En informática , un ataque de denegación de servicio ( ataque DoS ) es un ciberataque en el que el perpetrador busca hacer que una máquina o un recurso de red no esté disponible para sus usuarios previstos interrumpiendo temporal o indefinidamente los servicios de un host conectado a una red . La denegación de servicio generalmente se logra inundando la máquina o el recurso objetivo con solicitudes superfluas en un intento de sobrecargar los sistemas e impedir que se cumplan algunas o todas las solicitudes legítimas. [1] La variedad de ataques varía ampliamente, desde inundar un servidor con millones de solicitudes para disminuir su rendimiento, abrumarlo con una cantidad sustancial de datos no válidos, hasta enviar solicitudes con una dirección IP ilegítima . [2]
En un ataque distribuido de denegación de servicio ( ataque DDoS ), el tráfico entrante que inunda a la víctima proviene de muchas fuentes diferentes. Se requieren estrategias más sofisticadas para mitigar este tipo de ataques; simplemente intentar bloquear una sola fuente es insuficiente ya que existen múltiples fuentes. [3]
Un ataque DoS o DDoS es análogo a un grupo de personas que se agolpan en la puerta de entrada de una tienda, dificultando la entrada de clientes legítimos, interrumpiendo así el comercio y perdiendo dinero del negocio.
Los perpetradores criminales de ataques DoS a menudo apuntan a sitios o servicios alojados en servidores web de alto perfil, como bancos o pasarelas de pago con tarjeta de crédito . La venganza , el chantaje [4] [5] [6] y el hacktivismo [7] pueden motivar estos ataques.
Panix , el tercer ISP más antiguo del mundo, fue el objetivo de lo que se cree que es el primer ataque DoS. El 6 de septiembre de 1996, Panix fue objeto de un ataque de inundación SYN , que provocó la caída de sus servicios durante varios días mientras los proveedores de hardware, en particular Cisco , encontraban una defensa adecuada. [8]
Khan C. Smith realizó otra demostración temprana del ataque DoS en 1997 durante un evento DEF CON , interrumpiendo el acceso a Internet en el Strip de Las Vegas durante más de una hora. La publicación del código de muestra durante el evento provocó el ataque en línea de Sprint , EarthLink , E-Trade y otras corporaciones importantes en el año siguiente. [9]
El mayor ataque DDoS hasta la fecha ocurrió en septiembre de 2017, cuando Google Cloud experimentó un ataque con un volumen máximo de2,54 Tb/s , revelado por Google el 17 de octubre de 2020. [10] Se pensaba que el poseedor del récord era un ataque ejecutado por un cliente anónimo del proveedor de servicios estadounidense Arbor Networks , que alcanzó un pico de aproximadamente1,7 TB/s . [11]
En febrero de 2020, Amazon Web Services experimentó un ataque con un volumen máximo de2,3 TB/s . [12] En julio de 2021, el proveedor de CDN Cloudflare se jactó de proteger a su cliente de un ataque DDoS de una botnet global Mirai que generaba hasta 17,2 millones de solicitudes por segundo. [ cita necesaria ] El proveedor ruso de prevención de DDoS , Yandex , dijo que bloqueó un ataque DDoS de canalización HTTP el 5 de septiembre de 2021 que se originó en un equipo de red Mikrotik sin parches. [13]
En febrero de 2023, Cloudflare enfrentó un ataque de 71 millones de solicitudes por segundo que, según Cloudflare, fue el ataque HTTP DDoS más grande en ese momento. [14] Los ataques HTTP DDoS se miden mediante solicitudes HTTP por segundo en lugar de paquetes por segundo o bits por segundo.
El 10 de julio de 2023, un grupo de piratas informáticos anónimo atacó el sitio de fanfiction Archive of Our Own (AO3). Los piratas informáticos afirmaron tener "motivaciones religiosas y políticas", pero los expertos que trabajan con Archive of Our Own para superar los ataques aún tienen que verificar estas afirmaciones. [ cita necesaria ] [15]
En agosto de 2023, el grupo de hacktivistas NoName057 atacó varias instituciones financieras italianas mediante la ejecución de lentos ataques DoS . [dieciséis]
En octubre de 2023, la explotación de una nueva vulnerabilidad en el protocolo HTTP/2 dio como resultado que se batiera dos veces el récord del mayor ataque HTTP DDoS, una vez con un ataque de 201 millones de solicitudes por segundo observado por Cloudflare, [17] y otra vez con un ataque de 398 millones. Solicitudes por segundo de ataque observado por Google. [18]
Los ataques de denegación de servicio se caracterizan por un intento explícito por parte de los atacantes de impedir el uso legítimo de un servicio. Hay dos formas generales de ataques DoS: los que bloquean los servicios y los que los inundan. Los ataques más graves se distribuyen. [19]
Un ataque de denegación de servicio distribuido (DDoS) se produce cuando varios sistemas inundan el ancho de banda o los recursos de un sistema objetivo, normalmente uno o más servidores web. [19] Un ataque DDoS utiliza más de una dirección IP única o máquinas, a menudo de miles de hosts infectados con malware. [20] [21] Un ataque distribuido de denegación de servicio normalmente involucra más de 3 a 5 nodos en diferentes redes; menos nodos pueden calificar como un ataque DoS pero no es un ataque DDoS. [22] [23]
Varias máquinas pueden generar más tráfico de ataque que una sola máquina, varias máquinas de ataque son más difíciles de apagar que una sola máquina de ataque y el comportamiento de cada máquina de ataque puede ser más sigiloso, lo que dificulta su seguimiento y apagado. Dado que el tráfico entrante que inunda a la víctima proviene de diferentes fuentes, puede resultar imposible detener el ataque simplemente utilizando el filtrado de entrada . También dificulta distinguir el tráfico de usuarios legítimos del tráfico de ataque cuando se distribuye en múltiples puntos de origen. Como alternativa o complemento de un DDoS, los ataques pueden implicar la falsificación de direcciones IP del remitente ( suplantación de direcciones IP ), lo que complica aún más la identificación y derrota del ataque. Estas ventajas para los atacantes plantean desafíos para los mecanismos de defensa. Por ejemplo, simplemente comprar más ancho de banda entrante que el volumen actual del ataque podría no ayudar, porque el atacante podría simplemente agregar más máquinas de ataque.
La escala de los ataques DDoS ha seguido aumentando en los últimos años y en 2016 superó el terabit por segundo . [24] [25] Algunos ejemplos comunes de ataques DDoS son la inundación UDP , la inundación SYN y la amplificación DNS . [26] [27]
Un ataque yo-yo es un tipo específico de DoS/DDoS dirigido a aplicaciones alojadas en la nube que utilizan el escalado automático . [28] [29] [30] El atacante genera una avalancha de tráfico hasta que un servicio alojado en la nube escala hacia afuera para manejar el aumento de tráfico, luego detiene el ataque, dejando a la víctima con recursos sobreaprovisionados. Cuando la víctima vuelve a reducir su tamaño, el ataque se reanuda, lo que hace que los recursos vuelvan a aumentar. Esto puede dar como resultado una calidad de servicio reducida durante los períodos de ampliación y reducción y una pérdida financiera de recursos durante los períodos de aprovisionamiento excesivo, mientras se opera con un costo menor para un atacante en comparación con un ataque DDoS normal, ya que solo necesita estar generando tráfico durante una parte del período del ataque.
Un ataque DDoS a la capa de aplicación (a veces denominado ataque DDoS de capa 7 ) es una forma de ataque DDoS en el que los atacantes apuntan a procesos de la capa de aplicación . [31] [22] El ataque ejercita en exceso funciones o características específicas de un sitio web con la intención de desactivar esas funciones o características. Este ataque a la capa de aplicación es diferente de un ataque a toda la red y, a menudo, se utiliza contra instituciones financieras para distraer al personal de TI y de seguridad de las violaciones de seguridad. [32] En 2013, los ataques DDoS a la capa de aplicación representaron el 20% de todos los ataques DDoS. [33] Según una investigación de Akamai Technologies , ha habido "un 51 por ciento más de ataques a la capa de aplicaciones" desde el cuarto trimestre de 2013 hasta el cuarto trimestre de 2014 y "un 16 por ciento más" desde el tercer trimestre de 2014 hasta el cuarto trimestre de 2014. [34] En noviembre de 2017; Junade Ali , ingeniero de Cloudflare, señaló que si bien los ataques a nivel de red siguen siendo de alta capacidad, ocurrían con menos frecuencia. Ali señaló además que, aunque los ataques a nivel de red se estaban volviendo menos frecuentes, los datos de Cloudflare demostraron que los ataques a la capa de aplicaciones aún no mostraban signos de desaceleración. [35]
El modelo OSI (ISO/IEC 7498-1) es un modelo conceptual que caracteriza y estandariza las funciones internas de un sistema de comunicación dividiéndolo en capas de abstracción . El modelo es un producto del proyecto de Interconexión de Sistemas Abiertos de la Organización Internacional de Normalización (ISO). El modelo agrupa funciones de comunicación similares en una de siete capas lógicas. Una capa sirve a la capa superior y es atendida por la capa inferior. Por ejemplo, una capa que proporciona comunicaciones sin errores a través de una red proporciona la ruta de comunicación que necesitan las aplicaciones superiores, mientras llama a la siguiente capa inferior para enviar y recibir paquetes que atraviesan esa ruta.
En el modelo OSI, la definición de su capa de aplicación tiene un alcance más limitado de lo que suele implementarse. El modelo OSI define la capa de aplicación como la interfaz de usuario. La capa de aplicación OSI es responsable de mostrar datos e imágenes al usuario en un formato reconocible por humanos y de interactuar con la capa de presentación debajo de ella. En una implementación, las capas de aplicación y presentación frecuentemente se combinan.
El ataque DoS más simple se basa principalmente en la fuerza bruta, inundando al objetivo con un flujo abrumador de paquetes, sobresaturando el ancho de banda de su conexión o agotando los recursos del sistema del objetivo. Las inundaciones que saturan el ancho de banda dependen de la capacidad del atacante para generar un flujo abrumador de paquetes. Una forma común de lograr esto hoy en día es mediante denegación de servicio distribuida, empleando una botnet .
Un ataque DDoS a la capa de aplicación se realiza principalmente con fines específicos, incluida la interrupción de transacciones y el acceso a bases de datos. Requiere menos recursos que los ataques a la capa de red, pero a menudo los acompaña. [36] Un ataque puede disfrazarse para que parezca tráfico legítimo, excepto que se dirija a paquetes o funciones de aplicaciones específicas. El ataque a la capa de aplicación puede interrumpir servicios como la recuperación de información o las funciones de búsqueda en un sitio web. [33]
Un DoS persistente avanzado (APDoS) está asociado con una amenaza persistente avanzada y requiere una mitigación de DDoS especializada . [37] Estos ataques pueden persistir durante semanas; el período continuo más largo observado hasta ahora duró 38 días. Este ataque involucró aproximadamente más de 50 petabits (más de 50.000 terabits) de tráfico malicioso. [38]
En este escenario, los atacantes pueden cambiar tácticamente entre varios objetivos para crear una distracción que les permita evadir las contramedidas defensivas DDoS, pero al mismo tiempo concentran el ataque principal en una sola víctima. En este escenario, los atacantes con acceso continuo a varios recursos de red muy potentes son capaces de mantener una campaña prolongada que genera enormes niveles de tráfico DDoS no amplificado.
Los ataques APDoS se caracterizan por:
Algunos proveedores ofrecen los llamados servicios de arranque o estrés , que tienen interfaces simples basadas en la web y aceptan pagos a través de la web. Comercializados y promocionados como herramientas de pruebas de estrés, pueden usarse para realizar ataques de denegación de servicio no autorizados y permitir a atacantes técnicamente poco sofisticados acceder a herramientas de ataque sofisticadas. [40] Generalmente impulsado por una botnet , el tráfico producido por un consumidor estresante puede oscilar entre 5 y 50 Gbit/s, lo que, en la mayoría de los casos, puede negar el acceso a Internet al usuario doméstico promedio. [41]
Un ataque de denegación de servicio modulado por Markov ocurre cuando el atacante interrumpe los paquetes de control utilizando un modelo oculto de Markov . Un entorno en el que prevalecen los ataques basados en el modelo de Markov es el de los juegos en línea, ya que la interrupción del paquete de control socava el juego y la funcionalidad del sistema. [42]
El Equipo de Preparación para Emergencias Informáticas de los Estados Unidos (US-CERT) ha identificado síntomas de un ataque de denegación de servicio que incluyen: [43]
En casos como MyDoom y Slowloris , las herramientas están integradas en malware y lanzan sus ataques sin el conocimiento del propietario del sistema. Stacheldraht es un ejemplo clásico de herramienta DDoS. Utiliza una estructura en capas donde el atacante usa un programa cliente para conectarse a controladores que son sistemas comprometidos que emiten comandos a los agentes zombies que a su vez facilitan el ataque DDoS. Los agentes se ven comprometidos a través de los controladores por parte del atacante que utiliza rutinas automatizadas para explotar vulnerabilidades en programas que aceptan conexiones remotas que se ejecutan en los hosts remotos de destino. Cada controlador puede controlar hasta mil agentes. [44]
En otros casos, una máquina puede formar parte de un ataque DDoS con el consentimiento del propietario, por ejemplo, en la Operación Payback organizada por el grupo Anonymous . El cañón de iones de órbita baja normalmente se ha utilizado de esta manera. Junto con High Orbit Ion Cannon, hoy en día hay disponible una amplia variedad de herramientas DDoS, incluidas versiones pagas y gratuitas, con diferentes funciones disponibles. Existe un mercado clandestino para estos en foros relacionados con hackers y canales IRC.
Los ataques a la capa de aplicaciones emplean exploits que causan DoS y pueden hacer que el software que se ejecuta en el servidor llene el espacio en disco o consuma toda la memoria o el tiempo de CPU disponibles . Los ataques pueden utilizar tipos de paquetes específicos o solicitudes de conexión para saturar recursos finitos, por ejemplo, ocupando el número máximo de conexiones abiertas o llenando el espacio en disco de la víctima con registros. Un atacante con acceso a nivel de shell a la computadora de una víctima puede ralentizarla hasta que quede inutilizable o bloquearla usando una bomba fork . Otro tipo de ataque DoS a nivel de aplicación es XDoS (o XML DoS), que puede controlarse mediante firewalls de aplicaciones web (WAF) modernos.
Todos los ataques que pertenecen a la categoría de explotación del tiempo de espera [45] Los ataques DoS lentos implementan un ataque a la capa de aplicación. Ejemplos de amenazas son Slowloris, que establece conexiones pendientes con la víctima, o SlowDroid , un ataque que se ejecuta en dispositivos móviles.
Otro objetivo de los ataques DDoS puede ser generar costes adicionales para el operador de la aplicación, cuando este último utiliza recursos basados en la computación en la nube . En este caso, los recursos utilizados normalmente por la aplicación están vinculados a un nivel de calidad de servicio (QoS) necesario (por ejemplo, las respuestas deben ser inferiores a 200 ms) y esta regla generalmente está vinculada al software automatizado (por ejemplo, Amazon CloudWatch [46] ) para aumentar más recursos virtuales del proveedor para cumplir con los niveles de QoS definidos para el aumento de solicitudes. El principal incentivo detrás de tales ataques puede ser obligar al propietario de la aplicación a aumentar los niveles de elasticidad para manejar el aumento del tráfico de aplicaciones, causar pérdidas financieras u obligarlos a ser menos competitivos.
Un ataque banana es otro tipo particular de DoS. Implica redirigir los mensajes salientes del cliente nuevamente al cliente, evitando el acceso externo e inundando al cliente con los paquetes enviados. Un ataque TERRESTRE es de este tipo.
Los zombis pulsantes son computadoras comprometidas que están dirigidas a lanzar inundaciones intermitentes y de corta duración en los sitios web de las víctimas con la intención simplemente de ralentizarlos en lugar de bloquearlos. Este tipo de ataque, conocido como degradación del servicio , puede ser más difícil de detectar y puede interrumpir y obstaculizar la conexión a sitios web durante períodos prolongados, lo que podría causar más interrupciones generales que un ataque de denegación de servicio. [47] [48] La exposición a ataques de degradación del servicio se complica aún más por la cuestión de discernir si el servidor realmente está siendo atacado o está experimentando cargas de tráfico legítimas superiores a las normales. [49]
Si un atacante realiza un ataque desde un único host, se clasificaría como un ataque DoS. Cualquier ataque contra la disponibilidad se clasificaría como un ataque de denegación de servicio. Por otro lado, si un atacante utiliza muchos sistemas para lanzar ataques simultáneamente contra un host remoto, esto se clasificaría como un ataque DDoS.
El malware puede llevar mecanismos de ataque DDoS; Uno de los ejemplos más conocidos de esto fue MyDoom . Su mecanismo DoS se activó en una fecha y hora específicas. Este tipo de DDoS implicaba codificar la dirección IP de destino antes de liberar el malware y no era necesaria ninguna interacción adicional para lanzar el ataque.
Un sistema también puede verse comprometido por un troyano que contenga un agente zombie . Los atacantes también pueden ingresar a los sistemas utilizando herramientas automatizadas que explotan fallas en los programas que escuchan conexiones desde hosts remotos. Este escenario afecta principalmente a sistemas que actúan como servidores en la web. Stacheldraht es un ejemplo clásico de herramienta DDoS. Utiliza una estructura en capas donde el atacante usa un programa cliente para conectarse a los controladores, que son sistemas comprometidos que emiten comandos a los agentes zombies, que a su vez facilitan el ataque DDoS. El atacante compromete a los agentes a través de los controladores. Cada controlador puede controlar hasta mil agentes. [44] En algunos casos, una máquina puede convertirse en parte de un ataque DDoS con el consentimiento del propietario, por ejemplo, en la Operación Payback , organizada por el grupo Anonymous . Estos ataques pueden utilizar diferentes tipos de paquetes de Internet como TCP, UDP, ICMP, etc.
Estas colecciones de sistemas comprometidos se conocen como botnets . Las herramientas DDoS como Stacheldraht todavía utilizan métodos de ataque DoS clásicos centrados en la suplantación y amplificación de IP, como los ataques smurf y los ataques fraggle (tipos de ataques de consumo de ancho de banda). También se pueden utilizar inundaciones SYN (un ataque de hambre de recursos). Las herramientas más nuevas pueden utilizar servidores DNS con fines DoS. A diferencia del mecanismo DDoS de MyDoom, las botnets pueden atacar cualquier dirección IP. Los Script Kiddies los utilizan para negar la disponibilidad de sitios web conocidos a usuarios legítimos. [50] Los atacantes más sofisticados utilizan herramientas DDoS con fines de extorsión , incluso contra sus rivales comerciales. [51]
Se ha informado que hay nuevos ataques desde dispositivos de Internet de las cosas (IoT) que han estado involucrados en ataques de denegación de servicio. [52] En un ataque conocido que se realizó alcanzó un máximo de alrededor de 20.000 solicitudes por segundo que provenían de alrededor de 900 cámaras de CCTV. [53]
El GCHQ del Reino Unido tiene herramientas creadas para DDoS, llamadas PREDATORS FACE y ROLLING THUNDER. [54]
Ataques simples como inundaciones SYN pueden aparecer con una amplia gama de direcciones IP de origen, dando la apariencia de un DoS distribuido. Estos ataques de inundación no requieren que se complete el protocolo de enlace de tres vías TCP ni intentan agotar la cola SYN de destino o el ancho de banda del servidor. Debido a que las direcciones IP de origen pueden falsificarse de manera trivial, un ataque podría provenir de un conjunto limitado de fuentes o incluso puede originarse desde un solo host. Las mejoras de la pila, como las cookies SYN, pueden ser una mitigación eficaz contra la inundación de la cola SYN, pero no abordan el agotamiento del ancho de banda.
En 2015, las botnets DDoS como DD4BC ganaron importancia y apuntaron a instituciones financieras. [55] Los ciberextorsionadores suelen comenzar con un ataque de bajo nivel y una advertencia de que se llevará a cabo un ataque mayor si no se paga el rescate en bitcoins . [56] Los expertos en seguridad recomiendan que los sitios web específicos no paguen el rescate. Los atacantes tienden a involucrarse en un plan de extorsión extendido una vez que reconocen que el objetivo está dispuesto a pagar. [57]
Descubierto por primera vez en 2009, el ataque POST lento HTTP envía un encabezado POST HTTP completo y legítimo , que incluye un campo Longitud del contenido para especificar el tamaño del cuerpo del mensaje a seguir. Sin embargo, el atacante procede a enviar el cuerpo del mensaje real a una velocidad extremadamente lenta (por ejemplo, 1 byte/110 segundos). Debido a que todo el mensaje es correcto y completo, el servidor de destino intentará obedecer el campo Longitud del contenido en el encabezado y esperará a que se transmita todo el cuerpo del mensaje, lo que puede llevar mucho tiempo. El atacante establece cientos o incluso miles de conexiones de este tipo hasta que se agotan todos los recursos para las conexiones entrantes en el servidor de la víctima, lo que imposibilita cualquier conexión adicional hasta que se hayan enviado todos los datos. Es de destacar que, a diferencia de muchos otros ataques DDoS o DDoS, que intentan someter el servidor sobrecargando su red o CPU, un ataque POST lento HTTP apunta a los recursos lógicos de la víctima, lo que significa que la víctima todavía tendría suficiente ancho de banda y procesamiento de red. poder para operar. [58] Combinado con el hecho de que el servidor HTTP Apache , de forma predeterminada, aceptará solicitudes de hasta 2 GB de tamaño, este ataque puede ser particularmente poderoso. Los ataques POST lentos HTTP son difíciles de diferenciar de las conexiones legítimas y, por lo tanto, pueden eludir algunos sistemas de protección. OWASP , un proyecto de seguridad de aplicaciones web de código abierto , lanzó una herramienta para probar la seguridad de los servidores frente a este tipo de ataques. [59]
Un ataque Challenge Collapsar (CC) es un ataque en el que se envían con frecuencia solicitudes HTTP estándar a un servidor web específico. Los identificadores uniformes de recursos (URI) en las solicitudes requieren algoritmos complicados u operaciones de base de datos que consumen mucho tiempo y que pueden agotar los recursos del servidor web de destino. [60] [61] [62]
En 2004, un hacker chino apodado KiKi inventó una herramienta de piratería para enviar este tipo de solicitudes para atacar un firewall NSFOCUS llamado Collapsar , y por eso la herramienta de piratería se conocía como Challenge Collapsar , o CC para abreviar. En consecuencia, este tipo de ataque recibió el nombre de ataque CC . [63]
Un ataque pitufo se basa en dispositivos de red mal configurados que permiten que los paquetes se envíen a todos los hosts de una red en particular a través de la dirección de transmisión de la red, en lugar de a una máquina específica. El atacante enviará una gran cantidad de paquetes IP con la dirección de origen falsificada para que parezca la dirección de la víctima. [64] La mayoría de los dispositivos en una red, de forma predeterminada, responderán a esto enviando una respuesta a la dirección IP de origen. Si la cantidad de máquinas en la red que reciben y responden a estos paquetes es muy grande, la computadora de la víctima se verá inundada de tráfico. Esto sobrecarga la computadora de la víctima e incluso puede dejarla inutilizable durante dicho ataque. [sesenta y cinco]
La inundación de ping se basa en enviar a la víctima una cantidad abrumadora de paquetes de ping , generalmente utilizando el comando ping desde hosts tipo Unix . [a] Es muy sencillo de iniciar; el requisito principal es el acceso a un ancho de banda mayor que el de la víctima.
El ping de la muerte se basa en enviar a la víctima un paquete de ping mal formado, lo que provocará una caída del sistema en un sistema vulnerable.
El ataque BlackNurse es un ejemplo de un ataque que aprovecha los paquetes ICMP inalcanzables del puerto de destino requeridos.
Una bomba nuclear es un antiguo ataque de denegación de servicio contra redes informáticas que consiste en paquetes ICMP fragmentados o inválidos enviados al objetivo, que se logra mediante el uso de una utilidad de ping modificada para enviar repetidamente estos datos corruptos, lo que ralentiza la computadora afectada hasta que se detiene por completo. [66]
Un ejemplo específico de un ataque nuclear que ganó cierta prominencia es el WinNuke , que aprovechó la vulnerabilidad en el controlador NetBIOS en Windows 95 . Se envió una cadena de datos fuera de banda al puerto TCP 139 de la máquina de la víctima, lo que provocó que se bloqueara y mostrara una pantalla azul de la muerte . [66]
Los atacantes han encontrado una manera de explotar una serie de errores en los servidores peer-to-peer para iniciar ataques DDoS. El más agresivo de estos ataques DDoS peer-to-peer explota DC++ . Con peer-to-peer no hay botnet y el atacante no tiene que comunicarse con los clientes que subvierte. En cambio, el atacante actúa como un titiritero , instruyendo a los clientes de grandes centros de intercambio de archivos peer-to-peer para que se desconecten de su red peer-to-peer y se conecten al sitio web de la víctima. [67] [68] [69]
La denegación de servicio permanente (PDoS), también conocida como phlashing, [70] es un ataque que daña tanto un sistema que requiere el reemplazo o la reinstalación del hardware. [71] A diferencia del ataque distribuido de denegación de servicio, un ataque PDoS explota fallas de seguridad que permiten la administración remota en las interfaces de administración del hardware de la víctima, como enrutadores , impresoras u otro hardware de red . El atacante utiliza estas vulnerabilidades para reemplazar el firmware de un dispositivo con una imagen de firmware modificada, corrupta o defectuosa, un proceso que, cuando se realiza de manera legítima, se conoce como flasheo. La intención es bloquear el dispositivo, dejándolo inutilizable para su propósito original hasta que pueda ser reparado o reemplazado.
El PDoS es un ataque exclusivamente dirigido al hardware que puede ser mucho más rápido y requiere menos recursos que usar una botnet en un ataque DDoS. Debido a estas características y al potencial y la alta probabilidad de que se produzcan vulnerabilidades de seguridad en dispositivos integrados habilitados para la red, esta técnica ha llamado la atención de numerosas comunidades de piratas informáticos. BrickerBot , un malware dirigido a dispositivos IoT, utilizó ataques PDoS para desactivar sus objetivos. [72]
PhlashDance es una herramienta creada por Rich Smith (un empleado del Laboratorio de Seguridad de Sistemas de Hewlett-Packard) utilizada para detectar y demostrar vulnerabilidades PDoS en la Conferencia de Seguridad Aplicada EUSecWest 2008 en Londres. [73]
Un ataque distribuido de denegación de servicio puede implicar el envío de solicitudes falsificadas de algún tipo a una gran cantidad de computadoras que responderán a las solicitudes. Al utilizar la suplantación de direcciones del Protocolo de Internet , la dirección de origen se establece en la de la víctima objetivo, lo que significa que todas las respuestas irán al objetivo (e inundarán). Esta forma de ataque reflejado a veces se denomina ataque de denegación de servicio reflexivo distribuido ( DRDoS ). [74]
Los ataques de solicitud de eco ICMP ( ataques Smurf ) pueden considerarse una forma de ataque reflejado, ya que los hosts de inundación envían solicitudes de eco a las direcciones de transmisión de redes mal configuradas, incitando así a los hosts a enviar paquetes de respuesta de eco a la víctima. Algunos de los primeros programas DDoS implementaron una forma distribuida de este ataque.
Los ataques de amplificación se utilizan para ampliar el ancho de banda que se envía a una víctima. Se pueden aprovechar muchos servicios para que actúen como reflectores, algunos más difíciles de bloquear que otros. [75] US-CERT ha observado que diferentes servicios pueden dar lugar a diferentes factores de amplificación, como se tabula a continuación: [76]
Los ataques de amplificación de DNS implican que un atacante envíe una solicitud de búsqueda de nombre DNS a uno o más servidores DNS públicos, falsificando la dirección IP de origen de la víctima objetivo. El atacante intenta solicitar la mayor cantidad de información posible, amplificando así la respuesta DNS que se envía a la víctima objetivo. Dado que el tamaño de la solicitud es significativamente menor que la respuesta, el atacante puede aumentar fácilmente la cantidad de tráfico dirigido al objetivo. [82] [83]
SNMP y NTP también pueden explotarse como reflectores en un ataque de amplificación. Un ejemplo de un ataque DDoS amplificado a través del Protocolo de hora de red (NTP) es a través de un comando llamado monlist , que envía los detalles de los últimos 600 hosts que han solicitado la hora del servidor NTP al solicitante. Se puede enviar una pequeña solicitud a este servidor de tiempo utilizando una dirección IP de origen falsificada de alguna víctima, lo que da como resultado una respuesta 556,9 veces el tamaño de la solicitud enviada a la víctima. Esto se amplifica cuando se utilizan botnets que envían solicitudes con la misma fuente de IP falsificada, lo que resultará en el envío de una gran cantidad de datos a la víctima.
Es muy difícil defenderse de este tipo de ataques porque los datos de respuesta provienen de servidores legítimos. Estas solicitudes de ataque también se envían a través de UDP, que no requiere conexión al servidor. Esto significa que la IP de origen no se verifica cuando el servidor recibe una solicitud. Para crear conciencia sobre estas vulnerabilidades, se han iniciado campañas dedicadas a encontrar vectores de amplificación que hayan llevado a las personas a reparar sus resolutores o a cerrarlos por completo. [ cita necesaria ]
Este ataque funciona mediante el uso de un gusano para infectar cientos de miles de dispositivos IoT en Internet. El gusano se propaga a través de redes y sistemas tomando el control de dispositivos IoT mal protegidos, como termostatos, relojes con Wi-Fi y lavadoras. [84] El propietario o usuario normalmente no tendrá ninguna indicación inmediata de cuándo el dispositivo se infecta. El dispositivo IoT en sí no es el objetivo directo del ataque, sino que se utiliza como parte de un ataque mayor. [85] Una vez que el pirata informático ha esclavizado la cantidad deseada de dispositivos, les indica a los dispositivos que intenten comunicarse con un ISP. En octubre de 2016, una botnet Mirai atacó a Dyn, que es el ISP de sitios como Twitter , Netflix , etc. [84] Tan pronto como esto ocurrió, todos estos sitios web estuvieron inaccesibles durante varias horas.
El ataque RUDY se dirige a aplicaciones web al privar de sesiones disponibles en el servidor web. Al igual que Slowloris, RUDY mantiene las sesiones detenidas mediante transmisiones POST interminables y enviando un valor de encabezado de longitud de contenido arbitrariamente grande. [86]
Un interlocutor remoto puede utilizar la manipulación del tamaño máximo de segmento y el reconocimiento selectivo (SACK) para provocar una denegación de servicio mediante un desbordamiento de enteros en el kernel de Linux, lo que podría provocar un pánico en el kernel . [87] Jonathan Looney descubrió CVE - 2019-11477, CVE-2019-11478, CVE-2019-11479 el 17 de junio de 2019. [88]
El ataque de musaraña es un ataque de denegación de servicio al Protocolo de control de transmisión en el que el atacante emplea técnicas de intermediario . Explota una debilidad en el mecanismo de tiempo de espera de retransmisión de TCP, utilizando breves ráfagas de tráfico sincronizadas para interrumpir las conexiones TCP en el mismo enlace. [89]
Un ataque de lectura lenta envía solicitudes legítimas a la capa de aplicación, pero lee las respuestas muy lentamente, manteniendo las conexiones abiertas por más tiempo con la esperanza de agotar el grupo de conexiones del servidor. La lectura lenta se logra anunciando un número muy pequeño para el tamaño de la ventana de recepción TCP y, al mismo tiempo, vaciando lentamente el búfer de recepción TCP de los clientes, lo que provoca una tasa de flujo de datos muy baja. [90]
Un sofisticado ataque DDoS de bajo ancho de banda es una forma de DoS que utiliza menos tráfico y aumenta su efectividad al apuntar a un punto débil en el diseño del sistema de la víctima, es decir, el atacante envía tráfico que consiste en solicitudes complicadas al sistema. [91] Esencialmente, un ataque DDoS sofisticado tiene un costo menor debido al uso de menos tráfico, es de menor tamaño, lo que lo hace más difícil de identificar, y tiene la capacidad de dañar sistemas que están protegidos por mecanismos de control de flujo. [91] [92]
Una inundación SYN ocurre cuando un host envía una inundación de paquetes TCP/SYN, a menudo con una dirección de remitente falsificada. Cada uno de estos paquetes se maneja como una solicitud de conexión, lo que hace que el servidor genere una conexión medio abierta , envíe de vuelta un paquete TCP/SYN-ACK y espere un paquete en respuesta de la dirección del remitente. Sin embargo, debido a que la dirección del remitente es falsa, la respuesta nunca llega. Estas conexiones medio abiertas agotan las conexiones disponibles que el servidor puede realizar, impidiendo que responda a solicitudes legítimas hasta que finalice el ataque. [93]
Un ataque en forma de lágrima implica enviar fragmentos de IP destrozados con cargas útiles superpuestas y de gran tamaño a la máquina de destino. Esto puede bloquear varios sistemas operativos debido a un error en su código de reensamblaje de fragmentación TCP/IP . [94] Los sistemas operativos Windows 3.1x , Windows 95 y Windows NT , así como las versiones de Linux anteriores a las versiones 2.0.32 y 2.1.63 son vulnerables a este ataque. [b]
Uno de los campos en un encabezado IP es el campo de desplazamiento de fragmento , que indica la posición inicial, o desplazamiento, de los datos contenidos en un paquete fragmentado en relación con los datos del paquete original. Si la suma del desplazamiento y el tamaño de un paquete fragmentado difiere de la del siguiente paquete fragmentado, los paquetes se superponen. Cuando esto sucede, un servidor vulnerable a ataques de lágrima no puede volver a ensamblar los paquetes, lo que genera una condición de denegación de servicio. [97]
La voz sobre IP ha hecho que la originación abusiva de un gran número de llamadas telefónicas de voz sea económica y fácil de automatizar, al tiempo que permite tergiversar los orígenes de las llamadas mediante la suplantación del identificador de llamadas .
Según la Oficina Federal de Investigaciones de EE. UU ., la denegación de servicio telefónico (TDoS) ha aparecido como parte de varios esquemas fraudulentos:
TDoS puede existir incluso sin telefonía por Internet . En el escándalo de interferencia telefónica en las elecciones al Senado de New Hampshire de 2002 , se utilizaron vendedores telefónicos para inundar a los oponentes políticos con llamadas falsas para bloquear los bancos telefónicos el día de las elecciones. La publicación generalizada de un número también puede inundarlo con suficientes llamadas como para dejarlo inservible, como ocurrió por accidente en 1981, cuando varios suscriptores del código de área +1 -867-5309 se vieron inundados por cientos de llamadas diarias en respuesta a la canción " 867-5309 ". /Jenny ".
TDoS se diferencia de otros acosos telefónicos (como llamadas de broma y llamadas telefónicas obscenas ) por la cantidad de llamadas originadas. Al ocupar líneas continuamente con repetidas llamadas automáticas, se impide a la víctima realizar o recibir llamadas telefónicas tanto de rutina como de emergencia.
Los exploits relacionados incluyen ataques de inundación de SMS y fax negro o transmisión continua de fax mediante el uso de un bucle de papel en el remitente.
Se necesitan más recursos del enrutador para descartar un paquete con un valor TTL de 1 o menos que para reenviar un paquete con un valor TTL más alto. Cuando un paquete se descarta debido a la expiración del TTL, la CPU del enrutador debe generar y enviar una respuesta de tiempo excedido ICMP . Generar muchas de estas respuestas puede sobrecargar la CPU del enrutador. [100]
Un ataque UPnP utiliza una vulnerabilidad existente en el protocolo Universal Plug and Play (UPnP) para superar la seguridad de la red e inundar la red y los servidores del objetivo. El ataque se basa en una técnica de amplificación de DNS, pero el mecanismo de ataque es un enrutador UPnP que reenvía solicitudes de una fuente externa a otra. El enrutador UPnP devuelve los datos en un puerto UDP inesperado desde una dirección IP falsa, lo que dificulta tomar medidas simples para detener la avalancha de tráfico. Según los investigadores de Imperva , la forma más eficaz de detener este ataque es que las empresas bloqueen los enrutadores UPnP. [101] [102]
En 2014 se descubrió que el Protocolo simple de descubrimiento de servicios (SSDP) se estaba utilizando en ataques DDoS conocidos como ataque de reflexión SSDP con amplificación . Muchos dispositivos, incluidos algunos enrutadores residenciales, tienen una vulnerabilidad en el software UPnP que permite a un atacante obtener respuestas desde el puerto UDP 1900 a una dirección de destino de su elección. Con una botnet de miles de dispositivos, los atacantes pueden generar suficientes velocidades de paquetes y ocupar ancho de banda para saturar los enlaces, provocando la denegación de servicios. [103] [104] [105] Debido a esta debilidad, la empresa de redes Cloudflare ha descrito SSDP como el "Protocolo DDoS estúpidamente simple". [106]
La suplantación de ARP es un ataque DoS común que implica una vulnerabilidad en el protocolo ARP que permite a un atacante asociar su dirección MAC a la dirección IP de otra computadora o puerta de enlace , lo que provoca que el tráfico destinado a la IP auténtica original se redirija a la de el atacante, provocando una denegación de servicio.
Las respuestas defensivas a los ataques de denegación de servicio generalmente implican el uso de una combinación de detección de ataques, clasificación de tráfico y herramientas de respuesta, con el objetivo de bloquear el tráfico que las herramientas identifican como ilegítimo y permitir el tráfico que identifican como legítimo. [107] Una lista de herramientas de respuesta incluye la siguiente.
Todo el tráfico destinado a la víctima se desvía para pasar por un centro de limpieza o un centro de depuración a través de varios métodos, tales como: cambiar la dirección IP de la víctima en el sistema DNS, métodos de túnel (GRE/VRF, MPLS, SDN), [108] proxies , conexiones cruzadas digitales o incluso circuitos directos. El centro de limpieza separa el tráfico malo (DDoS y también otros ataques comunes de Internet) y solo pasa el tráfico legítimo y bueno al servidor de la víctima. [109] La víctima necesita conectividad central a Internet para utilizar este tipo de servicio, a menos que se encuentre dentro de las mismas instalaciones que el centro de limpieza. Los ataques DDoS pueden saturar cualquier tipo de firewall de hardware, y pasar tráfico malicioso a través de redes grandes y maduras se vuelve cada vez más efectivo y económicamente sostenible contra DDoS. [110]
El hardware de front-end de aplicaciones es hardware inteligente colocado en la red antes de que el tráfico llegue a los servidores. Se puede utilizar en redes junto con enrutadores y conmutadores y como parte de la gestión del ancho de banda . El hardware de interfaz de usuario de la aplicación analiza los paquetes de datos a medida que ingresan a la red e identifica y descarta flujos peligrosos o sospechosos.
Los enfoques para la detección de ataques DDoS contra aplicaciones basadas en la nube pueden basarse en un análisis de la capa de aplicación, que indica si el tráfico masivo entrante es legítimo. [111] Estos enfoques se basan principalmente en una ruta de valor identificada dentro de la aplicación y monitorean el progreso de las solicitudes en esta ruta, a través de marcadores llamados indicadores clave de finalización . [112] En esencia, estas técnicas son métodos estadísticos para evaluar el comportamiento de las solicitudes entrantes para detectar si está sucediendo algo inusual o anormal.
Una analogía es con una tienda departamental tradicional donde los clientes dedican, en promedio, un porcentaje conocido de su tiempo a diferentes actividades como recoger artículos y examinarlos, guardarlos, llenar una canasta, esperar para pagar, pagar , y saliendo. Si una multitud de clientes llega a la tienda y pasa todo el tiempo recogiendo artículos y devolviéndolos a su lugar, pero nunca realiza ninguna compra, esto podría considerarse un comportamiento inusual.
Con el enrutamiento de agujero negro , todo el tráfico hacia la dirección DNS o IP atacada se envía a un agujero negro (interfaz nula o un servidor inexistente). Para ser más eficiente y no afectar la conectividad de la red, esta puede ser gestionada por el ISP. [113]
Un sumidero de DNS dirige el tráfico a una dirección IP válida que analiza el tráfico y rechaza los paquetes defectuosos. Es posible que los sumideros no sean eficaces para ataques graves.
Los sistemas de prevención de intrusiones (IPS) son eficaces si los ataques tienen firmas asociadas. Sin embargo, la tendencia entre los ataques es tener contenido legítimo pero malas intenciones. Los sistemas de prevención de intrusiones que funcionan con el reconocimiento de contenidos no pueden bloquear los ataques DoS basados en el comportamiento. [37]
Un IPS basado en ASIC puede detectar y bloquear ataques de denegación de servicio porque tiene el poder de procesamiento y la granularidad para analizar los ataques y actuar como un disyuntor de forma automatizada. [37]
Más centrado en el problema que IPS, un sistema de defensa DoS (DDS) puede bloquear ataques DoS basados en conexión y aquellos con contenido legítimo pero con malas intenciones. Un DDS también puede abordar tanto ataques de protocolo (como lágrima y ping de muerte) como ataques basados en tasas (como inundaciones ICMP y inundaciones SYN). DDS tiene un sistema especialmente diseñado que puede identificar y obstruir fácilmente los ataques de denegación de servicio a mayor velocidad que un sistema basado en software. [114]
En el caso de un ataque simple, un firewall podría tener agregada una regla simple para denegar todo el tráfico entrante de los atacantes, según los protocolos, los puertos o las direcciones IP de origen.
Sin embargo, los ataques más complejos serán difíciles de bloquear con reglas simples: por ejemplo, si hay un ataque en curso en el puerto 80 (servicio web), no es posible eliminar todo el tráfico entrante en este puerto porque hacerlo evitará que el servidor sirviendo tráfico legítimo. [115] Además, los cortafuegos pueden estar demasiado profundos en la jerarquía de la red, y los enrutadores se ven afectados negativamente antes de que el tráfico llegue al cortafuegos. Además, muchas herramientas de seguridad aún no son compatibles con IPv6 o es posible que no estén configuradas correctamente, por lo que a menudo es posible que los firewalls sean evadidos durante los ataques. [116]
Al igual que los conmutadores, los enrutadores tienen cierta capacidad de limitación de velocidad y ACL . Ellos también se configuran manualmente. La mayoría de los enrutadores pueden verse abrumados fácilmente bajo un ataque DoS. Nokia SR-OS que utiliza procesadores FP4/FP5 ofrece protección DDoS. Nokia SR-OS también utiliza Nokia Deepfield Defender basado en análisis de big data para protección DDoS. Cisco IOS tiene funciones opcionales que pueden reducir el impacto de las inundaciones. [117]
La mayoría de los conmutadores tienen alguna capacidad de limitación de velocidad y ACL . Algunos conmutadores proporcionan limitación de velocidad automática y/o de todo el sistema , configuración del tráfico , enlace retardado ( empalme TCP ), inspección profunda de paquetes y filtrado Bogon (filtrado de IP falso) para detectar y remediar ataques DoS mediante filtrado automático de velocidad y conmutación por error y equilibrio del enlace WAN. . [37] [ cita necesaria ]
Estos esquemas funcionarán siempre que se puedan prevenir los ataques DoS mediante su uso. Por ejemplo, la inundación SYN se puede evitar mediante enlace retrasado o empalme TCP. De manera similar, el DoS basado en contenido se puede evitar mediante una inspección profunda de paquetes. Los ataques que se originan en direcciones oscuras o que se dirigen a direcciones oscuras se pueden evitar mediante el filtrado bogon . El filtrado automático de tarifas puede funcionar siempre que los umbrales de tarifas establecidos se hayan establecido correctamente. La conmutación por error de Wan-link funcionará siempre que ambos enlaces tengan un mecanismo de prevención DoS/DDoS. [37] [ cita necesaria ]
Por ejemplo, en un ataque de reflexión SSDP; La mitigación clave es bloquear el tráfico UDP entrante en el puerto 1900 en el firewall. [118]
Una denegación de servicio involuntaria puede ocurrir cuando un sistema termina denegado, no debido a un ataque deliberado por parte de un solo individuo o grupo de individuos, sino simplemente debido a un enorme aumento repentino en popularidad. Esto puede suceder cuando un sitio web extremadamente popular publica un enlace destacado a un segundo sitio menos preparado, por ejemplo, como parte de una noticia. El resultado es que una proporción significativa de los usuarios habituales del sitio principal (potencialmente cientos de miles de personas) hacen clic en ese enlace en el espacio de unas pocas horas, lo que tiene el mismo efecto en el sitio web objetivo que un ataque DDoS. Un VIPDoS es lo mismo, pero específicamente cuando el enlace fue publicado por una celebridad.
Cuando Michael Jackson murió en 2009, sitios web como Google y Twitter se ralentizaron o incluso colapsaron. [119] Los servidores de muchos sitios pensaron que las solicitudes provenían de un virus o software espía que intentaba causar un ataque de denegación de servicio, advirtiendo a los usuarios que sus consultas parecían "solicitudes automatizadas de un virus informático o una aplicación de software espía". [120]
Los sitios de noticias y los sitios de enlaces (sitios cuya función principal es proporcionar enlaces a contenidos interesantes en otras partes de Internet) son los más propensos a causar este fenómeno. El ejemplo canónico es el efecto Slashdot al recibir tráfico desde Slashdot . También se le conoce como el abrazo de la muerte de Reddit y el efecto Digg .
También se sabe que los enrutadores crean ataques DoS no intencionales, ya que tanto los enrutadores D-Link como Netgear han sobrecargado los servidores NTP inundándolos sin respetar las restricciones de tipos de clientes o limitaciones geográficas.
También se puede producir una denegación de servicio involuntaria similar a través de otros medios, por ejemplo, cuando se menciona una URL en la televisión. Si Google u otro motor de búsqueda indexa un servidor durante los períodos pico de actividad, o no tiene mucho ancho de banda disponible mientras está indexado, también puede experimentar los efectos de un ataque DoS. [37] [ verificación fallida ] [ cita necesaria ]
Se han emprendido acciones legales en al menos uno de esos casos. En 2006, Universal Tube & Rollform Equipment Corporation demandó a YouTube : un gran número de posibles usuarios de YouTube.com escribieron accidentalmente la URL de la empresa de tubos, utube.com. Como resultado, la empresa de tubos acabó teniendo que gastar grandes cantidades de dinero para mejorar su ancho de banda. [121] La empresa parece haberse aprovechado de la situación, y utube.com ahora contiene anuncios para obtener ingresos publicitarios.
En marzo de 2014, después de la desaparición del vuelo 370 de Malaysia Airlines , DigitalGlobe lanzó un servicio de crowdsourcing en el que los usuarios podían ayudar a buscar el avión perdido en imágenes de satélite. La respuesta saturó los servidores de la empresa. [122]
Una denegación de servicio involuntaria también puede deberse a un evento preprogramado creado por el propio sitio web, como fue el caso del censo en Australia en 2016. [123] Esto podría deberse a que un servidor proporciona algún servicio en un momento específico.
En la seguridad de las redes informáticas, la retrodispersión es un efecto secundario de un ataque de denegación de servicio falso. En este tipo de ataque, el atacante falsifica (o falsifica) la dirección de origen en los paquetes IP enviados a la víctima. En general, la máquina víctima no puede distinguir entre paquetes falsificados y paquetes legítimos, por lo que la víctima responde a los paquetes falsificados como lo haría normalmente. Estos paquetes de respuesta se conocen como retrodispersión. [124]
Si el atacante falsifica las direcciones de origen de forma aleatoria, los paquetes de respuesta de retrodispersión de la víctima se enviarán de vuelta a destinos aleatorios. Este efecto puede ser utilizado por los telescopios de la red como prueba indirecta de tales ataques.
El término análisis de retrodispersión se refiere a la observación de paquetes de retrodispersión que llegan a una porción estadísticamente significativa del espacio de direcciones IP para determinar las características de los ataques DoS y las víctimas.
Muchas jurisdicciones tienen leyes según las cuales los ataques de denegación de servicio son ilegales.
El 7 de enero de 2013, Anonymous publicó una petición en el sitio whitehouse.gov pidiendo que se reconociera DDoS como una forma legal de protesta similar a las protestas Occupy , afirmando que la similitud en el propósito de ambas es la misma. [133]
{{cite book}}
: Mantenimiento de CS1: falta la ubicación del editor ( enlace ) Mantenimiento de CS1: varios nombres: lista de autores ( enlace ){{cite book}}
: Mantenimiento de CS1: falta la ubicación del editor ( enlace ) Mantenimiento de CS1: varios nombres: lista de autores ( enlace ){{cite web}}
: Mantenimiento CS1: bot: estado de la URL original desconocido ( enlace ){{cite web}}
: Mantenimiento CS1: bot: estado de la URL original desconocido ( enlace )Austin Thompson, también conocido como DerpTrolling, que saltó a la fama en 2013 al lanzar ataques de denegación de servicio distribuido (DDoS) contra importantes empresas de videojuegos, ha sido condenado a 27 meses de prisión por un tribunal federal.
Thompson, residente de Utah, también tendrá que pagar 95.000 dólares a Daybreak Games, que era propiedad de Sony cuando sufrió a manos de DerpTrolling.
Entre diciembre de 2013 y enero de 2014, Thompson también derribó Steam de Valve, la mayor plataforma de distribución digital para juegos de PC, así como el servicio Origin de Electronic Arts y BattleNet de Blizzard.
La interrupción duró desde horas hasta días.