Ataque de denegación de serviciu

De Wikipedia
Saltar a navegación Saltar a la gueta
Diagrama d'un ataque DDoS usando'l software Stacheldraht.

En seguridá informática, un ataque de denegación de serviciu, tamién llamáu ataque DOS (poles sos sigles n'inglés, Denial of Service), ye un ataque a un sistema de computadoras o rede que causa qu'un serviciu o recursu sía inaccesible a los usuarios lexítimos. De normal provoca la perda de la conectividad cola rede pol consumu del anchu de banda de la rede de la víctima o sobrecarga de los recursos computacionales del sistema atacáu. Un exemplu notable d'ello produció'l 27 de marzu de 2013, cuando l'ataque d'una empresa a otra anubrió la rede de corréivos basura provocando una ralentización xeneral de Internet ya inclusive llegó a afectar a puntos clave como'l nodo central de Londres.[1]

Atacar DOS xenerar por aciu la saturación de los puertos con múltiples fluxos d'información, faciendo qu'el servidor se sobrecargue y nun pueda siguir emprestando'l so serviciu. Por eso denominar denegación, pos fai que'l servidor nun pueda atender a la cantidá enorme de solicitúes. Esta técnica ye usada polos crackers o pirates informáticos pa dexar fora de serviciu servidores oxetivu.

Una ampliación del ataque DOS ye'l llamáu ataque de negación de serviciu distribuyíu (DDoS poles sos sigles n'inglés) el cual llévase a cabu xenerando un gran fluxu d'información dende dellos puntos de conexón escontra un mesmu puntu de destín. La forma más común de realizar un DDoS ye al traviés d'una rede de bots, siendo esta técnica'l ciberataque más avezáu y eficaz pola so cencellez teunolóxica.

N'ocasiones, esta ferramienta foi utilizada como un bon métodu pa comprobar la capacidá de tráficu qu'un ordenador puede soportar ensin volvese inestable y afectar a los servicios qu'empresta. Un alministrador de redes puede asina conocer la capacidá real de cada máquina.

Métodos d'ataque[editar | editar la fonte]

Un ataque de negación de serviciu torga l'usu lexítimu de los usuarios al usar un serviciu de rede. L'ataque puede dase de munches formes. Pero toos tienen daqué de mancomún: utilicen la familia de protocolos TCP/IP pa consiguir el so propósitu.

Un ataque DOS puede ser perpetáu de delles formes. Anque básicamente consisten en:

  • Consumu de recursos computacionales, tales como anchu de banda, espaciu de discu, o tiempu de procesador.
  • Alteración d'información de configuración, tales como información de rutes d'encaminamientu.
  • Alteración d'información d'estáu, tales como interrupción de sesiones TCP (TCP reset).
  • Interrupción de componentes físicos de rede.
  • Obstrucción de medios de comunicación ente usuarios d'un serviciu y la víctima, de manera que yá nun puedan comunicase afechiscamente.

Enllena SYN (SYN Flood)[editar | editar la fonte]

Principios de TCP/IP[editar | editar la fonte]

Cuando una máquina comunicar por aciu TCP/IP con otra, unvia una serie de datos al pie de el pidimientu real. Estos datos formen la cabecera de la solicitú. Dientro de la cabecera atopen unes señalizaciones llamaes Flags (banderes). Estes señalizaciones (banderes) dexen empecipiar una conexón, cerrala, indicar qu'una solicitú ye urxente, reiniciar una conexón, etc. Les banderes inclúyense tantu na solicitú (vecera), como na respuesta (servidor).

Pa esclarialo, veamos cómo ye un intercambiu estándar TCP/IP:

1) Establecer Conexón: el veceru unvia una Flag SYN; si'l servidor acepta la conexón, ésti tendría de responde-y con un SYN/ACK; depués el veceru tendría de responder con una Flag ACK.

1-Veceru --------SYN-----> 2 Servidor
4-Veceru <-----SYN/ACK---- 3 Servidor
5-Veceru --------ACK-----> 6 Servidor

2) Resetear Conexón: al haber dalgún erru o perda de paquetes d'unviada establez unviada de Flags RST:

1-Veceru -------Reset-----> 2-servidor
4-Veceru <----Reset/ACK---- 3-Servidor
5-Veceru --------ACK------> 6-Servidor

L'hinchente SYN unvia un fluxu de paquetes TCP/SYN (dellos pidimientos con Flags SYN na cabecera), munches vegaes cola dirección d'orixe falsificada. Cada unu de los paquetes recibíos ye tratáu pol destín como un pidimientu de conexón, causando que'l servidor intente establecer una conexón al responder con un paquete TCP/SYN-ACK y esperando el paquete de respuesta TCP/ACK (Parte del procesu d'establecimientu de conexón TCP de 3 víes). Sicasí, por cuenta de que la dirección d'orixe ye falsa o la dirección IP real nun solicitó la conexón, nunca llega la respuesta.

Estos intentos de conexón peracaben recursos nel servidor y acopen el númberu de conexones que pueden establecese, amenorgando la disponibilidad del servidor pa responder pidimientos lexítimos de conexón.

SYN cookies aprove un mecanismu de protección contra Enllena SYN, esaniciando la reserva de recursos nel host destín, pa una conexón en momentu de la so xestión inicial.

Enllena ICMP (ICMP Flood)[editar | editar la fonte]

Artículu principal: Nuke

Ye una técnica DOS que pretende escosar l'anchu de banda de la víctima. Consiste n'unviar de forma siguida un númberu eleváu de paquetes ICMP Echo request (ping) de tamañu considerable a la víctima, de forma que esta hai de responder con paquetes ICMP Echo reply (pong) lo que supon una sobrecarga tantu na rede como nel sistema de la víctima.

Dependiendo de la relación ente capacidá de procesamientu de la víctima y l'atacante, el grau de sobrecarga varia, esto ye, si un atacante tien una capacidá enforma mayor, la víctima nun puede remanar el tráficu xeneráu.

SMURF[editar | editar la fonte]

Artículu principal: Ataque smurf

Esiste una variante a ICMP Flood denomináu Ataque Smurf qu'amplifica considerablemente los efectos d'un ataque ICMP.

Esisten trés partes nun Ataque Smurf: L'atacante, l'intermediariu y la víctima (vamos comprobar que l'intermediariu tamién puede ser víctima).

Nel ataque Smurf, l'atacante dirixe paquetes ICMP tipu "echo request" (ping) a una dirección IP de broadcast, usando como dirección IP orixe, la dirección de la víctima (Spoofing). Espérase que los equipos conectaos respuendan al pidimientu, usando Echo reply, a la máquina orixe (víctima).

Dizse que l'efectu ye amplificáu, por cuenta de que la cantidá de respuestes llograes, correspuende a la cantidá d'equipos na rede que puedan responder. Toes estes respuestes son dirixíes a la víctima intentando colapsar los sos recursos de rede.

Como se dixo enantes, los intermediarios tamién sufren los mesmos problemes que les mesmes víctimes.

Enllena UDP (UDP Flood)[editar | editar la fonte]

Básicamente esti ataque consiste en xenerar grandes cantidaes de paquetes UDP contra la víctima escoyida. Por cuenta de la naturaleza ensin conexón del protocolu UDP, esti tipu d'ataques suel venir acompañáu de IP spoofing.

Ye avezáu dirixir esti ataque contra máquines qu'executen el serviciu Echo, de forma que se xeneren mensaxes Echo d'un eleváu tamañu.[ensin referencies][2]

Impactu na rede[editar | editar la fonte]

A nivel global, esti problema foi creciendo, en parte pola mayor facilidá pa crear ataques y tamién pola mayor cantidá d'equipos disponibles mal configuraos o con fallos de seguridá que son esplotaos pa xenerar estos ataques. Vese un aumentu nos ataques por reflexón y d'amplificación per sobre l'usu de botnets.[3]

A principios de 2014, l'usu d'ataques basaos en protocolos UDP aumentó significativamente. Anguaño asoceden importantes incidentes con ataques basaos en CHARGEN, NTP y DNS[4]. D'alcuerdu al reporte de DDOS de Prolexic de Q1 2014, l'anchu de banda promedio de los ataques creció nun 39% al respective de los ataques del 2013. Respectu del mesmu trimestre del 2013, hubo un 47% d'aumentu na cantidá d'ataques y un 133% de crecedera del anchu de banda punta (peak) de los ataques.[5]

El 21 d'ochobre de 2016 asocedieron, principalmente en Estaos Xuníos, los ataques más masivos de la última década y viéronse afectaes aplicaciones y página web como Twitter, Spotify, Amazon, Netflix y la versión dixital de The New York Times.[6]

Ver tamién[editar | editar la fonte]

Referencies[editar | editar la fonte]

  1. «Una disputa ente empreses ralentiza Internet.» por Rosa Jiménez Cano y publicáu en El País el 27 de marzu de 2013. Comprobáu'l 27 de marzu de 2013.
  2. «Ataques DDOS» (español). Consultáu'l 17 d'ochobre de 2017.
  3. «Q1 2014 sees surde in reflection-based DDoS attacks» (inglés). Consultáu'l 18 d'abril de 2014.
  4. sistemes-de.html Apangar los ataques de denegación de serviciu distribuyíu basaos na amplificación DNS
  5. «Akamai Publishes Prolexic Q1 2014 Global DDoS Attack Report» (inglés) (17 d'abril de 2014). Consultáu'l 18 d'abril de 2014.
  6. «Varios ciberataques masivos inutilizan les webs de grandes compañíes». Consultáu'l 22 d'ochobre de 2016.

Enllaces esternos[editar | editar la fonte]



Ataque de denegación de servicio