Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Ataques a la capa de infraestructura
*Los ataques más comunes, DDoS los ataques de reflexión y las SYN inundaciones del Protocolo de datagramas de usuario (User Datagram ProtocolUDP), son los ataques a la capa de infraestructura.* Un atacante puede utilizar cualquiera de estos métodos para generar grandes volúmenes de tráfico que pueden inundar la capacidad de una red o agotar los recursos de sistemas como los servidores, los firewalls, el sistema de prevención de intrusiones (IPS) o el equilibrador de carga. Si bien estos ataques pueden ser fáciles de identificar, para mitigarlos de forma eficaz, es necesario disponer de una red o sistemas que amplíen la capacidad con mayor rapidez que la avalancha de tráfico entrante. Esta capacidad adicional es necesaria para filtrar o absorber el tráfico de los ataques y permitir que el sistema y la aplicación respondan al tráfico de clientes legítimos.
# UDPataques de reflexión
UDPlos ataques de reflexión explotan el hecho de que UDP se trata de un protocolo sin estado. Los atacantes pueden crear un paquete de UDP solicitud válido que incluya la dirección IP del objetivo del ataque como dirección IP de UDP origen. El atacante ahora ha falsificado (falsificado) la IP de origen del paquete de solicitud. UDP El UDP paquete contiene la IP de origen falsificada y el atacante lo envía a un servidor intermedio. Se engaña al servidor para que envíe sus paquetes de UDP respuesta a la IP de la víctima objetivo en lugar de devolverlos a la dirección IP del atacante. Se utiliza el servidor intermedio porque genera una respuesta varias veces mayor que el paquete de solicitud, lo que amplifica de forma efectiva la cantidad de tráfico de ataque que se envía a la dirección IP objetivo.
El factor de amplificación es la relación entre el tamaño de la respuesta y el tamaño de la solicitud y varía según el protocolo que utilice el atacante: DNS Network Time Protocol (NTP), Simple Service Directory Protocol (SSDP), Connectionless Lightweight Directory Access Protocol (CLDAP), [Memcached](https://memcached.org/), Character Generator Protocol (CharGen) o Quote of the Day (QOTD).
Por ejemplo, el factor de amplificación DNS puede ser de 28 a 54 veces el número original de bytes. Por lo tanto, si un atacante envía una carga útil de solicitud de 64 bytes a un DNS servidor, puede generar más de 3400 bytes de tráfico no deseado hacia el objetivo del ataque. UDPLos ataques de reflexión generan un mayor volumen de tráfico en comparación con otros ataques. La siguiente figura ilustra la táctica de reflexión y el efecto de amplificación.
![\[Un diagrama que representa un ataque de UDP reflexión\]](http://docs.aws.amazon.com/es_es/whitepapers/latest/aws-best-practices-ddos-resiliency/images/udp-reflection-attack.png)
Cabe señalar que los ataques de reflexión, si bien proporcionan a los atacantes una amplificación «gratuita», requieren la capacidad de suplantación de IP y, a medida que un número cada vez mayor de proveedores de red adoptan la validación de direcciones de origen en todas partes (SAVE) o [BCP38](https://www.ietf.org/rfc/bcp/bcp38.html), se elimina esta capacidad, obligando a los proveedores de DDoS servicios a detener los ataques de reflexión o a trasladarse a centros de datos y proveedores de redes que no implementan la validación de direcciones de origen.
# SYNataques por inundación
Cuando un usuario se conecta a un servicio del Protocolo de Control de Transmisión (TCP), como un servidor web, su cliente envía un SYN paquete. El servidor devuelve un paquete de acuse de recibo de sincronización (SYN-ACK) y, finalmente, el cliente responde con un paquete de acuse de recibo (ACK), que completa el apretón de manos tridireccional esperado. La siguiente imagen ilustra este típico apretón de manos.
![\[Un diagrama que muestra un apretón de manos a SYN tres bandas\]](http://docs.aws.amazon.com/es_es/whitepapers/latest/aws-best-practices-ddos-resiliency/images/syn-three-way-handshake.png)
En un ataque de SYN inundación, un cliente malintencionado envía una gran cantidad de SYN paquetes, pero nunca envía los ACK paquetes finales para completar el apretón de manos. El servidor se queda esperando una respuesta a TCP las conexiones medio abiertas y la idea es que el objetivo acabe quedándose sin capacidad para aceptar nuevas TCP conexiones, lo que impide que nuevos usuarios se conecten al servidor. Sin embargo, el impacto real es más matizado. Todos los sistemas operativos modernos implementan SYN cookies de forma predeterminada como mecanismo para contrarrestar el agotamiento de la tabla de estados provocado por los ataques de SYN inundación. Una vez que la longitud de la SYN cola alcanza un umbral predeterminado, el servidor responde con un SYN - ACK que contiene un número de secuencia inicial elaborado, sin crear una entrada en la colaSYN. Si, a continuación, el servidor recibe un número de confirmación ACK que contiene un número de confirmación incrementado correctamente, podrá añadir la entrada a su tabla de estados y continuar con normalidad. El impacto real de SYN las inundaciones en los dispositivos de destino suele ser el CPU agotamiento y la capacidad de la red. Sin embargo, los dispositivos con un estado intermedio, como los firewalls (o el [seguimiento de conexiones](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html) de grupos de EC2 seguridad), pueden agotarse según la tabla de TCP estados e interrumpir las nuevas conexiones.
# TCPreflexión en el medio-caja
Este vector de ataque relativamente nuevo se dio a conocer por primera vez en un documento [técnico académico publicado](https://www.usenix.org/system/files/sec21fall-bock.pdf) en agosto de 2021, en el que se explicaba cómo el TCP incumplimiento de los firewalls nacionales y los disponibles en el mercado podía provocar que se engañaran para que se convirtieran en un vector de amplificación. TCP Hemos visto estos ataques «de forma espontánea» desde principios de 2022 y los seguimos viendo en la actualidad. El factor de amplificación varía debido a las diferentes formas en que los proveedores han implementado esta «función», pero puede superar la amplificación de MemcachedUDP.