Akamai potencia y protege la vida online. Las empresas líderes de todo el mundo eligen Akamai para crear, proteger y ofrecer sus experiencias digitales, ayudando así a millones de personas a vivir, trabajar y jugar cada día. Akamai Connected Cloud, plataforma de nube distribuida de forma masiva en el Edge, acerca las aplicaciones y las experiencias a los usuarios y mantiene las amenazas más alejadas.
¿Qué es un ataque DDoS de tipo Slowloris?
Explicación de los ataques DDoS de tipo Slowloris
Un ataque DDoS de tipo Slowloris es un tipo de ataque de denegación de servicio distribuido dirigido a la capa 7 del modelo OSI. Este tipo de ciberabuso se diseñó para saturar un solo equipo, servidor web, base de datos o API abriendo y manteniendo muchas conexiones TCP simultáneas a un FQDN de destino y generando solicitudes HTTP o conexiones HTTP de reducida frecuencia o poco volumen por sesión conectada. Algunas IP de ataque abrirán muchos intentos de conexión TCP y utilizarán esas conexiones o sesiones abiertas adicionales, combinando solicitudes entrantes para agotar los recursos de la aplicación o la base de datos. Llamado así por el loris perezoso, el primate asiático que se mueve de forma lenta, un ataque de Slowloris puede durar mucho tiempo si pasa desapercibido. Los ataques de Slowloris se popularizaron a través de marcos de herramientas de ataque comunes como HOIC (High Orbit Ion Cannon) y LOIC (Low Orbit Ion Cannon) utilizados por Anonymous, el gobierno iraní, Killnet y otros grupos de actores de amenazas. Hoy en día, vemos a otros actores de amenazas que aprovechan estas mismas técnicas, pero con una infraestructura modernizada y estrategias de mando y control.
¿Para qué se ha sido diseñado un ataque DDoS de tipo Slowloris?
Este tipo de ataque DDoS es un método sencillo pero elegante que permite a un atacante hacer caer un servidor web mediante un proceso de una complejidad muy baja. Ser capaz de identificarlo y controlar la calidad de la mitigación es lo que hace complejo este ataque de denegación de servicio. Puede implementarse un ataque Slowloris con un ancho de banda mínimo, se escribe generalmente en Python y ha demostrado ser extremadamente eficaz ante muchos tipos de software de servidor web, especialmente Apache 1.x y 2.x. Estos tipos de ataques se diseñaron para parecer solicitudes legítimas y eluden los filtros de mitigación.
A diferencia de los ataques DDoS basados en reflexión que consumen ancho de banda, Slowloris utiliza recursos de servidor con solicitudes HTTP que se muestran más lentas de lo habitual, pero que aparentan un tráfico estándar. Los atacantes aprovechan una función exclusiva del protocolo HTTP: la capacidad de los clientes de dividir las solicitudes GET o POST HTTP en varios paquetes o sesiones. Los atacantes utilizan Slowloris para dirigirse a los servidores web abriendo varias conexiones y manteniéndolas abiertas todo el tiempo posible. Esto se logra distribuyendo solicitudes HTTP a través de direcciones IP de botnet dispersas a nivel global y creando varios hilos de conexiones TCP por fuente. Para mantener la conexión abierta, el software de Slowloris puede enviar encabezados HTTP para cada solicitud justo antes de que se agote el tiempo de espera de una conexión TCP, lo que provoca la denegación de servicio. Con el tiempo, el servidor atacado alcanza el límite de su grupo de conexiones simultáneas y no puede procesar otras solicitudes, lo que supone la denegación de cualquier otro servicio legítimo. Puede que otra infraestructura de red se vea afectada por los ataques DDoS de Slowloris, por ejemplo, los gestores de tráfico local (LPM) u otras tecnologías responsables de la gestión de sesiones TCP.
¿Por qué resulta eficaz un ataque DDoS de Slowloris?
Los ataques DDoS de Slowloris se consideran una denegación de servicio distribuida y pueden pasar desapercibidos por los sistemas tradicionales de detección de intrusiones enviando paquetes de solicitud HTTP legítimos a bajas frecuencias de solicitud por segundo, en lugar de registrar grandes volúmenes o altas tasas de solicitudes HTTP por segundo. Además, puesto que el archivo de registro no se puede escribir hasta que se completa una solicitud, Slowloris puede inmovilizar un servidor durante largos periodos de tiempo sin que aparezca ni una sola entrada en el archivo de registro, lo que impide que se detecte la alerta por los responsables de controlar este registro.
¿Qué supone un ataque DDoS de Slowloris en comparación con un tradicional ataque DDoS dirigido a aplicaciones?
Los ataques DDoS tradicionales dirigidos a aplicaciones están diseñados para dejar inactivo un servidor inundándolo con un número abrumador de solicitudes HTTP, lo que requiere recursos sustanciales por parte del atacante. Por el contrario, un ataque de Slowloris necesita únicamente unos pocos cientos de solicitudes a intervalos largos, bajos y regulares, en lugar de decenas de miles de solicitudes HTTP de forma continua. El ancho de banda no es una medida clave para detectar este tipo de DDoS. En su lugar, los equipos de seguridad deben evaluar el número estándar de intentos de conexión, las conexiones abiertas, los grupos de conexiones, las solicitudes HTTP entrantes, las solicitudes HTTP parciales, el número máximo de conexiones permitidas por dirección IP de origen, los balanceadores de carga que mantienen tablas de sesiones, la infraestructura de registro del servidor web y otras rutas de red o del sistema en toda la DMZ.
¿Cuál es la mejor manera de detener un ataque Slowloris?
Los ataques Slowloris pueden mitigarse:
Limitando el número de conexiones que una sola dirección IP puede solicitar abrir.
Aumentando de la velocidad de transferencia mínima permitida para cualquier conexión.
Limitando el tiempo que un cliente puede permanecer conectado.
Aumentando el número máximo de clientes que el servidor puede permitir.
Implementando servicios de mitigación de nube sólidos, configurando unos balanceadores de carga resistentes, usando firewall de aplicaciones web (WAF) u otras técnicas de aplicación de parques virtuales, y limitando la frecuencia del número de solicitudes por origen.
¿Cómo se lleva a cabo un ataque Slowloris?
Un ataque Slowloris se ejecuta en cuatro pasos:
El atacante emite instrucciones de mando y control a sus servidores proxy inversos o botnets, que envían varias solicitudes HTTP, encabezados aleatorios y otras técnicas para pasar desapercibido, mientras abre varias conexiones a un servidor de destino desde sus redes globales.
El servidor de destino abre una conexión TCP para cada solicitud, con la idea de cerrar el subproceso en cuanto se complete la solicitud HTTP. El servidor agotará el tiempo de espera de cualquier conexión que sea excesivamente larga para liberar el subproceso para las solicitudes posteriores.
Para evitar que los subprocesos se agoten, el atacante enviará de forma intermitente encabezados de solicitud parcial o solicitudes HTTP adicionales para mantener activo el servidor web objetivo, convenciendo al servidor de que espere a que se complete la solicitud HTTP.
Mientras espera que se inicien más solicitudes HTTP y conexiones TCP, el servidor de destino finalmente se queda sin conexiones disponibles y ya no puede responder a las solicitudes del tráfico legítimo, lo que conduce a la denegación de servicio.
¿Por qué se producen los ataques DDoS de tipo Slowloris?
Los cibercriminales pueden lanzar un ataque para destruir el sitio web de un rival o enemigo, como parte de una campaña de hacktivismo político, o para llamar la atención, y que no se detecten otras infracciones de seguridad más peligrosas en curso, lo que se denomina ataques de cortina de humo. Este ataque también se usa mucho porque es difícil identificar una firma y una tasa de abuso. La implementación de la mitigación para estos tipos de ataques puede dar lugar a altas tasas de falsos positivos e influir en la experiencia del usuario que accede a diferentes módulos del servidor web o de la aplicación web.
Aumente la resistencia frente a amenazas DDoS complejas con Akamai
Gracias a la plataforma informática más distribuida del mundo, de la nube al Edge, Akamai ayuda a las empresas a desarrollar y ejecutar las aplicaciones con facilidad, mientras acerca las experiencias a los usuarios y mantiene las amenazas a raya. Junto con nuestras soluciones informáticas y de distribución, nuestro conjunto de productos de seguridad de TI líderes ayuda a las empresas globales a mejorar la vida de miles de millones de personas, miles de millones de veces al día.
Nuestras soluciones de seguridad previenen y mitigan los ataques DDoS a través de una red transparente específica en el Edge, un sistema de nombres de dominio (DNS) distribuido y defensas de barrido en la nube. Estas soluciones de nube están diseñadas específicamente para reducir las superficies de ataque y mejorar la calidad y la mitigación, al tiempo que se minimizan los falsos positivos y se aumenta la eficacia de la defensa. Contar con capacidad, experiencia y una pila tecnológica diversa y madura permite a nuestros clientes confiar totalmente en el tiempo de actividad de la plataforma y en unos acuerdos de nivel de servicio (SLA) para la mitigación que son líderes en su sector.
App & API Protector proporciona un conjunto integral de potentes protecciones con automatización centrada en el cliente. Si bien esta solución ofrece algunas de las aplicaciones de automatización de seguridad más avanzadas disponibles en la actualidad, sigue siendo fácil de usar. Un nuevo motor de seguridad adaptable y las tecnologías fundamentales líderes del sector facilitan protección contra DDoS, seguridad de API, de mitigación de botsy firewall de aplicaciones web, en una solución fácil de usar.
Prolexic detiene los ataques DDoS con la protección más rápida y eficaz a escala. Con un SLA de cero segundos para la defensa contra DDoS, Prolexic reduce proactivamente los ataques a los servicios y personaliza los controles de mitigación relativos al tráfico de red para bloquear las amenazas al instante. Disponer de un SOCC totalmente gestionado complementa sus programas de ciberseguridad existentes y le ayudará a aumentar el tiempo de resolución con experiencias probadas en el sector.
Web Application Protector protege las aplicaciones web y las API sin esfuerzo mediante la detección de amenazas con datos inteligentes de fuentes colectivas. La protección dinámica y el autoajuste basado en aprendizaje automático reducen el esfuerzo y los falsos positivos. Esta solución de Akamai ofrece una mitigación de DDoS de cero segundos de respuesta a los ataques a la capa de la aplicación, en segundos.
Edge DNS evita las interrupciones del DNS con la mayor plataforma de Edge, lo que permite a las organizaciones contar con una disponibilidad del DNS continua y garantizada. Edge DNS, una solución basada en la nube, garantiza la disponibilidad del DNS ininterrumpida al tiempo que mejora la capacidad de respuesta y la defensa contra los ataques DDoS de mayor tamaño.
Por qué los clientes eligen Akamai
Productos relacionados
Prolexic
Detenga los ataques DDoS con la protección más rápida y eficaz a escala.
Edge DNS
Confíe en un sistema de nombres de dominio (DNS) con un alto nivel de seguridad para garantizar la disponibilidad continua de aplicaciones web y API.
App & API Protector
Seguridad integral y sin riesgos para sitios web, aplicaciones y API.
Recursos adicionales
Protección frente a DDoS en un mundo de nube híbrida
No todos los sistemas de mitigación de DDoS son iguales. Descubra cuántos proveedores de servicios en la nube se quedan cortos y qué debe buscar en un proveedor.
Amenazas DDoS en EMEA en 2024
Nuestra investigación más reciente le proporciona los conocimientos que necesita para defenderse mejor frente al aumento de los ataques DDoS en EMEA.
¿Qué puede revelar un análisis del tráfico malicioso de DNS sobre la exposición al riesgo de una organización?
DNS es una de las infraestructuras de Internet más antiguas. Sin embargo, una cantidad increíble de tráfico de ataque lo atraviesa. Lea más información sobre las amenazas más frecuentes y mucho más en este informe.
Páginas relacionadas
Obtenga más información sobre tecnologías y temas relacionados en las páginas que se indican a continuación.