Denegación de servicio

Denegación de servicio (en italiano, literalmente, denegación de servicio (abreviado como DoS), en el campo de la seguridad cibernética, indica un mal funcionamiento debido a un ataque cibernético en el que está agotando deliberadamente los recursos de un sistema informático que proporciona un servicio al cliente, como un sitio web en un servidor web, hasta que ya no es capaz de proporcionar el servicio a los clientes solicitantes. En una denegación de servicio distribuida, el tráfico de datos entrante que inunda a la víctima proviene de muchas fuentes diferentes. El ejemplo en analogía es el de un grupo de personas que agolpan la puerta principal o la puerta de una tienda o negocio, y no permiten que las partes legítimas entren en la tienda o negocio, interrumpen las operaciones normales. Esto en realidad hace que sea imposible detener el ataque simplemente bloqueando una sola fuente. Además del sentido primario de denegación de servicio como una acción deliberada, puede ser referido como una acción accidental, siguiendo por ejemplo una configuración incorrecta, o como en el caso del efecto Slashdot.

Algunos testimonios muestran que la primera demostración del ataque de DoS fue hecha por Khan C. Smith en 1997 durante un evento DEF CON que cortó el acceso a internet a Las Vegas Strip durante más de una hora. El lanzamiento del código de muestra durante el evento llevó al ataque en línea de Sprint, EarthLink, E - Trade y otras grandes empresas en el año siguiente.

Los ataques suelen llevarse a cabo mediante el envío de muchos paquetes de solicitudes, generalmente a un servidor Web, FTP o correo electrónico saturando sus recursos y haciendo que este sistema sea "inestable" y no esté disponible para otros usuarios. Por lo tanto, cualquier sistema conectado a Internet y que proporcione servicios de red basados en TCP está sujeto al riesgo de ataques DoS. Inicialmente este tipo de ataque fue llevado a cabo por "crackers" , como un gesto de disidencia ética contra sitios web e instituciones comerciales. Los ataques DoS tienen la connotación decididamente más "criminal" de impedir que los usuarios de la red accedan a los sitios web víctimas del ataque. Para hacer que el ataque sea más efectivo, se suelen utilizar muchos ordenadores desconocidos, llamados zombies, en los que previamente se ha inoculado un programa especialmente creado para ataques DoS y que se activa a una orden proveniente del creador de crackers. Si el programa malicioso se ha extendido a muchos equipos, puede suceder que miles de PC hackeados por un cracker, o una botnet, sin saberlo y al mismo tiempo producir un flujo incontenible de datos que abrumará como una avalancha incluso los enlaces más amplios del sitio de destino. No solo los sistemas servidor pueden ser víctimas de un ataque DoS, sino también usuarios y clientes simples, aunque estos ataques son mucho menos frecuentes y no interesan a los llamados crackers. La probabilidad cada vez menor de encontrar sistemas verdaderamente vulnerables ha significado que los ataques DoS más atroces han disminuido, pero se ha descubierto una vulnerabilidad extrema de la red debido al aumento constante en el poder operativo de las computadoras personales actuales y el acceso a internet a través de los sistemas DNS. La implementación del protocolo TCP / IP, que no garantiza una seguridad particular en la identificación de los remitentes de paquetes, sino que protege su anonimato, puede aprovecharse para enmascarar su verdadero origen. Dado que estas son conexiones aparentemente legítimas, es imposible bloquearlas sin interrumpir incluso el flujo realmente inofensivo. Sin embargo, al limitar drásticamente el número de sesiones abiertas simultáneamente, el impacto del ataque se reduce en gran medida sin limitar el flujo de paquetes regulares. Incluso limitando el discurso al bloqueo de un sitio web hay, y se han utilizado, varias maneras de lograr este resultado. Por lo general, los ataques DoS pueden ser explotados para exigir un rescate, como preludio de otro ataque (tal vez bloqueando un servicio de defensa o incluso el propio servicio para reemplazarlo con uno falso), como vandalismo o como una forma de protesta (hacktivismo). El equipo de preparación para Emergencias Informáticas de los Estados Unidos (US-CERT) ha identificado los siguientes síntomas de una denegación de servicio: los síntomas adicionales pueden incluir: si el ataque se lleva a cabo a una escala suficientemente amplia, regiones geográficas enteras conectadas a Internet pueden verse comprometidas sin el conocimiento o la intención del atacante de ser parte del equipo de la infraestructura de red está configurado de inconsistentemente El propósito de este ataque es saturar la cola de backlog con solicitudes para activar un servicio (TCP SYN set) más allá de la expiración del tiempo de espera relevante y no permitir que la víctima complete el apretón de manos de 3 vías; de esta manera, no podrá manejar el SYN legal al que se le denegará el servicio.

Estos tipos de ataque, provenientes de una sola fuente, son potencialmente rastreables. Históricamente, SYN-Flooding representa el antepasado de los ataques DoS, que tiene sus raíces directas en Ping of Death. El término inundación Syn, traducido literalmente como "la inundación de paquetes de tipo Syn" , se deriva del hecho de que cada vez que un usuario hace clic en un hipervínculo en una página web requiere abrir una conexión (como TCP) al sitio; esto se hace siguiendo una serie de pasos, el primero de los cuales consiste en el envío de un paquete TCP que requiere abrir una conexión. Todas las reglas de funcionamiento del protocolo TCP requieren que el sistema responda asignando ciertos recursos (en la práctica memoria) para la conexión. Mediante la adecuada programación de un simple PC, es posible solicitar la apertura de varios miles de conexiones por segundo, que "inundando" el servidor y consumir toda la memoria, bloqueo o estrellarse ella. Los paquetes maliciosos creados con una dirección IP falsificada (es decir, modificada en comparación con el original), el equipo como "vulnerable" una denegación de servicio temporal; sin embargo, debido a que las conexiones que normalmente están disponibles son lentas para todos (para aquellos bien intencionados, así como para los malos), este tipo de ataque se vuelve poco práctico en el sentido de que no da el resultado esperado (es decir, precisamente, la congestión del servidor), un ejemplo sería el siguiente: el atacante envía una serie de solicitudes a la víctima y a la máquina servidor en la que están hechas de los servicios, no podrá manejar todas las solicitudes y los servicios se bloquearán, lo que resulta en una muy lenta y luego, más tarde, inaccesible El punto débil de este tipo de ataque es que la computadora atacante debe ser capaz de enviar el flujo de paquetes a través de la conexión a internet al servidor atacado. De lo contrario, el atacante debe ser capaz de proporcionar "credenciales" de acceso válidas para aprovechar la vulnerabilidad en el sistema operativo y llevar a cabo efectivamente el ataque en el sitio de destino. De esta manera, cualquier usuario no podrá acceder a los servicios, recibiendo un error de solicitud caducado o tiempo de espera. El ataque Syn-Flood utiliza herramientas que caen bajo la categoría Tribe Flood Network (TFN) y actúa creando conexiones que resultan ser medio abiertas. El protocolo clásico utilizado en DoS es el ICMP (usado especialmente en los ataques Ping): enviar millones será capaz de bloquear el funcionamiento de cualquier sitio de Internet, pero al ser un modelo de ataque "uno a uno" , a un paquete saliente corresponderá la recepción de un solo paquete al sistema atacado. Por lo tanto, será necesario que los crackers puedan tener un gran número de PC cliente "controlados" , incluso si no es tan fácil "inocular" el código malicioso en un número tan grande de máquinas, gracias a la acción específica de antivirus, parches de seguridad y técnicos informáticos. Un modo de ataque más sofisticado, llamado Ataque Pitufo, utiliza un flujo de paquetes modesto, capaz de pasar a través de una conexión normal a través de módem, y una red externa (evidentemente mal configurada) que actúa como un multiplicador de paquetes, que eventualmente se dirigen hacia el objetivo final a lo largo de líneas de comunicación de alta velocidad. Técnicamente, uno o más paquetes de difusión se envían a una red externa que consiste en tantos hosts como sea posible y con la dirección del remitente apuntando al destino (broadcast storm). Por ejemplo, se puede utilizar una solicitud echo ICMP (Internet Control Message Protocol), previamente falsificada por la persona que implementa materialmente el ciberataque. Tenga en cuenta que este tipo de ataque es posible solo en presencia de redes que tienen errores graves en la configuración de los sistemas (específicamente en la configuración de los enrutadores) que los conectan entre sí y con Internet. El ataque RUDY tiene como objetivo golpear las aplicaciones Web que conducen a la inactividad de las sesiones puestas a disposición por el servidor. Al igual que Slowloris, RUDY mantiene las sesiones interrumpidas mediante el uso de publicaciones interminables y el envío de encabezados con contenido arbitrariamente grande. En 2015, las botnets DDoS como DD4BC crecieron cada vez más importantes, dirigidas a instituciones financieras. Los extorsionistas cibernéticos generalmente comienzan con un ataque de bajo nivel y una advertencia de que se ejecutará un ataque más grande si no se paga un rescate en Bitcoin. Los expertos en seguridad recomiendan no pagar nunca el rescate, ya que los atacantes tienden a entrar en un régimen de extorsión extendida una vez que reconocen que el objetivo está listo para pagar.

En estos ataques, el objetivo es atacado simultáneamente desde múltiples fuentes, por lo que es difícil rastrear al atacante original. Una variante de este enfoque es DDoS (distributed Denial of Service), con funcionamiento idéntico pero realizado utilizando numerosas máquinas atacantes que juntas constituyen una botnet. Por supuesto, los atacantes tienden a no exponerse directamente, en este caso para la aplicación de la ley sería de hecho simple rastrear los equipos utilizados para el ataque. Para evitar ser detectados, los atacantes pre-infectan un gran número de ordenadores con virus o gusanos que dejan puertas traseras abiertas reservadas para ellos, también para tener un número suficiente de ordenadores disponibles para el ataque. Las computadoras que son controladas por el atacante se llaman zombies. Todos los equipos infectados se convierten en parte de una botnet, disponible gratuitamente para el atacante. Una nota interesante es dada por la distinción entre las máquinas que ejecutan un sistema operativo Windows (definido, en jerga, rxbot) y aquellos que ejecutan un sistema Unix, particularmente adecuado para la inundación UDP (inundación en el protocolo UDP). Una peculiaridad de los zombies de windows está dada por la posibilidad, para el atacante, de programar un troyano - cit. Trojan horse-in puede propagarse automáticamente a una serie de contactos en el equipo infectado (en la libreta de direcciones y programas de mensajería instantánea como Microsoft Messenger), permitiendo así que los ordenadores zombie infecten, de manera completamente autónoma, y otras máquinas que, a su vez, se convierten en parte de la botnet y el atacante. Esto se llama, en jerga, una función de auto-propagación. Cuando el número de zombies se considera adecuado, o cuando se produce una condición determinada, los equipos infectados se activan y abruman al servidor de destino con solicitudes de conexión. Con el advenimiento de la banda ancha, el fenómeno de DDoS está asumiendo proporciones alarmantes, dado que actualmente hay millones de personas con una conexión a Internet muy rápida y permanente, pero con poco o ningún conocimiento y contramedidas relacionadas con la seguridad informática. El mayor daño del ataque DDoS se debe principalmente a la "asimetría" que se crea entre la "solicitud" y las respuestas relacionadas en una sesión DNS (sistema de nombres de dominio). El enorme flujo de respuestas generadas causará en el sistema tal "inundación" de tráfico, haciendo que el servidor sea inadecuado para administrar las funciones en línea habituales. Al reenviar al sitio Objetivo una respuesta de unos pocos kilobytes para cada solicitud que contiene solo unos pocos bytes, se obtiene una amplificación exponencial como para saturar los canales de datos más amplios, alcanzando niveles de DDoS hasta ahora inalcanzables con otros tipos de ataques DoS. Las configuraciones predeterminadas y los Firewall "recomendados" , son útiles para contrarrestar solo los "ataques" lanzados desde fuera, por ejemplo de una empresa, pero como el tráfico de red gestionado a través del sistema DNS es vital, para enfrentar este tipo de ataque no podrá implementar las mismas estrategias utilizadas contra los ataques en pings. Como resultado, el Administrador de red tendrá que controlar y monitorear escrupulosamente los canales de flujo de datos y, para excluir la intervención o contrarrestar la acción de un cracker, reconfigurará el DNS responsable del sitio. Una categoría particular de DDoS es la llamada denegación de servicio reflejada distribuida (DRDoS). En este tipo particular de ataque, la computadora atacante produce solicitudes de conexión a servidores con conexiones de red muy rápidas utilizando como dirección de origen no la suya sino la del objetivo del ataque. De esta manera, los servidores responderán afirmativamente a la solicitud de conexión no al atacante sino al objetivo del ataque. A través del efecto multiplicador dado por las retransmisiones del servidor contactado, que en vista de la falta de respuesta del objetivo del ataque (al parecer, el iniciador de la conexión) se retransmitirá (hasta 3 veces por lo general) el paquete imaginándolo lejos, se entra en un círculo vicioso que rápidamente agotará los recursos del objetivo. Este último tipo de ataque es particularmente tortuoso porque, debido a la naturaleza de las respuestas, es difícil proteger del usuario común: de hecho, si filtrassero las respuestas del servidor se ve comprometida la funcionalidad de la conexión de red al impedir la recepción de la información deseada. Las respuestas de los servidores, solicitadas por el atacante, son de hecho indistinguibles de las generadas por una solicitud legítima de la víctima. El problema se presenta con mayor incidencia desde que Microsoft decidió hacer los "Sockets Raw" , interfaces de acceso TCP/IP, fácilmente disponibles. Los Sockets RAW permiten cambiar la dirección de origen del paquete para sustituirla por la de la víctima, hecho que es instrumental para este tipo de ataque. Uno de los ataques reflejados más clásicos es el ataque ACK. En este caso, el atacante genera un paquete TCP SYN al reflector (en este caso un servidor TCP, por ejemplo, un servidor Web). Este último responde con un paquete Syn / ACK, para establecer la conexión según el protocolo. La víctima será entonces inundada con paquetes TCP fuera de secuencia provenientes de un servidor web "limpio" . Este ataque es particularmente insidioso porque no hay forma de distinguir los syns falsos de los syns reales y, por lo tanto, no hay forma de que el reflector se proteja a sí mismo. La víctima puede protegerse a sí misma con un firewall con estado, es decir, capaz de descartar paquetes TCP fuera de secuencia.

Soluciones que cumplen con el estándar: soluciones que no cumplen con el estándar:

Para implementar los filtros que controlan la entrada, en su propio router y firewall, los paquetes que contienen información sobre el origen de los datos alterados (es decir, falsificados); no obtendrá un apagado del ataque DoS pero podrá reconstruir el flujo de tráfico, calificado como "malicioso" en un tiempo relativamente corto, para permitir la reacción defensiva del proveedor de servicios de Internet (anti-spoofing). En el caso de un ataque simple, un firewall puede tener una regla simple agregada para denegar todo el tráfico entrante de atacantes, basado en protocolos, puertos o direcciones IP de origen. Sin embargo, es difícil bloquear ataques más complejos con reglas simples: por ejemplo, si un ataque está en curso en el puerto 80 (servicio Web), no puede eliminar todo el tráfico entrante en este puerto, ya que al hacerlo evitará que el servidor sirva tráfico legítimo. Además, los cortafuegos pueden ser demasiado profundos en la jerarquía de la red, con los enrutadores afectados negativamente antes de que el tráfico llegue al cortafuegos. La mayoría de los interruptores tienen una limitación de velocidad y capacidad ACL. Algunos switches proporcionan sistema automático y/o limitación de velocidad, perfilado de Tráfico, Enlace retardado (empalme TCP), inspección profunda de paquetes y filtrado de Bogon (filtrado IP falso) para detectar y corregir ataques DoS. Estos esquemas funcionarán siempre y cuando los ataques DoS se puedan prevenir al usarlos. Por ejemplo, puede evitar la inundación SYN usando enlace retardado o empalme TCP. El filtro automático de velocidad puede funcionar siempre que los umbrales de velocidad se hayan establecido correctamente. Al igual que los switches, los routers tienen algunas características de limitación de velocidad y ACL. También se configuran manualmente. La mayoría de los routers pueden ser fácilmente abrumados por un ataque DoS. Cisco IOS tiene características opcionales que pueden reducir el impacto de las inundaciones. Muchos routers actualmente le permiten limitar la cantidad de ancho de banda utilizado para proporcionar un servicio a través de "muestreo" y análisis de paquetes que pasan a través de él. En caso de un ataque, el ancho de banda suficiente no permanecerá activo para causar daños sustanciales o bloquear el flujo legítimo de datos. Esta limitación se logrará, por ejemplo, con el uso de una máquina Linux que actúa como pasarela a través de una acción CAR (commited access Rate); esto bloqueará un ataque DDoS que utilice paquetes ICMP o TCP, SYN, ya que la banda utilizable por estos estará considerablemente limitada. Estos son sistemas comerciales capaces de identificar Trinoo y TFN. Por ejemplo, el FBI proporciona, de forma gratuita, un producto llamado Find DDoS capaz de descubrir los sistemas de archivos vistos anteriormente, el resultado del ataque de denegación de servicio distribuido. A través de estos sistemas de verificación (Intrusion Detection System) se detectan los atacantes que se comunican a través de slave, agent y master, descubriendo si algunas de las máquinas de su red son utilizadas, maliciosamente, como peones para lanzar el ataque. En concreto, las herramientas de auditoría de red son programas que permiten la verificación y análisis de la red corporativa en busca de agentes capaces de provocar un ataque DDoS. Los sistemas de prevención de intrusiones (IPS) son eficaces si las "firmas" están asociadas con ataques. Una IP basada en ASIC puede detectar y bloquear ataques de denegación de servicio porque tiene la potencia de procesamiento y la granularidad para analizar ataques y actuar como un interruptor automático. Una IP basada en tasas (RBIPS) debe analizar el tráfico de manera granular, monitorear continuamente el patrón de tráfico y determinar si hay una anomalía de tráfico. Debe permitir el flujo de tráfico legítimo mientras bloquea el tráfico de ataque DoS.

Software malicioso

Técnicas de ataque cibernético

Hacking

Seguridad de la red

Seguridad De La Capa De Transporte

Transport Layer Security (TLS) y su predecesor, Secure Sockets Layer (SSL) son protocolos de presentación criptográfica utilizados en el campo de las telecomuni...

Autenticación de acceso de resumen

La autenticación Digest access es un método acordado que un servidor web puede usar para negociar las credenciales, como el nombre de usuario o la contraseña, d...

Protocolos de nivel de presentación

Protocolos criptográficos

Esta página se basa en el artículo de Wikipedia: Fuente, Autores, Licencia Creative Commons Reconocimiento-CompartirIgual.
This page is based on the Wikipedia article: Source, Authors, Creative Commons Attribution-ShareAlike License.
contactos
Política de privacidad , Descargos de responsabilidad