tienen una red de millones de dispositivos y la mayoría de sus propietarios no tienen idea de que sus máquinas están comprometidas. Además de varias computadoras, una botnet también puede incluir dispositivos IoT.

Por lo general, las botnets se utilizan para una amplia variedad de actividades ilegales , como enviar correos electrónicos no deseados, phishing o minería de criptomonedas.

Algunos, sin embargo, están disponibles para alquilar al mejor postor, quien puede utilizarlos del modo que mejor le parezca. A menudo, esto significa un ataque DDoS. Lea más sobre cómo proteger su empresa contra ataques de botnets en el artículo de mi colega.

Programas y herramientas DDoS

Los piratas informáticos a pequeña escala que no tienen acceso a las botnets tienen que depender de sus propias computadoras. Esto significa utilizar herramientas de ataque DDoS especializadas, que pueden dirigir el tráfico de Internet a un objetivo determinado.

Por supuesto, la cantidad de tráfico que una computadora individual puede enviar es pequeña, pero colabora con unos pocos cientos o miles de usuarios y de repente el alcance de las cosas aumenta.

Anonymous ha empleado con éxito esta táctica particular de denegación de servicio distribuida. En resumen, envían una llamada a sus seguidores, pidiéndoles que descarguen una herramienta en particular y que estén activos en foros de mensajería, como IRC, en un momento determinado. Luego, simultáneamente lanzan un ataque DDoS, lo que provoca la caída del sitio web o servicio objetivo.

Aquí hay una lista de muestra de herramientas de ataque DDoS que los piratas informáticos malintencionados utilizan para llevar a cabo ataques de denegación de servicio:

• Cañón de iones de órbita baja, abreviado como LOIC.
• XOICO.
• HULK (Rey de la carga insoportable HTTP).
• DDOSIM – Simulador DDoS de capa 7
• RU-Muerto-Aún.
• Martillo de Tor.

Cómo hacer DDoS en una IP usando cmd

Uno de los métodos de denegación de servicio más básicos y rudimentarios se llama "ping de la muerte" y utiliza el símbolo del sistema para inundar una dirección de protocolo de Internet con paquetes de datos.

Debido a su pequeña escala y naturaleza básica, los ataques de ping de la muerte generalmente funcionan mejor contra objetivos más pequeños. Por ejemplo, el atacante puede apuntar a:

• Una sola computadora. Sin embargo, para que esto tenga éxito, el actor malicioso primero debe averiguar la dirección IP del dispositivo.

• Un enrutador inalámbrico. Inundar el enrutador con paquetes de datos evitará que envíe tráfico de Internet a todos los demás dispositivos conectados a él. De hecho, esto corta el acceso a Internet de cualquier dispositivo que haya utilizado el enrutador.

Para lanzar un ataque de denegación de servicio con ping, el hacker malicioso primero necesita averiguar la IP de la computadora o dispositivo de la víctima. Sin embargo , ésta es una tarea relativamente sencilla .

Un ping de muerte es de pequeña escala y bastante básico, por lo que es más eficaz contra dispositivos concretos. Sin embargo, si se juntan varias computadoras, es posible hacer caer un sitio web pequeño que no tenga la infraestructura adecuada para hacer frente a esta amenaza.

Usar Google Spreadsheet para enviar innumerables solicitudes.

Un atacante puede utilizar Google Spreadsheets para solicitar continuamente al sitio web de la víctima que proporcione una imagen o un PDF almacenado en la memoria caché. Utilizando un script, creará un bucle interminable, donde la hoja de cálculo de Google pide constantemente al sitio web que busque la imagen.

Esta enorme cantidad de solicitudes abruma el sitio y bloquea el tráfico legítimo.

A diferencia de otras tácticas de denegación de servicio, ésta no envía grandes paquetes de información para inundar el sitio web, sino que realiza solicitudes de datos, que son mucho, mucho más pequeñas.

En otras palabras, el atacante no necesita depender de una botnet considerable ni de miles de otros usuarios para lograr un efecto similar.

Ataques de lágrimas

En la mayoría de los casos, la información transmitida entre un dispositivo cliente y el servidor es demasiado grande para enviarse en una sola pieza. Debido a esto, los datos se dividen en paquetes más pequeños y luego se vuelven a ensamblar una vez que llegan al servidor.

El servidor conoce el orden de reensamblaje a través de un parámetro llamado “offset”. Piense en ello como instrucciones para construir un juguete LEGO.

Lo que hace un ataque en forma de lágrima es enviar paquetes de datos al servidor que no tienen sentido y tienen parámetros de compensación superpuestos o disfuncionales. El servidor intenta, y falla, ordenar los datos según los parámetros de compensación maliciosos. Esto consume rápidamente los recursos disponibles hasta que se detiene, destruyendo el sitio web con él.

Amplificando un ataque DDoS

Para maximizar cada byte de datos, los piratas informáticos malintencionados a veces amplifican la inundación mediante el uso de un ataque de reflexión DNS.

Este es un proceso de varios pasos:

• El atacante asumirá la identidad de la víctima falsificando su dirección IP.

• Utilizando la identidad falsificada, enviará innumerables consultas de DNS a un solucionador de DNS abierto.

• El solucionador de DNS procesa cada consulta y luego envía la información al dispositivo de la víctima al que le robaron la identidad. Sin embargo, los paquetes de información que envía el solucionador de DNS son mucho más grandes que las consultas que recibe.

Lo que sucede durante la amplificación es que cada byte de información se convierte en 30 o 40 bytes, a veces incluso más. Amplíe esto aún más utilizando una botnet con unos pocos miles de computadoras y puede terminar enviando 100 gigabytes de tráfico DDoS hacia un sitio.

Los tipos de ataques DDoS

Los ataques de denegación de servicio se dividen en dos categorías amplias, según su principal vector de ataque :

• Capa de aplicación.
• Capa de red.

Ataques a la capa de red

Un ataque a la capa de red funciona inundando la infraestructura utilizada para alojar un sitio web con grandes cantidades de datos.

Hoy en día, muchos proveedores afirman que ofrecen ancho de banda "no medido", lo que significa que, en teoría, nunca deberías tener que preocuparte por que cantidades excesivas de tráfico afecten a tu sitio. Sin embargo, este ancho de banda “no medido” viene con condiciones.

Para poner las cosas en perspectiva, un sitio web con unas 15.000 páginas vistas mensuales y cientos de páginas requiere alrededor de 50 gigabytes de ancho de banda mensual para funcionar de manera óptima. Tenga en cuenta que este tráfico está muy disperso a lo largo de un mes entero. Un sitio como este no tiene posibilidades de permanecer en internet si un ataque DDoS lo ataca con 30 o 40 gigas de tráfico en un período de una hora.

Como medida de autodefensa, el propio proveedor de alojamiento simplemente interrumpirá el alojamiento hasta que el tráfico legítimo se normalice. Aunque esto pueda parecer duro, evita efectos indirectos que podrían afectar a otros clientes del proveedor de hosting.

Este tipo de ataques DDoS vienen en múltiples formas y tamaños. Éstos son algunos de los más frecuentes:

• Ataques SYN . SYN es una abreviatura de "sincronizar" y es un mensaje que un cliente (como una PC) envía al servidor web para que los dos estén sincronizados.
• DNS reflejado.
• Ataques de amplificación UDP .

Ataque a la capa de aplicación

Los ataques a la capa de aplicación son de naturaleza mucho más quirúrgica en comparación con los de red. Estos funcionan dirigiéndose a ciertos programas o software que un sitio web utiliza en su funcionamiento diario.

Por ejemplo, un ataque a la capa de aplicación tendrá como objetivo la instalación de WordPress de un sitio, los scripts PHP o la comunicación con la base de datos.

Este tipo de software no puede manejar ni de lejos la carga de una infraestructura de red más amplia, por lo que incluso un ataque DDoS comparativamente pequeño de unos pocos megabytes por segundo puede derribarlo.

Las actividades de inundación HTTP son ataques típicos a la capa de aplicación. Funcionan abusando de uno de dos comandos, POST o GET. El comando GET es simple y recupera contenido estático, como la propia página web o una imagen de ella.

El comando POST consume más recursos, ya que desencadena procesos complejos en segundo plano con un mayor impacto en el rendimiento del servidor.

Una inundación HTTP generará una gran cantidad de solicitudes internas del servidor que la aplicación no puede manejar, por lo que luego falla y destruye todo el sitio con ella.

¿Cómo detectar un ataque DDoS?

Analice el tráfico para ver si se enfrenta a un pico de uso o a un ataque.

Los picos de tráfico son frecuentes y, de hecho, pueden ser lo suficientemente grandes como para provocar la caída de sitios web mal preparados. Un sitio diseñado para soportar un promedio de 30 a 40 usuarios simultáneos se verá presionado si un pico eleva el número a 600 a 700 usuarios al mismo tiempo.

La primera señal de un ataque DDoS es una fuerte ralentización del rendimiento del servidor o una caída total. Los errores 503 “Servicio no disponible” deberían comenzar alrededor de este momento. Incluso si el servidor no falla, los procesos críticos que antes tardaban unos segundos en completarse ahora tardan unos minutos.

Fuente

Wireshark es una gran herramienta que le ayudará a determinar si lo que está pasando es un DDoS. Entre sus muchas funciones, monitorea qué direcciones IP se conectan a su PC o servidor y cuántos paquetes envía.

Por supuesto, si el atacante usa una VPN o una botnet, verás un montón de IP, en lugar de una sola. Aquí hay un resumen más detallado sobre cómo usar Wireshark para determinar si se encuentra en el lado equivocado de una denegación de servicio.

Microsoft Windows también viene con una herramienta nativa llamada Netstat, que le muestra qué dispositivos se están conectando a sus servidores web y otras estadísticas similares.

Para abrir la herramienta, escriba cmd en la barra de búsqueda del menú Inicio y luego escriba netstat –an . Esto lo llevará a una pantalla que muestra su propia IP interna en la columna de la izquierda, mientras que la columna de la derecha contiene todas las IP externas conectadas a su dispositivo.

La captura de pantalla anterior es para una conexión normal. En él, puedes ver algunas otras IP que se comunican normalmente con el dispositivo.

Ahora, así es como se vería un ataque DDoS:

Fuente

En el lado derecho, puede ver que una única IP externa intenta conectarse repetidamente a su dispositivo. Si bien no siempre es indicativo de un DDoS, esto es una señal de que algo sospechoso está sucediendo y merece una mayor investigación.

Conclusión

Los ataques DDoS serán cada vez más frecuentes a medida que los script kiddies tengan acceso a herramientas y métodos de ataque DDoS más sofisticados y económicos. Afortunadamente, los ataques de denegación de servicio duran poco y tienden a tener un impacto a corto plazo. Por supuesto, esto no siempre es así, por lo que es mejor estar preparado para el peor de los casos.

Si quieres conocer otros artículos parecidos a Cómo realizar DDoS como un hacker ético puedes visitar la categoría Ciberseguridad.