Es probable que conozca los ataques de denegación de servicio distribuido (DDoS), que inundan un servidor o una red de destino con un tráfico abrumador procedente de múltiples fuentes, haciéndolos inaccesibles para los usuarios legítimos.
Pero, ¿ha considerado la particularidad de un ataque de inundación SSL? Este ciberataque manipula los protocolos SSL (Secure Sockets Layer) y TLS (Transport Layer Security), la medida de protección estándar para establecer conexiones cifradas entre un servidor web y un navegador.
Al inundar el servidor SSL/TLS de un sistema con solicitudes de sesión, un atacante puede agotar los recursos del servidor y provocar una denegación de servicio. Se trata de un tipo de ataque sofisticado e insidioso. La cuestión es cómo prevenirlo. Exploremos juntos la respuesta.
Índice
- ¿Qué es un ataque de inundación SSL?
- ¿Cómo funcionan los ataques de inundación SSL?
- Tipos de ataques de inundación SSL
- ¿Cómo protegerse de los ataques SSL Flood?
¿Qué es un ataque de inundación SSL?
Un ataque de inundación SSL, a menudo encontrado en la seguridad de la red, es un tipo de ataque DDoS en el que un número masivo de peticiones SSL sobrecargan los recursos de un servidor, haciéndolo no disponible para los usuarios.
Ahora, te preguntarás, ¿qué es un apretón de manos SSL? Es un protocolo utilizado para establecer la seguridad en una conexión de red. Los piratas informáticos aprovechan el apretón de manos para agotar los recursos del servidor. Por eso, un ataque de inundación SSL/TLS también se conoce como ataque de agotamiento SSL.
Se dirige específicamente a los protocolos SSL/TLS, que crean conexiones seguras entre clientes y servidores. Como resultado, los ciberdelincuentes obstaculizan la capacidad del servidor para responder a peticiones honestas.
Un ataque de este tipo puede ser muy perjudicial. No sólo es capaz de sobrecargar un servidor, sino que también puede destruir su capacidad para asegurar las conexiones. En un mundo cada vez más dependiente de las transacciones en línea, un ataque por inundación de SSL podría poner en peligro datos confidenciales.
¿Cómo funcionan los ataques de inundación SSL?
Desglosemos paso a paso un ataque clásico de inundación SSL:
- Inicio: El atacante envía al servidor un mensaje inicial ‘hola’, iniciando el proceso de handshake SSL.
- Inicio del Handshake: Al recibir el mensaje ‘hola’, el servidor comienza el handshake SSL generando un par de claves pública-privada y enviando de vuelta un certificado.
- Ejecución del ataque: En lugar de completar el apretón de manos, el atacante envía continuamente nuevos mensajes “hola” sin avanzar más en el proceso de apretón de manos.
- Drenaje de recursos: Cada nuevo mensaje “hola” hace que el servidor asigne recursos para un nuevo apretón de manos SSL. Como el atacante no completa el apretón de manos, estos recursos permanecen asignados y sin utilizar.
- Repetición: El atacante repite este proceso rápidamente, abrumando al servidor con numerosos apretones de manos SSL sin terminar.
- Agotamiento de recursos: La afluencia constante de solicitudes SSL inacabadas agota los recursos críticos del servidor, como la CPU y la memoria.
- Interrupción del servicio: Con sus recursos agotados, el servidor se esfuerza por atender las peticiones legítimas, lo que provoca una interrupción del servicio, una ralentización o una caída completa del sistema.
Tipos de ataques de inundación SSL
Ahora ya está familiarizado con el funcionamiento de los ataques de inundación SSL, así que vamos a explorar los diferentes tipos. En concreto, examinaremos los ataques PushDo Botnet y THC-SSL-DoS, ambos conocidos ataques de agotamiento de SSL.
Ataque a la red de bots PushDo
La red de bots PushDo, conocida como PushBot o Cutwail, surgió en 2007. Funciona principalmente infectando ordenadores con malware, convirtiéndolos en bots bajo el control de un servidor central de mando y control (C&C). Los piratas informáticos utilizan la red de bots para diversas actividades maliciosas, como campañas de spam por correo electrónico, ataques DDoS y ataques de inundación SSL.
PushDo emplea una técnica denominada fast-flux DNS para cambiar rápidamente las direcciones IP asociadas a sus servidores de mando y control. Esta técnica de DNS dinámico dificulta a los defensores el seguimiento y bloqueo de la infraestructura de la red de bots, ya que las direcciones IP cambian constantemente, haciendo que parezca que la red de bots se mueve por Internet.
Genera tráfico ficticio o señuelo, que enmascara sus actividades malévolas. Esta táctica complica los esfuerzos de detección al inundar el servidor objetivo con tráfico de apariencia legítima junto con el ataque de inundación SSL, lo que dificulta a los defensores distinguir entre tráfico legítimo y hostil.
Ataques THC-SSL-DoS
El ataque THC-SSL-DoS, desarrollado por el grupo de hackers “The Hacker’s Choice”, es un potente ataque de inundación SSL dirigido también al mecanismo de apretón de manos SSL. Inunda los servidores con un aluvión de solicitudes de enlace SSL, lo que en última instancia conduce a una denegación de servicio. El ataque aprovecha la herramienta THC-SSL-DoS, explotando vulnerabilidades en los protocolos SSL/TLS.
La herramienta THC-SSL-DoS, que funciona mediante la creación de múltiples conexiones SSL semiabiertas, satura los servidores al consumir una gran cantidad de potencia computacional sin completar el proceso de negociación.
A medida que estas conexiones medio abiertas se acumulan, agotan los recursos de CPU y memoria del servidor. Finalmente, el servidor alcanza su capacidad para gestionar nuevas conexiones, lo que provoca que los usuarios no puedan establecer conexiones SSL debido al agotamiento de los recursos.
¿Cómo protegerse de los ataques SSL Flood?
Implemente una estrategia de seguridad sólida para proteger su sistema de los ataques de inundación SSL. En primer lugar, actualice periódicamente las bibliotecas SSL/TLS y el software del servidor para asegurarse de que no son susceptibles de vulnerabilidades conocidas. También es importante configurar los servidores para que gestionen correctamente las renegociaciones SSL.
Para una capa adicional de protección, considere la posibilidad de instalar un dispositivo de descarga SSL. Esta herramienta intercepta las peticiones SSL entrantes, descargando el proceso de negociación SSL de su servidor y reduciendo el impacto de un ataque.
Otra excelente medida preventiva es imponer límites de velocidad en el servidor. Puede ayudar a controlar el número de handshakes SSL que su servidor tiene que procesar en un plazo determinado, evitando que se vea desbordado por una avalancha de peticiones.
Por último, contrate un servicio de protección DDoS. Estos servicios pueden detectar y bloquear patrones de tráfico anómalos antes de que lleguen a su sistema.
Conclusión
Los ataques de inundación SSL se centran en saturar los recursos del servidor, lo que provoca incidentes de denegación de servicio en lugar de causar directamente violaciones de datos. Estos ataques agotan los recursos del servidor, dificultando o imposibilitando el acceso de los usuarios a los servicios.
Sin embargo, en algunos casos, los incidentes prolongados de denegación de servicio podrían contribuir indirectamente a las brechas de seguridad si impiden responder a tiempo a otras amenazas a la seguridad o dejan los sistemas vulnerables debido al agotamiento de los recursos.
Por lo tanto, aunque la principal preocupación de los ataques de inundación SSL es el agotamiento del servidor y la denegación de servicio, puede haber implicaciones indirectas para la seguridad de los datos si no se abordan adecuadamente.
Ahorre un 10% en certificados SSL al realizar su pedido hoy mismo.
Emisión rápida, cifrado potente, 99,99% de confianza del navegador, asistencia dedicada y garantía de devolución del dinero en 25 días. Código del cupón: SAVE10
