Akamai potencia y protege la vida online. Las empresas líderes de todo el mundo eligen Akamai para crear, proteger y ofrecer sus experiencias digitales, ayudando así a millones de personas a vivir, trabajar y jugar cada día. Akamai Connected Cloud, plataforma de nube distribuida de forma masiva en el Edge, acerca las aplicaciones y las experiencias a los usuarios y mantiene las amenazas más alejadas.
Un ataque de actividad baja y lenta es un tipo de ataque de denegación de servicio (DoS) diseñado para eludir la detección mediante el envío de tráfico de aplicaciones o, comúnmente, solicitudes HTTP que parecen legítimas, pero con una tasa de volumen muy lenta. También conocidos como ataques a velocidad lenta, los ataques de actividad baja y lenta requieren poco ancho de banda y se pueden iniciar desde un único ordenador o con una botnet. Resulta difícil detectar el tráfico de este tipo de ataque porque parece tráfico legítimo de la capa 7 del modelo OSI (la capa de aplicación) y no se envía a una velocidad que active alertas de seguridad volumétricas.
Los ataques de fuerza bruta también pueden utilizar una metodología de actividad baja y lenta para intentar obtener acceso no autorizado a una cuenta o sistema adivinando el nombre de usuario y la contraseña a un ritmo relativamente lento, y así evitar ser detectado o que se active un bloqueo. Para llevar a cabo este tipo de ataques, los atacantes se sirven de grandes redes de hosts infectados o comprometidos, que suelen tener entre miles y millones de bots.
¿Qué es un ataque DoS o DDoS?
Los ataques de denegación de servicio y los ataques distribuidos de denegación de servicio (DDoS) se dirigen a servidores, sitios web, aplicaciones o redes, y los inundan con tráfico malicioso. Mediante el envío de tráfico o solicitudes que acaban agotando los recursos de procesamiento, ancho de banda o memoria de un servidor, los ataques de denegación de servicio hacen que el dispositivo se ralentice o se bloquee, por lo que deja de estar disponible para el tráfico válido y los usuarios legítimos. Un ataque DoS utiliza un único dispositivo para generar tráfico. Un ataque DDoS genera tráfico utilizando miles o millones de dispositivos infectados con malware que están bajo el control de los ciberdelincuentes.
¿Cómo funcionan los ataques de actividad baja y lenta?
A diferencia de otros ataques de denegación de servicio que bombardean el servidor con grandes cantidades de tráfico en un breve periodo de tiempo, los ataques DDoS de actividad baja y lenta envían pequeñas cantidades de tráfico malicioso al objetivo para evitar picos repentinos que podrían activar alertas de seguridad. Este tipo de ataque envía tráfico a servidores web basados en subprocesos, saturando cada subproceso con solicitudes lentas. Si esto se hace a una escala cada vez mayor, al final se impide que el servidor responda al tráfico legítimo. Los ataques de actividad baja y lenta se suelen centrar en HTTP, pero también pueden consistir en sesiones TCP con velocidades de transferencia lentas dirigidas a cualquier servicio basado en TCP.
¿Por qué son eficaces los ataques de actividad baja y lenta?
Los ataques de actividad baja y lenta son eficaces porque pasan inadvertidos ante los sistemas de detección de intrusiones. Como el tráfico enviado a los servidores crea paquetes a un ritmo muy lento, cuesta distinguirlo del tráfico legítimo. Al limitar la velocidad de las solicitudes enviadas al servidor, los ataques de actividad baja y lenta pueden eludir las técnicas de protección de velocidad utilizadas habitualmente para identificar y bloquear los ataques DDoS tradicionales.
¿Cuáles son los tipos más comunes de ataques de actividad baja y lenta?
Los tres ataques de actividad baja y lenta más comunes son:
- Slowloris. Un servicio de ataque Slowloris se conecta a un servidor y envía encabezados HTTP parciales muy despacio, lo que hace que el servidor mantenga la conexión abierta mientras espera el resto del encabezado. Al utilizar el número máximo de conexiones disponibles en el servidor, los ataques de Slowloris terminan agotando los recursos del servidor e impiden que responda a los usuarios legítimos.
- Sockstress. Un ataque Sockstress aprovecha una vulnerabilidad en la negociación TCP/IP en tres pasos para crear una conexión indefinida.
- R.U.D.Y. Este ataque (acrónimo de R-U-Dead-Yet?) genera solicitudes HTTP POST para rellenar campos de formularios. Como las solicitudes maliciosas no dicen cuántos datos esperar y luego envían los datos muy despacio, el servidor mantiene las conexiones abiertas, anticipando la llegada de más datos.
¿Cuál es la mejor forma de mitigar los ataques de actividad baja y lenta?
Para detener los ataques de actividad baja y lenta es necesario que los equipos de ciberseguridad implementen una estrategia de mitigación multicapa.
- Análisis de comportamiento. Al analizar los patrones de tráfico normales y supervisar de forma continua el comportamiento del tráfico en tiempo real, los equipos de seguridad pueden detectar anomalías indicativas de un ataque de actividad baja y lenta.
- Supervisión en tiempo real. La supervisión de recursos como la CPU, la memoria, los estados de la aplicación, las tablas de conexiones, los subprocesos de la aplicación y otros recursos puede revelar anomalías que indican que se está produciendo un ataque.
- Aumento de las conexiones. Si se mejora la disponibilidad de los servidores y se añaden más conexiones, será más difícil que un ataque de actividad baja y lenta agote los recursos de un servidor.
- Protección basada en proxies inversos. Esta estrategia mitiga los ataques de actividad baja y lenta antes de que lleguen al servidor de origen.
- Implementación de soluciones de mitigación y protección contra DDoS. Las soluciones de protección contra DDoS incluyen diversas tecnologías, como los firewalls de aplicaciones web, que permiten detectar y mitigar los ataques.