Ataque de denegación de servicio
De Wikipedia, la enciclopedia libre
En seguridad informática, un ataque de denegación de servicio, también llamado ataque DoS (de las siglas en inglés Denial of Service), es un ataque a un sistema de ordenadores o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos. Normalmente provoca la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima.
Se genera mediante la saturación de los puertos con flujo de información, haciendo que el servidor se sobrecargue y no pueda seguir prestando servicios, por eso se le dice "denegación", pues hace que el servidor no de abasto a la cantidad de usuarios. Esta técnica es usada por los llamados crackers para dejar fuera de servicio a servidores objetivo.
El llamado DDoS (siglas en inglés de Distributed Denial of Service, denegación de servicio distribuida) es una ampliación del ataque DoS, se efectúa con la instalación de varios agentes remotos en muchas computadoras que pueden estar localizadas en diferentes puntos. El invasor consigue coordinar esos agentes para así, de forma masiva, amplificar el volumen del flood o saturación de información, pudiendo darse casos de un ataque de cientos o millares de computadoras dirigido a una máquina o red objetivo. Esta técnica se ha revelado como una de las más eficaces y sencillas a la hora de colapsar servidores, la tecnología distribuida ha ido sofisticándose hasta el punto de otorgar poder de causar daños serios a personas con escaso conocimiento técnico.
En ocasiones, esta herramienta ha sido utilizada como un notable método para comprobar la capacidad de tráfico que un ordenador puede soportar sin volverse inestable y perjudicar los servicios que desempeña. Un administrador de redes puede así conocer la capacidad real de cada máquina.
Un ejemplo actual: el domingo 3 de febrero de 2008, la web Genbeta dejó de funcionar debido a un DDoS de gran magnitud que afectó no solo a éste, sino a todo Weblog SSL.[1]
Tabla de contenidos |
[editar] Métodos de ataque
Un ataque de "Denegación de servicio" previene el uso legítimo de los usuarios al usar un servicio de red. El ataque se puede dar de muchas formas. Pero todas tienen algo en común: utilizan el protocolo TCP/IP para conseguir su propósito.
[editar] Principios de TCP/IP
Cuando una máquina se comunica mediante TCP/IP con otra, envía una serie de datos junto a la petición real. Estos datos forman la cabecera de la solicitud. Dentro de la cabecera se encuentran unas señalizaciones llamadas FLAGS (banderas). Estas señalizaciones (banderas) permiten iniciar una conexión, cerrarla, indicar que una solicitud es urgente, reiniciar una conexión, etc... Las banderas se incluyen tanto en la solicitud (cliente), como en la respuesta (servidor).
Para aclararlo, veamos como es un intercambio estándar TCP/IP:
- 1 Establecer Conexion: El cliente envia un flags SYN, si el servidor acepta la conexión este deberia responderle con un SYN/ACK luego el cliente deberia Responder con un ACK.
1-Cliente -------SYN-----> 2 Servidor
4-Cliente <-----SYN/ACK---- 3 Servidor
5-Cliente -------ACK------> 6 Servidor
- 2 Resetear Conexión: Al haber algun error o perdida de paquetes de envio se establece envio de flags RST:
1-Cliente-------Reset------> 2-servidor
4-Cliente <--Reset/ACK------- 3-Servidor
5-Cliente-------ACK---------- 6-Servidor
[editar] Uso de los FLAGS para ataques
Inundación SYN (SYN Floods)
La inundación SYN envía un flujo de paquetes TCP/SYN (varias peticiones con el FLAG SYN en la cabecera), muchas veces con la dirección de origen falsificada. Cada uno de los paquetes recibidos es tratado por el destino como una petición de conexión, causando que el servidor intente establecer una conexión al responder con un paquete TCP/SYN-ACK y esperando el paquete de respuesta TCP/ACK (Parte del proceso de establecimiento de conexión TCP de 3 vías). Sin embargo, debido a que la dirección de origen es falsa o la dirección IP real no ha solicitado la conexión, nunca llega la respuesta.
Estos intentos de conexión consumen recursos en el servidor y limitan el número de conexiones que se pueden hacer, reduciendo la disponibilidad del servidor para responder peticiones legítimas de conexión.
Ataque LAND (LAND attack)
Un ataque LAND se realiza al enviar un paquete TCP/SYN falsificado con la dirección del servidor objetivo como si fuera la dirección origen y la dirección destino a la vez. Esto causa que el servidor se responda a sí mismo continuamente y al final falle.
Inundación ICMP (ICMP floods)
Es una técnica DoS que pretende agotar el ancho de banda de la víctima. Consiste en enviar de forma continuada un número elevado de paquetes ICMP echo request (ping) de tamaño considerable a la víctima, de forma que esta ha de responder con paquetes ICMP echo reply (pong) lo que supone una sobrecarga tanto en la red como en el sistema de la víctima.
Dependiendo de la relación entre capacidad de procesamiento de la víctima y atacante, el grado de sobrecarga varía, es decir, si un atacante tiene una capacidad mucho mayor, la víctima no puede manejar el tráfico generado.
Existe una variante denominada smurf que amplifica considerablemente los efectos de un ataque ICMP. En el smurf el atacante dirige paquetes ICMP echo request a una dirección IP de broadcast10.
Existen tres partes en un ataque smurf: El atacante, el intermediario y la víctima (comprobaremos que el intermediario también puede ser víctima).
Cuando el atacante genera el paquete ICMP echo request, este es dirigido a una dirección IP de broadcast, pero la dirección origen del paquete IP la cambia por la dirección de la víctima (IP spoofing), de manera que todas las máquinas intermediarias (máquinas pertenecientes a la red donde se envió el paquete) responden con ICMP echo reply a la víctima. Como se dijo anteriormente, los intermediarios también sufren los mismos problemas que las propias víctimas.
Inundación UDP (UDP floods)
Básicamente este ataque consiste en generar grandes cantidades de paquetes UDP contra la víctima elegida. Debido a la naturaleza sin conexión del protocolo UDP, este tipo de ataques suele venir acompañado de IP spoofing.
Es usual dirigir este ataque contra máquinas que ejecutan el servicio echo de forma que se generan mensajes echo de un elevado tamaño.
