DDoS

Un ataque de denegación de servicio distribuida (DDoS – Distributed Denial-of-Service) es un intento malintencionado de interrumpir el funcionamiento normal de un servidor, servicio o red. Esto se realiza mediante la sobrecarga, enviando una gran cantidad de tráfico. En este tipo de ataque un considerable número de dispositivos, que a menudo forman parte de una botnet, se coordinan para enviar solicitudes masivamente y de forma  simultánea contra la víctima, llegando a ralentizar el servidor o provocar su completa disrupción.

Este tipo de ataques suele tener diferentes objetivos: provocar pérdidas económicas, dañar la reputación de la empresa, interrumpir operaciones críticas, etc. Estos ataques suelen ser difíciles de mitigar porque el tráfico proviene de muchas fuentes diferentes, lo que complica distinguir el tráfico malicioso del legítimo.

Estos son algunos de los ataques más típicos que pueden afectar a un entorno corporativo::

AMPLIFICACIÓN CLDAP / LDAP

La amplificación CLDAP es un tipo de ataque DDoS volumétrico que emplea la técnica de amplificación y reflexión de tráfico mediante el protocolo CLDAP (Connection-less Lightweight Directory Access Protocol).

Este ataque se identifica por el uso del puerto UDP 389 como origen. La estrategia consiste en que el atacante explota servidores CLDAP accesibles en Internet y falsifica la IP de origen, provocando que las respuestas UDP reflejadas generen un alto volumen de tráfico dirigido hacia la víctima.

 

AMPLIFICACIÓN DNS

La amplificación de DNS es un ataque DDoS volumétrico que utiliza la técnica de amplificación y reflexión de tráfico DNS. Se reconoce por el uso del puerto UDP 53 como origen. Este ataque funciona cuando el atacante explota servidores DNS públicos en Internet y falsifica la dirección IP de origen, de modo que las respuestas UDP reflejadas generen un alto volumen de tráfico hacia la víctima.

 

DNS WATER TORTURE

Este tipo de ataque consiste en saturar los servidores DNS autoritativos con múltiples solicitudes DNS generadas aleatoriamente para el dominio objetivo, con la intención de interrumpir su capacidad de resolución y afectar otros servicios alojados bajo ese DNS.

No se trata de un ataque volumétrico; en cambio, apunta directamente a la capa de aplicación del DNS. Los atacantes pueden utilizar servidores DNS de caché de otros proveedores, como los de Google, como intermediarios para dificultar la identificación del origen del ataque.

Actualmente en el ámbito de la ciberinteligencia estos ataques son ejecutados con mayor frecuencia por grupos hacktivistas que persiguen objetivos de carácter político e ideológico. Grupos como NoName057, Anonymous Sudan o People’s Cyber Army, entre otros, han incrementado su actividad, utilizando ataques de denegación de servicio (DDoS) para afectar infraestructuras críticas, instituciones gubernamentales y empresas en sectores estratégicos.