Los ataques DDoS volumétricos o basados en volumen son actualmente uno de los más populares. Una de sus finalidades es saturar el ancho de banda del enlace de comunicación a través del cual se presta el servicio, impidiendo el acceso al sitio o provocando una lentitud extrema.
Independientemente del equipo de seguridad perimetral que tenga (firewalls, ips, waf entre otros) no es posible detener un ataque como este sin alguna ayuda del ISP o algún proveedor que esté más arriba en Internet que sea capaz de absorber la volumen de tráfico, filtra el tráfico malicioso y envía solo tráfico legítimo al destino.
Si bien los ataques DDoS volumétricos se centran principalmente en causar congestión, también pueden ser un signo de un motivo oculto, encubriendo ataques DDoS más sofisticados y quirúrgicos, como intentos de penetración en servicios expuestos. En tales casos, los atacantes pueden estar intentando causar tanta interrupción operativa y distracción como sea posible, incluido el monitoreo y la rápida mutación de sus ataques para evadir las técnicas de mitigación estáticas. Estos tipos de ataques DDoS se han denominado Trojan Horse DDoS y pueden estar destinados a deshabilitar un firewall o un sistema de prevención de intrusiones, lo que permite a los atacantes infiltrarse en una red, instalar malware y, en última instancia, robar.
Ahora imagina que el ancho de banda del enlace es simétrico y de 10 Mbps, y que el consumo medio de salida es de 7 Mbps y el de entrada es de 1 Mbps. Es el ancho de banda entrante el que se explota en un ataque volumétrico, generalmente utilizando técnicas de amplificación de tráfico, explotando vulnerabilidades en servidores DNS públicos, NTP entre otros que generalmente funcionan sobre UDP.
Lo mejor que podemos hacer para prevenir estos ataques:
▸Utilice análisis de telemetría de flujo, complementado con análisis de comportamiento para detectar anomalías y ataques DDoS. Al centrarse en comprender qué es normal, es más fácil identificar las anomalías.
▸Cuando se detecta un ataque DDoS volumétrico, use FlowSpec para activar automáticamente la mitigación basada en la red para bloquear los ataques en los bordes de la red.