El avance tecnológico trae consigo un aumento en las amenazas y atacantes de ciberseguridad. En este artículo, discutiremos uno de los tipos de ataques DDoS que los atacantes pueden usar para interrumpir el servicio dentro de un sistema: el Ping of Death, y las maneras de protegerse contra él.
¿Qué es el Ping of Death?
El Ping of Death (PoD) es un ataque de denegación de servicio (DoS) en el que los atacantes envían paquetes de datos grandes a un servicio más allá del límite de tamaño de paquete requerido, con el único objetivo de paralizar o hacer inaccesible ese servicio particular para otros usuarios. El RFC 791 especifica que el paquete IP estándar requerido es de 65,535 bytes.
Cualquier cantidad de bytes por encima de esto podría causar que el sistema se congele o se caiga al procesar la solicitud.
El Ping of Death es causado por un paquete de protocolo de control de mensajes de internet (ICMP) de tamaño excesivo que se envía a través de una red.
Un ping (Packet Internet or Inter-Network Groper) o eco-respuesta ICMP prueba una conexión de red particular para validar si la red existe y puede aceptar la solicitud. Esta prueba se realiza enviando un ping, un fragmento de datos, y esperando una respuesta a cambio.
Los atacantes llevan a cabo el ataque DDoS Ping of Death enviando paquetes grandes, violando el protocolo de internet RFC791 que requiere un paquete IPv4 válido de 65,535 bytes.
Los atacantes no pueden enviar paquetes más grandes que este tamaño. Por lo tanto, envían paquetes fragmentados que, cuando el sistema ensambla el paquete, resultan en un paquete sobredimensionado, causando que el sistema se congele, de ahí el nombre ping of death.
Ejemplos de ataque Ping of Death
- Campaña DNC golpeada
En 2018, el Comité Nacional Demócrata fue golpeado con un ataque DDoS. Estos ataques se llevaron a cabo cuando el DNC y el DCCC estaban recaudando fondos o tenían un aumento en la popularidad de un candidato. Los ataques DDoS, como el ping of death, se realizan para asegurar la interrupción y pueden usarse como arma en situaciones de rivalidad por competidores. - Ataque al censo australiano
La Oficina de Estadísticas de Australia (ABS) sufrió un ataque DDoS en 2016, donde los ciudadanos no pudieron acceder al sitio web de la oficina para participar en el censo. El ataque PoD de los atacantes estaba dirigido a congestionar la red para bloquear a los australianos de participar en el censo. - Ataque PoD por identidad errónea a la Casa Blanca
En 2001, un sitio web de parodia de la Casa Blanca, whitehouse.org, fue víctima del ataque Ping of Death. El objetivo de los atacantes era el sitio web whitehouse.gov, pero lo confundieron con whitehouse.org, un sitio web de parodia débil.
Brook Talley, quien descubrió el ataque, mencionó que durante 13 horas, el sitio web había recibido una gran inundación de solicitudes de eco ICMP. Se descubrió que el objetivo de los atacantes era atacar y causar una denegación de servicio DoS en el sitio whitehouse.gov.
Ejemplos no reales de ataque Ping of Death
Aquí te presento algunos ejemplos hipotéticos y contextualizados basados en la naturaleza y el impacto de los ataques PoD tradicionales:
- Ataque a un Servidor de Juegos Online: Un servidor de juegos online podría ser blanco de un ataque PoD por parte de competidores o jugadores descontentos. Enviando paquetes sobredimensionados al servidor, podrían causar retrasos o caídas, afectando las partidas en tiempo real y dañando la reputación del servicio.
- Perturbación de un Evento en Vivo por Streaming: Durante un evento deportivo importante transmitido en vivo por internet, los atacantes podrían dirigir un ataque PoD hacia la infraestructura de streaming para interrumpir la transmisión, afectando a millones de espectadores y causando potenciales pérdidas financieras y de reputación para los organizadores.
- Ataque a Infraestructura de IoT: Un ataque PoD podría dirigirse a dispositivos de Internet de las cosas (IoT), que a menudo tienen menos capacidad de procesamiento y seguridad. La sobrecarga de estos dispositivos podría no solo interrumpir su funcionamiento sino también, potencialmente, causar daños físicos si los dispositivos controlan infraestructura crítica.
- Interrupción de Servicios Financieros: Los atacantes podrían intentar un ataque PoD contra un banco o una institución financiera durante el horario comercial para interrumpir las transacciones y causar una crisis de confianza entre los clientes.
- Sabotaje de Infraestructura Crítica: Si bien esto caería en una categoría de amenaza mucho más seria y probablemente implicaría una variedad de tácticas más allá del simple PoD, la idea de interrumpir servicios críticos como electricidad, agua o comunicaciones utilizando sobrecargas de red sigue el mismo principio del PoD.
- Ataque durante el Lanzamiento de un Producto: Imagina un sitio de comercio electrónico que lanza un producto muy esperado. Los competidores o saboteadores podrían utilizar ataques PoD para interrumpir el lanzamiento y evitar que los clientes compren el producto, lo que resultaría en una mala experiencia de usuario y pérdida de ventas.
Estos ejemplos son hipotéticos y se basan en cómo un ataque que sigue la metodología del PoD podría ser adaptado a diferentes contextos y con diversos objetivos. Sin embargo, es importante señalar que los ataques DDoS modernos suelen ser más sofisticados y utilizarían una amplia gama de vectores de ataque en lugar de depender únicamente de un método como el Ping of Death.
Mejores prácticas para mantenerse seguro de un ataque Ping of Death
Los atacantes aprovechan las vulnerabilidades y lagunas dentro de los sistemas para ganar acceso. Cada sistema y servicio debe asegurarse de que sus sistemas estén adecuadamente protegidos para mantener la seguridad y las fallas del sistema que podrían ser aprovechadas. A continuación, se presentan algunas de las mejores prácticas que pueden ayudar a mantener su sistema seguro.
Mantener sus sistemas actualizados
Asegurar que su sistema tenga el último parche y actualización es la mejor práctica. Las actualizaciones y parches al sistema se están desarrollando constantemente para asegurar que todos los problemas de seguridad se estén solucionando, y sabiendo que los atacantes aprovechan estos problemas de seguridad, mantener su sistema actualizado ayudará a bloquear esta vulnerabilidad.
Filtrar paquetes
El ataque Ping of Death aprovecha la transferencia de paquetes. Cada paquete contiene el encabezado, que alberga la dirección IP de origen, la dirección IP de destino, el protocolo y el puerto, mientras que la carga útil de datos incluye los datos que se transmitirán.
Agregar un firewall que filtre paquetes ayuda a filtrar los paquetes que se envían al servidor desde un cliente y asegura que solo los paquetes que cumplan con la regla requerida se cumplan. Sin embargo, la desventaja es que el sistema podría bloquear solicitudes legítimas.
Segmentación de la red
Uno de los objetivos de los ataques DDoS es congelar los servicios evitando que se utilicen solicitudes legítimas. La segmentación de su red también es una mejor práctica, ya que ayuda a mitigar contra una escasez total de su servicio. Aislar servicios y datos críticos en varias ubicaciones hará que otros recursos estén disponibles para usarse como respaldo en caso de un ataque.
Monitorizar el tráfico
La monitorización continua del tráfico de la red y los registros puede ser una detección temprana contra muchos ataques DDoS, incluido el ping of death. Esto le ayuda a comprender el tráfico regular de su sistema del tráfico anormal y planificar medidas preventivas para detectar el flujo de tráfico anómalo.
Usar soluciones DDoS
Varias compañías están desarrollando soluciones para ayudar a mitigar o proporcionar una detección temprana de estos ataques, especialmente empresas de CDN. Integrar este servicio dentro de su sistema puede agregar una capa de protección a su sistema. A continuación, se presentan algunas de estas soluciones que podrían aprovecharse.
CloudFlare, Imperva, Akamai, Stackscale CDN, TransparentCDN, Fastly, entre otros.
Pasos a seguir después de un ataque PoD
En el evento de un ataque PoD exitoso, debe comenzar a trabajar inmediatamente para restaurar su sistema a su estado funcional. Cuanto más tiempo esté inactivo su sistema/servicio, más daño hará el ataque PoD a la reputación de su sistema. A continuación, se presentan algunos puntos a tener en cuenta en la condición de que esto ocurra.
Sistema separado
Es crucial poder aislar diferentes partes de su sistema. El objetivo de cada ataque es ganar acceso a una sola vulnerabilidad que dará acceso a todo el sistema. Si esto no se verifica y se hace a tiempo, y el ataque puede durar más tiempo con el sistema, se puede hacer más daño.
Localizar fuente
El monitoreo es vital para identificar anomalías dentro de un sistema. En el evento de un ataque, se debe identificar la fuente del ataque lo más rápido posible para asegurar que la fuente se corte de procesar más daño porque mientras más tiempo permanezca la fuente, mayor será el daño hecho.
Ejecutar actualización del sistema
Después de un ataque, es crucial verificar si hay alguna actualización del sistema y parches que no se hayan hecho ya que PoD aprovecha principalmente las vulnerabilidades; estos parches y actualizaciones generalmente se hacen para arreglar esos errores.
Planificar y monitorizar para un futuro ataque
Planificar para la ocurrencia de un ataque ayuda a una organización a tener una lista de actividades que se requieren hacer en el evento de un incidente. Esto ayuda a mitigar la carga de no saber qué hacer cuando ocurre un incidente. La monitorización continua es crítica para la detección temprana de estos ataques. Hay muchos sistemas para monitorizar, uno sencillo y gratis sería Uptime.do.
Reportar incidente
Reportar cualquier ataque es esencial para asegurar que las autoridades estén conscientes del problema y ayuden a encontrar y rastrear a los atacantes.
Reflexiones finales
La seguridad es una parte esencial y una de las claves del éxito a medida que más servicios se trasladan a la nube. Las organizaciones que ofrecen servicios y soluciones deben asegurarse de que pongan todas las medidas de su parte para evitar una fuga para un atacante dentro de su sistema.
