Skip to main content

Cómo informar ataques DDoS

Dave Piscitello, en representación del Equipo de Seguridad de la ICANN

Los ataques distribuidos de denegación de servicio (DDoS) constituyen un serio problema. Si bien el papel que desempeña la Corporación para la Asignación de Números y Nombres en Internet (ICANN) en cuanto a la mitigación de este tipo de amenazas es limitado, el Equipo de Seguridad brinda los siguientes consejos a fin de instruir a los usuarios sobre cómo informar un ataque DDoS.

Los ataques DDoS se han incrementado en cuanto a escala, intensidad y frecuencia. La gran variedad de motivos que suscitan estos ataques –políticos (hacktivismo), criminales (coerción) o sociales (maldad)– convierte a cada empresa u organización con presencia en Internet en un posible blanco. Asimismo, dado que la infraestructura de Internet es compartida –ya sea que se trate de alojamiento, del Sistema de Nombres de Dominio (DNS) o de banda ancha– muchas empresas u organizaciones corren el riesgo de transformarse en daño colateral. Si observa que su sitio web u organización se encuentra bajo ataque, es importante que lo informe rápidamente a quienes estén en mejores condiciones de ayudarlo a mitigar el daño, enfrentar el ataque y restaurar el servicio normal.

Estoy bajo ataque. ¿Qué debo hacer? ¿A quién debo llamar?

Cualquier servicio de Internet –web, DNS, llamadas vía Internet, correo– puede ser blanco de ataques DDoS. Si su organización utiliza un proveedor de alojamiento para un servicio que está bajo ataque, primero contáctese con el proveedor de alojamiento. Si su organización aloja la red o el servicio de Internet que está bajo ataque, primero tome medidas para contener o mitigar el ataque. Luego, llame al proveedor de servicio que le brinda acceso a Internet a su red. La mayoría de los proveedores de alojamiento y los proveedores de servicios de Internet (ISP) publican en sus sitios web contactos para casos de emergencia, y muchos de ellos al menos incluyen números de contacto general en las facturas. Si usted sólo tiene un número de contacto general, explique al representante de atención al cliente que su organización está bajo ataque y pídale que derive la llamada a un técnico de operaciones que tenga capacidad y autoridad para investigar.

Manos amigas

El tráfico asociado a un solo ataque DDoS puede provenir de cientos o miles de fuentes de ataque (usualmente, computadoras o servidores comprometidos). En muchos casos, su proveedor de alojamiento o su proveedor de acceso a Internet debería actuar en nombre suyo (y por propio interés). Este proveedor se contactará con sus propios proveedores y con los ISP que enrutan el tráfico desde las fuentes del ataque DDoS, a fin de notificar a estos operadores sobre la naturaleza y el supuesto origen del ataque. Estos operadores investigarán y, en general, revocarán las rutas o tomarán otras medidas para eliminar o descartar el tráfico cercano a la fuente.

Si no encuentra ningún contacto, o si los contactos que encuentra no responden, contáctese con un equipo de respuesta ante emergencias, incidentes informáticos o violaciones de seguridad (CERT/CIRT/CSIRT), o bien con un equipo de Trusted Introducer (TI). Las organizaciones CERT/CIRT (consulte el listado por país aquí) o los equipos TI investigarán el ataque, notificarán a los proveedores de alojamiento o ISP cuyos recursos se estén utilizando para realizar el ataque, intercambiarán información con ellos y trabajarán con todas las partes afectadas para coordinar acciones de mitigación efectivas.

¿Debo contactar a las fuerzas de seguridad?

Contáctese con las fuerzas de seguridad de su país si considera que se ha cometido un delito. Por ejemplo, contacte a las fuerzas de seguridad si su organización recibió una amenaza antes del ataque, o si se le exigió una suma de dinero a cambio de no ser atacada, o si considera que infraestructura crítica o la prestación de un servicio crítico (como el número de emergencias 911) se encuentran amenazadas.

Contáctese con las fuerzas de seguridad para denunciar un delito, no para mitigar un ataque. Los ataques DDoS son delitos en muchas jurisdicciones. Al hacer una denuncia, usted y otras víctimas brindan información valiosa que podría ser relevante en investigaciones posteriores o en el enjuiciamiento de los autores del ataque.

Brinde buena información

A nivel operacional, usted, su proveedor de alojamiento o su ISP deben reunir toda la información que sea posible relacionada con el ataque. El foro Operations Security Trust recomienda reunir la siguiente información:

  1. Brinde toda la información de tiempo que sea posible: identifique el inicio y el final del ataque, si los ataques se repiten y si se observan patrones o ciclos en los ataques.
  2. Proporcione toda idea o sospecha que tenga sobre la naturaleza del ataque. ¿Parece estar relacionado con algún evento geopolítico? ¿Recibió amenazas por correspondencia antes del ataque o durante él? Si así fue, ¿de qué índole era la amenaza?
  3. Brinde información detallada de tráfico, incluido lo siguiente: tipo de tráfico (ICMP, DNS, TCP, UDP, aplicación), direcciones IP y números de puerto fuente y de destino, cantidad de paquetes por segundo, volumen de los paquetes y ancho de banda consumido por el tráfico del ataque.
  4. Describa las características particulares que observa del tráfico o los paquetes. ¿El ataque tiene por objetivo un host o dominio virtual en particular? ¿Qué ha podido observar a partir de los encabezados del protocolo de aplicación? ¿Ha observado algún patrón inusual respecto de los ajustes de las marcas de seguimiento en los protocolos subyacentes (TCP, UDP, ICMP, IP)?
  5. Identifique todos los cambios que observe en el ataque con el correr del tiempo (por ejemplo, volumen de paquetes, velocidades, IP únicas por intervalo de tiempo, protocolos, etc.). Estos pueden indicar que el atacante está reaccionando ante las acciones de mitigación implementadas por usted o por terceros.
  6. Proporcione su evaluación del impacto. Por ejemplo, explique si está manejando el ataque mediante acciones de mitigación y asistencia, o si sus servicios o rendimiento se encuentran {moderadamente, gravemente} afectados, o si sus servicios fueron interrumpidos por completo.

No espere a ser víctima

Si aún no ha elaborado un plan para responder ante un ataque DDoS, considere hacerlo. El artículo Cómo prepararse para el (inevitable) ataque DDoS brinda un listado de contactos, información y estrategias de mitigación. A continuación, brindamos algunos recursos útiles para comprender mejor los distintos tipos de ataques DDoS, las técnicas de mitigación y la forma en que su organización puede ayudar a reducir la amenaza global de estos ataques.

Comments

    Domain Name System
    Internationalized Domain Name ,IDN,"IDNs are domain names that include characters used in the local representation of languages that are not written with the twenty-six letters of the basic Latin alphabet ""a-z"". An IDN can contain Latin letters with diacritical marks, as required by many European languages, or may consist of characters from non-Latin scripts such as Arabic or Chinese. Many languages also use other types of digits than the European ""0-9"". The basic Latin alphabet together with the European-Arabic digits are, for the purpose of domain names, termed ""ASCII characters"" (ASCII = American Standard Code for Information Interchange). These are also included in the broader range of ""Unicode characters"" that provides the basis for IDNs. The ""hostname rule"" requires that all domain names of the type under consideration here are stored in the DNS using only the ASCII characters listed above, with the one further addition of the hyphen ""-"". The Unicode form of an IDN therefore requires special encoding before it is entered into the DNS. The following terminology is used when distinguishing between these forms: A domain name consists of a series of ""labels"" (separated by ""dots""). The ASCII form of an IDN label is termed an ""A-label"". All operations defined in the DNS protocol use A-labels exclusively. The Unicode form, which a user expects to be displayed, is termed a ""U-label"". The difference may be illustrated with the Hindi word for ""test"" — परीका — appearing here as a U-label would (in the Devanagari script). A special form of ""ASCII compatible encoding"" (abbreviated ACE) is applied to this to produce the corresponding A-label: xn--11b5bs1di. A domain name that only includes ASCII letters, digits, and hyphens is termed an ""LDH label"". Although the definitions of A-labels and LDH-labels overlap, a name consisting exclusively of LDH labels, such as""icann.org"" is not an IDN."