¿Necesita Cloud Computing? Empiece ahora

¿Qué es una inundación WS-Discovery?

Una inundación WS-Discovery es un ataque de reflexión DDoS que utiliza el protocolo WS-Discovery para amplificar significativamente la fuerza del ataque. Los atacantes lanzan inundaciones WS-Discovery para sobrecargar servidores, sitios web, redes u otras máquinas con tráfico hasta provocar su ralentización o bloqueo. Las técnicas de amplificación empleadas en las inundaciones WS-Discovery permiten a los atacantes generar ataques masivos con pocos recursos y un mínimo esfuerzo.

¿Qué significa el término "ataque DDoS"?

Un ataque distribuido de denegación de servicio (DDoS) es un ciberataque en el que los hackers se hacen con el control de miles o millones de máquinas infectadas por malware, como ordenadores o dispositivos del IoT, y las utilizan para enviar tráfico y solicitudes a un objetivo o una víctima; por lo general, un servidor. Cuando trata de interpretar o responder a la enorme cantidad de solicitudes, el servidor objetivo se sobrecarga y se ralentiza o se bloquea. Como resultado, un ataque DDoS puede cerrar sitios web, redes y organizaciones durante un periodo de tiempo.

¿Qué es un ataque de reflexión DDoS?

En un ataque de reflexión, los atacantes suplantan las direcciones IP de destino utilizando la dirección IP de la víctima o del servidor objetivo al consultar a otro servidor mediante el envío de solicitudes de paquetes. Cuando el sistema consultado responde a la solicitud de paquete, las respuestas se dirigen a los equipos de la víctima en lugar de a los atacantes. Esta técnica permite que el tráfico DDoS se "refleje" a través de otros equipos, en lugar de enviar tráfico directamente a un objetivo.

Para amplificar sus esfuerzos, los atacantes tratan de reflejar el tráfico en las máquinas que ofrecen una respuesta mucho mayor que la solicitud inicial. En estos ataques de amplificación, los atacantes pueden utilizar un número relativamente pequeño de paquetes iniciales y gastar pocos recursos para generar cantidades masivas de tráfico que contienen grandes volúmenes de datos, lo que sobrecarga las máquinas objetivo de forma más rápida y sencilla.

¿Qué es WS-Discovery?

La detección dinámica de servicios web (WS-Discovery o WSD) es un protocolo de comunicaciones multidifusión diseñado para detectar dispositivos en redes locales. WS-Discovery utiliza el protocolo de datagramas del usuario (UDP), uno de los protocolos de transporte principales para las comunicaciones de Internet, aunque también puede aprovechar el protocolo de control de transmisión (TCP). Los dispositivos compatibles con WSD, como cámaras IP, DVR, altavoces, etc., emiten balizas para facilitar la detección y las conexiones entre dispositivos. Por ejemplo, un DVR puede utilizar el protocolo WSD para detectar cámaras IP cercanas con las que se puede comunicar. Aunque no es un protocolo ampliamente conocido, la ONVIF, una organización que promueve interfaces estandarizadas para aumentar la interoperabilidad de los productos de red, ha adoptado WS-Discovery. Como resultado, el protocolo WSD está ahora incluido en cientos de miles de productos en todo el mundo.

Inicialmente, el protocolo WSD estaba destinado a limitarse a las redes de área local (LAN). Conforme los fabricantes producían hardware que incorporaba el servicio WSD y los usuarios implementaban el hardware en Internet, los atacantes encontraban un nuevo vector de ataque para la reflexión de DDoS.

¿Cómo funciona una inundación WS-Discovery?

Un ataque DDoS de reflexión WS-Discovery aprovecha una vulnerabilidad del protocolo UDP/TCP. Como UDP es un protocolo sin estado, resulta fácil para los atacantes falsificar una dirección IP al enviar solicitudes a otros dispositivos. Esto permite a los atacantes dirigir grandes cantidades de tráfico desde los dispositivos WS-Discovery al objetivo de sus ataques DDoS. Aunque TCP es un protocolo orientado a la conexión o al estado, se puede aprovechar como parte de ataques WSD y suplantaciones de IP.

Los ataques de inundación WS-Discovery son tan potentes porque la respuesta de WSD es mucho mayor que la solicitud inicial. Los pequeños paquetes iniciales enviados a un dispositivo WS-Discovery pueden generar respuestas 75–150 veces mayores. Varios ataques han llegado a mostrar tasas de amplificación de 300 y 500 veces. Esto es significativamente mayor que otros ataques de protocolo UDP que tienden a tener un factor de amplificación promedio de 10.

Además, los ataques DDoS de inundación WS-Discovery son difíciles de identificar. El protocolo responde con puertos altos aleatorios y cargas de datos únicas que dificultan el reconocimiento y la mitigación del ataque. Asimismo, debido al tamaño de la amplificación y la reflexión, en el momento en que el ataque se dirige a los sistemas o servicios de origen, los enlaces ascendentes de Internet ya están saturados y se pierde la capacidad de detección y mitigación. 

Preguntas frecuentes

Los equipos de seguridad pueden implementar diversas protecciones para defenderse de un ataque de reflexión WS-Discovery.

  • Bloqueo del tráfico en el puerto UDP 3702. Los equipos de seguridad pueden bloquear el puerto de origen UDP 3702 en sus dispositivos de puerta de enlace y en los firewalls para evitar el tráfico WSD. Sin embargo, como esta estrategia no impedirá que el tráfico consuma el ancho de banda de los routers, se recomiendan enfoques adicionales de mitigación en la nube.
  • Filtrado de IP. Los equipos de seguridad pueden implementar tecnología de filtrado de IP para rechazar solicitudes de direcciones IP no permitidas.
  • Servicios de mitigación de DDoS. La implementación de servicios de mitigación de DDoS en la nube de un proveedor líder de servicios de ciberseguridad, como Akamai, es una de las formas más eficaces de bloquear los ataques DDoS y de amplificación.

Las inundaciones WS-Discovery, aunque no ocurren diariamente, son lo suficientemente significativas como para requerir atención. Comprender su frecuencia ayuda a diseñar estrategias proactivas para garantizar la seguridad de la red.

Sí, la detección temprana es posible mediante la supervisión constante del tráfico de red y el reconocimiento de patrones inusuales, indicativos de una posible inundación.

Aunque ninguna red es totalmente inmune, las medidas de seguridad proactivas reducen significativamente la vulnerabilidad frente a las inundaciones WS-Discovery.

Los riesgos asociados a las inundaciones WS-Discovery van desde interrupciones de la red hasta otros ataques multivectoriales que provocan posibles filtraciones de datos, lo que las convierte en una importante preocupación en materia de seguridad.

Por qué los clientes eligen Akamai

Akamai es la empresa de ciberseguridad y cloud computing que potencia y protege los negocios online. Nuestras soluciones de seguridad líderes en el mercado, nuestra inteligencia ante amenazas consolidada y nuestro equipo de operaciones globales proporcionan una defensa en profundidad para proteger los datos y las aplicaciones empresariales. Las soluciones integrales de cloud computing de Akamai garantizan el rendimiento y una buena relación calidad-precio en la plataforma más distribuida del mundo. Las grandes empresas confían en Akamai, ya que les ofrece una fiabilidad, una escalabilidad y una experiencia inigualables en el sector, idóneas para crecer con seguridad.

Descubra todas las soluciones de seguridad de Akamai