Ataque de denegación de servicio

Tipo de ciberataque

Diagrama de un ataque DDoS. Observe cómo varias computadoras atacan a una sola computadora.

En informática , un ataque de denegación de servicio ( ataque DoS ) es un ciberataque en el que el perpetrador busca hacer que una máquina o un recurso de red no esté disponible para sus usuarios previstos interrumpiendo temporal o indefinidamente los servicios de un host conectado a una red . La denegación de servicio generalmente se logra inundando la máquina o el recurso objetivo con solicitudes superfluas en un intento de sobrecargar los sistemas e impedir que se cumplan algunas o todas las solicitudes legítimas. ^[1] La gama de ataques varía ampliamente, desde inundar un servidor con millones de solicitudes para disminuir su rendimiento, abrumarlo con una cantidad sustancial de datos no válidos, hasta enviar solicitudes con una dirección IP ilegítima . ^[2]

En un ataque distribuido de denegación de servicio ( ataque DDoS ), el tráfico entrante que inunda a la víctima proviene de muchas fuentes diferentes. Se requieren estrategias más sofisticadas para mitigar este tipo de ataques; simplemente intentar bloquear una sola fuente es insuficiente ya que existen múltiples fuentes. ^[3] Un ataque DoS o DDoS es análogo a un grupo de personas abarrotando la puerta de entrada de una tienda, dificultando la entrada de clientes legítimos, interrumpiendo así el comercio y perdiendo dinero del negocio. Los perpetradores criminales de ataques DoS a menudo apuntan a sitios o servicios alojados en servidores web de alto perfil, como bancos o pasarelas de pago con tarjetas de crédito . La venganza y el chantaje , ^{[4] [5] [6]} así como el hacktivismo , ^[7] pueden motivar estos ataques.

Historia

Panix , el tercer ISP más antiguo del mundo, fue el objetivo de lo que se cree que es el primer ataque DoS. El 6 de septiembre de 1996, Panix fue objeto de un ataque de inundación SYN , que provocó la caída de sus servicios durante varios días mientras los proveedores de hardware, en particular Cisco , encontraban una defensa adecuada. ^[8] Khan C. Smith realizó otra demostración temprana del ataque DoS en 1997 durante un evento DEF CON , interrumpiendo el acceso a Internet en el Strip de Las Vegas durante más de una hora. La publicación del código de muestra durante el evento provocó el ataque en línea de Sprint , EarthLink , E-Trade y otras corporaciones importantes en el año siguiente. ^[9] El mayor ataque DDoS hasta la fecha ocurrió en septiembre de 2017, cuando Google Cloud experimentó un ataque con un volumen máximo de2,54 Tb/s , revelado por Google el 17 de octubre de 2020. ^[10] Se pensaba que el poseedor del récord era un ataque ejecutado por un cliente anónimo del proveedor de servicios estadounidense Arbor Networks , que alcanzó un pico de aproximadamente1,7 TB/s . ^[11]

En febrero de 2020, Amazon Web Services experimentó un ataque con un volumen máximo de2,3 TB/s . ^[12] En julio de 2021, el proveedor de CDN Cloudflare se jactó de proteger a su cliente de un ataque DDoS de una botnet global Mirai que generaba hasta 17,2 millones de solicitudes por segundo. ^[13] El proveedor ruso de prevención de DDoS , Yandex , dijo que bloqueó un ataque DDoS de canalización HTTP el 5 de septiembre de 2021 que se originó en un equipo de red Mikrotik sin parches. ^[14] En la primera mitad de 2022, la guerra en Ucrania moldeó significativamente el panorama de las ciberamenazas, con un aumento de los ciberataques atribuidos tanto a actores patrocinados por el Estado como a actividades hacktivistas globales. El evento más notable fue un ataque DDoS en febrero, el mayor que haya enfrentado Ucrania, que perturbó los servicios gubernamentales y del sector financiero. Esta ola de ciberagresión se extendió a aliados occidentales como el Reino Unido, Estados Unidos y Alemania. En particular, el sector financiero del Reino Unido experimentó un aumento de los ataques DDoS por parte de actores estatales y hacktivistas, destinados a socavar a los aliados de Ucrania. ^[15]

En febrero de 2023, Cloudflare enfrentó un ataque de 71 millones de solicitudes por segundo que, según Cloudflare, fue el ataque HTTP DDoS más grande en ese momento. ^[16] Los ataques HTTP DDoS se miden mediante solicitudes HTTP por segundo en lugar de paquetes por segundo o bits por segundo. El 10 de julio de 2023, la plataforma de fanfiction Archive of Our Own (AO3) enfrentó ataques DDoS que interrumpieron los servicios. Anonymous Sudan , que atribuyó el ataque a razones religiosas y políticas, fue visto con escepticismo por AO3 y los expertos. Flashpoint, un proveedor de inteligencia sobre amenazas, tomó nota de las actividades pasadas del grupo, pero dudó de sus motivos declarados. Es poco probable que AO3, apoyado por la Organización para Obras Transformativas (OTW) sin fines de lucro y que depende de donaciones, cumpla con el rescate de $30,000 en Bitcoin . ^{[17] [18]} En agosto de 2023, el grupo de hacktivistas NoName057 atacó varias instituciones financieras italianas mediante la ejecución de lentos ataques DoS . ^[19] El 14 de enero de 2024, ejecutaron un ataque DDoS en sitios web federales suizos, provocado por la asistencia del presidente Zelensky al Foro Económico Mundial de Davos . El Centro Nacional de Seguridad Cibernética de Suiza mitigó rápidamente el ataque, garantizando que los servicios federales básicos permanecieran seguros, a pesar de los problemas temporales de accesibilidad en algunos sitios web. ^[20] En octubre de 2023, la explotación de una nueva vulnerabilidad en el protocolo HTTP/2 dio lugar a que se batiera dos veces el récord del mayor ataque HTTP DDoS, una vez con un ataque de 201 millones de solicitudes por segundo observado por Cloudflare, ^[21] y otra vez con Un ataque de 398 millones de solicitudes por segundo observado por Google . ^[22]

Tipos

Los ataques de denegación de servicio se caracterizan por un intento explícito por parte de los atacantes de impedir el uso legítimo de un servicio. Hay dos formas generales de ataques DoS: los que bloquean los servicios y los que los inundan. Los ataques más graves se distribuyen. ^[23]

.mw-parser-output .vanchor>:target~.vanchor-text{background-color:#b1d2ff}DoS distribuido

Un ataque de denegación de servicio distribuido (DDoS) se produce cuando varios sistemas inundan el ancho de banda o los recursos de un sistema objetivo, normalmente uno o más servidores web. ^[23] Un ataque DDoS utiliza más de una dirección IP única o máquinas, a menudo de miles de hosts infectados con malware . ^{[24] [25]} Un ataque distribuido de denegación de servicio normalmente involucra más de 3 a 5 nodos en diferentes redes; menos nodos pueden calificar como un ataque DoS pero no es un ataque DDoS. ^{[26] [27]}

Varias máquinas pueden generar más tráfico de ataque que una sola máquina, varias máquinas de ataque son más difíciles de desactivar que una sola máquina de ataque y el comportamiento de cada máquina de ataque puede ser más sigiloso, lo que dificulta su seguimiento y apagado. Dado que el tráfico entrante que inunda a la víctima proviene de diferentes fuentes, puede resultar imposible detener el ataque simplemente utilizando el filtrado de entrada . También dificulta distinguir el tráfico de usuarios legítimos del tráfico de ataque cuando se distribuye en múltiples puntos de origen. Como alternativa o complemento de un DDoS, los ataques pueden implicar la falsificación de direcciones IP del remitente ( suplantación de direcciones IP ), lo que complica aún más la identificación y derrota del ataque. Estas ventajas para los atacantes plantean desafíos para los mecanismos de defensa. Por ejemplo, simplemente comprar más ancho de banda entrante que el volumen actual del ataque podría no ayudar, porque el atacante podría simplemente agregar más máquinas de ataque. ^{[ cita necesaria ]} La escala de los ataques DDoS ha seguido aumentando en los últimos años, y en 2016 superó el terabit por segundo . ^{[28] [29]} Algunos ejemplos comunes de ataques DDoS son la inundación UDP , la inundación SYN y la amplificación DNS . ^{[30] [31]}

Ataque yo-yo

Un ataque yo-yo es un tipo específico de DoS/DDoS dirigido a aplicaciones alojadas en la nube que utilizan el escalado automático . ^{[32] [33] [34]} El atacante genera una avalancha de tráfico hasta que un servicio alojado en la nube escala hacia afuera para manejar el aumento de tráfico, luego detiene el ataque, dejando a la víctima con recursos sobreaprovisionados. Cuando la víctima vuelve a reducir su tamaño, el ataque se reanuda, lo que hace que los recursos vuelvan a aumentar. Esto puede dar como resultado una calidad de servicio reducida durante los períodos de ampliación y reducción y una pérdida financiera de recursos durante los períodos de aprovisionamiento excesivo, mientras se opera con un costo menor para un atacante en comparación con un ataque DDoS normal, ya que solo necesita estar generando tráfico durante una parte del período del ataque.

Ataques a la capa de aplicación

Un ataque DDoS a la capa de aplicación (a veces denominado ataque DDoS de capa 7 ) es una forma de ataque DDoS en el que los atacantes apuntan a procesos de la capa de aplicación . ^{[35] [26]} El ataque ejercita en exceso funciones o características específicas de un sitio web con la intención de desactivar esas funciones o características. Este ataque a la capa de aplicación es diferente de un ataque a toda la red y, a menudo, se utiliza contra instituciones financieras para distraer al personal de TI y de seguridad de las violaciones de seguridad. ^[36] En 2013, los ataques DDoS a la capa de aplicación representaron el 20% de todos los ataques DDoS. ^[37] Según una investigación de Akamai Technologies , ha habido "un 51 por ciento más de ataques a la capa de aplicaciones" desde el cuarto trimestre de 2013 hasta el cuarto trimestre de 2014 y "un 16 por ciento más" desde el tercer trimestre de 2014 hasta el cuarto trimestre de 2014. ^[38] En noviembre de 2017; Junade Ali , ingeniero de Cloudflare, señaló que si bien los ataques a nivel de red siguen siendo de alta capacidad, ocurrían con menos frecuencia. Ali señaló además que, aunque los ataques a nivel de red se estaban volviendo menos frecuentes, los datos de Cloudflare demostraron que los ataques a la capa de aplicaciones aún no mostraban signos de desaceleración. ^[39]

Capa de aplicación

El modelo OSI (ISO/IEC 7498-1) es un modelo conceptual que caracteriza y estandariza las funciones internas de un sistema de comunicación dividiéndolo en capas de abstracción . El modelo es un producto del proyecto de Interconexión de Sistemas Abiertos de la Organización Internacional de Normalización (ISO). El modelo agrupa funciones de comunicación similares en una de siete capas lógicas. Una capa sirve a la capa superior y es atendida por la capa inferior. Por ejemplo, una capa que proporciona comunicaciones sin errores a través de una red proporciona la ruta de comunicación que necesitan las aplicaciones superiores, mientras llama a la siguiente capa inferior para enviar y recibir paquetes que atraviesan esa ruta. En el modelo OSI, la definición de su capa de aplicación tiene un alcance más limitado de lo que suele implementarse. El modelo OSI define la capa de aplicación como la interfaz de usuario. La capa de aplicación OSI es responsable de mostrar datos e imágenes al usuario en un formato reconocible por humanos y de interactuar con la capa de presentación debajo de ella. En una implementación, las capas de aplicación y presentación frecuentemente se combinan.

Método de ataque

El ataque DoS más simple se basa principalmente en la fuerza bruta, inundando al objetivo con un flujo abrumador de paquetes, sobresaturando el ancho de banda de su conexión o agotando los recursos del sistema del objetivo. Las inundaciones que saturan el ancho de banda dependen de la capacidad del atacante para generar un flujo abrumador de paquetes. Una forma común de lograr esto hoy en día es mediante denegación de servicio distribuida, empleando una botnet . Un ataque DDoS a la capa de aplicación se realiza principalmente con fines específicos, incluida la interrupción de transacciones y el acceso a bases de datos. Requiere menos recursos que los ataques a la capa de red, pero a menudo los acompaña. ^[40] Un ataque puede disfrazarse para que parezca tráfico legítimo, excepto que se dirija a paquetes o funciones de aplicaciones específicas. El ataque a la capa de aplicación puede interrumpir servicios como la recuperación de información o las funciones de búsqueda en un sitio web. ^[37]

DoS persistente avanzado

Un DoS persistente avanzado (APDoS) está asociado con una amenaza persistente avanzada y requiere una mitigación de DDoS especializada . ^[41] Estos ataques pueden persistir durante semanas; el período continuo más largo observado hasta ahora duró 38 días. Este ataque involucró aproximadamente más de 50 petabits (más de 50.000 terabits) de tráfico malicioso. ^[42] Los atacantes en este escenario pueden cambiar tácticamente entre varios objetivos para crear una distracción para evadir las contramedidas defensivas DDoS, pero al mismo tiempo concentran el ataque principal en una sola víctima. En este escenario, los atacantes con acceso continuo a varios recursos de red muy potentes son capaces de mantener una campaña prolongada que genera enormes niveles de tráfico DDoS no amplificado. Los ataques APDoS se caracterizan por:

• Reconocimiento avanzado ( OSINT previo al ataque y escaneo extensivo con señuelo diseñado para evadir la detección durante largos períodos)
• ejecución táctica (ataque con víctimas primarias y secundarias, pero la atención se centra en la primaria)
• Motivación explícita (un objetivo final calculado)
• gran capacidad informática (acceso a una potencia informática y un ancho de banda de red sustanciales)
• Ataques simultáneos de capas OSI de subprocesos múltiples (herramientas sofisticadas que operan en las capas 3 a 7)
• persistencia durante períodos prolongados (combinando todo lo anterior en un ataque concertado y bien administrado a través de una variedad de objetivos). ^[43]

Denegación de servicio como servicio

Algunos proveedores ofrecen los llamados servicios de arranque o estrés , que tienen interfaces simples basadas en la web y aceptan pagos a través de la web. Comercializados y promocionados como herramientas de pruebas de estrés, pueden usarse para realizar ataques de denegación de servicio no autorizados y permitir a atacantes técnicamente poco sofisticados acceder a herramientas de ataque sofisticadas. ^[44] Generalmente impulsado por una botnet, el tráfico producido por un consumidor estresante puede oscilar entre 5 y 50 Gbit/s, lo que, en la mayoría de los casos, puede negar el acceso a Internet al usuario doméstico promedio. ^[45]

Ataque de denegación de servicio modulado por Markov

Un ataque de denegación de servicio modulado por Markov ocurre cuando el atacante interrumpe los paquetes de control utilizando un modelo oculto de Markov . Un entorno en el que prevalecen los ataques basados ​​en el modelo de Markov es el de los juegos en línea, ya que la interrupción del paquete de control socava el juego y la funcionalidad del sistema. ^[46]

Síntomas

El Equipo de Preparación para Emergencias Informáticas de los Estados Unidos (US-CERT) ha identificado síntomas de un ataque de denegación de servicio que incluyen: ^[47]

• rendimiento de la red inusualmente lento (abrir archivos o acceder a sitios web),
• indisponibilidad de un sitio web en particular, o
• imposibilidad de acceder a cualquier sitio web.

Técnicas de ataque

Herramientas de ataque

En casos como MyDoom y Slowloris , las herramientas están integradas en malware y lanzan sus ataques sin el conocimiento del propietario del sistema. Stacheldraht es un ejemplo clásico de herramienta DDoS. Utiliza una estructura en capas donde el atacante usa un programa cliente para conectarse a controladores que son sistemas comprometidos que emiten comandos a los agentes zombies que a su vez facilitan el ataque DDoS. Los agentes se ven comprometidos a través de los controladores por parte del atacante que utiliza rutinas automatizadas para explotar vulnerabilidades en programas que aceptan conexiones remotas que se ejecutan en los hosts remotos de destino. Cada controlador puede controlar hasta mil agentes. ^[48]

En otros casos, una máquina puede formar parte de un ataque DDoS con el consentimiento del propietario, por ejemplo, en la Operación Payback organizada por el grupo Anonymous . El cañón de iones de órbita baja normalmente se ha utilizado de esta manera. Junto con High Orbit Ion Cannon, hoy en día hay disponible una amplia variedad de herramientas DDoS, incluidas versiones pagas y gratuitas, con diferentes funciones disponibles. Existe un mercado clandestino para estos en foros relacionados con hackers y canales IRC.

Ataques a la capa de aplicación

Los ataques a la capa de aplicaciones emplean exploits que causan DoS y pueden hacer que el software que se ejecuta en el servidor llene el espacio en disco o consuma toda la memoria o el tiempo de CPU disponibles . Los ataques pueden utilizar tipos de paquetes específicos o solicitudes de conexión para saturar recursos finitos, por ejemplo, ocupando el número máximo de conexiones abiertas o llenando el espacio en disco de la víctima con registros. Un atacante con acceso a nivel de shell a la computadora de una víctima puede ralentizarla hasta que quede inutilizable o bloquearla usando una bomba fork . Otro tipo de ataque DoS a nivel de aplicación es XDoS (o XML DoS), que puede controlarse mediante firewalls de aplicaciones web (WAF) modernos. Todos los ataques que pertenecen a la categoría de explotación del tiempo de espera . ^[49]

Los ataques DoS lentos implementan un ataque a la capa de aplicación. Ejemplos de amenazas son Slowloris, que establece conexiones pendientes con la víctima, o SlowDroid , un ataque que se ejecuta en dispositivos móviles. Otro objetivo de los ataques DDoS puede ser generar costes adicionales para el operador de la aplicación, cuando este último utiliza recursos basados ​​en la computación en la nube . En este caso, los recursos utilizados normalmente por la aplicación están vinculados a un nivel de calidad de servicio (QoS) necesario (por ejemplo, las respuestas deben ser inferiores a 200 ms) y esta regla generalmente está vinculada al software automatizado (por ejemplo, Amazon CloudWatch ^[50] ) para aumentar más recursos virtuales del proveedor para cumplir con los niveles de QoS definidos para el aumento de solicitudes. El principal incentivo detrás de tales ataques puede ser obligar al propietario de la aplicación a aumentar los niveles de elasticidad para manejar el aumento del tráfico de aplicaciones, causar pérdidas financieras u obligarlos a ser menos competitivos. Un ataque banana es otro tipo particular de DoS. Implica redirigir los mensajes salientes del cliente al cliente, evitando el acceso externo e inundando al cliente con los paquetes enviados. Un ataque TERRESTRE es de este tipo.

Ataques de degradación del servicio

Los zombis pulsantes son computadoras comprometidas que están dirigidas a lanzar inundaciones intermitentes y de corta duración en los sitios web de las víctimas con la intención simplemente de ralentizarlos en lugar de bloquearlos. Este tipo de ataque, conocido como degradación del servicio , puede ser más difícil de detectar y puede interrumpir y obstaculizar la conexión a sitios web durante períodos prolongados, lo que podría causar más interrupciones generales que un ataque de denegación de servicio. ^{[51] [52]} La exposición a ataques de degradación del servicio se complica aún más por la cuestión de discernir si el servidor realmente está siendo atacado o está experimentando cargas de tráfico legítimas superiores a las normales. ^[53]

Ataque DoS distribuido

Si un atacante realiza un ataque desde un único host, se clasificaría como un ataque DoS. Cualquier ataque contra la disponibilidad se clasificaría como un ataque de denegación de servicio. Por otro lado, si un atacante utiliza muchos sistemas para lanzar ataques simultáneamente contra un host remoto, esto se clasificaría como un ataque DDoS. El malware puede llevar mecanismos de ataque DDoS; Uno de los ejemplos más conocidos de esto fue MyDoom . Su mecanismo DoS se activó en una fecha y hora específicas. Este tipo de DDoS implicaba codificar la dirección IP de destino antes de liberar el malware y no era necesaria ninguna interacción adicional para lanzar el ataque. Un sistema también puede verse comprometido por un troyano que contenga un agente zombie . Los atacantes también pueden ingresar a los sistemas utilizando herramientas automatizadas que explotan fallas en los programas que escuchan conexiones desde hosts remotos. Este escenario afecta principalmente a sistemas que actúan como servidores en la web. Stacheldraht es un ejemplo clásico de herramienta DDoS. Utiliza una estructura en capas donde el atacante usa un programa cliente para conectarse a los controladores, que son sistemas comprometidos que emiten comandos a los agentes zombies, que a su vez facilitan el ataque DDoS. El atacante compromete a los agentes a través de los controladores. Cada controlador puede controlar hasta mil agentes. ^[48] ​​En algunos casos, una máquina puede convertirse en parte de un ataque DDoS con el consentimiento del propietario, por ejemplo, en la Operación Payback , organizada por el grupo Anonymous . Estos ataques pueden utilizar diferentes tipos de paquetes de Internet como TCP, UDP, ICMP, etc.

Estas colecciones de sistemas comprometidos se conocen como botnets . Las herramientas DDoS como Stacheldraht todavía utilizan métodos de ataque DoS clásicos centrados en la suplantación y amplificación de IP, como los ataques smurf y los ataques fraggle (tipos de ataques de consumo de ancho de banda). También se pueden utilizar inundaciones SYN (un ataque de hambre de recursos). Las herramientas más nuevas pueden utilizar servidores DNS con fines DoS. A diferencia del mecanismo DDoS de MyDoom, las botnets pueden atacar cualquier dirección IP. Los Script Kiddies los utilizan para negar la disponibilidad de sitios web conocidos a usuarios legítimos. ^[54] Los atacantes más sofisticados utilizan herramientas DDoS con fines de extorsión  , incluso contra sus rivales comerciales. ^[55] Se ha informado que hay nuevos ataques desde dispositivos de Internet de las cosas (IoT) que han estado involucrados en ataques de denegación de servicio. ^[56] En un ataque conocido que se realizó alcanzó un máximo de alrededor de 20.000 solicitudes por segundo que provenían de alrededor de 900 cámaras de CCTV. ^[57] El GCHQ del Reino Unido tiene herramientas diseñadas para DDoS, llamadas PREDATORS FACE y ROLLING THUNDER. ^[58]

Ataques simples como inundaciones SYN pueden aparecer con una amplia gama de direcciones IP de origen, dando la apariencia de un DoS distribuido. Estos ataques de inundación no requieren que se complete el protocolo de enlace de tres vías TCP ni intentan agotar la cola SYN de destino o el ancho de banda del servidor. Debido a que las direcciones IP de origen pueden falsificarse de manera trivial, un ataque podría provenir de un conjunto limitado de fuentes o incluso puede originarse desde un solo host. Las mejoras de la pila, como las cookies SYN, pueden ser una mitigación eficaz contra la inundación de la cola SYN, pero no abordan el agotamiento del ancho de banda. En 2022, los ataques TCP fueron el método principal en incidentes DDoS y representaron el 63% de toda la actividad DDoS. Esto incluye tácticas como TCP SYN , TCP ACK e inundaciones de TCP. Dado que TCP es el protocolo de red más extendido, se espera que sus ataques sigan prevaleciendo en el escenario de amenazas DDoS. ^[15]

extorsión DDoS

En 2015, las botnets DDoS como DD4BC ganaron importancia y apuntaron a instituciones financieras. ^[59] Los ciberextorsionadores suelen comenzar con un ataque de bajo nivel y una advertencia de que se llevará a cabo un ataque mayor si no se paga el rescate en bitcoins . ^[60] Los expertos en seguridad recomiendan que los sitios web específicos no paguen el rescate. Los atacantes tienden a involucrarse en un plan de extorsión extendido una vez que reconocen que el objetivo está dispuesto a pagar. ^[61]

Ataque POST DoS lento HTTP

Descubierto por primera vez en 2009, el ataque POST lento HTTP envía un encabezado POST HTTP completo y legítimo , que incluye un campo Longitud del contenido para especificar el tamaño del cuerpo del mensaje a seguir. Sin embargo, el atacante procede a enviar el cuerpo del mensaje real a una velocidad extremadamente lenta (por ejemplo, 1 byte/110 segundos). Debido a que todo el mensaje es correcto y completo, el servidor de destino intentará obedecer el campo Longitud del contenido en el encabezado y esperará a que se transmita todo el cuerpo del mensaje, lo que puede llevar mucho tiempo. El atacante establece cientos o incluso miles de conexiones de este tipo hasta que se agotan todos los recursos para las conexiones entrantes en el servidor de la víctima, lo que imposibilita cualquier conexión adicional hasta que se hayan enviado todos los datos. Es de destacar que, a diferencia de muchos otros ataques DDoS o DDoS, que intentan someter el servidor sobrecargando su red o CPU, un ataque POST lento HTTP apunta a los recursos lógicos de la víctima, lo que significa que la víctima todavía tendría suficiente ancho de banda y procesamiento de red. poder para operar. ^[62] Combinado con el hecho de que el servidor HTTP Apache , de forma predeterminada, aceptará solicitudes de hasta 2 GB de tamaño, este ataque puede ser particularmente poderoso. Los ataques POST lentos HTTP son difíciles de diferenciar de las conexiones legítimas y, por lo tanto, pueden eludir algunos sistemas de protección. OWASP , un proyecto de seguridad de aplicaciones web de código abierto , lanzó una herramienta para probar la seguridad de los servidores frente a este tipo de ataques. ^[63]

Ataque Desafío Collapsar (CC)

Un ataque Challenge Collapsar (CC) es un ataque en el que se envían con frecuencia solicitudes HTTP estándar a un servidor web específico. Los identificadores uniformes de recursos (URI) en las solicitudes requieren algoritmos complicados u operaciones de base de datos que consumen mucho tiempo y que pueden agotar los recursos del servidor web de destino. ^{[64] [65] [66]} En 2004, un hacker chino apodado KiKi inventó una herramienta de piratería para enviar este tipo de solicitudes para atacar un firewall NSFOCUS llamado Collapsar y, por lo tanto, la herramienta de piratería se conocía como Challenge Collapsar, o CC para abreviar. . En consecuencia, este tipo de ataque recibió el nombre de ataque CC . ^[67]

Inundación del Protocolo de mensajes de control de Internet (ICMP)

Un ataque pitufo se basa en dispositivos de red mal configurados que permiten que los paquetes se envíen a todos los hosts de una red en particular a través de la dirección de transmisión de la red, en lugar de a una máquina específica. El atacante enviará una gran cantidad de paquetes IP con la dirección de origen falsificada para que parezca la dirección de la víctima. ^[68] La mayoría de los dispositivos en una red, de forma predeterminada, responderán a esto enviando una respuesta a la dirección IP de origen. Si la cantidad de máquinas en la red que reciben y responden a estos paquetes es muy grande, la computadora de la víctima se verá inundada de tráfico. Esto sobrecarga la computadora de la víctima e incluso puede dejarla inutilizable durante dicho ataque. ^[69]

La inundación de ping se basa en enviar a la víctima una cantidad abrumadora de paquetes de ping , generalmente utilizando el comando ping desde hosts tipo Unix . ^[a] Es muy sencillo de iniciar; el requisito principal es el acceso a un ancho de banda mayor que el de la víctima. El ping de la muerte se basa en enviar a la víctima un paquete de ping mal formado, lo que provocará una caída del sistema en un sistema vulnerable. El ataque BlackNurse es un ejemplo de un ataque que aprovecha los paquetes ICMP inalcanzables del puerto de destino requeridos.

bomba nuclear

Una bomba nuclear es un antiguo ataque de denegación de servicio contra redes informáticas que consiste en paquetes ICMP fragmentados o inválidos enviados al objetivo, que se logra mediante el uso de una utilidad de ping modificada para enviar repetidamente estos datos corruptos , lo que ralentiza la computadora afectada hasta que se detiene por completo. ^[70] Un ejemplo específico de un ataque nuclear que ganó cierta prominencia es el WinNuke , que aprovechó la vulnerabilidad en el controlador NetBIOS en Windows 95 . Se envió una cadena de datos fuera de banda al puerto TCP 139 de la máquina de la víctima, lo que provocó que se bloqueara y mostrara una pantalla azul de la muerte . ^[70]

Ataques entre pares

Los atacantes han encontrado una manera de explotar una serie de errores en los servidores peer-to-peer para iniciar ataques DDoS. El más agresivo de estos ataques DDoS peer-to-peer aprovecha DC++ . Con peer-to-peer no hay botnet y el atacante no tiene que comunicarse con los clientes que subvierte. En cambio, el atacante actúa como un titiritero , instruyendo a los clientes de grandes centros de intercambio de archivos peer-to-peer para que se desconecten de su red peer-to-peer y se conecten al sitio web de la víctima. ^{[71] [72] [73]}

Ataques permanentes de denegación de servicio

La denegación de servicio permanente (PDoS), también conocida como phlashing, ^[74] es un ataque que daña tanto un sistema que requiere el reemplazo o la reinstalación del hardware. ^[75] A diferencia del ataque distribuido de denegación de servicio, un ataque PDoS explota fallas de seguridad que permiten la administración remota en las interfaces de administración del hardware de la víctima, como enrutadores , impresoras u otro hardware de red . El atacante utiliza estas vulnerabilidades para reemplazar el firmware de un dispositivo con una imagen de firmware modificada, corrupta o defectuosa, un proceso que, cuando se realiza de manera legítima, se conoce como flasheo. La intención es bloquear el dispositivo, dejándolo inutilizable para su propósito original hasta que pueda ser reparado o reemplazado. El PDoS es un ataque puramente dirigido al hardware que puede ser mucho más rápido y requiere menos recursos que usar una botnet en un ataque DDoS. Debido a estas características y al potencial y la alta probabilidad de que se produzcan vulnerabilidades de seguridad en dispositivos integrados habilitados para la red, esta técnica ha llamado la atención de numerosas comunidades de piratas informáticos. BrickerBot , un malware dirigido a dispositivos IoT, utilizó ataques PDoS para desactivar sus objetivos. ^[76] PhlashDance es una herramienta creada por Rich Smith (un empleado del Laboratorio de Seguridad de Sistemas de Hewlett-Packard ) utilizada para detectar y demostrar vulnerabilidades PDoS en la Conferencia de Seguridad Aplicada EUSecWest de 2008 en Londres, Reino Unido. ^[77]

Ataque reflejado

Un ataque distribuido de denegación de servicio puede implicar el envío de solicitudes falsificadas de algún tipo a una gran cantidad de computadoras que responderán a las solicitudes. Al utilizar la suplantación de direcciones del Protocolo de Internet , la dirección de origen se establece en la de la víctima objetivo, lo que significa que todas las respuestas irán al objetivo (e inundarán). Esta forma de ataque reflejado a veces se denomina ataque de denegación de servicio reflexivo distribuido ( DRDoS ). ^{[78] Los ataques} de solicitud de eco ICMP ( ataques pitufos ) pueden considerarse una forma de ataque reflejado, ya que los hosts de inundación envían solicitudes de eco a las direcciones de transmisión de redes mal configuradas, incitando así a los hosts a enviar paquetes de respuesta de eco a la víctima. Algunos de los primeros programas DDoS implementaron una forma distribuida de este ataque.

Amplificación

Los ataques de amplificación se utilizan para ampliar el ancho de banda que se envía a una víctima. Se pueden aprovechar muchos servicios para que actúen como reflectores, algunos más difíciles de bloquear que otros. ^[79] US-CERT ha observado que diferentes servicios pueden dar lugar a diferentes factores de amplificación, como se tabula a continuación: ^[80]

Los ataques de amplificación de DNS implican que un atacante envíe una solicitud de búsqueda de nombre DNS a uno o más servidores DNS públicos, falsificando la dirección IP de origen de la víctima objetivo. El atacante intenta solicitar la mayor cantidad de información posible, amplificando así la respuesta DNS que se envía a la víctima objetivo. Dado que el tamaño de la solicitud es significativamente menor que la respuesta, el atacante puede aumentar fácilmente la cantidad de tráfico dirigido al objetivo. ^{[86] [87]}

SNMP y NTP también pueden explotarse como reflectores en un ataque de amplificación. Un ejemplo de un ataque DDoS amplificado a través del Protocolo de hora de red (NTP) es a través de un comando llamado monlist, que envía los detalles de los últimos 600 hosts que han solicitado la hora del servidor NTP al solicitante. Se puede enviar una pequeña solicitud a este servidor de tiempo utilizando una dirección IP de origen falsificada de alguna víctima, lo que da como resultado una respuesta 556,9 veces el tamaño de la solicitud enviada a la víctima. Esto se amplifica cuando se utilizan botnets que envían solicitudes con la misma fuente de IP falsificada, lo que resultará en el envío de una gran cantidad de datos a la víctima. Es muy difícil defenderse de este tipo de ataques porque los datos de respuesta provienen de servidores legítimos. Estas solicitudes de ataque también se envían a través de UDP, que no requiere conexión al servidor. Esto significa que la IP de origen no se verifica cuando el servidor recibe una solicitud. Para crear conciencia sobre estas vulnerabilidades, se han iniciado campañas dedicadas a encontrar vectores de amplificación que hayan llevado a las personas a reparar sus resolutores o a cerrarlos por completo. ^{[ cita necesaria ]}

Red de bots Mirai

La botnet Mirai funciona mediante el uso de un gusano informático para infectar cientos de miles de dispositivos IoT en Internet. El gusano se propaga a través de redes y sistemas tomando el control de dispositivos IoT mal protegidos, como termostatos, relojes con Wi-Fi y lavadoras. ^[88] El propietario o usuario normalmente no tendrá ninguna indicación inmediata de cuándo el dispositivo se infecta. El dispositivo IoT en sí no es el objetivo directo del ataque, sino que se utiliza como parte de un ataque mayor. ^[89] Una vez que el pirata informático ha esclavizado la cantidad deseada de dispositivos, les indica a los dispositivos que intenten comunicarse con un ISP. En octubre de 2016, una botnet Mirai atacó a Dyn , que es el ISP de sitios como Twitter , Netflix , etc. ^[88] Tan pronto como esto ocurrió, todos estos sitios web estuvieron inaccesibles durante varias horas.

¿RU-muerto-todavía? (RUDI)

El ataque RUDY se dirige a aplicaciones web al privar de sesiones disponibles en el servidor web. Al igual que Slowloris, RUDY mantiene las sesiones detenidas mediante transmisiones POST interminables y enviando un valor de encabezado de longitud de contenido arbitrariamente grande. ^[90]

Pánico de saco

Un interlocutor remoto puede utilizar la manipulación del tamaño máximo de segmento y el reconocimiento selectivo (SACK) para provocar una denegación de servicio mediante un desbordamiento de enteros en el kernel de Linux, lo que podría provocar un pánico en el kernel . ^[91] Jonathan Looney descubrió CVE - 2019-11477, CVE-2019-11478, CVE-2019-11479 el 17 de junio de 2019. ^[92]

ataque de musaraña

El ataque de musaraña es un ataque de denegación de servicio al Protocolo de control de transmisión en el que el atacante emplea técnicas de intermediario . Explota una debilidad en el mecanismo de tiempo de espera de retransmisión de TCP, utilizando breves ráfagas de tráfico sincronizadas para interrumpir las conexiones TCP en el mismo enlace. ^[93]

Ataque de lectura lenta

Un ataque de lectura lenta envía solicitudes legítimas a la capa de aplicación, pero lee las respuestas muy lentamente, manteniendo las conexiones abiertas por más tiempo con la esperanza de agotar el grupo de conexiones del servidor. La lectura lenta se logra anunciando un número muy pequeño para el tamaño de la ventana de recepción TCP y, al mismo tiempo, vaciando lentamente el búfer de recepción TCP de los clientes, lo que provoca una tasa de flujo de datos muy baja. ^[94]

Sofisticado ataque distribuido de denegación de servicio con poco ancho de banda

Un ataque DDoS sofisticado de bajo ancho de banda es una forma de DoS que utiliza menos tráfico y aumenta su efectividad al apuntar a un punto débil en el diseño del sistema de la víctima, es decir, el atacante envía tráfico que consiste en solicitudes complicadas al sistema. ^[95] Esencialmente, un ataque DDoS sofisticado tiene un costo menor debido al uso de menos tráfico, es de menor tamaño, lo que lo hace más difícil de identificar, y tiene la capacidad de dañar sistemas que están protegidos por mecanismos de control de flujo. ^{[95] [96]}

inundación SYN

Una inundación SYN ocurre cuando un host envía una inundación de paquetes TCP/SYN, a menudo con una dirección de remitente falsificada. Cada uno de estos paquetes se maneja como una solicitud de conexión, lo que hace que el servidor genere una conexión medio abierta , envíe de vuelta un paquete TCP/SYN-ACK y espere un paquete en respuesta de la dirección del remitente. Sin embargo, debido a que la dirección del remitente es falsa, la respuesta nunca llega. Estas conexiones medio abiertas agotan las conexiones disponibles que el servidor puede realizar, impidiendo que responda a solicitudes legítimas hasta que finalice el ataque. ^[97]

Ataques de lágrimas

Un ataque en forma de lágrima implica enviar fragmentos de IP destrozados con cargas útiles superpuestas y de gran tamaño a la máquina de destino. Esto puede bloquear varios sistemas operativos debido a un error en su código de reensamblaje de fragmentación TCP/IP . ^{[98] Los sistemas operativos} Windows 3.1x , Windows 95 y Windows NT , así como las versiones de Linux anteriores a las versiones 2.0.32 y 2.1.63 son vulnerables a este ataque. ^[b] Uno de los campos en un encabezado IP es el campo de desplazamiento de fragmento , que indica la posición inicial, o desplazamiento, de los datos contenidos en un paquete fragmentado en relación con los datos del paquete original. Si la suma del desplazamiento y el tamaño de un paquete fragmentado difiere de la del siguiente paquete fragmentado, los paquetes se superponen. Cuando esto sucede, un servidor vulnerable a ataques de lágrima no puede volver a ensamblar los paquetes, lo que genera una condición de denegación de servicio. ^[101]

Denegación de servicio de telefonía

La voz sobre IP ha hecho que la originación abusiva de un gran número de llamadas telefónicas de voz sea económica y fácil de automatizar, al tiempo que permite tergiversar los orígenes de las llamadas mediante la suplantación del identificador de llamadas . Según la Oficina Federal de Investigaciones de EE. UU. , la denegación de servicio telefónico (TDoS) ha aparecido como parte de varios esquemas fraudulentos:

• Un estafador contacta al banquero o corredor de la víctima, haciéndose pasar por la víctima para solicitar una transferencia de fondos. El intento del banquero de contactar a la víctima para verificar la transferencia falla porque las líneas telefónicas de la víctima se inundan con llamadas falsas, lo que hace que la víctima sea inalcanzable. ^[102]
• Un estafador se pone en contacto con los consumidores con un reclamo falso para cobrar un préstamo de día de pago pendiente por miles de dólares. Cuando el consumidor se opone, el estafador toma represalias inundando al empleador de la víctima con llamadas automáticas. En algunos casos, el identificador de llamadas que se muestra está falsificado para hacerse pasar por policías o agencias encargadas de hacer cumplir la ley. ^[103]
• Swatting : un estafador se pone en contacto con los consumidores con una demanda de cobro de deudas falsa y amenaza con enviar a la policía; Cuando la víctima se resiste, el estafador inunda los números de la policía local con llamadas en las que se falsifica el identificador de llamadas para mostrar el número de la víctima. La policía pronto llega a la residencia de la víctima intentando encontrar el origen de las llamadas.

TDoS puede existir incluso sin telefonía por Internet . En el escándalo de interferencia telefónica en las elecciones al Senado de New Hampshire de 2002 , se utilizaron vendedores telefónicos para inundar a los oponentes políticos con llamadas falsas para bloquear los bancos telefónicos el día de las elecciones. La publicación generalizada de un número también puede inundarlo con suficientes llamadas como para dejarlo inservible, como ocurrió por accidente en 1981, cuando varios suscriptores del código de área +1 -867-5309 se vieron inundados por cientos de llamadas diarias en respuesta a la canción " 867-5309 ". /Jenny ". TDoS se diferencia de otros acosos telefónicos (como llamadas de broma y llamadas telefónicas obscenas ) por la cantidad de llamadas originadas. Al ocupar líneas continuamente con repetidas llamadas automáticas, se impide a la víctima realizar o recibir llamadas telefónicas tanto de rutina como de emergencia. Los exploits relacionados incluyen ataques de inundación de SMS y fax negro o transmisión continua de fax mediante el uso de un bucle de papel en el remitente.

Ataque de caducidad de TTL

Se necesitan más recursos del enrutador para descartar un paquete con un valor TTL de 1 o menos que para reenviar un paquete con un valor TTL más alto. Cuando un paquete se descarta debido a la expiración del TTL, la CPU del enrutador debe generar y enviar una respuesta de tiempo excedido ICMP . Generar muchas de estas respuestas puede sobrecargar la CPU del enrutador. ^[104]

Ataque UPnP

Un ataque UPnP utiliza una vulnerabilidad existente en el protocolo Universal Plug and Play (UPnP) para superar la seguridad de la red e inundar la red y los servidores del objetivo. El ataque se basa en una técnica de amplificación de DNS, pero el mecanismo de ataque es un enrutador UPnP que reenvía solicitudes de una fuente externa a otra. El enrutador UPnP devuelve los datos en un puerto UDP inesperado desde una dirección IP falsa, lo que dificulta tomar medidas simples para detener la avalancha de tráfico. Según los investigadores de Imperva , la forma más eficaz de detener este ataque es que las empresas bloqueen los enrutadores UPnP. ^{[105] [106]}

Ataque de reflexión SSDP

En 2014, se descubrió que el Protocolo simple de descubrimiento de servicios (SSDP) se estaba utilizando en ataques DDoS conocidos como ataque de reflexión SSDP con amplificación . Muchos dispositivos, incluidos algunos enrutadores residenciales, tienen una vulnerabilidad en el software UPnP que permite a un atacante obtener respuestas desde el puerto UDP 1900 a una dirección de destino de su elección. Con una botnet de miles de dispositivos, los atacantes pueden generar suficientes velocidades de paquetes y ocupar ancho de banda para saturar los enlaces, provocando la denegación de servicios. ^{[107] [108] [109]} Debido a esta debilidad, la empresa de redes Cloudflare ha descrito SSDP como el "Protocolo DDoS estúpidamente simple". ^[110]

Suplantación de ARP

La suplantación de ARP es un ataque DoS común que implica una vulnerabilidad en el protocolo ARP que permite a un atacante asociar su dirección MAC con la dirección IP de otra computadora o puerta de enlace , lo que provoca que el tráfico destinado a la IP auténtica original se redirija a la de el atacante, provocando una denegación de servicio.

Técnicas de defensa

Las respuestas defensivas a los ataques de denegación de servicio normalmente implican el uso de una combinación de detección de ataques, clasificación de tráfico y herramientas de respuesta, con el objetivo de bloquear el tráfico que las herramientas identifican como ilegítimo y permitir el tráfico que identifican como legítimo. ^[111] Una lista de herramientas de respuesta incluye la siguiente.

Filtrado ascendente

Todo el tráfico destinado a la víctima se desvía para pasar por un centro de limpieza o un centro de depuración mediante varios métodos, como: cambiar la dirección IP de la víctima en el sistema DNS, métodos de túnel (GRE/VRF, MPLS, SDN), ^[112] proxies , conexiones cruzadas digitales o incluso circuitos directos. El centro de limpieza separa el tráfico malo (DDoS y también otros ataques comunes de Internet) y solo pasa el tráfico legítimo y bueno al servidor de la víctima. ^[113] La víctima necesita conectividad central a Internet para utilizar este tipo de servicio, a menos que se encuentre dentro de las mismas instalaciones que el centro de limpieza. Los ataques DDoS pueden saturar cualquier tipo de firewall de hardware, y pasar tráfico malicioso a través de redes grandes y maduras se vuelve cada vez más efectivo y económicamente sostenible contra DDoS. ^[114]

Hardware frontal de la aplicación

El hardware de front-end de aplicaciones es hardware inteligente colocado en la red antes de que el tráfico llegue a los servidores. Se puede utilizar en redes junto con enrutadores y conmutadores y como parte de la gestión del ancho de banda . El hardware de front-end de la aplicación analiza los paquetes de datos a medida que ingresan a la red e identifica y descarta flujos peligrosos o sospechosos.

Indicadores clave de finalización a nivel de aplicación

Los enfoques para la detección de ataques DDoS contra aplicaciones basadas en la nube pueden basarse en un análisis de la capa de aplicación, que indica si el tráfico masivo entrante es legítimo. ^[115] Estos enfoques se basan principalmente en una ruta de valor identificada dentro de la aplicación y monitorean el progreso de las solicitudes en esta ruta, a través de marcadores llamados indicadores clave de finalización . ^[116] En esencia, estas técnicas son métodos estadísticos para evaluar el comportamiento de las solicitudes entrantes para detectar si está sucediendo algo inusual o anormal. Una analogía es con una tienda departamental tradicional donde los clientes dedican, en promedio, un porcentaje conocido de su tiempo a diferentes actividades como recoger artículos y examinarlos, guardarlos, llenar una canasta, esperar para pagar, pagar , y saliendo. Si una multitud de clientes llega a la tienda y pasa todo el tiempo recogiendo artículos y devolviéndolos a su lugar, pero nunca realiza ninguna compra, esto podría considerarse un comportamiento inusual.

Blackholing y sumideros

Con el enrutamiento de agujero negro , todo el tráfico hacia la dirección DNS o IP atacada se envía a un agujero negro (interfaz nula o un servidor inexistente). Para ser más eficiente y no afectar la conectividad de la red, esta puede ser gestionada por el ISP. ^[117] Un sumidero de DNS enruta el tráfico a una dirección IP válida que analiza el tráfico y rechaza los paquetes incorrectos. Es posible que los sumideros no sean eficaces para ataques graves.

Prevención basada en IPS

Los sistemas de prevención de intrusiones (IPS) son eficaces si los ataques tienen firmas asociadas. Sin embargo, la tendencia entre los ataques es tener contenido legítimo pero malas intenciones. Los sistemas de prevención de intrusiones que funcionan con el reconocimiento de contenido no pueden bloquear los ataques DoS basados ​​en el comportamiento. ^[41] Un IPS basado en ASIC puede detectar y bloquear ataques de denegación de servicio porque tiene el poder de procesamiento y la granularidad para analizar los ataques y actuar como un disyuntor de forma automatizada. ^[41]

Defensa basada en DDS

Más centrado en el problema que el IPS, un sistema de defensa DoS (DDS) puede bloquear ataques DoS basados ​​en conexión y aquellos con contenido legítimo pero con malas intenciones. Un DDS también puede abordar tanto ataques de protocolo (como lágrima y ping de muerte) como ataques basados ​​en tasas (como inundaciones ICMP y inundaciones SYN). DDS tiene un sistema especialmente diseñado que puede identificar y obstruir fácilmente los ataques de denegación de servicio a mayor velocidad que un sistema basado en software. ^[118]

Cortafuegos

En el caso de un ataque simple, se puede ajustar un firewall para denegar todo el tráfico entrante de los atacantes, según los protocolos, los puertos o las direcciones IP de origen. Sin embargo, los ataques más complejos serán difíciles de bloquear con reglas simples: por ejemplo, si hay un ataque en curso en el puerto 80 (servicio web), no es posible eliminar todo el tráfico entrante en este puerto porque hacerlo evitará que el servidor recibir y servir tráfico legítimo. ^[119] Además, los cortafuegos pueden estar demasiado profundos en la jerarquía de la red, y los enrutadores se ven afectados negativamente antes de que el tráfico llegue al cortafuegos. Además, muchas herramientas de seguridad aún no son compatibles con IPv6 o es posible que no estén configuradas correctamente, por lo que es posible que los firewalls se eludan durante los ataques. ^[120]

Enrutadores

Al igual que los conmutadores, los enrutadores tienen cierta capacidad de limitación de velocidad y ACL . Ellos también se configuran manualmente. La mayoría de los enrutadores pueden verse fácilmente abrumados por un ataque DoS. Nokia SR-OS que utiliza procesadores FP4/FP5 ofrece protección DDoS. Nokia SR-OS también utiliza Nokia Deepfield Defender basado en análisis de big data para protección DDoS. Cisco IOS tiene funciones opcionales que pueden reducir el impacto de las inundaciones. ^[121]

interruptores

La mayoría de los conmutadores tienen alguna capacidad de limitación de velocidad y ACL . Algunos conmutadores proporcionan limitación de velocidad automática y/o de todo el sistema , configuración del tráfico , enlace retardado ( empalme TCP ), inspección profunda de paquetes y filtrado Bogon (filtrado de IP falso) para detectar y remediar ataques DoS mediante filtrado automático de velocidad y conmutación por error y equilibrio del enlace WAN. . ^{[41] [ cita necesaria ]} Estos esquemas funcionarán siempre que los ataques DoS puedan prevenirse mediante su uso. Por ejemplo, la inundación SYN se puede evitar mediante enlace retrasado o empalme TCP. De manera similar, el DoS basado en contenido se puede evitar mediante una inspección profunda de paquetes. Los ataques que se originan en direcciones oscuras o que se dirigen a direcciones oscuras se pueden evitar mediante el filtrado bogon . El filtrado automático de tarifas puede funcionar siempre que los umbrales de tarifas establecidos se hayan establecido correctamente. La conmutación por error de Wan-link funcionará siempre que ambos enlaces tengan un mecanismo de prevención DoS/DDoS. ^{[41] [ cita necesaria ]}

Bloquear puertos vulnerables

Por ejemplo, en un ataque de reflexión SSDP; La mitigación clave es bloquear el tráfico UDP entrante en el puerto 1900 en el firewall. ^[122]

Denegación de servicio involuntaria

Una denegación de servicio involuntaria puede ocurrir cuando un sistema termina denegado, no debido a un ataque deliberado por parte de un solo individuo o grupo de individuos, sino simplemente debido a un enorme aumento repentino en popularidad. Esto puede suceder cuando un sitio web extremadamente popular publica un enlace destacado a un segundo sitio menos preparado, por ejemplo, como parte de una noticia. El resultado es que una proporción significativa de los usuarios habituales del sitio principal (potencialmente cientos de miles de personas) hacen clic en ese enlace en el espacio de unas pocas horas, lo que tiene el mismo efecto en el sitio web objetivo que un ataque DDoS. Un VIPDoS es lo mismo, pero específicamente cuando el enlace fue publicado por una celebridad. Cuando Michael Jackson murió en 2009, sitios web como Google y Twitter se ralentizaron o incluso colapsaron. ^[123] Los servidores de muchos sitios pensaron que las solicitudes provenían de un virus o software espía que intentaba causar un ataque de denegación de servicio, advirtiendo a los usuarios que sus consultas parecían "solicitudes automatizadas de un virus informático o una aplicación de software espía". ^[124]

Los sitios de noticias y los sitios de enlaces (sitios cuya función principal es proporcionar enlaces a contenidos interesantes en otras partes de Internet) son los más propensos a causar este fenómeno. El ejemplo canónico es el efecto Slashdot al recibir tráfico desde Slashdot . También se le conoce como "el abrazo de la muerte de Reddit " y "el efecto Digg ". También se sabe que los enrutadores crean ataques DoS no intencionales, ya que tanto los enrutadores D-Link como Netgear han sobrecargado los servidores NTP inundándolos sin respetar las restricciones de tipos de clientes o limitaciones geográficas. También se puede producir una denegación de servicio involuntaria similar a través de otros medios, por ejemplo, cuando se menciona una URL en la televisión. Si Google u otro motor de búsqueda indexa un servidor durante los períodos pico de actividad, o no tiene mucho ancho de banda disponible mientras está indexado, también puede experimentar los efectos de un ataque DoS. ^{[41] [ verificación fallida ] [ cita necesaria ]}

Se han emprendido acciones legales en al menos uno de esos casos. En 2006, Universal Tube & Rollform Equipment Corporation demandó a YouTube : un gran número de posibles usuarios de YouTube.com escribieron accidentalmente la URL de la empresa de tubos, utube.com. Como resultado, la empresa de tubos acabó teniendo que gastar grandes cantidades de dinero para mejorar su ancho de banda. ^[125] La empresa parece haberse aprovechado de la situación, y utube.com ahora contiene anuncios para obtener ingresos publicitarios. En marzo de 2014, después de la desaparición del vuelo 370 de Malaysia Airlines , DigitalGlobe lanzó un servicio de crowdsourcing en el que los usuarios podían ayudar a buscar el avión desaparecido en imágenes de satélite. La respuesta saturó los servidores de la empresa. ^[126] Una denegación de servicio involuntaria también puede resultar de un evento preprogramado creado por el propio sitio web, como fue el caso del Censo en Australia en 2016. ^[127] Esto podría ocurrir cuando un servidor proporciona algún servicio en un tiempo específico.

Efectos secundarios de los ataques.

Retrodispersión

En la seguridad de las redes informáticas, la retrodispersión es un efecto secundario de un ataque de denegación de servicio falso. En este tipo de ataque, el atacante falsifica (o falsifica) la dirección de origen en los paquetes IP enviados a la víctima. En general, la máquina víctima no puede distinguir entre paquetes falsificados y paquetes legítimos, por lo que la víctima responde a los paquetes falsificados como lo haría normalmente. Estos paquetes de respuesta se conocen como retrodispersión. ^[128]

Si el atacante falsifica las direcciones de origen de forma aleatoria, los paquetes de respuesta de retrodispersión de la víctima se enviarán de vuelta a destinos aleatorios. Este efecto puede ser utilizado por los telescopios de la red como prueba indirecta de tales ataques. El término análisis de retrodispersión se refiere a la observación de paquetes de retrodispersión que llegan a una porción estadísticamente significativa del espacio de direcciones IP para determinar las características de los ataques DoS y las víctimas.

Legalidad

El FBI confiscó numerosos sitios web que ofrecían herramientas para llevar a cabo un ataque DDoS en virtud de la Ley de Abuso y Fraude Informático . ^[129]

Muchas jurisdicciones tienen leyes según las cuales los ataques de denegación de servicio son ilegales. La UNCTAD destaca que 156 países, o el 80% a nivel mundial, han promulgado leyes contra el cibercrimen para combatir su impacto generalizado. Las tasas de adopción varían según la región: Europa tiene una tasa del 91% y África un 72%. ^[130]

• En Estados Unidos, los ataques de denegación de servicio pueden considerarse un delito federal según la Ley de Abuso y Fraude Informático, con penas que incluyen años de prisión. ^[131] La Sección de Delitos Informáticos y Propiedad Intelectual del Departamento de Justicia de los Estados Unidos se ocupa de los casos de DoS y DDoS. Por ejemplo, en julio de 2019, Austin Thompson, también conocido como DerpTrolling , fue sentenciado a 27 meses de prisión y una restitución de 95 000 dólares por un tribunal federal por realizar múltiples ataques DDoS contra importantes empresas de videojuegos, interrumpiendo sus sistemas durante horas o días. ^{[132] [133]}
• En los países europeos , cometer ataques criminales de denegación de servicio puede, como mínimo, conducir al arresto. ^[134] El Reino Unido es inusual porque prohibió específicamente los ataques de denegación de servicio y estableció una pena máxima de 10 años de prisión con la Ley de Policía y Justicia de 2006 , que modificó la Sección 3 de la Ley de Uso Indebido de Computadoras de 1990 . ^[135]
• En enero de 2019, Europol anunció que "actualmente se están llevando a cabo acciones en todo el mundo para rastrear a los usuarios" de Webstresser.org, un antiguo mercado DDoS que se cerró en abril de 2018 como parte de la Operación Apagado. ^[136] Europol dijo que la policía del Reino Unido estaba llevando a cabo una serie de "operaciones en vivo" dirigidas a más de 250 usuarios de Webstresser y otros servicios DDoS. ^[137]

El 7 de enero de 2013, Anonymous publicó una petición en el sitio whitehouse.gov pidiendo que se reconociera DDoS como una forma legal de protesta similar a las protestas Occupy , afirmando que la similitud en el propósito de ambas es la misma. ^[138]

Ver también

• BASHLITE  – Malware para sistemas Linux
• Ataque de mil millones de risas  : ataque de denegación de servicio a analizadores XML, aprovechando la expansión de entidades
• Fax negro  : transmisión de fax de broma diseñada para desperdiciar tinta o papel del destinatario
• Botnet  : colección de dispositivos conectados a Internet comprometidos y controlados por un tercero
• Blaster (gusano informático)  - Gusano informático de Windows 2003
• Ataque de evaluación de canal claro  : ataque de denegación de servicio contra una red Wi-Fi
• Dendroid (malware)  : malware basado en Android
• Ataques distribuidos de denegación de servicio a servidores de nombres raíz  : tipo de ciberataque
• DNS Flood  : ataque de denegación de servicio dirigido a un servidor DNS
• Bomba de horquilla  : tipo de ataque de software de denegación de servicio
• Cañón de iones de órbita alta  : herramienta de ataque por denegación de servicio (HOIC)
• DDoS de ataque y fuga  : tipo de ciberataque de denegación de servicio
• Espionaje industrial  : uso del espionaje con fines comerciales en lugar de seguridad.
• Bucle infinito  – Modismo de programación
• Sistema de detección de intrusiones  : dispositivo o software de protección de red
• Killer poke  : medio de software para causar daños al hardware de la computadora
• Tarjeta de encaje  – Tarjeta perforada con todos los agujeros perforados
• Cañón de iones de órbita baja  : prueba de estrés de red de código abierto y aplicación de ataque de denegación de servicio (LOIC)
• Ataque de amenaza mixta
• Sistema de detección de intrusiones en la red  : dispositivo o software de protección de la redPáginas que muestran descripciones breves de los objetivos de redireccionamiento
• Ciberataque Dyn 2016  – Ciberataque 2016 en Europa y América del NortePáginas que muestran descripciones breves de los objetivos de redireccionamiento
• Operación PowerOFF  – Operación conjunta para cerrar sitios web DDoS
• Terrorismo de papel  : uso de documentos legales falsos como método de acoso
• Project Shield  : servicio anti-denegación de servicio distribuido (anti-DDoS)
• ReDoS  : ataque de denegación de servicio de expresión regular
• Ataque de agotamiento de recursos
• SlowDroid  : ataque experimental de denegación de servicio
• Slowloris (seguridad informática)  : software para ejecutar un ataque de denegación de servicio
• Sentada virtual  – Técnica de desobediencia civil en línea
• Web shell  : interfaz que permite el acceso remoto a un servidor web
• Interferencia de radio  : interferencia con comunicaciones inalámbricas autorizadas
• Ataque de denegación de servicio XML
• Xor DDoS  : malware troyano de Linux con capacidades de rootkit
• Zemra  : robot DDoSPáginas que muestran descripciones de wikidata como alternativa
• Zombie (informática)  : computadora comprometida utilizada para tareas maliciosas en una red

Notas

1. El indicador -t en los sistemas Windows es mucho menos capaz de abrumar a un objetivo; además, el indicador -l (tamaño) no permite el tamaño de paquete enviado mayor que 65500 en Windows.
2. Aunque en septiembre de 2009, una vulnerabilidad en Windows Vista se denominó ataque en forma de lágrima , este apuntaba a SMB2 , que es una capa superior a los paquetes TCP que usaban en forma de lágrima). ^{[99] [100]}

Referencias

1. "Comprensión de los ataques de denegación de servicio". CERT de EE. UU. 6 de febrero de 2013 . Consultado el 26 de mayo de 2016 .
2. Elleithy, Khaled; Blagovic, Drazen; Cheng, Wang; Sideleau, Paul (1 de enero de 2005). "Técnicas de ataque de denegación de servicio: análisis, implementación y comparación". Publicaciones de la Facultad de Ingeniería y Ciencias de la Computación .
3. "¿Qué es un ataque DDoS? - Significado de DDoS". Kaspersky . 13 de enero de 2021 . Consultado el 5 de septiembre de 2021 .
4. Príncipe, Matthew (25 de abril de 2016). "Amenazas DDoS vacías: conozca al colectivo Armada". Llamada de nube . Consultado el 18 de mayo de 2016 .
5. "El presidente de Brand.com, Mike Zammuto, revela un intento de chantaje". 5 de marzo de 2014. Archivado desde el original el 11 de marzo de 2014.
6. "Mike Zammuto de Brand.com habla sobre la extorsión de Meetup.com". 5 de marzo de 2014. Archivado desde el original el 13 de mayo de 2014.
7. Halpin, Harry (17 de diciembre de 2010). "La Filosofía de Anónimo". Radicalphilosophy.com . Consultado el 10 de septiembre de 2013 .
8. "Ataques distribuidos de denegación de servicio - The Internet Protocol Journal - Volumen 7, Número 4". Cisco . Archivado desde el original el 26 de agosto de 2019 . Consultado el 26 de agosto de 2019 .
9. Smith, Steve. "Cinco botnets famosas que mantuvieron a Internet como rehén". semanalmente . Consultado el 20 de noviembre de 2014 .
10. Cimpanu, Catalín. "Google dice que mitigó un ataque DDoS de 2,54 Tbps en 2017, el mayor conocido hasta la fecha". ZDNet . Consultado el 16 de septiembre de 2021 .
11. Goodin, Dan (5 de marzo de 2018). "El proveedor de servicios estadounidense sobrevive al mayor DDoS registrado en la historia". Ars Técnica . Consultado el 6 de marzo de 2018 .
12. "Amazon 'frustra el ciberataque DDoS más grande jamás realizado'". Noticias de la BBC . 18 de junio de 2020 . Consultado el 11 de noviembre de 2020 .
13. "Cloudflare mitigó un ataque DDoS récord de 17,2 millones de RPS". Semana de la seguridad . 23 de agosto de 2021.
14. "Yandex golpeado por la potente botnet Meris DDoS". Threatpost.com . 10 de septiembre de 2021 . Consultado el 23 de diciembre de 2021 .
15. Team, Azure Network Security (21 de febrero de 2023). "Resumen de 2022: tendencias y conocimientos sobre ataques DDoS". Blog de seguridad de Microsoft . Consultado el 7 de abril de 2024 .
16. "Cloudflare mitiga un ataque DDoS récord de 71 millones de solicitudes por segundo". El blog de Cloudflare . 13 de febrero de 2023 . Consultado el 13 de enero de 2024 .
17. Weatherbed, Jess (11 de julio de 2023). "Sitio de fanfiction AO3 obligado a desconectarse por una ola de ataques DDoS". El borde . Consultado el 9 de abril de 2024 .
18. "Nuestro propio archivo no funciona debido a un ataque DDoS". Polígono . 10 de julio de 2023.
19. "Settimo giorno di attacchi informatici all'Italia. NoName057(16) torna alle Banche e alle Telecomunicazioni". 6 de agosto de 2023.
20. swissinfo.ch, SWI (17 de enero de 2024). "Suiza afectada por un ciberataque tras la visita del presidente de Ucrania". SWI swissinfo.ch . Consultado el 8 de abril de 2024 .
21. "HTTP/2 Rapid Reset: deconstruyendo el ataque récord". El blog de Cloudflare . 10 de octubre de 2023 . Consultado el 13 de enero de 2024 .
22. "Google mitigó el mayor ataque DDoS hasta la fecha, alcanzando un máximo de 398 millones de rps". Blog de la nube de Google . 10 de octubre de 2023 . Consultado el 13 de enero de 2024 .
23. Taghavi Zargar, Saman (noviembre de 2013). "Un estudio de los mecanismos de defensa contra ataques de inundación distribuidos de denegación de servicio (DDoS)" (PDF) . Encuestas y tutoriales de comunicaciones IEEE. págs. 2046-2069. Archivado (PDF) desde el original el 7 de marzo de 2014 . Consultado el 7 de marzo de 2014 .
24. Khalifeh, Soltanian, Mohammad Reza (10 de noviembre de 2015). Métodos teóricos y experimentales para defenderse de ataques DDoS . Amiri, Iraj Sadegh, 1977-. Waltham, MA. ISBN 978-0128053997. OCLC  930795667.{{cite book}}: Mantenimiento de CS1: falta la ubicación del editor ( enlace ) Mantenimiento de CS1: varios nombres: lista de autores ( enlace )
25. "¿Su sitio web ha sido mordido por un zombi?". Nubebric. 3 de agosto de 2015 . Consultado el 15 de septiembre de 2015 .
26. "Ataques DDoS de capa siete". Instituto Infosec .
27. Raghavan, SV (2011). Una investigación sobre la detección y mitigación de ataques de denegación de servicio (DoS) . Saltador. ISBN 9788132202776.
28. Goodin, Dan (28 de septiembre de 2016). "Según se informa, un DDoS récord entregado por> 145.000 cámaras pirateadas". Ars Técnica . Archivado desde el original el 2 de octubre de 2016.
29. Khandelwal, Swati (26 de septiembre de 2016). "El ataque DDoS de 1 Tbps más grande del mundo lanzado desde 152.000 dispositivos inteligentes pirateados". Las noticias de los piratas informáticos. Archivado desde el original el 30 de septiembre de 2016.
30. Kumar, Bhattacharyya, Dhruba; Kalita, Jugal Kumar (27 de abril de 2016). Ataques DDoS: evolución, detección, prevención, reacción y tolerancia . Boca Ratón, Florida. ISBN 9781498729659. OCLC  948286117.{{cite book}}: Mantenimiento de CS1: falta la ubicación del editor ( enlace ) Mantenimiento de CS1: varios nombres: lista de autores ( enlace )
31. "Imperva, panorama global de amenazas DDoS, informe de 2019" (PDF) . Imperva.com . Imperva . Archivado (PDF) desde el original el 9 de octubre de 2022 . Consultado el 4 de mayo de 2020 .
32. Lados, Mor; Bremler-Barr, Anat ; Rosensweig, Eliseo (17 de agosto de 2015). "Ataque Yo-Yo: vulnerabilidad en el mecanismo de escalado automático". Revisión de comunicación por computadora ACM SIGCOMM . 45 (4): 103–104. doi :10.1145/2829988.2790017.
33. Barr, Anat; Ben David, Ronen (2021). "Escalado automático de Kubernetes: mitigación y vulnerabilidad de ataques Yo Yo ". Actas de la XI Conferencia Internacional sobre Ciencia de Servicios y Computación en la Nube . págs. 34–44. arXiv : 2105.00542 . doi :10.5220/0010397900340044. ISBN 978-989-758-510-4. S2CID  233482002.
34. Xu, Xiaoqiong; Li, Jin; Yu, Hongfang; Luo, largo; Wei, Xuetao; Sol, pandilla (2020). "Hacia la mitigación de los ataques Yo-Yo en el mecanismo de escalado automático de la nube". Comunicaciones y Redes Digitales . 6 (3): 369–376. doi : 10.1016/j.dcan.2019.07.002 . S2CID  208093679.
35. Lee, Newton (2013). Contraterrorismo y ciberseguridad: conciencia total de la información . Saltador. ISBN 9781461472056.
36. "Gartner dice que el 25 por ciento de los ataques distribuidos de denegación de servicios en 2013 se basarán en aplicaciones". Gartner . 21 de febrero de 2013. Archivado desde el original el 25 de febrero de 2013 . Consultado el 28 de enero de 2014 .
37. Ginovsky, John (27 de enero de 2014). "Lo que debe saber sobre el empeoramiento de los ataques DDoS". Diario Bancario ABA . Archivado desde el original el 9 de febrero de 2014.
38. "Estado de Internet del cuarto trimestre de 2014 - Informe de seguridad: cifras - El blog de Akamai". blogs.akamai.com .
39. Ali, Junade (23 de noviembre de 2017). "El nuevo panorama DDoS". Blog de Cloudflare .
40. Higgins, Kelly Jackson (17 de octubre de 2013). "El ataque DDoS utilizó un navegador 'sin cabeza' en un asedio de 150 horas". Lectura oscura . Semana de la Información. Archivado desde el original el 22 de enero de 2014 . Consultado el 28 de enero de 2014 .
41. Kiyuna y Conyers (2015). Libro de consulta sobre guerra cibernética . Lulu.com. ISBN 978-1329063945.
42. Ilascu, Ionut (21 de agosto de 2014). "El asedio DDoS de 38 días equivale a más de 50 petabits en mal tráfico". Noticias de Softpedia . Consultado el 29 de julio de 2018 .
43. Oro, Steve (21 de agosto de 2014). "Compañía de videojuegos afectada por un ataque DDoS de 38 días". Revista SC del Reino Unido . Archivado desde el original el 1 de febrero de 2017 . Consultado el 4 de febrero de 2016 .
44. Krebs, Brian (15 de agosto de 2015). "Prueba de estrés de los servicios de Booter, financieramente". Krebs sobre la seguridad . Consultado el 9 de septiembre de 2016 .
45. Mubarakali, Azath; Srinivasan, Karthik; Mukhalid, Reham; Jaganathan, Subash CB; Marina, Ninoslav (26 de enero de 2020). "Desafíos de seguridad en Internet de las cosas: detección distribuida de ataques de denegación de servicio utilizando sistemas expertos basados ​​en máquinas de vectores de soporte". Inteligencia Computacional . 36 (4): 1580-1592. doi : 10.1111/coin.12293. ISSN  0824-7935. S2CID  214114645.
46. Befekadu, Getachew K.; Gupta, Vijay; Antsaklis, Panos J. (2015). "Control sensible al riesgo bajo estrategias de ataque de denegación de servicio (DoS) moduladas de Markov". Transacciones IEEE sobre control automático . 60 (12): 3299–3304. doi :10.1109/TAC.2015.2416926. S2CID  9510043 . Consultado el 19 de octubre de 2023 .
47. McDowell, Mindi (4 de noviembre de 2009). "Consejo de seguridad cibernética ST04-015: comprensión de los ataques de denegación de servicio". Equipo de preparación para emergencias informáticas de los Estados Unidos . Archivado desde el original el 4 de noviembre de 2013 . Consultado el 11 de diciembre de 2013 .
48. Dittrich, David (31 de diciembre de 1999). "La herramienta distribuida de ataque de denegación de servicio" stacheldraht "". Universidad de Washington. Archivado desde el original el 16 de agosto de 2000 . Consultado el 11 de diciembre de 2013 .
49. Cambiaso, Enrico; Papaleo, Gianluca; Chiola, Giovanni; Aiello, Mauricio (2015). "Diseñar y modelar el próximo ataque DoS lento". Conferencia sobre Inteligencia Computacional en Seguridad para Sistemas de Información (CISIS 2015) . 249-259. Saltador.
50. "Amazon CloudWatch". Servicios web de Amazon, Inc.
51. Enciclopedia de tecnologías de la información . Editores y distribuidores del Atlántico. 2007. pág. 397.ISBN​ 978-81-269-0752-6.
52. Schwabach, Aaron (2006). Internet y la Ley . ABC-CLIO. pag. 325.ISBN​ 978-1-85109-731-9.
53. Lu, Xicheng; Wei Zhao (2005). Redes y Computación Móvil . Birkhäuser. pag. 424.ISBN​ 978-3-540-28102-3.
54. Boyle, Phillip (2000). "SANS Institute - Preguntas frecuentes sobre detección de intrusiones: herramientas de ataque de denegación de servicio distribuidas: n/a". Instituto SANS. Archivado desde el original el 15 de mayo de 2008 . Consultado el 2 de mayo de 2008 .
55. Leyden, John (23 de septiembre de 2004). "La empresa estadounidense de tarjetas de crédito lucha contra los ataques DDoS". El registro . Consultado el 2 de diciembre de 2011 .
56. Swati Khandelwal (23 de octubre de 2015). "Hackear cámaras CCTV para lanzar ataques DDoS". Las noticias de los piratas informáticos .
57. Zeifman, Igal; Gayer, Ofer; Wilder, o (21 de octubre de 2015). "CCTV DDoS Botnet en nuestro propio patio trasero". incapsula.com .
58. Glenn Greenwald (15 de julio de 2014). "HACKEAR ENCUESTAS EN LÍNEA Y OTRAS MANERAS EN QUE LOS ESPÍAS BRITÁNICOS BUSCAN CONTROLAR INTERNET". La Intercepción_ . Consultado el 25 de diciembre de 2015 .
59. "¿Quién está detrás de los ataques DDoS y cómo puede proteger su sitio web?". Nubebric. 10 de septiembre de 2015 . Consultado el 15 de septiembre de 2015 .
60. Solon, Olivia (9 de septiembre de 2015). "Los ciberextorsionadores que apuntan al sector financiero exigen rescates en Bitcoin". Bloomberg . Consultado el 15 de septiembre de 2015 .
61. Greenberg, Adam (14 de septiembre de 2015). "Akamai advierte sobre una mayor actividad del grupo de extorsión DDoS". Revista SC . Consultado el 15 de septiembre de 2015 .
62. "Plan OWASP - Strawman - Layer_7_DDOS.pdf" (PDF) . Abra el proyecto de seguridad de aplicaciones web . 18 de marzo de 2014. Archivado (PDF) desde el original el 9 de octubre de 2022 . Consultado el 18 de marzo de 2014 .
63. "Herramienta de publicación HTTP OWASP". Archivado desde el original el 21 de diciembre de 2010.
64. "¿Qué es un ataque CC?". HUAWEI CLOUD: crece con inteligencia . Archivado desde el original el 5 de marzo de 2019 . Consultado el 5 de marzo de 2019 .
65. 刘鹏; 郭洋. "Método, dispositivo y sistema de defensa contra ataques CC (challenge collapsar)". Patentes de Google . Archivado desde el original el 5 de marzo de 2019 . Consultado el 5 de marzo de 2018 .
66. 曾宪力; 史伟; 关志来; 彭国柱. "Método y dispositivo de protección contra ataques CC (Challenge Collapsar)". Patentes de Google . Archivado desde el original el 5 de marzo de 2019 . Consultado el 5 de marzo de 2018 .
67. "史上最臭名昭著的黑客工具 CC的前世今生". NetEase (en chino simplificado). 驱动中国网(北京). 24 de julio de 2014. Archivado desde el original el 5 de marzo de 2019 . Consultado el 5 de marzo de 2019 .
68. Sol, Fei Xian (2011). "Modelo de evaluación de riesgos basado en la teoría del peligro para ataques de pitufos". Materiales clave de ingeniería . 467–469: 515–521. doi : 10.4028/www.scientific.net/KEM.467-469.515. ISSN  1662-9795. S2CID  110045205.
69. "Tipos de ataques DDoS". Recursos distribuidos de ataques de denegación de servicio (DDoS), laboratorios de tecnología generalizada de la Universidad de Indiana . Laboratorio de gestión avanzada de redes (ANML). 3 de diciembre de 2009. Archivado desde el original el 14 de septiembre de 2010 . Consultado el 11 de diciembre de 2013 .
70. "¿Qué es una bomba nuclear? | Radware - DDoSPedia". seguridad.radware.com . Consultado el 16 de septiembre de 2019 .
71. Paul Sop (mayo de 2007). "Alerta de ataque de denegación de servicio distribuida proléxica". Prolexic Technologies Inc. Archivado desde el original el 3 de agosto de 2007 . Consultado el 22 de agosto de 2007 .
72. Robert Lemos (mayo de 2007). "Las redes peer-to-peer adoptadas para ataques DOS". Enfoque de seguridad. Archivado desde el original el 24 de septiembre de 2015 . Consultado el 22 de agosto de 2007 .
73. Fredrik Ullner (mayo de 2007). "Negar ataques distribuidos". DC++: Sólo estos tipos, ¿sabes? . Consultado el 22 de agosto de 2007 .
74. Leyden, John (21 de mayo de 2008). "El ataque Phlashing golpea los sistemas integrados". El registro . Consultado el 7 de marzo de 2009 .
75. Jackson Higgins, Kelly (19 de mayo de 2008). "El ataque de denegación de servicio permanente sabotea el hardware". Lectura oscura. Archivado desde el original el 8 de diciembre de 2008.
76. ""BrickerBot "Resulta en un ataque PDoS". Radioware . 4 de mayo de 2017 . Consultado el 22 de enero de 2019 .
77. "Conferencia de seguridad aplicada EUSecWest: Londres, Reino Unido" EUSecWest. 2008. Archivado desde el original el 1 de febrero de 2009.
78. Rossow, Christian (febrero de 2014). "Infierno de amplificación: revisión de los protocolos de red para el abuso de DDoS" (PDF) . Sociedad de Internet. Archivado desde el original (PDF) el 4 de marzo de 2016 . Consultado el 4 de febrero de 2016 .
79. Paxson, Vern (2001). "Un análisis del uso de reflectores para ataques distribuidos de denegación de servicio". ICIR.org.
80. "Alerta (TA14-017A) Ataques de amplificación basados ​​en UDP". CERT de EE. UU. 8 de julio de 2014 . Consultado el 8 de julio de 2014 .
81. "CVE-2022-26143: una vulnerabilidad de día cero para lanzar ataques DDoS de amplificación UDP". Blog de Cloudflare . 8 de marzo de 2022 . Consultado el 16 de marzo de 2022 .
82. "Notas de la versión de Memcached 1.5.6". GitHub . 27 de febrero de 2018 . Consultado el 3 de marzo de 2018 .
83. "DRDoS/Ataque de amplificación mediante el comando ntpdc monlist". support.ntp.org. 24 de abril de 2010 . Consultado el 13 de abril de 2014 .
84. van Rijswijk-Deij, Roland (2014). "DNSSEC y su potencial para ataques DDoS: un estudio de medición integral". Actas de la Conferencia de 2014 sobre medición de Internet. Prensa ACM. págs. 449–460. doi :10.1145/2663716.2663731. ISBN 9781450332132. S2CID  2094604.
85. Adamsky, Florian (2015). "Compartir archivos P2P en el infierno: explotar las vulnerabilidades de BitTorrent para lanzar ataques DoS reflectantes distribuidos".
86. Vaughn, Randal; Evron, Gadi (2006). "Ataques de amplificación de DNS" (PDF) . ISOTF. Archivado desde el original (PDF) el 14 de diciembre de 2010.
87. "Alerta (TA13-088A) Ataques de amplificación de DNS". CERT de EE. UU. 8 de julio de 2013 . Consultado el 17 de julio de 2013 .
88. Kolias, Constantinos; Kambourakis, Georgios; Stavrou, Angelos; Voas, Jeffrey (2017). "DDoS en IoT: Mirai y otras botnets". Computadora . 50 (7): 80–84. doi :10.1109/MC.2017.201. S2CID  35958086.
89. Kuzmanovic, Aleksandar; Knightly, Edward W. (25 de agosto de 2003). "Ataques de denegación de servicio dirigidos a TCP de baja tasa: la musaraña contra los ratones y los elefantes". Actas de la conferencia de 2003 sobre aplicaciones, tecnologías, arquitecturas y protocolos para comunicaciones informáticas . ACM. págs. 75–86. CiteSeerX 10.1.1.307.4107 . doi :10.1145/863955.863966. ISBN  978-1581137354. S2CID  173992197.
90. "Ru-muerto-todavía". 8 de septiembre de 2016.^{[ se necesita fuente no primaria ]}
91. "SACK Panic y otros problemas de denegación de servicio de TCP". Wiki de Ubuntu . 17 de junio de 2019. Archivado desde el original el 19 de junio de 2019 . Consultado el 21 de junio de 2019 .
92. "CVE-2019-11479". CVE . Archivado desde el original el 21 de junio de 2019 . Consultado el 21 de junio de 2019 .
93. Yuchen; Kai Hwang; Yu Kwong Kwok (2005). "Filtrado de ataques DDoS de musaraña en el dominio de la frecuencia". 30º aniversario de la Conferencia IEEE sobre redes informáticas locales (LCN'05)l . págs. 8 págs. doi : 10.1109/LCN.2005.70. hdl :10722/45910. ISBN 978-0-7695-2421-4. S2CID  406686.
94. "¿Qué es un ataque DDoS de lectura lenta?". Sistemas NetScout .
95. Ben-Porat, U.; Bremler-Barr, A.; Levy, H. (1 de mayo de 2013). "Vulnerabilidad de los mecanismos de red a ataques DDoS sofisticados". Transacciones IEEE en computadoras . 62 (5): 1031–1043. doi :10.1109/TC.2012.49. ISSN  0018-9340. S2CID  26395831.
96. satélite orbital (8 de septiembre de 2016). "Prueba HTTP lenta". FuenteForge .
97. Eddy, Wesley (agosto de 2007). "Ataques de inundación TCP SYN y mitigaciones comunes". Herramientas.ietf.org . doi : 10.17487/RFC4987 . RFC 4987 . Consultado el 2 de diciembre de 2011 . 
98. "Aviso CERT CA-1997-28 Ataques de denegación de servicio IP". CERTIFICADO. 1998 . Consultado el 18 de julio de 2014 .
99. "Windows 7 y Vista expuestos a un 'ataque en forma de lágrima'". ZDNet . 8 de septiembre de 2009 . Consultado el 11 de diciembre de 2013 .
100. "Aviso de seguridad de Microsoft (975497): las vulnerabilidades en SMB podrían permitir la ejecución remota de código". Microsoft.com. 8 de septiembre de 2009 . Consultado el 2 de diciembre de 2011 .
101. Bhardwaj, Akashdeep (12 de junio de 2023), "Soluciones para ataques DDoS en entornos de nube", Mitigación de amenazas cibernéticas de la nueva era para redes de computación en la nube , BENTHAM SCIENCE PUBLISHERS, págs. 42–55, doi :10.2174/9789815136111123010006, ISBN 978-981-5136-11-1, consultado el 9 de febrero de 2024
102. "FBI: las llamadas telefónicas falsas distraen a los consumidores del robo genuino". FBI.gov. 11 de mayo de 2010 . Consultado el 10 de septiembre de 2013 .
103. "Alertas de estafa del Centro de denuncias de delitos en Internet (IC3) 7 de enero de 2013". IC3.gov . 7 de enero de 2013 . Consultado el 10 de septiembre de 2013 .
104. "Identificación y mitigación de ataques de caducidad de TTL". Sistemas Cisco . Consultado el 24 de mayo de 2019 .
105. "El nuevo método de ataque DDoS aprovecha UPnP". Lectura oscura . Consultado el 29 de mayo de 2018 .
106. "El nuevo método de ataque DDoS exige un nuevo enfoque para la mitigación de ataques de amplificación - Blog | Imperva". Blog | Imperva . 14 de mayo de 2018 . Consultado el 29 de mayo de 2018 .
107. "Centro de análisis e intercambio de información entre varios estados". CEI .
108. "Ataques de amplificación basados ​​en UDP". 18 de diciembre de 2019.
109. "El protocolo DDoS estúpidamente simple (SSDP) genera DDoS de 100 Gbps". El blog de Cloudflare . 28 de junio de 2017.
110. "El protocolo DDoS estúpidamente simple (SSDP) genera DDoS de 100 Gbps". El blog de Cloudflare . 28 de junio de 2017 . Consultado el 13 de octubre de 2019 .
111. Loukás, G.; Oke, G. (septiembre de 2010). "Protección contra ataques de denegación de servicio: una encuesta" (PDF) . Computadora. J. 53 (7): 1020-1037. doi : 10.1093/comjnl/bxp078. Archivado desde el original (PDF) el 24 de marzo de 2012 . Consultado el 2 de diciembre de 2015 .
112. "Derivación de tráfico síncrono basada en MPLS (NANOG28)". Redes de Riverhead, Cisco, Colt Telecom . NANOG28. 3 de enero de 2003. Archivado desde el original el 15 de mayo de 2021 . Consultado el 10 de enero de 2003 .{{cite web}}: Mantenimiento CS1: bot: estado de la URL original desconocido ( enlace )
113. "Técnicas de desvío y tamizado para combatir ataques DDoS". Cisco, redes de Riverhead . NANOG23. 23 de octubre de 2001. Archivado desde el original el 15 de mayo de 2021 . Consultado el 30 de octubre de 2001 .{{cite web}}: Mantenimiento CS1: bot: estado de la URL original desconocido ( enlace )
114. "Mitigación de DDoS a través de centros de limpieza regionales (enero de 2004)" (PDF) . SprintLabs.com . Investigación Sprint ATL. Archivado desde el original (PDF) el 21 de septiembre de 2008 . Consultado el 2 de diciembre de 2011 .
115. Alqahtani, S.; Gamble, RF (1 de enero de 2015). "Ataques DDoS en nubes de servicios". 2015 48.a Conferencia Internacional de Hawaii sobre Ciencias de Sistemas . págs. 5331–5340. doi :10.1109/HICSS.2015.627. ISBN 978-1-4799-7367-5. S2CID  32238160.
116. Kosiouris, George (2014). "INDICADORES CLAVE DE FINALIZACIÓN: minimizar el efecto de los ataques DoS en aplicaciones elásticas basadas en la nube basadas en puntos de control de la cadena de Markov a nivel de aplicación". Conferencia MÁS CERCA . págs. 622–628. doi :10.5220/0004963006220628. ISBN 978-989-758-019-2.
117. Patrikakis, C.; Masikos, M.; Zouraraki, O. (diciembre de 2004). "Ataques distribuidos de denegación de servicio". La revista del protocolo de Internet . 7 (4): 13–35. Archivado desde el original el 27 de diciembre de 2015 . Consultado el 13 de enero de 2010 .
118. Popeskic, Valter (16 de octubre de 2012). "¿Cómo prevenir o detener los ataques DoS?".
119. Froutan, Paul (24 de junio de 2004). "Cómo defenderse de los ataques DDoS". Mundo de la informática . Consultado el 15 de mayo de 2010 .
120. "Las preocupaciones sobre la vulnerabilidad de la seguridad cibernética se disparan". ComputerWeekly.com . Consultado el 13 de agosto de 2018 .
121. Suzen, Mehmet. «Algunos consejos de iOS para (proveedores) de servicios de Internet» (PDF) . Archivado desde el original (PDF) el 10 de septiembre de 2008.
122. "Ataque SSDP DDoS | Cloudflare".
123. Shiels, Maggie (26 de junio de 2009). "La Web se ralentiza después de la muerte de Jackson". Noticias de la BBC .
124. "Lo sentimos. Error de consulta automatizada". Foros de productos de Google › Foro de búsqueda de Google . 20 de octubre de 2009 . Consultado el 11 de febrero de 2012 .
125. "YouTube demandado por un sitio con sonido similar". Noticias de la BBC . 2 de noviembre de 2006.
126. Bill Chappell (12 de marzo de 2014). "La gente sobrecarga el sitio web con la esperanza de ayudar a buscar el avión perdido". NPR . Consultado el 4 de febrero de 2016 .
127. Palmer, Daniel (19 de agosto de 2016). "Los expertos ponen en duda las afirmaciones de DDoS del censo". Delimitador . Consultado el 31 de enero de 2018 .
128. "Análisis de retrodispersión (2001)". Animaciones (vídeo). Asociación Cooperativa para el Análisis de Datos de Internet . Consultado el 11 de diciembre de 2013 .
129. "El FBI confisca 15 sitios web de alquiler de DDoS". Kotaku . 6 de enero de 2019.
130. "Legislación mundial sobre delitos cibernéticos | UNCTAD". unctad.org . Consultado el 8 de abril de 2024 .
131. "Código de Estados Unidos: Título 18,1030. Fraude y actividades relacionadas con computadoras | Imprenta del gobierno". gpo.gov. 25 de octubre de 2002 . Consultado el 15 de enero de 2014 .
132. "Hombre de Utah condenado por delito de piratería informática". 2 de julio de 2019. Archivado desde el original el 10 de julio de 2019.
133. Smolaks, Max (4 de julio de 2019). "Get rekt: Dos años en la cárcel por DerpTrolling, un mocoso que rompe juegos DDoS". El registro . Consultado el 27 de septiembre de 2019 . Austin Thompson, también conocido como DerpTrolling, que saltó a la fama en 2013 al lanzar ataques de denegación de servicio distribuido (DDoS) contra importantes empresas de videojuegos, ha sido condenado a 27 meses de prisión por un tribunal federal. Thompson, residente de Utah, también tendrá que pagar 95.000 dólares a Daybreak Games, que era propiedad de Sony cuando sufrió a manos de DerpTrolling. Entre diciembre de 2013 y enero de 2014, Thompson también derribó Steam de Valve, la mayor plataforma de distribución digital para juegos de PC, así como el servicio Origin de Electronic Arts y BattleNet de Blizzard. La interrupción duró desde horas hasta días.
134. "Acción internacional contra el grupo cibercriminal DD4BC". Europol . 12 de enero de 2016.
135. "Ley de uso indebido de computadoras de 1990". Legislación.gov.uk - Archivos Nacionales del Reino Unido . 10 de enero de 2008.
136. "Sala de redacción". Europol . Consultado el 29 de enero de 2019 .
137. "Autoridades de todo el mundo persiguen a los usuarios del mayor sitio web de alquiler de DDoS". Europol . Consultado el 29 de enero de 2019 .
138. "Petición anónima de DDoS: grupo pide a la Casa Blanca que reconozca la denegación de servicio distribuida como protesta". HuffingtonPost.com. 12 de enero de 2013.

Otras lecturas

• Ethan Zuckerman; Hal Roberts; Ryan McGrady; Jillian York; John Palfrey (diciembre de 2011). "Ataques distribuidos de denegación de servicio contra medios independientes y sitios de derechos humanos" (PDF) . El Centro Berkman para Internet y Sociedad de la Universidad de Harvard. Archivado desde el original (PDF) el 26 de febrero de 2011 . Consultado el 2 de marzo de 2011 .
• "Informes de medios públicos de DDOS". Harvard. Archivado desde el original el 25 de diciembre de 2010.
• PC World - Los ataques DDoS a la capa de aplicación se están volviendo cada vez más sofisticados

enlaces externos

• RFC  4732 Consideraciones sobre la denegación de servicio de Internet
• Informe sobre el estado de la seguridad de Internet de Akamai: estadísticas trimestrales de tendencias de seguridad y de Internet
• Preguntas frecuentes sobre seguridad de la World Wide Web del W3C
• cert.org Guía del CERT para ataques DoS. (documento histórico)
• Informe resumido de ATLAS: informe global en tiempo real de ataques DDoS.
• Cañón de iones de órbita baja: la conocida herramienta de prueba de tensión de red
• Cañón de iones de órbita alta: un inundador HTTP simple
• LOIC SLOW Un intento de llevar SlowLoris y herramientas de red lentas a LOIC