Ataque de denegación de servicio

Ajustar Compartir Imprimir Citar
Diagrama de un ataque DDoS. Observe cómo múltiples ordenadores están atacando un solo ordenador.

En informática, un ataque de denegación de servicio (ataque DoS) es un ataque cibernético en el que el perpetrador busca hacer que una máquina o recurso de red no esté disponible para sus usuarios previstos mediante la interrupción temporal o indefinida de los servicios de un host conectado a una red. La denegación de servicio generalmente se logra inundando la máquina o recurso de destino con solicitudes superfluas en un intento de sobrecargar los sistemas y evitar que se cumplan algunas o todas las solicitudes legítimas.

En un ataque de denegación de servicio distribuido (ataque DDoS), el tráfico entrante que inunda a la víctima se origina en muchas fuentes diferentes. Se requieren estrategias más sofisticadas para mitigar este tipo de ataque, ya que simplemente intentar bloquear una sola fuente es insuficiente porque hay múltiples fuentes.

Un ataque DoS o DDoS es similar a un grupo de personas que abarrotan la puerta de entrada de una tienda, lo que dificulta la entrada de clientes legítimos y, por lo tanto, interrumpe el comercio.

Los perpetradores criminales de ataques DoS a menudo se dirigen a sitios o servicios alojados en servidores web de alto perfil, como bancos o pasarelas de pago con tarjeta de crédito. La venganza, el chantaje y el hacktivismo pueden motivar estos ataques.

Historia

Panix, el tercer ISP más antiguo del mundo, fue el objetivo de lo que se cree que es el primer ataque DoS. El 6 de septiembre de 1996, Panix fue objeto de un ataque de inundación SYN, que provocó la caída de sus servicios durante varios días mientras los proveedores de hardware, en particular Cisco, encontraban una defensa adecuada.

Khan C. Smith realizó otra demostración temprana del ataque DoS en 1997 durante un evento DEF CON, interrumpiendo el acceso a Internet al Strip de Las Vegas durante más de una hora. El lanzamiento del código de muestra durante el evento condujo al ataque en línea de Sprint, EarthLink, E-Trade y otras corporaciones importantes en el año siguiente.

En septiembre de 2017, Google Cloud sufrió un ataque con un volumen máximo de 2,54 TB/s. El 5 de marzo de 2018, un cliente no identificado del proveedor de servicios estadounidense Arbor Networks fue víctima del DDoS más grande hasta la fecha, alcanzando un pico de aproximadamente 1,7 TB/s. El récord anterior se había establecido unos días antes, el 1 de marzo de 2018, cuando GitHub fue atacado por 1,35 Tb/s.

En febrero de 2020, Amazon Web Services experimentó un ataque con un volumen máximo de 2,3 TB/s. En julio de 2021, el proveedor de CDN Cloudflare se jactó de proteger a su cliente de un ataque DDoS de una botnet global Mirai que tenía hasta 17,2 millones de solicitudes por segundo. El proveedor ruso de prevención DDoS, Yandex, dijo que bloqueó un ataque DDoS de canalización HTTP el 5 de septiembre de 2021 que se originó en el equipo de red Mikrotik sin parches.

Tipos

Los ataques de denegación de servicio se caracterizan por un intento explícito de los atacantes de impedir el uso legítimo de un servicio. Hay dos formas generales de ataques DoS: los que bloquean los servicios y los que inundan los servicios. Los ataques más graves se distribuyen.

DoS distribuidas

(feminine)

Un ataque de denegación de servicio distribuido (DDoS) ocurre cuando varios sistemas inundan el ancho de banda o los recursos de un sistema objetivo, generalmente uno o más servidores web. Un ataque DDoS usa más de una dirección IP o máquinas únicas, a menudo de miles de hosts infectados con malware. Un ataque de denegación de servicio distribuido generalmente involucra más de 3 a 5 nodos en diferentes redes; menos nodos pueden calificar como un ataque DoS pero no es un ataque DDoS.

Múltiples máquinas pueden generar más tráfico de ataque que una máquina, varias máquinas de ataque son más difíciles de desactivar que una máquina de ataque y el comportamiento de cada máquina de ataque puede ser más sigiloso, lo que dificulta el seguimiento y la desactivación. Dado que el tráfico entrante que inunda a la víctima se origina en diferentes fuentes, puede ser imposible detener el ataque simplemente mediante el filtrado de ingreso. También dificulta distinguir el tráfico de usuarios legítimos del tráfico de ataques cuando se distribuye en múltiples puntos de origen. Como alternativa o aumento de un DDoS, los ataques pueden implicar la falsificación de direcciones IP del remitente (falsificación de direcciones IP), lo que complica aún más la identificación y la derrota del ataque. Estas ventajas del atacante provocan desafíos para los mecanismos de defensa. Por ejemplo, la simple compra de más ancho de banda entrante que el volumen actual del ataque podría no ayudar, porque el atacante podría simplemente agregar más máquinas de ataque.

La escala de los ataques DDoS ha seguido aumentando en los últimos años y en 2016 superó un terabit por segundo. Algunos ejemplos comunes de ataques DDoS son la inundación UDP, la inundación SYN y la amplificación de DNS.

Yo-yo attack

Un ataque yo-yo es un tipo específico de DoS/DDoS dirigido a aplicaciones alojadas en la nube que utilizan el escalado automático. El atacante genera una avalancha de tráfico hasta que un servicio alojado en la nube escala hacia afuera para manejar el aumento de tráfico, luego detiene el ataque, dejando a la víctima con recursos sobreaprovisionados. Cuando la víctima se reduce, el ataque se reanuda, lo que hace que los recursos vuelvan a escalar. Esto puede dar como resultado una calidad de servicio reducida durante los períodos de ampliación y reducción y una pérdida financiera de los recursos durante los períodos de aprovisionamiento excesivo mientras opera con un costo menor para un atacante en comparación con un ataque DDoS normal, ya que solo necesita estar generando tráfico durante una parte del período de ataque.

Ataques a la capa de aplicación

Un ataque DDoS de capa de aplicación (a veces denominado ataque DDoS de capa 7) es una forma de ataque DDoS donde los atacantes tienen como objetivo los procesos de la capa de aplicación. El ataque ejerce en exceso funciones o características específicas de un sitio web con la intención de deshabilitar esas funciones o características. Este ataque a la capa de aplicación es diferente de un ataque a toda la red y, a menudo, se usa contra instituciones financieras para distraer al personal de TI y de seguridad de las infracciones de seguridad. En 2013, los ataques DDoS en la capa de aplicación representaron el 20 % de todos los ataques DDoS. Según una investigación de Akamai Technologies, ha habido un "51 por ciento más de ataques a la capa de aplicación" del cuarto trimestre de 2013 al cuarto trimestre de 2014 y "16 por ciento más" desde Q3 2014 hasta Q4 2014. En noviembre de 2017; Junade Ali, ingeniero de Cloudflare, señaló que, si bien los ataques a nivel de red continúan siendo de alta capacidad, ocurren con menos frecuencia. Ali señaló además que, aunque los ataques a nivel de red se estaban volviendo menos frecuentes, los datos de Cloudflare demostraron que los ataques a la capa de aplicación aún no mostraban signos de desaceleración. En diciembre de 2021, tras la vulnerabilidad de seguridad de Log4Shell, se descubrió una segunda vulnerabilidad en la biblioteca de código abierto Log4j que podría provocar ataques DDoS en la capa de aplicación.

Capa de aplicación

El modelo OSI (ISO/IEC 7498-1) es un modelo conceptual que caracteriza y estandariza las funciones internas de un sistema de comunicación dividiéndolo en capas de abstracción. El modelo es un producto del proyecto de interconexión de sistemas abiertos de la Organización Internacional de Normalización (ISO). El modelo agrupa funciones de comunicación similares en una de siete capas lógicas. Una capa sirve a la capa superior y es servida por la capa inferior. Por ejemplo, una capa que proporciona comunicaciones sin errores a través de una red proporciona la ruta de comunicaciones que necesitan las aplicaciones por encima de ella, mientras llama a la siguiente capa inferior para enviar y recibir paquetes que atraviesan esa ruta.

En el modelo OSI, la definición de su capa de aplicación tiene un alcance más limitado de lo que suele implementarse. El modelo OSI define la capa de aplicación como la interfaz de usuario. La capa de aplicación OSI es responsable de mostrar datos e imágenes al usuario en un formato reconocible por humanos y de interactuar con la capa de presentación debajo de ella. En una implementación, las capas de aplicación y presentación se combinan con frecuencia.

Método de ataque

El ataque DoS más simple se basa principalmente en la fuerza bruta, inundando el objetivo con un flujo abrumador de paquetes, sobresaturando el ancho de banda de su conexión o agotando los recursos del sistema del objetivo. Las inundaciones que saturan el ancho de banda dependen de la capacidad del atacante para generar un flujo abrumador de paquetes. Una forma común de lograr esto hoy en día es a través de la denegación de servicio distribuida, empleando una red de bots.

Un ataque DDoS en la capa de aplicación se realiza principalmente con fines específicos, incluida la interrupción de transacciones y el acceso a bases de datos. Requiere menos recursos que los ataques a la capa de red, pero a menudo los acompaña. Un ataque puede disfrazarse para que parezca tráfico legítimo, excepto que se dirige a funciones o paquetes de aplicaciones específicos. El ataque a la capa de aplicación puede interrumpir servicios como la recuperación de información o funciones de búsqueda en un sitio web.

DoS persistente avanzado

Un DoS persistente avanzado (APDoS) está asociado con una amenaza persistente avanzada y requiere una mitigación de DDoS especializada. Estos ataques pueden persistir durante semanas; el período continuo más largo observado hasta ahora duró 38 días. Este ataque involucró aproximadamente 50+ petabits (50,000+ terabits) de tráfico malicioso.

Los atacantes en este escenario pueden cambiar tácticamente entre varios objetivos para crear una distracción para evadir las contramedidas defensivas DDoS, pero al mismo tiempo concentran el objetivo principal del ataque en una sola víctima. En este escenario, los atacantes con acceso continuo a varios recursos de red muy poderosos son capaces de mantener una campaña prolongada que genera niveles enormes de tráfico DDoS no amplificado.

Los ataques APDoS se caracterizan por:

Denegación de servicio como servicio

Algunos proveedores brindan los llamados servicios booter o stresser, que tienen interfaces web simples y aceptan pagos a través de la web. Comercializados y promocionados como herramientas de prueba de estrés, pueden usarse para realizar ataques de denegación de servicio no autorizados y permitir que los atacantes técnicamente poco sofisticados accedan a herramientas de ataque sofisticadas. Por lo general, alimentado por una botnet, el tráfico producido por un estresor del consumidor puede oscilar entre 5 y 50 Gbit/s, lo que, en la mayoría de los casos, puede negar el acceso a Internet del usuario doméstico promedio.

Síntomas

El Equipo de Preparación para Emergencias Informáticas de los Estados Unidos (US-CERT) ha identificado síntomas de un ataque de denegación de servicio que incluyen:

Técnicas de ataque

Herramientas de ataque

En casos como MyDoom y Slowloris, las herramientas están incrustadas en malware y lanzan sus ataques sin el conocimiento del propietario del sistema. Stacheldraht es un ejemplo clásico de una herramienta DDoS. Utiliza una estructura en capas donde el atacante usa un programa cliente para conectarse a controladores que son sistemas comprometidos que emiten comandos a los agentes zombis que a su vez facilitan el ataque DDoS. Los agentes se ven comprometidos a través de los controladores por parte del atacante que utiliza rutinas automatizadas para explotar vulnerabilidades en programas que aceptan conexiones remotas que se ejecutan en los hosts remotos objetivo. Cada manejador puede controlar hasta mil agentes.

En otros casos, una máquina puede convertirse en parte de un ataque DDoS con el consentimiento del propietario, por ejemplo, en Operation Payback organizada por el grupo Anonymous. El cañón de iones de órbita baja se ha utilizado típicamente de esta manera. Junto con High Orbit Ion Cannon, hoy en día hay disponible una amplia variedad de herramientas DDoS, incluidas versiones pagas y gratuitas, con diferentes funciones disponibles. Existe un mercado clandestino para estos en foros relacionados con piratas informáticos y canales de IRC.

Ataques a la capa de aplicación

Los ataques a la capa de aplicación emplean vulnerabilidades que causan DoS y pueden hacer que el software que se ejecuta en el servidor llene el espacio del disco o consuma toda la memoria disponible o el tiempo de CPU. Los ataques pueden usar tipos de paquetes específicos o solicitudes de conexión para saturar recursos finitos, por ejemplo, ocupando la cantidad máxima de conexiones abiertas o llenando el espacio en disco de la víctima con registros. Un atacante con acceso a nivel de shell a la computadora de la víctima puede ralentizarla hasta que quede inutilizable o bloquearla mediante el uso de una bomba de bifurcación. Otro tipo de ataque DoS a nivel de aplicación es XDoS (o XML DoS), que puede controlarse mediante firewalls de aplicaciones web (WAF) modernos.

Todos los ataques que pertenecen a la categoría de explotación de tiempo de espera Ataques DoS lentos implementan un ataque de capa de aplicación. Ejemplos de amenazas son Slowloris, que establece conexiones pendientes con la víctima, o SlowDroid, un ataque que se ejecuta en dispositivos móviles.

Otro objetivo de los ataques DDoS puede ser generar costos adicionales para el operador de la aplicación, cuando este utiliza recursos basados en la computación en la nube. En este caso, los recursos utilizados normalmente por la aplicación están vinculados a un nivel de calidad de servicio (QoS) necesario (por ejemplo, las respuestas deben ser inferiores a 200 ms) y esta regla suele estar vinculada a un software automatizado (por ejemplo, Amazon CloudWatch) para obtener más recursos virtuales. del proveedor para cumplir con los niveles de QoS definidos para el aumento de solicitudes. El principal incentivo detrás de tales ataques puede ser impulsar al propietario de la aplicación a aumentar los niveles de elasticidad para manejar el aumento del tráfico de la aplicación, causar pérdidas financieras u obligarlos a volverse menos competitivos.

Un ataque banana es otro tipo particular de DoS. Implica redirigir los mensajes salientes del cliente de regreso al cliente, evitando el acceso externo, así como inundando al cliente con los paquetes enviados. Un ataque LAND es de este tipo.

Ataques de degradación del servicio

Los zombis pulsantes son computadoras comprometidas que están dirigidas a lanzar inundaciones intermitentes y de corta duración de los sitios web de las víctimas con la intención de ralentizarlas en lugar de bloquearlas. Este tipo de ataque, conocido como degradación del servicio, puede ser más difícil de detectar y puede interrumpir y dificultar la conexión a sitios web durante períodos prolongados, lo que podría causar más interrupciones generales que una denegación. ataque fuera de servicio. La exposición de los ataques de degradación del servicio se complica aún más por la cuestión de discernir si el servidor realmente está siendo atacado o si experimenta cargas de tráfico legítimo superiores a las normales.

Ataque DoS distribuido

Si un atacante monta un ataque desde un solo host, se clasificaría como un ataque DoS. Cualquier ataque contra la disponibilidad se clasificaría como un ataque de denegación de servicio. Por otro lado, si un atacante usa muchos sistemas para lanzar ataques simultáneamente contra un host remoto, esto se clasificaría como un ataque DDoS.

El malware puede transportar mecanismos de ataque DDoS; uno de los ejemplos más conocidos de esto fue MyDoom. Su mecanismo DoS se activó en una fecha y hora específicas. Este tipo de DDoS implicaba codificar la dirección IP de destino antes de lanzar el malware y no fue necesaria ninguna interacción adicional para lanzar el ataque.

Un sistema también puede verse comprometido con un troyano que contenga un agente zombi. Los atacantes también pueden ingresar a los sistemas utilizando herramientas automatizadas que aprovechan las fallas en los programas que escuchan las conexiones de los hosts remotos. Este escenario se refiere principalmente a los sistemas que actúan como servidores en la web. Stacheldraht es un ejemplo clásico de una herramienta DDoS. Utiliza una estructura en capas donde el atacante usa un programa cliente para conectarse a los controladores, que son sistemas comprometidos que emiten comandos a los agentes zombis, que a su vez facilitan el ataque DDoS. El atacante compromete a los agentes a través de los controladores. Cada manejador puede controlar hasta mil agentes. En algunos casos, una máquina puede convertirse en parte de un ataque DDoS con el consentimiento del propietario, por ejemplo, en Operation Payback, organizada por el grupo Anonymous. Estos ataques pueden usar diferentes tipos de paquetes de Internet como TCP, UDP, ICMP, etc.

Estas colecciones de sistemas comprometidos se conocen como botnets. Las herramientas DDoS como Stacheldraht todavía usan métodos de ataque DoS clásicos centrados en la suplantación y amplificación de IP, como ataques smurf y ataques fraggle (tipos de ataques de consumo de ancho de banda). También se pueden usar inundaciones SYN (un ataque de agotamiento de recursos). Las herramientas más nuevas pueden usar servidores DNS para propósitos de DoS. A diferencia del mecanismo DDoS de MyDoom, las botnets pueden activarse contra cualquier dirección IP. Los Script Kiddies los utilizan para denegar la disponibilidad de sitios web conocidos a usuarios legítimos. Los atacantes más sofisticados usan herramientas DDoS con fines de extorsión, incluso contra sus rivales comerciales.

Se ha informado que hay nuevos ataques de dispositivos de Internet de las cosas (IoT) que han estado involucrados en ataques de denegación de servicio. En un ataque señalado que se realizó alcanzó un máximo de alrededor de 20,000 solicitudes por segundo que provenían de alrededor de 900 cámaras de CCTV.

El GCHQ del Reino Unido tiene herramientas creadas para DDoS, denominadas PREDATORS FACE y ROLLING THUNDER.

Los ataques simples, como las inundaciones SYN, pueden aparecer con una amplia gama de direcciones IP de origen, dando la apariencia de un DoS distribuido. Estos ataques de inundación no requieren la finalización del protocolo de enlace de tres vías de TCP e intentan agotar la cola SYN de destino o el ancho de banda del servidor. Debido a que las direcciones IP de origen pueden falsificarse de manera trivial, un ataque podría provenir de un conjunto limitado de fuentes, o incluso puede originarse desde un solo host. Las mejoras de pila, como las cookies SYN, pueden ser una mitigación eficaz contra la inundación de la cola SYN, pero no abordan el agotamiento del ancho de banda.

Extorsión DDoS

En 2015, las redes de bots DDoS como DD4BC adquirieron importancia y apuntaron a las instituciones financieras. Los extorsionadores cibernéticos generalmente comienzan con un ataque de bajo nivel y una advertencia de que se llevará a cabo un ataque mayor si no se paga un rescate en bitcoins. Los expertos en seguridad recomiendan que los sitios web específicos no paguen el rescate. Los atacantes tienden a entrar en un esquema de extorsión extendida una vez que reconocen que el objetivo está dispuesto a pagar.

Ataque HTTP lento POST DoS

Descubierto por primera vez en 2009, el ataque HTTP POST lento envía un encabezado HTTP POST completo y legítimo, que incluye un campo Content-Length para especificar el tamaño del cuerpo del mensaje a seguir. Sin embargo, el atacante luego procede a enviar el cuerpo del mensaje real a una velocidad extremadamente lenta (por ejemplo, 1 byte/110 segundos). Debido a que todo el mensaje es correcto y completo, el servidor de destino intentará obedecer el campo Content-Length en el encabezado y esperará a que se transmita todo el cuerpo del mensaje, lo que puede tomar un tiempo. mucho tiempo. El atacante establece cientos o incluso miles de tales conexiones hasta que se agotan todos los recursos para las conexiones entrantes en el servidor de la víctima, lo que imposibilita cualquier conexión adicional hasta que se hayan enviado todos los datos. Cabe destacar que, a diferencia de muchos otros ataques DDoS o DDoS, que intentan subyugar al servidor sobrecargando su red o CPU, un ataque HTTP POST lento tiene como objetivo los recursos lógicos de la víctima, lo que significa que la víctima todavía tienen suficiente ancho de banda de red y poder de procesamiento para operar. Combinado con el hecho de que Apache HTTP Server, de forma predeterminada, aceptará solicitudes de hasta 2 GB de tamaño, este ataque puede ser particularmente poderoso. Los ataques POST lentos HTTP son difíciles de diferenciar de las conexiones legítimas y, por lo tanto, pueden eludir algunos sistemas de protección. OWASP, un proyecto de seguridad de aplicaciones web de código abierto, lanzó una herramienta para probar la seguridad de los servidores contra este tipo de ataques.

Ataque de desafío colapsar (CC)

Un ataque Challenge Collapsar (CC) es un ataque en el que se envían con frecuencia solicitudes HTTP estándar a un servidor web objetivo. Los identificadores uniformes de recursos (URI) en las solicitudes requieren algoritmos complicados que consumen mucho tiempo u operaciones de base de datos que pueden agotar los recursos del servidor web de destino.

En 2004, un pirata informático chino apodado KiKi inventó una herramienta de piratería para enviar este tipo de solicitudes para atacar un firewall NSFOCUS llamado Collapsar, y por lo tanto la herramienta de piratería se conoció como Challenge Collapsar< /i>, o CC para abreviar. En consecuencia, este tipo de ataque recibió el nombre de ataque CC.

Inundación del Protocolo de mensajes de control de Internet (ICMP)

Un ataque pitufo se basa en dispositivos de red mal configurados que permiten que los paquetes se envíen a todos los hosts de una red en particular a través de la dirección de transmisión de la red, en lugar de una máquina específica. El atacante enviará una gran cantidad de paquetes IP con la dirección de origen falsificada para que parezca la dirección de la víctima. La mayoría de los dispositivos en una red responderán, de forma predeterminada, enviando una respuesta a la dirección IP de origen. Si la cantidad de máquinas en la red que reciben y responden a estos paquetes es muy grande, la computadora de la víctima se verá inundada de tráfico. Esto sobrecarga la computadora de la víctima e incluso puede dejarla inutilizable durante un ataque de este tipo.

La inundación de ping se basa en enviar a la víctima una cantidad abrumadora de paquetes de ping, generalmente usando el comando ping de hosts similares a Unix. Es muy simple de ejecutar, el requisito principal es tener acceso a un ancho de banda mayor que el de la víctima.

El ping de la muerte se basa en enviar a la víctima un paquete de ping con formato incorrecto, lo que provocará un bloqueo del sistema en un sistema vulnerable.

El ataque BlackNurse es un ejemplo de un ataque que se aprovecha de los paquetes ICMP del puerto de destino inalcanzable necesarios.

Arma nuclear

Un Nuke es un ataque de denegación de servicio anticuado contra redes informáticas que consiste en paquetes ICMP fragmentados o no válidos que se envían al objetivo, que se logra mediante el uso de una utilidad de ping modificada para enviar repetidamente estos datos corruptos, lo que ralentiza el computadora afectada hasta que se detenga por completo.

Un ejemplo específico de un ataque nuclear que ganó cierta prominencia es WinNuke, que explotó la vulnerabilidad en el controlador NetBIOS en Windows 95. Se envió una cadena de datos fuera de banda al puerto TCP 139 de la víctima. Su máquina, lo que hace que se bloquee y muestre una pantalla azul de la muerte.

Ataques entre pares

Los atacantes han encontrado una manera de explotar una serie de errores en los servidores punto a punto para iniciar ataques DDoS. El más agresivo de estos ataques DDoS punto a punto explota DC++. Con peer-to-peer no hay botnet y el atacante no tiene que comunicarse con los clientes que subvierte. En cambio, el atacante actúa como un maestro de marionetas, instruyendo a los clientes de grandes centros de intercambio de archivos entre pares para que se desconecten de su red entre pares y se conecten al sitio web de la víctima. en cambio.

Ataques permanentes de denegación de servicio

La denegación de servicio permanente (PDoS), también conocida vagamente como phlashing, es un ataque que daña tanto un sistema que requiere el reemplazo o la reinstalación del hardware. A diferencia del ataque de denegación de servicio distribuido, un ataque PDoS explota fallas de seguridad que permiten la administración remota en las interfaces de administración del hardware de la víctima, como enrutadores, impresoras u otro hardware de red. El atacante utiliza estas vulnerabilidades para reemplazar el firmware de un dispositivo con una imagen de firmware modificada, corrupta o defectuosa, un proceso que, cuando se realiza legítimamente, se conoce como flasheo. La intención es bloquear el dispositivo., inutilizándolo para su propósito original hasta que pueda ser reparado o reemplazado.

El PDoS es un ataque dirigido exclusivamente al hardware que puede ser mucho más rápido y requiere menos recursos que usar una botnet en un ataque DDoS. Debido a estas características, y al potencial y alta probabilidad de vulnerabilidades de seguridad en dispositivos integrados habilitados para red, esta técnica ha llamado la atención de numerosas comunidades de piratas informáticos. BrickerBot, una pieza de malware que apuntaba a dispositivos IoT, usó ataques PDoS para desactivar sus objetivos.

PhlashDance es una herramienta creada por Rich Smith (un empleado del laboratorio de seguridad de sistemas de Hewlett-Packard) que se utiliza para detectar y demostrar vulnerabilidades PDoS en la Conferencia de seguridad aplicada EUSecWest 2008 en Londres.

Ataque reflejado

Un ataque de denegación de servicio distribuido puede implicar el envío de solicitudes falsificadas de algún tipo a una gran cantidad de computadoras que responderán a las solicitudes. Usando la suplantación de direcciones del Protocolo de Internet, la dirección de origen se establece en la de la víctima objetivo, lo que significa que todas las respuestas irán (e inundarán) al objetivo. Esta forma de ataque reflejada a veces se denomina "DRDOS".

Los ataques de solicitud de eco ICMP (ataques Smurf) pueden considerarse una forma de ataque reflejado, ya que los hosts de inundación envían solicitudes de eco a las direcciones de transmisión de redes mal configuradas, lo que incita a los hosts a enviar paquetes de respuesta de eco a la víctima. Algunos de los primeros programas DDoS implementaron una forma distribuida de este ataque.

Amplificación

Los ataques de amplificación se utilizan para aumentar el ancho de banda que se envía a la víctima. Muchos servicios pueden explotarse para actuar como reflectores, algunos más difíciles de bloquear que otros. US-CERT ha observado que diferentes servicios pueden resultar en diferentes factores de amplificación, como se tabula a continuación:

UDP-based amplification attacks
Protocolo Factor de amplificación Notas
Mitel MiCollab 2.200 millones
Memcached 50.000 Se fija en la versión 1.5.6
NTP 556.9 Corregido en versión 4.2.7p26
CHARGEN 358.8
DNS hasta 179
QOTD 140.3
Quake Network Protocol 63,9 Fijado en la versión 71
BitTorrent 4.0 - 54.3 Fijado en libuTP desde 2015
CoAP 10 a 50
ARMS 33,5
SSDP 30,8
Kad 16.3
SNMPv2 6.3
Protocolo de vapor 5,5
NetBIOS 3.8

Los ataques de amplificación de DNS involucran a un atacante que envía una solicitud de búsqueda de nombre DNS a uno o más servidores DNS públicos, falsificando la dirección IP de origen de la víctima objetivo. El atacante intenta solicitar la mayor cantidad de información posible, amplificando así la respuesta DNS que se envía a la víctima objetivo. Dado que el tamaño de la solicitud es significativamente menor que la respuesta, el atacante puede aumentar fácilmente la cantidad de tráfico dirigido al objetivo.

SNMP y NTP también se pueden explotar como reflectores en un ataque de amplificación. Un ejemplo de un ataque DDoS amplificado a través del Network Time Protocol (NTP) es a través de un comando llamado monlist, que envía los detalles de los últimos 600 hosts que solicitaron la hora del servidor NTP de regreso al solicitante Se puede enviar una pequeña solicitud a este servidor de tiempo utilizando una dirección IP de origen falsificada de alguna víctima, lo que da como resultado una respuesta 556,9 veces mayor que la solicitud que se envía a la víctima. Esto se amplifica cuando se usan botnets que envían solicitudes con la misma fuente de IP falsificada, lo que resultará en el envío de una gran cantidad de datos a la víctima.

Es muy difícil defenderse de este tipo de ataques porque los datos de respuesta provienen de servidores legítimos. Estas solicitudes de ataque también se envían a través de UDP, que no requiere una conexión al servidor. Esto significa que la IP de origen no se verifica cuando el servidor recibe una solicitud. Para generar conciencia sobre estas vulnerabilidades, se han iniciado campañas dedicadas a encontrar vectores de amplificación que han llevado a las personas a reparar sus resolutores o apagarlos por completo.

Red de bots Mirai

Este ataque utiliza un gusano para infectar cientos de miles de dispositivos IoT en Internet. El gusano se propaga a través de redes y sistemas y toma el control de dispositivos IoT mal protegidos, como termostatos, relojes habilitados para Wi-Fi y lavadoras. El propietario o usuario normalmente no tendrá una indicación inmediata de cuándo se infecta el dispositivo. El dispositivo IoT en sí no es el objetivo directo del ataque, se usa como parte de un ataque más grande. Una vez que el pirata informático ha esclavizado la cantidad deseada de dispositivos, les indica a los dispositivos que intenten comunicarse con un ISP. En octubre de 2016, una botnet de Mirai atacó a Dyn, que es el ISP de sitios como Twitter, Netflix, etc. Tan pronto como esto ocurrió, estos sitios web estuvieron inaccesibles durante varias horas.

¿R-U-muerto-todavía? (RUDY)

El ataque RUDY tiene como objetivo las aplicaciones web mediante la inanición de las sesiones disponibles en el servidor web. Al igual que Slowloris, RUDY mantiene las sesiones detenidas utilizando transmisiones POST interminables y enviando un valor de encabezado de longitud de contenido arbitrariamente grande.

SACO Pánico

La manipulación del tamaño máximo del segmento y el reconocimiento selectivo (SACK) puede ser utilizado por un par remoto para provocar una denegación de servicio por un desbordamiento de enteros en el kernel de Linux, lo que podría provocar un pánico en el kernel. Jonathan Looney descubrió CVE-2019-11477, CVE-2019-11478, CVE-2019-11479 el 17 de junio de 2019.

Ataque de musaraña

El ataque musaraña es un ataque de denegación de servicio en el Protocolo de control de transmisión donde el atacante emplea técnicas de intermediario. Se aprovecha de una debilidad en el mecanismo de tiempo de espera de retransmisión de TCP, utilizando breves ráfagas de tráfico sincronizadas para interrumpir las conexiones TCP en el mismo enlace.

Ataque de lectura lenta

Un ataque de lectura lenta envía solicitudes de capa de aplicación legítimas, pero lee las respuestas muy lentamente, lo que mantiene las conexiones abiertas por más tiempo con la esperanza de agotar el conjunto de conexiones del servidor. La lectura lenta se logra publicitando un número muy pequeño para el tamaño de la ventana de recepción de TCP y, al mismo tiempo, vaciando los clientes' El búfer de recepción de TCP es lento, lo que provoca una tasa de flujo de datos muy baja.

Ataque de denegación de servicio distribuido sofisticado de bajo ancho de banda

Un ataque DDoS sofisticado de bajo ancho de banda es una forma de DoS que usa menos tráfico y aumenta su eficacia apuntando a un punto débil en el diseño del sistema de la víctima, es decir, el atacante envía tráfico que consiste en solicitudes complicadas a el sistema. Esencialmente, un ataque DDoS sofisticado tiene un costo más bajo debido a que usa menos tráfico, es más pequeño en tamaño, lo que lo hace más difícil de identificar y tiene la capacidad de dañar los sistemas que están protegidos por mecanismos de control de flujo.

Inundación SYN

Una inundación SYN ocurre cuando un host envía una inundación de paquetes TCP/SYN, a menudo con una dirección de remitente falsificada. Cada uno de estos paquetes se maneja como una solicitud de conexión, lo que hace que el servidor genere una conexión entreabierta, envíe un paquete TCP/SYN-ACK y espere la respuesta de un paquete de la dirección del remitente. Sin embargo, debido a que la dirección del remitente está falsificada, la respuesta nunca llega. Estas conexiones entreabiertas agotan las conexiones disponibles que el servidor puede hacer, impidiendo que responda a las solicitudes legítimas hasta que termine el ataque.

Ataques de lágrima

Un ataque de lágrima consiste en enviar fragmentos de IP destrozados con cargas superpuestas y de gran tamaño a la máquina de destino. Esto puede bloquear varios sistemas operativos debido a un error en su código de reensamblado de fragmentación TCP/IP. Los sistemas operativos Windows 3.1x, Windows 95 y Windows NT, así como las versiones de Linux anteriores a las versiones 2.0.32 y 2.1.63 son vulnerables a este ataque.

(Aunque en septiembre de 2009, una vulnerabilidad en Windows Vista se denominó ataque de lágrima, este tenía como objetivo SMB2, que es una capa más alta que los paquetes TCP que usaba la lágrima).

Uno de los campos en un encabezado IP es el campo desplazamiento de fragmento, que indica la posición inicial, o desplazamiento, de los datos contenidos en un paquete fragmentado en relación con los datos del paquete original. Si la suma del desplazamiento y el tamaño de un paquete fragmentado difiere del siguiente paquete fragmentado, los paquetes se superponen. Cuando esto sucede, un servidor vulnerable a los ataques de lágrima no puede volver a ensamblar los paquetes, lo que genera una condición de denegación de servicio.

Denegación de servicio de telefonía (TDoS)

La voz sobre IP ha hecho que la originación abusiva de un gran número de llamadas telefónicas de voz sea económica y fácilmente automatizada, al mismo tiempo que permite tergiversar los orígenes de las llamadas a través de la falsificación del identificador de llamadas.

Según la Oficina Federal de Investigaciones de EE. UU., la denegación de servicio de telefonía (TDoS) ha aparecido como parte de varios esquemas fraudulentos:

La denegación de servicio de telefonía puede existir incluso sin telefonía por Internet. En el escándalo de interferencias telefónicas en las elecciones del Senado de New Hampshire de 2002, se utilizaron vendedores telefónicos para inundar a los opositores políticos con llamadas falsas para bloquear los bancos de teléfonos el día de las elecciones. La publicación generalizada de un número también puede inundarlo con suficientes llamadas para dejarlo inutilizable, como sucedió por accidente en 1981 con múltiples suscriptores del código de área +1-867-5309 inundados por cientos de llamadas diarias en respuesta a la canción 867-5309/ Jenny.

TDoS se diferencia de otros tipos de acoso telefónico (como llamadas de broma y llamadas telefónicas obscenas) por la cantidad de llamadas que se originan; al ocupar líneas continuamente con llamadas automáticas repetidas, se evita que la víctima haga o reciba llamadas telefónicas tanto de rutina como de emergencia.

Exploits relacionados incluyen ataques de inundación de SMS y transmisión de bucle de fax o fax negro.

Ataque de caducidad de TTL

Se necesitan más recursos del enrutador para descartar un paquete con un valor TTL de 1 o menos que para reenviar un paquete con un valor TTL más alto. Cuando se descarta un paquete debido a la expiración de TTL, la CPU del enrutador debe generar y enviar una respuesta ICMP de tiempo excedido. Generar muchas de estas respuestas puede sobrecargar la CPU del enrutador.

Ataque UPnP

Este ataque utiliza una vulnerabilidad existente en el protocolo Universal Plug and Play (UPnP) para eludir una cantidad considerable de los métodos de defensa actuales e inundar la red y los servidores del objetivo. El ataque se basa en una técnica de amplificación de DNS, pero el mecanismo de ataque es un enrutador UPnP que reenvía solicitudes de una fuente externa a otra sin tener en cuenta las reglas de comportamiento de UPnP. El uso del enrutador UPnP devuelve los datos en un puerto UDP inesperado desde una dirección IP falsa, lo que dificulta tomar medidas simples para cerrar la avalancha de tráfico. Según los investigadores de Imperva, la forma más efectiva de detener este ataque es que las empresas bloqueen los enrutadores UPnP.

Ataque de reflexión SSDP

En 2014 se descubrió que SSDP se estaba utilizando en ataques DDoS conocidos como ataque de reflexión SSDP con amplificación. Muchos dispositivos, incluidos algunos enrutadores residenciales, tienen una vulnerabilidad en el software UPnP que permite que un atacante obtenga respuestas desde el puerto número 1900 a una dirección de destino de su elección. Con una botnet de miles de dispositivos, los atacantes pueden generar suficientes tasas de paquetes y ocupar ancho de banda para saturar los enlaces, provocando la denegación de servicios. La compañía de redes Cloudflare ha descrito este ataque como el 'Protocolo DDoS estúpidamente simple'.

Suplantación de identidad ARP

La suplantación de identidad ARP es un ataque DoS común que involucra una vulnerabilidad en el protocolo ARP que permite a un atacante asociar su dirección MAC a la dirección IP de otra computadora o puerta de enlace (como un enrutador), lo que genera tráfico destinado a la IP auténtica original. ser redirigido al del atacante, provocando una denegación de servicio.

Técnicas de defensa

Las respuestas defensivas a los ataques de denegación de servicio suelen implicar el uso de una combinación de detección de ataques, clasificación de tráfico y herramientas de respuesta, con el objetivo de bloquear el tráfico que identifican como ilegítimo y permitir el tráfico que identifican como legítimo. A continuación se proporciona una lista de herramientas de prevención y respuesta:

Filtrado ascendente

Todo el tráfico destinado a la víctima se desvía para pasar por un centro de limpieza o un centro de depuración a través de varios métodos, como: cambiar la dirección IP de la víctima en el sistema DNS, métodos de tunelización (GRE/VRF, MPLS, SDN), proxies, conexiones cruzadas digitales o incluso circuitos directos, que separan el tráfico malo (DDoS y también otros ataques comunes de Internet) y solo envía el tráfico legítimo bueno al servidor de la víctima. El proveedor necesita una conexión central a Internet para administrar este tipo de servicio a menos que esté ubicado dentro de las mismas instalaciones que el centro de limpieza o el centro de fregado. Los ataques DDoS pueden abrumar cualquier tipo de firewall de hardware, y el paso del tráfico malicioso a través de redes grandes y maduras se vuelve cada vez más efectivo y económicamente sostenible contra DDoS.

Hardware frontal de la aplicación

El hardware front-end de la aplicación es hardware inteligente colocado en la red antes de que el tráfico llegue a los servidores. Se puede utilizar en redes junto con enrutadores y conmutadores. El hardware front-end de la aplicación analiza los paquetes de datos a medida que ingresan al sistema y luego los identifica como prioritarios, regulares o peligrosos. Hay más de 25 proveedores de gestión de ancho de banda.

Indicadores clave de finalización del nivel de solicitud

Los enfoques de los ataques DDoS contra aplicaciones basadas en la nube pueden basarse en un análisis de la capa de aplicación, que indica si el tráfico masivo entrante es legítimo y, por lo tanto, desencadena decisiones de elasticidad sin las implicaciones económicas de un ataque DDoS. Estos enfoques se basan principalmente en una ruta de valor identificada dentro de la aplicación y monitorean el progreso de las solicitudes en esta ruta, a través de marcadores llamados Indicadores clave de finalización.

En esencia, estas técnicas son métodos estadísticos para evaluar el comportamiento de las solicitudes entrantes para detectar si ocurre algo inusual o anormal.

Una analogía es una tienda por departamentos física donde los clientes pasan, en promedio, un porcentaje conocido de su tiempo en diferentes actividades, como recoger artículos y examinarlos, devolverlos, llenar una canasta, esperar para pagar, pagar y marcharse. Estas actividades de alto nivel corresponden a los Indicadores clave de finalización en el servicio o sitio, y una vez que se determina el comportamiento normal, se puede identificar el comportamiento anormal. Si una multitud de clientes llega a la tienda y pasan todo el tiempo recogiendo artículos y devolviéndolos, pero nunca realizan ninguna compra, esto podría marcarse como un comportamiento inusual.

La tienda por departamentos puede intentar ajustarse a los períodos de alta actividad incorporando una reserva de empleados con poca antelación. Pero si hiciera esto de manera rutinaria, si una turba comenzara a aparecer pero nunca comprara nada, esto podría arruinar la tienda con los costos adicionales de empleados. Pronto, la tienda identificaría la actividad de la mafia y reduciría la cantidad de empleados, reconociendo que la mafia no proporciona ganancias y no debe ser atendida. Si bien esto puede dificultar que los clientes legítimos sean atendidos durante la presencia de la mafia, evita que la tienda se arruine por completo.

En el caso de los servicios de nube elástica, donde una carga de trabajo adicional enorme y anormal puede generar cargos significativos por parte del proveedor de servicios de nube, esta técnica se puede usar para reducir o incluso detener la expansión de la disponibilidad del servidor para protegerse de pérdidas económicas.

Agujeros negros y sumideros

Con el enrutamiento de agujero negro, todo el tráfico hacia el DNS o la dirección IP atacada se envía a un agujero negro (interfaz nula o servidor inexistente). Para ser más eficiente y no afectar la conectividad de la red, puede ser administrado por el ISP.

Un sumidero de DNS enruta el tráfico a una dirección IP válida que analiza el tráfico y rechaza los paquetes defectuosos. El hundimiento no es eficaz para la mayoría de los ataques graves.

Prevención basada en IPS

Los sistemas de prevención de intrusiones (IPS) son efectivos si los ataques tienen firmas asociadas. Sin embargo, la tendencia entre los ataques es tener contenido legítimo pero malas intenciones. Los sistemas de prevención de intrusiones que funcionan en el reconocimiento de contenido no pueden bloquear los ataques DoS basados en el comportamiento.

Un IPS basado en ASIC puede detectar y bloquear ataques de denegación de servicio porque tiene el poder de procesamiento y la granularidad para analizar los ataques y actuar como un disyuntor de forma automatizada.

Defensa basada en DDS

Más enfocado en el problema que IPS, un sistema de defensa DoS (DDS) puede bloquear ataques DoS basados en conexión y aquellos con contenido legítimo pero malas intenciones. Un DDS también puede abordar ataques de protocolo (como lágrima y ping de la muerte) y ataques basados en frecuencia (como inundaciones ICMP y inundaciones SYN). DDS tiene un sistema especialmente diseñado que puede identificar y obstruir fácilmente los ataques de denegación de servicio a una velocidad mayor que un sistema basado en software.

Cortafuegos

En el caso de un ataque simple, se podría agregar una regla simple a un firewall para denegar todo el tráfico entrante de los atacantes, según los protocolos, los puertos o las direcciones IP de origen.

Sin embargo, los ataques más complejos serán difíciles de bloquear con reglas simples: por ejemplo, si hay un ataque en curso en el puerto 80 (servicio web), no es posible descartar todo el tráfico entrante en este puerto porque al hacerlo evitará el servidor de servir tráfico legítimo. Además, los cortafuegos pueden estar demasiado profundos en la jerarquía de la red y los enrutadores se ven afectados negativamente antes de que el tráfico llegue al cortafuegos. Además, muchas herramientas de seguridad aún no son compatibles con IPv6 o es posible que no estén configuradas correctamente, por lo que los firewalls a menudo pueden pasarse por alto durante los ataques.

Enrutadores

Al igual que los conmutadores, los enrutadores tienen cierta capacidad de limitación de velocidad y ACL. Ellos también se configuran manualmente. La mayoría de los enrutadores pueden verse abrumados fácilmente por un ataque DoS. Nokia SR-OS que utiliza procesadores FP4/FP5 ofrece protección DDoS. Nokia SR-OS también utiliza Nokia Deepfield Defender basado en análisis de big data para la protección DDoS. Cisco IOS tiene características opcionales que pueden reducir el impacto de las inundaciones.

Interruptores

La mayoría de los conmutadores tienen alguna limitación de velocidad y capacidad de ACL. Algunos conmutadores proporcionan limitación de velocidad automática y/o en todo el sistema, modelado de tráfico, enlace retrasado (empalme TCP), inspección profunda de paquetes y filtrado Bogon (filtrado de IP falso) para detectar y remediar ataques DoS a través del filtrado de velocidad automático y conmutación por error y balanceo de enlaces WAN..

Estos esquemas funcionarán siempre y cuando se puedan prevenir los ataques DoS usándolos. Por ejemplo, la inundación SYN se puede evitar mediante el enlace retrasado o el empalme TCP. De manera similar, el DoS basado en contenido puede evitarse mediante la inspección profunda de paquetes. Los ataques que se originan en direcciones oscuras o que van a direcciones oscuras se pueden evitar mediante el filtrado de bogon. El filtrado automático de tasas puede funcionar siempre que los umbrales de tasas establecidos se hayan establecido correctamente. La conmutación por error de Wan-link funcionará siempre que ambos enlaces tengan un mecanismo de prevención DoS/DDoS.

Bloqueo de puertos vulnerables

Por ejemplo, en un ataque de reflexión SSDP; la mitigación clave es bloquear el tráfico UDP entrante en el puerto 1900 en el firewall.

Denegación de servicio no intencional

Puede ocurrir una denegación de servicio involuntaria cuando un sistema termina siendo denegado, no debido a un ataque deliberado por parte de un solo individuo o grupo de individuos, sino simplemente debido a un aumento repentino y enorme de popularidad. Esto puede suceder cuando un sitio web extremadamente popular publica un enlace destacado a un segundo sitio menos preparado, por ejemplo, como parte de una noticia. El resultado es que una proporción significativa de los usuarios habituales del sitio principal, potencialmente cientos de miles de personas, hacen clic en ese enlace en el espacio de unas pocas horas, lo que tiene el mismo efecto en el sitio web de destino que un ataque DDoS. Un VIPDoS es lo mismo, pero específicamente cuando el enlace fue publicado por una celebridad.

Cuando Michael Jackson murió en 2009, sitios web como Google y Twitter se ralentizaron o incluso colapsaron. Muchos sitios' Los servidores pensaron que las solicitudes provenían de un virus o software espía que intentaba provocar un ataque de denegación de servicio, y advirtieron a los usuarios que sus consultas parecían "solicitudes automáticas de un virus informático o una aplicación de software espía".

Los sitios de noticias y los sitios de enlaces (sitios cuya función principal es proporcionar enlaces a contenido interesante en otros lugares de Internet) tienen más probabilidades de causar este fenómeno. El ejemplo canónico es el efecto Slashdot al recibir tráfico de Slashdot. También se conoce como el abrazo de la muerte de Reddit y el efecto Digg.

También se sabe que los enrutadores crean ataques DoS no intencionales, ya que tanto los enrutadores de D-Link como los de Netgear han sobrecargado los servidores NTP al inundarlos sin respetar las restricciones de los tipos de clientes o las limitaciones geográficas.

También puede ocurrir una denegación de servicio involuntaria similar a través de otros medios, p. cuando se menciona una URL en la televisión. Si un servidor está siendo indexado por Google u otro motor de búsqueda durante los períodos pico de actividad, o no tiene mucho ancho de banda disponible mientras está indexado, también puede experimentar los efectos de un ataque DoS.

Se han emprendido acciones legales en al menos uno de estos casos. En 2006, Universal Tube & Rollform Equipment Corporation demandó a YouTube: una gran cantidad de posibles usuarios de YouTube.com escribieron accidentalmente la URL de la empresa de tubos, utube.com. Como resultado, la compañía de tubos terminó gastando grandes cantidades de dinero en actualizar su ancho de banda. La compañía parece haberse aprovechado de la situación, y utube.com ahora contiene anuncios para obtener ingresos publicitarios.

En marzo de 2014, después de la desaparición del vuelo 370 de Malaysia Airlines, DigitalGlobe lanzó un servicio de crowdsourcing en el que los usuarios podían ayudar a buscar el avión desaparecido en imágenes de satélite. La respuesta abrumó los servidores de la empresa.

Una denegación de servicio involuntaria también puede deberse a un evento preprogramado creado por el propio sitio web, como fue el caso del Censo en Australia en 2016. Esto podría ocurrir cuando un servidor brinda algún servicio en un momento específico. Este podría ser el sitio web de una universidad que configura las calificaciones para que estén disponibles, lo que resultará en muchas más solicitudes de inicio de sesión en ese momento que en cualquier otro.

Efectos secundarios de los ataques

Retrodispersión

En la seguridad de las redes informáticas, la retrodispersión es un efecto secundario de un ataque de denegación de servicio falsificado. En este tipo de ataque, el atacante falsifica (o falsifica) la dirección de origen en los paquetes IP enviados a la víctima. En general, la máquina de la víctima no puede distinguir entre los paquetes falsificados y los paquetes legítimos, por lo que la víctima responde a los paquetes falsificados como lo haría normalmente. Estos paquetes de respuesta se conocen como retrodispersión.

Si el atacante está falsificando direcciones de origen aleatoriamente, los paquetes de respuesta de retrodispersión de la víctima se enviarán a destinos aleatorios. Este efecto puede ser utilizado por telescopios de red como evidencia indirecta de tales ataques.

El término análisis de retrodispersión se refiere a la observación de paquetes de retrodispersión que llegan a una porción estadísticamente significativa del espacio de direcciones IP para determinar las características de los ataques DoS y las víctimas.

Legalidad

Numerosos sitios web que ofrecen herramientas para llevar a cabo un ataque DDoS fueron capturados por el FBI bajo la Ley de fraude y abuso informático.

Muchas jurisdicciones tienen leyes según las cuales los ataques de denegación de servicio son ilegales.

El 7 de enero de 2013, Anonymous publicó una petición en el sitio whitehouse.gov solicitando que DDoS sea reconocido como una forma legal de protesta similar a las protestas de Occupy, alegando que la similitud en el propósito de ambas es la misma.