Comprender los ataques DDoS: una guía para administradores de WordPress
Publicado: 2019-10-10Una denegación de servicio distribuida (DDoS) es un tipo de ataque de denegación de servicio (DoS) en el que el ataque proviene de varios hosts en lugar de uno, lo que los hace muy difíciles de bloquear. Al igual que con cualquier ataque DoS, el objetivo es hacer que un objetivo no esté disponible al sobrecargarlo de alguna manera.
En general, un ataque DDoS implica una cantidad de computadoras o bots. Durante el ataque, cada computadora envía de manera maliciosa solicitudes para sobrecargar el objetivo. Los objetivos típicos son los servidores web y los sitios web, incluidos los sitios web de WordPress. Como resultado, los usuarios no pueden acceder al sitio web o al servicio. Esto sucede porque el servidor se ve obligado a usar sus recursos para manejar estas solicitudes exclusivamente.
Es importante que los administradores de WordPress comprendan y estén preparados para los ataques DDoS. Pueden ocurrir en cualquier momento. En este artículo, exploraremos DDoS en profundidad y le brindaremos algunos consejos para ayudarlo a mantener protegido su sitio de WordPress.
DDoS es un ataque dirigido a la interrupción y no un hack
Es importante entender que un ataque DDoS no es un hack malicioso de WordPress en el sentido tradicional. La piratería implica que un usuario no autorizado obtenga acceso a un servidor o sitio web que no debería tener.
Un ejemplo de un hack tradicional es cuando un atacante aprovecha una vulnerabilidad en el código o cuando usa un rastreador de paquetes para robar contraseñas de WordPress. Una vez que el pirata informático tiene las credenciales, puede robar datos o controlar el sitio web.
DDoS tiene un propósito diferente y no requiere acceso privilegiado. DDoS simplemente tiene como objetivo interrumpir las operaciones normales del objetivo. Con los hacks tradicionales, el atacante puede querer pasar desapercibido por un tiempo. Con DDoS, si el atacante tiene éxito, lo sabrá casi de inmediato.
Diferentes tipos de ataques de denegación de servicio distribuido
DDoS no es solo un único tipo de ataque. Hay varias variantes diferentes y todas funcionan de manera un poco diferente debajo del capó. En la categoría DDoS, hay varias subcategorías en las que se pueden clasificar los ataques. A continuación se enumeran los más comunes.
Ataques DDoS volumétricos
Los ataques DDoS volumétricos son técnicamente sencillos: los atacantes inundan un objetivo con solicitudes para sobrecargar la capacidad del ancho de banda. Estos ataques no se dirigen directamente a WordPress. En su lugar, apuntan al sistema operativo subyacente y al servidor web. No obstante, estos ataques son muy relevantes para los sitios web de WordPress. Si los atacantes tienen éxito, su sitio de WordPress no publicará páginas para visitantes legítimos durante la duración del ataque.
Los ataques DDoS específicos que entran en esta categoría incluyen:
- amplificación NTP
- inundaciones UDP
Ataques DDoS en la capa de aplicación
Los ataques DDoS de la capa de aplicación se centran en la capa 7, la capa de aplicación. Esto significa que se centran en su servidor web Apache o NGINX y en su sitio web de WordPress. Los ataques de capa 7 obtienen más por su dinero cuando se trata del daño causado en relación con el ancho de banda gastado.
Para entender por qué ese es el caso, veamos un ejemplo de un ataque DDoS en la API REST de WordPress. El ataque comienza con una solicitud HTTP, como HTTP GET o HTTP POST de una de las máquinas host. Esta solicitud HTTP utiliza una cantidad relativamente trivial de recursos en el host. Sin embargo, en el servidor de destino puede desencadenar varias operaciones. Por ejemplo, el servidor debe verificar las credenciales, leer de la base de datos y devolver una página web.
En este caso, tenemos una gran discrepancia entre el ancho de banda que utilizó el atacante y los recursos que consumió el servidor. Esta disparidad suele aprovecharse durante un ataque. Los ataques DDoS específicos que entran en esta categoría incluyen:
- Inundaciones HTTP
- Ataques post lentos
Ataques DDoS basados en protocolos
Los ataques DDoS basados en protocolos siguen el mismo modelo de recursos agotados que los otros ataques DDoS. Sin embargo, generalmente se enfocan en las capas de red y transporte, a diferencia del servicio o la aplicación.
Estos ataques intentan denegar el servicio dirigiéndose a dispositivos como cortafuegos o la pila TCP/IP subyacente que se ejecuta en su servidor. Aprovechan las vulnerabilidades en la forma en que la pila de red del servidor maneja los paquetes de red o cómo funciona la comunicación TCP. Los ejemplos de ataques DDoS basados en protocolos incluyen:
- Syn inundaciones
- ping de la muerte
Ataques DDoS multivectoriales
Como era de esperar, los atacantes no se limitan a un solo tipo de ataque. Cada vez es más común que los ataques DDoS adopten un enfoque multivector. Los ataques DDoS multivectoriales son justo lo que cabría esperar: ataques DDoS que utilizan múltiples técnicas para dejar fuera de línea a un objetivo.
Comprender la reflexión y la amplificación en DDoS
Dos términos que surgen con frecuencia con los ataques DDoS son reflexión y amplificación. Ambas son técnicas que utilizan los atacantes para hacer que los ataques DDoS sean más efectivos.
La reflexión es una técnica en la que el atacante envía una solicitud con una dirección IP falsificada a un servidor de terceros. La dirección IP falsificada es la dirección del objetivo. Durante este tipo de ataques, los atacantes suelen utilizar una variedad de protocolos UDP. Así es como funciona:
- El atacante envía una solicitud UDP con la dirección IP falsificada, digamos la IP de su sitio de WordPress a una gran cantidad de servidores llamados reflectores.
- Los reflectores reciben la solicitud y responden a la IP de su sitio de WordPress al mismo tiempo.
- Las respuestas de los reflectores inundan su sitio de WordPress, lo que podría sobrecargarlo y hacer que no esté disponible.
La amplificación funciona de manera similar a la reflexión. Aunque requiere menos ancho de banda y recursos, porque las solicitudes enviadas a los reflectores son mucho más pequeñas que las respuestas que envían los reflectores al objetivo. Funciona de manera similar a lo que vimos con los ataques de denegación de servicio distribuido de la capa de aplicación.
El papel de las botnets en los ataques DDoS
¿Alguna vez se preguntó de dónde obtienen los atacantes los recursos para coordinar los ataques?
La respuesta son las redes de bots. Una botnet es una red o dispositivos que han sido comprometidos por malware. Esto podría ser una PC, un servidor, una red o un dispositivo inteligente. El malware permite a los atacantes controlar de forma remota cada host comprometido individual.
Cuando se utilizan para DDoS, las redes de bots llevan a cabo un ataque de denegación de servicio coordinado contra un host o grupo de hosts determinado. En resumen: las redes de bots permiten a los atacantes aprovechar los recursos de los equipos infectados para llevar a cabo ataques. Por ejemplo, este fue el caso cuando se usaron más de 20 000 sitios de WordPress para llevar a cabo ataques DDoS contra otros sitios de WordPress en 2018 (leer más).
La motivación detrás de los ataques de denegación de servicio distribuido
“¿Por qué la gente lleva a cabo ataques DDoS?” es una buena pregunta para hacer en este punto. Hemos revisado por qué un hacker malicioso apuntaría a su sitio de WordPress en el pasado, pero solo uno de esos puntos se aplica realmente a DDoS: el hacktivismo. Si alguien no está de acuerdo con su punto de vista, puede querer silenciar su voz. DDoS proporciona un medio para hacerlo.
Mirando más allá del activismo, la guerra cibernética a nivel estatal o los ataques industriales con motivaciones comerciales también son posibles impulsores de DDoS. Y también son bastante comunes los atacantes traviesos, los adolescentes que se divierten y usan DDoS para crear caos.
Por supuesto, uno de los mayores motivadores es el dinero. Los atacantes pueden solicitar un rescate para dejar de atacar su sitio web de WordPress. Podría ser que se beneficien comercialmente si su sitio no funciona. Yendo un paso más allá, ¡ha habido DDoS para servicios de alquiler!
Ejemplos del mundo real de denegación de servicio distribuida
¿Qué tan graves pueden ser los ataques de denegación de servicio distribuido? Echemos un vistazo a algunos ataques DDoS famosos de los últimos años.
GitHub (¡dos veces!): GitHub sufrió un ataque masivo de denegación de servicio en 1015. Parecía que los ataques estaban dirigidos a dos proyectos anticensura en la plataforma. Los ataques afectaron el rendimiento y la disponibilidad de GitHub durante varios días.
Luego, en 2018, GitHub fue nuevamente el objetivo de un ataque DDoS. Esta vez los atacantes utilizaron un ataque basado en memcaching. Aprovecharon los métodos de amplificación y reflexión. A pesar del tamaño del ataque, los atacantes solo inhabilitaron GitHub durante unos 10 minutos.
La nación de Estonia: abril de 2007 marcó el primer ataque cibernético conocido contra una nación entera. Poco después de que el gobierno estonio decidiera trasladar la estatua del Soldado de Bronce del centro de Tallin a un cementerio militar, se produjeron disturbios y saqueos. Al mismo tiempo, los atacantes lanzaron una serie de ataques de denegación de servicio distribuido que duraron semanas. Afectaron la banca en línea, los medios de comunicación y los servicios gubernamentales en el país.
DNS de Dyn: el 21 de octubre de 2016, Dyn sufrió un ataque DDoS a gran escala. Debido al ataque, los servicios Dyn DNS no pudieron resolver las consultas de los usuarios. Como resultado, miles de sitios web de alto tráfico, incluidos Airbnb, Amazon.com, CNN, Twitter, HBO y VISA, no estaban disponibles. El ataque se coordinó a través de una gran cantidad de dispositivos IoT, incluidas cámaras web y monitores para bebés.
Consejos de WordPress para protegerse contra los ataques DDoS
Como administrador individual de WordPress, no tiene los recursos ni la infraestructura para defenderse de un ataque DDoS. Aunque muchos servidores web de WordPress ofrecen algún tipo de mitigación de ataques DDoS. Así que pregunte al elegir un proveedor de alojamiento para su sitio web de WordPress. También puede usar un firewall de aplicaciones web/WordPress (WAF) y una red de entrega de contenido (CDN) . Hemos combinado WAF y CDN en una sola entrada, ya que hay proveedores, como Sucuri, que ofrecen ambos en una única solución.
Cuando utiliza un WAF o CDN, el servicio primero enruta y filtra el tráfico antes de llegar a su sitio web. Esta configuración puede evitar muchos ataques en el pase mientras limita el daño de otros. Algunas CDN ofrecen beneficios que permiten la detección y respuesta a ataques DDoS. Dado que pueden beneficiarse de las economías de escala en la nube, las CDN y los WAF en línea pueden descargar los ataques. Los redireccionan a redes que tienen mucho ancho de banda y las herramientas adecuadas para manejarlos.
Disuasión de piratas informáticos y ataques DDoS
Sin embargo, como hemos visto con WordPress BruteForce Botnet, existen varias mejores prácticas de seguridad que puede implementar en su sitio web de WordPress para que no atraiga la atención de los atacantes y posiblemente los ataques DDoS:
- Mantenga actualizado su sitio de WordPress: mantener actualizado el núcleo, los complementos, los temas y todo el software de WordPress que utiliza mitiga el riesgo de que se utilice una vulnerabilidad conocida en su contra. Mantener su sitio actualizado también reduce las posibilidades de que se convierta en parte de una botnet.
- Use un escáner para buscar vulnerabilidades: algunos ataques DoS explotan problemas como Slowloris. Esta y otras fallas de seguridad pueden ser detectadas por escáneres de vulnerabilidad. Entonces, cuando escanea su sitio web y su servidor web, a menudo identifica vulnerabilidades que los ataques DDoS pueden explotar. Hay una variedad de escáneres que puede utilizar. Utilizamos el escáner de seguridad WPScan no intrusivo para los administradores de WordPress.
- Revise los registros para mejorar la seguridad e identificar problemas: los registros de auditoría de WordPress y otros registros pueden ayudar a identificar comportamientos maliciosos desde el principio. A través de los registros, puede identificar problemas que pueden ser causados por ataques DDoS, como códigos de error HTTP específicos. Los registros también le permiten profundizar y analizar el origen de un ataque. Hay varios archivos de registro que los administradores de WordPress pueden usar para administrar y proteger mejor su sitio web.
- Reforzar la autenticación de usuarios: esta podría ser la última práctica recomendada, pero es tan importante como todas las demás. Implemente políticas seguras de contraseñas de WordPress para garantizar que los usuarios de su sitio web usen contraseñas seguras. Además de eso, instale un complemento de autenticación de dos factores e implemente políticas para que la autenticación de dos factores sea obligatoria.