Denegacion de servicio

Como hacen ataques DDoS - Nivel principiante en CMD

Hay que saber de todo en esta cibervida, por eso hoy empiezo la primera parte de una serie de artículos en la que os hablaré de los distintos tipos de ataques DDoS que existen, cómo se realizan y con qué herramientas. En la medida de lo posible os enseñaré a realizar ataques de este tipo y os explicaré cómo funcionan. ¿Por qué? Sencillo, si eres un bastardo sin escrúpulos quizás quieres usarlos para fastidiar a alguien... Y si eres un webmaster cauteloso querrás saber en qué consisten este tipo de amenazas hacias nuestras webs y como subsanarlas. Lógicamente ni yo ni nadie va a tocar Quondos (mirar viñeta), porque es más sagrado que la Santísima Trinidad jejeje, pero fue lo primero que se me vino a la mente

Quien no ha sufrido malditos ataques DDoS en alguna web en algún momento de mi vida o carrera. La sensación de impotencia es indescriptible, sobretodo si ves que esto te está haciendo perder dinero. También recuerdo casos curiosos de ataques DDoS completamente cabrones. Sí, señores, si tienes una competencia fuerte y hay mucho dinero en juego (o un enemigo de esos de película), no descartes sufrir ataques DDoS. Hoy en día están muy al alcance de la mano y, aunque son relativamente fáciles de subsanar, pueden jugarte una mala pasada.

Todo lo que debes saber sobre un DDoS

Un DDos (que viene de Distributed Denial of Service) es un ataque (que se puede realizar de diversas formas) a un sistema de computadoras que causa que un servicio o recurso sea inaccesible a los usuarios legítimos (por ejemplo, y en nuestro caso, una página web). Normalmente provoca la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos del sistema de la víctima (incluso aunque tengas un VPS, por ejemplo).

Después de este copypaste de Wikipedia, hablemos claro. En estos artículos vamos a hablar de las diversas formas que hay de atacar mediante DDoS, y qué software o medios se emplean. Normalmente la idea básica en nuestra temática la podemos resumir en esto.

Víctima tiene página web -> Bastardo quiere tumbarla -> Bastardo usa un ataque DDoS lo suficientemente potente para que el hosting de la víctima colapse -> Los usuarios que quieren entrar a la web de la víctima se encuentran con que está caída mientras dura el ataque -> Bastardo tiene orgasmos de placer

Como veis un ataque DDoS es una faquinshit. Se pueden citar cientos de formas de atacar una web, sin embargo en la actualidad destacan por su relevancia programas como LOIC (que os pasaré y enseñaré a usar), usados por los "Anonymous" para joder al FBI, etc. Como hoy no quiero asustaros con mucha información, vamos a empezar por la base de la pizza... lo más básico en cuánto a ataques DDos. Se llama el "Ping de la Muerte" y aunque en la actualidad su funcionalidad no es de gran valor, nos sirve para entender mejor la historia de los ataques DDoS y cómo funcionan.

Ataque DDoS en CMD - Ping de la Muerte

Este tipo de ataques se realizaron mucho hace más de 15 años, e hicieron mucho daño en el creciente ambiente cibernético de la época. El sistema consistía en mandar numerosos paquetes ICMP grandes (mayores a 65.535 bytes) con el fin de colapsar el sistema atacado. Todo ello se realizaba a través de pings deformados con tamaños mucho mayores a los comunes 64 bytes. Hoy en día realizar dichos ataques DDoS mediante pings es muy sencillo, sin embargo todas las redes actuales están protegidas ante dichos ataques tan anticuados, por lo que hace falta mandarlos desde varios ordenadores para que puedan funcionar. Si bien los pings deben tener un peso de más de 65.535 bytes, yo no he conseguido mandarlos con más de 15.000 bytes, por lo que necesitaría otros usuarios mandando el mismo ataque DDoS a la misma web para tener la posibilidad de tumbar una página web con un hosting normalillo

Ahora explicaré cómo se realiza el ataque. Entramos a nuestro menú de Windows y ejecutamos CMD. Se nos abrirá la típica pantalla de MSDOS en la que, si ponemos ping, veremos las opciones de la función que empleamos. Ahí va pantallazo con lo interesante:

Sobra decir que las opciones que emplearemos para nuestro ping son "-t" y "-l". Con la "-t" mandamos el ping de forma repetida y continuada, y con la "-l" elegimos el peso de cada ping, en este caso búfer. Ahora debemos conocer la IP de la web a la que queremos atacar. Para ello tecleamos un nuevo y simple comando: "ping www.webqueatacare.com" y damos a "Intro". En pocos segundos nos dará una IP como veis a continuación:

Ahora, con la IP de nuestra víctima, debemos teclear el nuevo comando que hará temblar la página. Os recomiendo escribirlo en un bloc de notas y luego pegarlo en el CMD para que podáis modificarlo rápidamente. El formato debe ser así: "ping 123.111.23.453 -t -l 15000". Lógicamente debéis cambiar la IP por otra, y la cifra final es la cantidad de bytes que estáis enviando. La "-t" y "-l" son los comandos de ping que empleamos. En la siguiente pantalla podéis ver un ataque de pings exitosos.

Si los pings no dan respuestas y da un mensaje del tipo "Tiempo de espera agotado para esta solicitud", significa que la cantidad de bytes que hemos puesto es muy alta. Debemos ir regulando la cantidad para saber cuantos bytes soporta por ping.

Así se ha producido el mayor ataque DDoS de la historia

El pasado 28 de febrero por la tarde, los servidores de GitHub, la plataforma web de proyectos colaborativos, dejaron de funcionar por completo entre las 17h21 y las 17h26, y lo hicieron de forma intermitente hasta las 17h31 cuando se restableció la normalidad. ¿Qué había sucedido exactamente? No era un problema técnico ni una saturación puntual de la red; GitHub había sufrido el mayor ataque por denegación de servicio (DDoS) de la historia, y los expertos han mostrado su preocupación al entender que puede volver a repetirse en cualquier otro servicio.

MÁS INFORMACIÓN

• El Gobierno confirma un ciberataque masivo a empresas españolas

La plataforma estaba bien pertrechada y los sistemas de seguridad respondieron al mismo de forma ejemplar y con un impacto mínimo dadas las dimensiones del ataque: apenas diez minutos de desconexión, pese a tratarse de un bombardeo absolutamente indiscriminado mediante el cual se volcaron 126,9 millones de paquetes que alcanzaron la cifra récord de 1,35 terabits por segundo. Los ataque DDoS consisten en un acceso masivo y coordinado a una web o servicio que termina por no poder atender la súbita demanda y cae; este tipo de ataques son muy comunes y recordaremos el gran impacto que vivieron servicios como Twitter o Spotify en otro gran ataque que tuvo lugar en 2016 (este diario lo padeció igualmente en 2017).

¿Cómo se lleva a cabo un ataque DDoS? Por regla general, estos ataques suelen tener su origen en botnets -redes de ordenadores zombies (o infectados por malware) controlados en remoto, pero en esta ocasión, los atacantes utilizaron servidores Memcached de diversas entidades que, como explica a EL PAÍS Fernando Suárez, vicepresidente del Colegio de Profesionales en Ingeniería Informática, "no estaban convenientemente protegidos, permitiendo peticiones de cualquier origen". El problema de este tipo de ataques es que no hay una infección como tal, sino que se basan en una vulnerabilidad del sistema, de la que todavía no hay una concienciación real: "La falta de concienciación y sensibilidad en la protección de los sistemas ya no solo es un problema para la compañía que carece de la misma, sino que puede suponer el origen de un ataque hacia otras instituciones", explica.

Diez minutos no fueron prácticamente nada y de hecho, la mayoría de los usuarios del servicio no fueron conscientes del mismo (ni desde luego, de su magnitud). Sin embargo, los sistemas de seguridad de GitHub detectaron el ataque desde el primer momento: "Entre las 17h21 y las 17h26 identificamos y mitigamos un ataque significante DDoS", explican en su blog. La respuesta no se hizo esperar y al ver que el tráfico generado por el ataque se disparó hasta en cincuenta veces el habitual, desde GitHub se tomó la decisión de volcar parte del mismo a servidores externos ubicados en Akamai, que aliviaron el atasco al tiempo que filtraban las fuentes maliciosas. Por poner un ejemplo gráfico, sería como abrir todas las hojas de las puertas de un estadio a la conclusión de un partido.

A las 17h31 cesó el ataque y la situación volvió a la normalidad, pero lo desmedido del mismo dejó hondamente preocupados a los expertos. ¿Puede volver a repetirse un ataque de estas características o incluso mayor? Suárez sostiene que sí: "Puede repetirse", explica; "GitHub estaba preparado para este tipo de ataques, pero la mayoría de las entidades no lo están". Este es el dato más preocupante, ya que un ataque por denegación de servicio no resulta excesivamente complejo ni caro para la entidad que desee derribar momentáneamente un servicio.

Sin embargo, la buena noticia la encontramos en la rápida reacción de los sistemas de seguridad de GitHub, que han demostrado sofisticarse a medida que aumentan los ataques. "Un ataque DDoS tarda como media una hora en ser detectado, lo que implica la presencia humana en la supervisión", explica a Wired Alex Henthorne-Iwane, de la firma de seguridad ThousandEyes. "Cuando ves que la reacción y solución tienen lugar en menos de 20 minutos, quiere decir que ha sido gestionada mediante software, y esa es una gran noticia".