En informática , un ataque de denegación de servicio ( ataque DoS ) es un ciberataque en el que el autor busca hacer que una máquina o un recurso de red no esté disponible para sus usuarios previstos interrumpiendo temporal o indefinidamente los servicios de un host conectado a una red . La denegación de servicio se logra típicamente inundando la máquina o el recurso objetivo con solicitudes superfluas en un intento de sobrecargar los sistemas y evitar que se cumplan algunas o todas las solicitudes legítimas. [1] La gama de ataques varía ampliamente, abarcando desde inundar un servidor con millones de solicitudes para reducir su rendimiento, sobrecargar un servidor con una cantidad sustancial de datos no válidos, hasta enviar solicitudes con una dirección IP ilegítima . [2]
En un ataque de denegación de servicio distribuido ( ataque DDoS ), el tráfico entrante que inunda a la víctima proviene de muchas fuentes diferentes. Se requieren estrategias más sofisticadas para mitigar este tipo de ataque; simplemente intentar bloquear una sola fuente es insuficiente, ya que hay múltiples fuentes. [3] Un ataque DoS o DDoS es análogo a un grupo de personas que se agolpan en la puerta de entrada de una tienda, lo que dificulta la entrada de clientes legítimos, interrumpiendo así el comercio y perdiendo dinero para el negocio. Los perpetradores criminales de ataques DoS a menudo apuntan a sitios o servicios alojados en servidores web de alto perfil, como bancos o pasarelas de pago con tarjeta de crédito . La venganza y el chantaje , [4] [5] [6] así como el hacktivismo , [7] pueden motivar estos ataques.
Panix , el tercer ISP más antiguo del mundo, fue el objetivo de lo que se cree que fue el primer ataque DoS. El 6 de septiembre de 1996, Panix fue objeto de un ataque de inundación SYN , que dejó fuera de servicio sus servicios durante varios días mientras los proveedores de hardware, en particular Cisco , ideaban una defensa adecuada. [8] Otra demostración temprana del ataque DoS fue realizada por Khan C. Smith en 1997 durante un evento DEF CON , interrumpiendo el acceso a Internet al Strip de Las Vegas durante más de una hora. La publicación de un código de muestra durante el evento condujo al ataque en línea de Sprint , EarthLink , E-Trade y otras grandes corporaciones en el año siguiente. [9] El mayor ataque DDoS hasta la fecha ocurrió en septiembre de 2017, cuando Google Cloud experimentó un ataque con un volumen máximo de2,54 Tb/s , revelado por Google el 17 de octubre de 2020. [10] Se cree que el poseedor del récord fue un ataque ejecutado por un cliente anónimo del proveedor de servicios con sede en EE. UU. Arbor Networks , que alcanzó un pico de aproximadamente1,7 Tb/s . [11]
En febrero de 2020, Amazon Web Services sufrió un ataque con un volumen máximo de2,3 Tb/s . [12] En julio de 2021, el proveedor de CDN Cloudflare se jactó de proteger a su cliente de un ataque DDoS de una botnet global Mirai que llegaba a 17,2 millones de solicitudes por segundo. [13] El proveedor ruso de prevención de DDoS Yandex dijo que bloqueó un ataque DDoS de canalización HTTP el 5 de septiembre de 2021 que se originó en equipos de red Mikrotik sin parches. [14] En la primera mitad de 2022, la invasión rusa de Ucrania dio forma significativa al panorama de las ciberamenazas, con un aumento de los ciberataques atribuidos tanto a actores patrocinados por el estado como a actividades hacktivistas globales. El evento más notable fue un ataque DDoS en febrero, el más grande que ha sufrido Ucrania, que interrumpió los servicios del gobierno y del sector financiero. Esta ola de ciberagresión se extendió a aliados occidentales como el Reino Unido, Estados Unidos y Alemania. En particular, el sector financiero del Reino Unido vio un aumento en los ataques DDoS por parte de actores de estados nacionales y hacktivistas, destinados a socavar a los aliados de Ucrania. [15]
En febrero de 2023, Cloudflare se enfrentó a un ataque de 71 millones de solicitudes por segundo que, según Cloudflare, fue el mayor ataque DDoS HTTP en ese momento. [16] Los ataques DDoS HTTP se miden por solicitudes HTTP por segundo en lugar de paquetes por segundo o bits por segundo. El 10 de julio de 2023, la plataforma de fanfiction Archive of Our Own (AO3) se enfrentó a ataques DDoS que interrumpieron sus servicios. Anonymous Sudan , que reivindicó el ataque por motivos religiosos y políticos, fue visto con escepticismo por AO3 y los expertos. Flashpoint, un proveedor de inteligencia de amenazas, señaló las actividades pasadas del grupo, pero dudó de sus motivos declarados. Es poco probable que AO3, respaldado por la organización sin fines de lucro Organization for Transformative Works (OTW) y que depende de donaciones, cumpla con el rescate de 30.000 dólares en Bitcoin . [17] [18] En agosto de 2023, el grupo de hacktivistas NoName057 atacó a varias instituciones financieras italianas mediante la ejecución de ataques DoS lentos . [19] El 14 de enero de 2024, ejecutaron un ataque DDoS en sitios web federales suizos, motivado por la asistencia del presidente Zelensky al Foro Económico Mundial de Davos . El Centro Nacional de Seguridad Cibernética de Suiza mitigó rápidamente el ataque, asegurando que los principales servicios federales permanecieran seguros, a pesar de los problemas temporales de accesibilidad en algunos sitios web. [20] En octubre de 2023, la explotación de una nueva vulnerabilidad en el protocolo HTTP/2 resultó en que el récord del mayor ataque DDoS HTTP se batiera dos veces, una vez con un ataque de 201 millones de solicitudes por segundo observado por Cloudflare, [21] y nuevamente con un ataque de 398 millones de solicitudes por segundo observado por Google . [22] En agosto de 2024, Global Secure Layer observó e informó sobre un DDoS de paquetes récord a 3.15 mil millones de paquetes por segundo, que tenía como objetivo un número no revelado de servidores de juegos no oficiales de Minecraft . [23] En octubre de 2024, Internet Archive enfrentó dos ataques DDoS severos que dejaron al sitio completamente fuera de línea, inmediatamente después de un ataque anterior que filtró registros de más de 31 millones de usuarios del sitio. [24] [25] El grupo hacktivista SN_Blackmeta afirmó que el ataque DDoS fue una represalia por la participación estadounidense en la guerra entre Israel y Hamás , a pesar de que Internet Archive no está afiliado al gobierno de los Estados Unidos; sin embargo, su vínculo con la filtración de datos anterior sigue sin estar claro. [26]
Los ataques de denegación de servicio se caracterizan por un intento explícito por parte de los atacantes de impedir el uso legítimo de un servicio. Existen dos formas generales de ataques DoS: los que bloquean los servicios y los que los inundan. Los ataques más graves son los distribuidos. [27]
Un ataque de denegación de servicio distribuido (DDoS) ocurre cuando varios sistemas inundan el ancho de banda o los recursos de un sistema objetivo, generalmente uno o más servidores web. [27] Un ataque DDoS utiliza más de una dirección IP o máquinas únicas, a menudo de miles de hosts infectados con malware . [28] [29] Un ataque de denegación de servicio distribuido generalmente involucra más de 3 a 5 nodos en diferentes redes; menos nodos pueden calificar como un ataque DoS pero no es un ataque DDoS. [30] [31]
Varias máquinas de ataque pueden generar más tráfico de ataque que una sola máquina y son más difíciles de desactivar, y el comportamiento de cada máquina de ataque puede ser más sigiloso, lo que hace que el ataque sea más difícil de rastrear y apagar. Dado que el tráfico entrante que inunda a la víctima se origina en diferentes fuentes, puede ser imposible detener el ataque simplemente utilizando el filtrado de entrada . También dificulta distinguir el tráfico de usuarios legítimos del tráfico de ataque cuando se distribuye en múltiples puntos de origen. Como alternativa o ampliación de un DDoS, los ataques pueden implicar la falsificación de direcciones IP del remitente ( suplantación de direcciones IP ), lo que complica aún más la identificación y la derrota del ataque. Estas ventajas para el atacante causan desafíos para los mecanismos de defensa. Por ejemplo, simplemente comprar más ancho de banda entrante que el volumen actual del ataque podría no ayudar, porque el atacante podría simplemente agregar más máquinas de ataque. [ cita requerida ] La escala de los ataques DDoS ha seguido aumentando en los últimos años, en 2016 superando un terabit por segundo . [32] [33] Algunos ejemplos comunes de ataques DDoS son la inundación UDP , la inundación SYN y la amplificación DNS . [34] [35]
Un ataque yo-yo es un tipo específico de DoS/DDoS dirigido a aplicaciones alojadas en la nube que utilizan escalado automático . [36] [37] [38] El atacante genera una inundación de tráfico hasta que un servicio alojado en la nube se escala hacia afuera para manejar el aumento de tráfico, luego detiene el ataque, dejando a la víctima con recursos sobreaprovisionados. Cuando la víctima vuelve a reducir la escala, el ataque se reanuda, lo que hace que los recursos vuelvan a aumentar. Esto puede resultar en una calidad de servicio reducida durante los períodos de aumento y reducción de escala y una pérdida financiera de recursos durante los períodos de sobreaprovisionamiento mientras opera con un costo menor para un atacante en comparación con un ataque DDoS normal, ya que solo necesita generar tráfico durante una parte del período de ataque.
Un ataque DDoS de capa de aplicación (a veces denominado ataque DDoS de capa 7 ) es una forma de ataque DDoS en el que los atacantes apuntan a procesos de capa de aplicación . [39] [30] El ataque sobreejercita funciones o características específicas de un sitio web con la intención de deshabilitar esas funciones o características. Este ataque de capa de aplicación es diferente de un ataque de red completa, y a menudo se utiliza contra instituciones financieras para distraer al personal de TI y seguridad de las brechas de seguridad. [40] En 2013, los ataques DDoS de capa de aplicación representaron el 20% de todos los ataques DDoS. [41] Según la investigación de Akamai Technologies , ha habido "un 51 por ciento más de ataques de capa de aplicación" del cuarto trimestre de 2013 al cuarto trimestre de 2014 y "un 16 por ciento más" del tercer trimestre de 2014 al cuarto trimestre de 2014. [42] En noviembre de 2017; Junade Ali, un ingeniero de Cloudflare señaló que, si bien los ataques a nivel de red siguen siendo de alta capacidad, ocurrían con menor frecuencia. Ali señaló además que, si bien los ataques a nivel de red eran cada vez menos frecuentes, los datos de Cloudflare demostraban que los ataques a nivel de aplicación todavía no mostraban signos de desaceleración. [43]
El modelo OSI (ISO/IEC 7498-1) es un modelo conceptual que caracteriza y estandariza las funciones internas de un sistema de comunicación al dividirlo en capas de abstracción . El modelo es un producto del proyecto de Interconexión de Sistemas Abiertos de la Organización Internacional de Normalización (ISO). El modelo agrupa funciones de comunicación similares en una de siete capas lógicas. Una capa sirve a la capa superior y es servida por la capa inferior. Por ejemplo, una capa que proporciona comunicaciones sin errores a través de una red proporciona la ruta de comunicaciones que necesitan las aplicaciones que están por encima de ella, mientras que llama a la capa inmediatamente inferior para enviar y recibir paquetes que recorren esa ruta. En el modelo OSI, la definición de su capa de aplicación tiene un alcance más limitado de lo que se suele implementar. El modelo OSI define la capa de aplicación como la interfaz de usuario. La capa de aplicación OSI es responsable de mostrar datos e imágenes al usuario en un formato reconocible para el ser humano y de interactuar con la capa de presentación que se encuentra debajo. En una implementación, las capas de aplicación y presentación se combinan con frecuencia.
El ataque DoS más simple se basa principalmente en la fuerza bruta, inundando el objetivo con un flujo abrumador de paquetes, sobresaturando su ancho de banda de conexión o agotando los recursos del sistema del objetivo. Las inundaciones que saturan el ancho de banda dependen de la capacidad del atacante para generar el flujo abrumador de paquetes. Una forma común de lograr esto hoy en día es a través de la denegación de servicio distribuida, empleando una botnet . Un ataque DDoS de capa de aplicación se realiza principalmente con fines específicos, incluida la interrupción de transacciones y acceso a bases de datos. Requiere menos recursos que los ataques de capa de red, pero a menudo los acompaña. [44] Un ataque puede disfrazarse para parecer tráfico legítimo, excepto que apunta a paquetes o funciones de aplicación específicos. El ataque a la capa de aplicación puede interrumpir servicios como la recuperación de información o funciones de búsqueda en un sitio web. [41]
Un ataque DoS persistente avanzado (APDoS) está asociado con una amenaza persistente avanzada y requiere una mitigación de DDoS especializada . [45] Estos ataques pueden persistir durante semanas; el período continuo más largo observado hasta ahora duró 38 días. Este ataque involucró aproximadamente 50+ petabits (50,000+ terabits) de tráfico malicioso. [46] Los atacantes en este escenario pueden cambiar tácticamente entre varios objetivos para crear una distracción para evadir las contramedidas defensivas de DDoS, pero al mismo tiempo concentrar el impulso principal del ataque en una sola víctima. En este escenario, los atacantes con acceso continuo a varios recursos de red muy poderosos son capaces de sostener una campaña prolongada que genere enormes niveles de tráfico DDoS no amplificado. Los ataques APDoS se caracterizan por:
Algunos proveedores ofrecen los llamados servicios de arranque o de estrés , que tienen interfaces web sencillas y aceptan pagos a través de la red. Se comercializan y promocionan como herramientas de prueba de estrés y pueden utilizarse para realizar ataques de denegación de servicio no autorizados y permitir a atacantes técnicamente poco sofisticados acceder a herramientas de ataque sofisticadas. [48] Generalmente alimentado por una botnet, el tráfico producido por un estresor de consumo puede oscilar entre 5 y 50 Gbit/s, lo que, en la mayoría de los casos, puede negar el acceso a Internet al usuario doméstico medio. [49]
Un ataque de denegación de servicio modulado por Markov ocurre cuando el atacante interrumpe los paquetes de control utilizando un modelo Markov oculto . Un entorno en el que los ataques basados en el modelo Markov son frecuentes es el de los juegos en línea, ya que la interrupción del paquete de control socava la jugabilidad y la funcionalidad del sistema. [50]
El Equipo de Preparación para Emergencias Informáticas de los Estados Unidos (US-CERT) ha identificado síntomas de un ataque de denegación de servicio que incluyen: [51]
En casos como MyDoom y Slowloris , las herramientas están integradas en malware y lanzan sus ataques sin el conocimiento del propietario del sistema. Stacheldraht es un ejemplo clásico de una herramienta DDoS. Utiliza una estructura en capas donde el atacante utiliza un programa cliente para conectarse a controladores que son sistemas comprometidos que emiten comandos a los agentes zombis que a su vez facilitan el ataque DDoS. Los agentes son comprometidos a través de los controladores por el atacante utilizando rutinas automatizadas para explotar vulnerabilidades en programas que aceptan conexiones remotas que se ejecutan en los hosts remotos objetivo. Cada controlador puede controlar hasta mil agentes. [52]
En otros casos, una máquina puede convertirse en parte de un ataque DDoS con el consentimiento del propietario, por ejemplo, en la Operación Payback organizada por el grupo Anonymous . El Low Orbit Ion Cannon se ha utilizado típicamente de esta manera. Junto con High Orbit Ion Cannon, hoy en día hay una amplia variedad de herramientas DDoS disponibles, incluidas versiones pagas y gratuitas, con diferentes características disponibles. Existe un mercado clandestino para ellas en foros relacionados con hackers y canales IRC.
Los ataques a nivel de aplicación emplean exploits que provocan denegación de servicio (DoS) y pueden hacer que el software que se ejecuta en el servidor llene el espacio en disco o consuma toda la memoria o el tiempo de CPU disponibles . Los ataques pueden utilizar tipos de paquetes específicos o solicitudes de conexión para saturar recursos finitos, por ejemplo, ocupando el número máximo de conexiones abiertas o llenando el espacio en disco de la víctima con registros. Un atacante con acceso a nivel de shell a la computadora de una víctima puede ralentizarla hasta que quede inutilizable o bloquearla utilizando una bomba de bifurcación . Otro tipo de ataque DoS a nivel de aplicación es XDoS (o XML DoS) que puede controlarse mediante firewalls de aplicaciones web (WAF) modernos. Todos los ataques pertenecen a la categoría de explotación de tiempo de espera . [53]
Los ataques Slow DoS implementan un ataque de capa de aplicación. Ejemplos de amenazas son Slowloris, que establece conexiones pendientes con la víctima, o SlowDroid , un ataque que se ejecuta en dispositivos móviles. Otro objetivo de los ataques DDoS puede ser producir costos adicionales para el operador de la aplicación, cuando este último utiliza recursos basados en la computación en la nube . En este caso, normalmente los recursos utilizados por la aplicación están vinculados a un nivel de calidad de servicio (QoS) necesario (por ejemplo, las respuestas deben ser inferiores a 200 ms) y esta regla suele estar vinculada a un software automatizado (por ejemplo, Amazon CloudWatch [54] ) para obtener más recursos virtuales del proveedor para cumplir con los niveles de QoS definidos para el aumento de solicitudes. El principal incentivo detrás de estos ataques puede ser impulsar al propietario de la aplicación a aumentar los niveles de elasticidad para manejar el aumento del tráfico de la aplicación, causar pérdidas financieras u obligarlos a ser menos competitivos. Un ataque banana es otro tipo particular de DoS. Implica redirigir los mensajes salientes del cliente de vuelta al cliente, impidiendo el acceso externo, así como inundar al cliente con los paquetes enviados. Un ataque LAND es de este tipo.
Los zombis pulsantes son computadoras comprometidas que están dirigidas a lanzar inundaciones intermitentes y de corta duración de los sitios web de las víctimas con la intención de simplemente ralentizarlos en lugar de bloquearlos. Este tipo de ataque, conocido como degradación del servicio , puede ser más difícil de detectar y puede interrumpir y obstaculizar la conexión a los sitios web durante períodos prolongados de tiempo, lo que puede causar una interrupción general mayor que un ataque de denegación de servicio. [55] [56] La exposición de los ataques de degradación del servicio se complica aún más por la cuestión de discernir si el servidor realmente está siendo atacado o está experimentando cargas de tráfico legítimas más altas de lo normal. [57]
Si un atacante lanza un ataque desde un único host, se clasificaría como un ataque DoS. Cualquier ataque contra la disponibilidad se clasificaría como un ataque de denegación de servicio. Por otro lado, si un atacante utiliza muchos sistemas para lanzar ataques simultáneamente contra un host remoto, esto se clasificaría como un ataque DDoS. El malware puede llevar mecanismos de ataque DDoS; uno de los ejemplos más conocidos de esto fue MyDoom . Su mecanismo DoS se activó en una fecha y hora específicas. Este tipo de DDoS implicaba codificar de forma rígida la dirección IP del objetivo antes de liberar el malware y no era necesaria ninguna interacción adicional para lanzar el ataque. Un sistema también puede verse comprometido con un troyano que contenga un agente zombi . Los atacantes también pueden entrar en los sistemas utilizando herramientas automatizadas que explotan fallas en los programas que escuchan conexiones desde hosts remotos. Este escenario afecta principalmente a los sistemas que actúan como servidores en la web. Stacheldraht es un ejemplo clásico de una herramienta DDoS. Utiliza una estructura en capas donde el atacante utiliza un programa cliente para conectarse a los manejadores, que son sistemas comprometidos que emiten comandos a los agentes zombi, que a su vez facilitan el ataque DDoS. Los agentes son comprometidos a través de los manejadores por el atacante. Cada manejador puede controlar hasta mil agentes. [52] En algunos casos una máquina puede convertirse en parte de un ataque DDoS con el consentimiento del propietario, por ejemplo, en Operation Payback , organizado por el grupo Anonymous . Estos ataques pueden utilizar diferentes tipos de paquetes de internet como TCP, UDP, ICMP, etc.
Estas colecciones de sistemas comprometidos se conocen como botnets . Las herramientas DDoS como Stacheldraht todavía utilizan métodos clásicos de ataque DoS centrados en la suplantación de IP y la amplificación como ataques smurf y ataques fraggle (tipos de ataques de consumo de ancho de banda). También se pueden utilizar inundaciones SYN (un ataque de hambre de recursos). Las herramientas más nuevas pueden usar servidores DNS para fines DoS. A diferencia del mecanismo DDoS de MyDoom, las botnets se pueden activar contra cualquier dirección IP. Los script kiddies las usan para negar la disponibilidad de sitios web conocidos a usuarios legítimos. [58] Los atacantes más sofisticados usan herramientas DDoS con fines de extorsión , incluso contra sus rivales comerciales. [59] Se ha informado de que hay nuevos ataques de dispositivos de Internet de las cosas (IoT) que han estado involucrados en ataques de denegación de servicio. [60] En un ataque conocido que se realizó alcanzó un máximo de alrededor de 20.000 solicitudes por segundo que provenían de alrededor de 900 cámaras de CCTV. [61] El GCHQ del Reino Unido tiene herramientas diseñadas para DDoS, llamadas PREDATORS FACE y ROLLING THUNDER. [62]
Los ataques simples, como las inundaciones SYN, pueden aparecer con una amplia gama de direcciones IP de origen, lo que da la apariencia de un ataque DoS distribuido. Estos ataques de inundación no requieren la finalización del protocolo de enlace de tres vías TCP e intentan agotar la cola SYN de destino o el ancho de banda del servidor. Debido a que las direcciones IP de origen se pueden falsificar de manera trivial, un ataque podría provenir de un conjunto limitado de fuentes o incluso puede originarse en un solo host. Las mejoras de la pila, como las cookies SYN, pueden ser una mitigación eficaz contra las inundaciones de la cola SYN, pero no abordan el agotamiento del ancho de banda. En 2022, los ataques TCP fueron el método principal en los incidentes DDoS, representando el 63% de toda la actividad DDoS. Esto incluye tácticas como TCP SYN , TCP ACK e inundaciones TCP. Dado que TCP es el protocolo de red más extendido, se espera que sus ataques sigan prevaleciendo en la escena de amenazas DDoS. [15]
En 2015, las botnets DDoS como DD4BC ganaron prominencia, apuntando a instituciones financieras. [63] Los ciberextorsionadores suelen comenzar con un ataque de bajo nivel y una advertencia de que se llevará a cabo un ataque más grande si no se paga un rescate en bitcoins . [64] Los expertos en seguridad recomiendan a los sitios web atacados que no paguen el rescate. Los atacantes tienden a entrar en un esquema de extorsión extendido una vez que reconocen que el objetivo está dispuesto a pagar. [65]
Descubierto por primera vez en 2009, el ataque HTTP POST lento envía un encabezado HTTP POST legítimo y completo , que incluye un campo Content-Length para especificar el tamaño del cuerpo del mensaje a seguir. Sin embargo, el atacante luego procede a enviar el cuerpo real del mensaje a una velocidad extremadamente lenta (por ejemplo, 1 byte/110 segundos). Debido a que todo el mensaje es correcto y completo, el servidor de destino intentará obedecer el campo Content-Length en el encabezado y esperará a que se transmita todo el cuerpo del mensaje, lo que puede llevar mucho tiempo. El atacante establece cientos o incluso miles de conexiones de este tipo hasta que se agotan todos los recursos para las conexiones entrantes en el servidor víctima, lo que hace imposible cualquier otra conexión hasta que se hayan enviado todos los datos. Es notable que, a diferencia de muchos otros ataques DDoS o DDoS, que intentan someter al servidor sobrecargando su red o CPU, un ataque HTTP POST lento apunta a los recursos lógicos de la víctima, lo que significa que la víctima aún tendría suficiente ancho de banda de red y potencia de procesamiento para operar. [66] Combinado con el hecho de que el servidor HTTP Apache , por defecto, acepta peticiones de hasta 2 GB de tamaño, este ataque puede ser particularmente poderoso. Los ataques POST lentos HTTP son difíciles de diferenciar de las conexiones legítimas y por lo tanto son capaces de eludir algunos sistemas de protección. OWASP , un proyecto de seguridad de aplicaciones web de código abierto , lanzó una herramienta para probar la seguridad de los servidores contra este tipo de ataque. [67]
Un ataque Challenge Collapsar (CC) es un ataque en el que se envían solicitudes HTTP estándar a un servidor web de destino con frecuencia. Los identificadores uniformes de recursos (URI) en las solicitudes requieren algoritmos complicados que consumen mucho tiempo u operaciones de base de datos que pueden agotar los recursos del servidor web de destino. [68] [69] [70] En 2004, un hacker chino apodado KiKi inventó una herramienta de piratería para enviar este tipo de solicitudes para atacar un firewall NSFOCUS llamado Collapsar, y por lo tanto la herramienta de piratería se conoció como Challenge Collapsar, o CC para abreviar. En consecuencia, este tipo de ataque recibió el nombre de ataque CC . [71]
Un ataque smurf se basa en dispositivos de red mal configurados que permiten enviar paquetes a todos los hosts de una red particular a través de la dirección de difusión de la red, en lugar de a una máquina específica. El atacante enviará una gran cantidad de paquetes IP con la dirección de origen falsificada para que parezca la dirección de la víctima. [72] La mayoría de los dispositivos de una red responderán, de forma predeterminada, enviando una respuesta a la dirección IP de origen. Si la cantidad de máquinas en la red que reciben y responden a estos paquetes es muy grande, la computadora de la víctima se inundará de tráfico. Esto sobrecarga la computadora de la víctima e incluso puede dejarla inutilizable durante un ataque de este tipo. [73]
El ataque Ping flood se basa en enviar a la víctima una cantidad abrumadora de paquetes ping , generalmente utilizando el comando ping desde hosts tipo Unix . [a] Es muy simple de ejecutar, el requisito principal es tener acceso a un ancho de banda mayor que el de la víctima. El ataque Ping of death se basa en enviar a la víctima un paquete ping malformado, que provocará un bloqueo del sistema en un sistema vulnerable. El ataque BlackNurse es un ejemplo de un ataque que aprovecha los paquetes ICMP requeridos de Puerto de destino inalcanzable.
Un nuke es un ataque de denegación de servicio anticuado contra redes informáticas que consiste en enviar paquetes ICMP fragmentados o inválidos al objetivo, lo que se logra utilizando una utilidad ping modificada para enviar repetidamente estos datos corruptos , lo que ralentiza el equipo afectado hasta que se detiene por completo. [74] Un ejemplo específico de un ataque nuke que ganó cierta prominencia es WinNuke , que explotó la vulnerabilidad en el controlador NetBIOS en Windows 95. Se envió una cadena de datos fuera de banda al puerto TCP 139 de la máquina de la víctima, lo que provocó que se bloqueara y mostrara una pantalla azul de la muerte . [74]
Los atacantes han encontrado una forma de explotar una serie de errores en los servidores peer-to-peer para iniciar ataques DDoS. El más agresivo de estos ataques DDoS peer-to-peer explota DC++ . Con peer-to-peer no hay botnet y el atacante no tiene que comunicarse con los clientes que subvierte. En cambio, el atacante actúa como un titiritero , instruyendo a los clientes de grandes centros de intercambio de archivos peer-to-peer para que se desconecten de su red peer-to-peer y se conecten al sitio web de la víctima. [75] [76] [77]
La denegación de servicio permanente (PDoS), también conocida vagamente como phlashing, [78] es un ataque que daña un sistema tan gravemente que requiere el reemplazo o la reinstalación del hardware. [79] A diferencia del ataque de denegación de servicio distribuido, un ataque PDoS explota fallas de seguridad que permiten la administración remota en las interfaces de administración del hardware de la víctima, como enrutadores , impresoras u otro hardware de red . El atacante usa estas vulnerabilidades para reemplazar el firmware de un dispositivo con una imagen de firmware modificada, corrupta o defectuosa, un proceso que cuando se realiza de manera legítima se conoce como flasheo. La intención es bloquear el dispositivo, dejándolo inutilizable para su propósito original hasta que pueda ser reparado o reemplazado. El PDoS es un ataque puramente dirigido al hardware que puede ser mucho más rápido y requiere menos recursos que usar una botnet en un ataque DDoS. Debido a estas características y al potencial y alta probabilidad de vulnerabilidades de seguridad en dispositivos integrados habilitados para la red, esta técnica ha llamado la atención de numerosas comunidades de hackers. BrickerBot , un malware que apuntaba a dispositivos IoT, utilizó ataques PDoS para deshabilitar sus objetivos. [80] PhlashDance es una herramienta creada por Rich Smith (un empleado del Laboratorio de Seguridad de Sistemas de Hewlett-Packard ) que se utilizó para detectar y demostrar vulnerabilidades PDoS en la Conferencia de Seguridad Aplicada EUSecWest de 2008 en Londres, Reino Unido. [81]
Un ataque distribuido de denegación de servicio puede implicar el envío de solicitudes falsificadas de algún tipo a una gran cantidad de computadoras que responderán a las solicitudes. Al usar la suplantación de direcciones del Protocolo de Internet , la dirección de origen se establece en la de la víctima objetivo, lo que significa que todas las respuestas irán al objetivo (y lo inundarán). Esta forma de ataque reflejado a veces se denomina ataque distribuido de denegación de servicio reflexivo ( DRDoS ). [82] Los ataques de solicitud de eco ICMP ( ataques Smurf ) pueden considerarse una forma de ataque reflejado, ya que los hosts que inundan envían solicitudes de eco a las direcciones de transmisión de redes mal configuradas, lo que incita a los hosts a enviar paquetes de respuesta de eco a la víctima. Algunos de los primeros programas DDoS implementaron una forma distribuida de este ataque.
Los ataques de amplificación se utilizan para aumentar el ancho de banda que se envía a una víctima. Muchos servicios pueden ser explotados para actuar como reflectores, algunos más difíciles de bloquear que otros. [83] US-CERT ha observado que diferentes servicios pueden dar lugar a diferentes factores de amplificación, como se muestra en la siguiente tabla: [84]
Los ataques de amplificación de DNS implican que un atacante envíe una solicitud de búsqueda de nombre DNS a uno o más servidores DNS públicos, falsificando la dirección IP de origen de la víctima objetivo. El atacante intenta solicitar la mayor cantidad de información posible, amplificando así la respuesta DNS que se envía a la víctima objetivo. Dado que el tamaño de la solicitud es significativamente menor que la respuesta, el atacante puede aumentar fácilmente la cantidad de tráfico dirigido al objetivo. [90] [91]
SNMP y NTP también pueden ser explotados como reflectores en un ataque de amplificación. Un ejemplo de un ataque DDoS amplificado a través del Protocolo de Tiempo de Red (NTP) es a través de un comando llamado monlist, que envía los detalles de los últimos 600 hosts que han solicitado la hora del servidor NTP de vuelta al solicitante. Una pequeña solicitud a este servidor de hora puede ser enviada usando una dirección IP de origen falsificada de alguna víctima, lo que da como resultado una respuesta 556,9 veces el tamaño de la solicitud que se envía a la víctima. Esto se amplifica cuando se utilizan botnets que envían todas las solicitudes con la misma fuente de IP falsificada, lo que dará como resultado que se envíe una cantidad masiva de datos de vuelta a la víctima. Es muy difícil defenderse contra este tipo de ataques porque los datos de respuesta provienen de servidores legítimos. Estas solicitudes de ataque también se envían a través de UDP, que no requiere una conexión al servidor. Esto significa que la IP de origen no se verifica cuando el servidor recibe una solicitud. Para generar conciencia sobre estas vulnerabilidades, se han iniciado campañas dedicadas a encontrar vectores de amplificación que han llevado a las personas a reparar sus resolvers o a apagarlos por completo. [ cita requerida ]
La botnet Mirai funciona utilizando un gusano informático para infectar cientos de miles de dispositivos IoT en Internet. El gusano se propaga a través de redes y sistemas tomando el control de dispositivos IoT mal protegidos, como termostatos, relojes habilitados para Wi-Fi y lavadoras. [92] El propietario o usuario generalmente no tendrá una indicación inmediata de cuándo el dispositivo se infecta. El dispositivo IoT en sí no es el objetivo directo del ataque, se utiliza como parte de un ataque más grande. [93] Una vez que el hacker ha esclavizado la cantidad deseada de dispositivos, les indica que intenten comunicarse con un ISP. En octubre de 2016, una botnet Mirai atacó a Dyn , que es el ISP de sitios como Twitter , Netflix , etc. [92] Tan pronto como esto ocurrió, todos estos sitios web quedaron inaccesibles durante varias horas.
El ataque RUDY ataca las aplicaciones web mediante la inactivación de sesiones disponibles en el servidor web. Al igual que Slowloris, RUDY mantiene las sesiones detenidas mediante transmisiones POST interminables y enviando un valor de encabezado de longitud de contenido arbitrariamente grande. [94]
Un par remoto puede manipular el tamaño máximo de segmento y el reconocimiento selectivo (SACK) para provocar una denegación de servicio mediante un desbordamiento de enteros en el kernel de Linux, lo que podría provocar un pánico del kernel . [95] Jonathan Looney descubrió CVE - 2019-11477, CVE-2019-11478, CVE-2019-11479 el 17 de junio de 2019. [96]
El ataque shrew es un ataque de denegación de servicio al Protocolo de Control de Transmisión en el que el atacante emplea técnicas de intermediario . Explota una debilidad en el mecanismo de tiempo de espera de retransmisión de TCP, utilizando breves ráfagas sincronizadas de tráfico para interrumpir las conexiones TCP en el mismo enlace. [97]
Un ataque de lectura lenta envía solicitudes legítimas de la capa de aplicación, pero lee las respuestas muy lentamente, manteniendo las conexiones abiertas durante más tiempo con la esperanza de agotar el grupo de conexiones del servidor. La lectura lenta se logra anunciando un número muy pequeño para el tamaño de la ventana de recepción TCP y, al mismo tiempo, vaciando lentamente el búfer de recepción TCP de los clientes, lo que provoca una tasa de flujo de datos muy baja. [98]
Un ataque DDoS sofisticado de bajo ancho de banda es una forma de DoS que utiliza menos tráfico y aumenta su efectividad al apuntar a un punto débil en el diseño del sistema de la víctima, es decir, el atacante envía tráfico que consiste en solicitudes complicadas al sistema. [99] Esencialmente, un ataque DDoS sofisticado tiene un costo menor debido a que utiliza menos tráfico, es más pequeño en tamaño, lo que lo hace más difícil de identificar, y tiene la capacidad de dañar sistemas que están protegidos por mecanismos de control de flujo. [99] [100]
Una inundación SYN ocurre cuando un host envía una inundación de paquetes TCP/SYN, a menudo con una dirección de remitente falsificada. Cada uno de estos paquetes se maneja como una solicitud de conexión, lo que hace que el servidor genere una conexión semiabierta , envíe de vuelta un paquete TCP/SYN-ACK y espere un paquete de respuesta de la dirección del remitente. Sin embargo, debido a que la dirección del remitente es falsificada, la respuesta nunca llega. Estas conexiones semiabiertas agotan las conexiones disponibles que el servidor puede hacer, lo que le impide responder a solicitudes legítimas hasta que finalice el ataque. [101]
Un ataque teardrop implica enviar fragmentos de IP mutilados con cargas superpuestas y de gran tamaño a la máquina de destino. Esto puede hacer que varios sistemas operativos se bloqueen debido a un error en su código de reensamblado de fragmentación TCP/IP . [102] Los sistemas operativos Windows 3.1x , Windows 95 y Windows NT , así como las versiones de Linux anteriores a las versiones 2.0.32 y 2.1.63 son vulnerables a este ataque. [b] Uno de los campos de un encabezado IP es el campo de desplazamiento del fragmento , que indica la posición inicial, o desplazamiento, de los datos contenidos en un paquete fragmentado en relación con los datos del paquete original. Si la suma del desplazamiento y el tamaño de un paquete fragmentado difiere de la del siguiente paquete fragmentado, los paquetes se superponen. Cuando esto sucede, un servidor vulnerable a ataques teardrop no puede reensamblar los paquetes, lo que da como resultado una condición de denegación de servicio. [105]
La voz sobre IP ha hecho que la generación abusiva de un gran número de llamadas telefónicas sea económica y fácil de automatizar, al tiempo que permite falsear el origen de las llamadas mediante la suplantación de la identidad del interlocutor . Según la Oficina Federal de Investigaciones de Estados Unidos , la denegación de servicio telefónico (TDoS) ha aparecido como parte de varios esquemas fraudulentos:
El TDoS puede existir incluso sin telefonía por Internet . En el escándalo de interferencias telefónicas en las elecciones al Senado de New Hampshire de 2002 , se utilizaron teleoperadores para inundar a los oponentes políticos con llamadas falsas para bloquear los bancos de teléfonos el día de las elecciones. La publicación generalizada de un número también puede inundarlo con suficientes llamadas para dejarlo inutilizable, como ocurrió por accidente en 1981 con múltiples suscriptores del código de área +1- -867-5309 inundados por cientos de llamadas diarias en respuesta a la canción " 867-5309/Jenny ". El TDoS se diferencia de otros acosos telefónicos (como las llamadas de broma y las llamadas telefónicas obscenas ) por la cantidad de llamadas que se originan. Al ocupar las líneas continuamente con repetidas llamadas automáticas, se impide a la víctima realizar o recibir llamadas telefónicas rutinarias y de emergencia. Los exploits relacionados incluyen ataques de inundación de SMS y fax negro o transmisión continua de fax mediante el uso de un bucle de papel en el remitente.
Se necesitan más recursos del enrutador para descartar un paquete con un valor TTL de 1 o menos que para reenviar un paquete con un valor TTL más alto. Cuando se descarta un paquete debido a la expiración del TTL, la CPU del enrutador debe generar y enviar una respuesta de tiempo excedido de ICMP . Generar muchas de estas respuestas puede sobrecargar la CPU del enrutador. [108]
Un ataque UPnP utiliza una vulnerabilidad existente en el protocolo Universal Plug and Play (UPnP) para burlar la seguridad de la red e inundar la red y los servidores de un objetivo. El ataque se basa en una técnica de amplificación de DNS, pero el mecanismo de ataque es un enrutador UPnP que reenvía solicitudes de una fuente externa a otra. El enrutador UPnP devuelve los datos en un puerto UDP inesperado desde una dirección IP falsa, lo que dificulta la adopción de medidas sencillas para detener la inundación de tráfico. Según los investigadores de Imperva , la forma más eficaz de detener este ataque es que las empresas bloqueen los enrutadores UPnP. [109] [110]
En 2014, se descubrió que el Protocolo de Descubrimiento de Servicios Simples (SSDP, por sus siglas en inglés) se estaba utilizando en ataques DDoS conocidos como ataques de reflexión SSDP con amplificación . Muchos dispositivos, incluidos algunos enrutadores residenciales, tienen una vulnerabilidad en el software UPnP que permite a un atacante obtener respuestas del puerto UDP 1900 a una dirección de destino de su elección. Con una botnet de miles de dispositivos, los atacantes pueden generar tasas de paquetes suficientes y ocupar ancho de banda para saturar los enlaces, lo que provoca la denegación de servicios. [111] [112] [113] Debido a esta debilidad, la empresa de redes Cloudflare ha descrito a SSDP como el "Protocolo DDoS Estúpidamente Simple". [114]
La suplantación de ARP es un ataque DoS común que implica una vulnerabilidad en el protocolo ARP que permite a un atacante asociar su dirección MAC a la dirección IP de otra computadora o puerta de enlace , lo que provoca que el tráfico destinado a la IP auténtica original se redirija a la del atacante, lo que provoca una denegación de servicio.
Las respuestas defensivas a los ataques de denegación de servicio generalmente implican el uso de una combinación de detección de ataques, clasificación de tráfico y herramientas de respuesta, con el objetivo de bloquear el tráfico que las herramientas identifican como ilegítimo y permitir el tráfico que identifican como legítimo. [115] Una lista de herramientas de respuesta incluye lo siguiente.
Todo el tráfico destinado a la víctima se desvía para pasar a través de un centro de limpieza o un centro de depuración a través de varios métodos como: cambiar la dirección IP de la víctima en el sistema DNS, métodos de tunelización (GRE/VRF, MPLS, SDN), [116] proxies, conexiones cruzadas digitales o incluso circuitos directos. El centro de limpieza separa el tráfico malo (DDoS y también otros ataques comunes de Internet) y solo pasa el tráfico legítimo bueno al servidor de la víctima. [117] La víctima necesita una conectividad central a Internet para utilizar este tipo de servicio a menos que se encuentre dentro de las mismas instalaciones que el centro de limpieza. Los ataques DDoS pueden saturar cualquier tipo de firewall de hardware, y pasar tráfico malicioso a través de redes grandes y maduras se vuelve cada vez más efectivo y económicamente sostenible contra los DDoS. [118]
El hardware de interfaz de aplicación es un hardware inteligente que se coloca en la red antes de que el tráfico llegue a los servidores. Se puede utilizar en redes junto con enrutadores y conmutadores y como parte de la administración del ancho de banda . El hardware de interfaz de aplicación analiza los paquetes de datos a medida que ingresan a la red e identifica y descarta flujos peligrosos o sospechosos.
Los enfoques para la detección de ataques DDoS contra aplicaciones basadas en la nube pueden basarse en un análisis de la capa de aplicación, que indica si el tráfico masivo entrante es legítimo. [119] Estos enfoques se basan principalmente en una ruta de valor identificada dentro de la aplicación y monitorean el progreso de las solicitudes en esta ruta, a través de marcadores llamados indicadores clave de finalización . [120] En esencia, estas técnicas son métodos estadísticos para evaluar el comportamiento de las solicitudes entrantes para detectar si está sucediendo algo inusual o anormal. Una analogía es con una tienda departamental de ladrillo y cemento donde los clientes pasan, en promedio, un porcentaje conocido de su tiempo en diferentes actividades, como recoger artículos y examinarlos, devolverlos, llenar una cesta, esperar para pagar, pagar e irse. Si una multitud de clientes llegara a la tienda y pasara todo su tiempo recogiendo artículos y devolviéndolos, pero nunca hiciera ninguna compra, esto podría marcarse como un comportamiento inusual.
Con el enrutamiento de agujero negro , todo el tráfico hacia el DNS o la dirección IP atacada se envía a un agujero negro (interfaz nula o un servidor inexistente). Para ser más eficiente y evitar afectar la conectividad de la red, puede ser administrado por el ISP. [121] Un sumidero de DNS enruta el tráfico hacia una dirección IP válida que analiza el tráfico y rechaza los paquetes defectuosos. El sumidero puede no ser eficiente para ataques severos.
Los sistemas de prevención de intrusiones (IPS) son eficaces si los ataques tienen firmas asociadas a ellos. Sin embargo, la tendencia entre los ataques es tener contenido legítimo pero malas intenciones. Los sistemas de prevención de intrusiones que funcionan con reconocimiento de contenido no pueden bloquear ataques DoS basados en el comportamiento. [45] Un IPS basado en ASIC puede detectar y bloquear ataques de denegación de servicio porque tiene el poder de procesamiento y la granularidad para analizar los ataques y actuar como un disyuntor de manera automática. [45]
Más centrado en el problema que IPS, un sistema de defensa DoS (DDS) puede bloquear ataques DoS basados en conexión y aquellos con contenido legítimo pero con malas intenciones. Un DDS también puede abordar tanto ataques de protocolo (como teardrop y ping of death) como ataques basados en velocidad (como inundaciones ICMP y SYN). DDS tiene un sistema especialmente diseñado que puede identificar y obstruir fácilmente ataques de denegación de servicio a una mayor velocidad que un sistema basado en software. [122]
En el caso de un ataque simple, se puede ajustar un firewall para denegar todo el tráfico entrante de los atacantes, en función de protocolos, puertos o direcciones IP de origen. Sin embargo, los ataques más complejos serán difíciles de bloquear con reglas simples: por ejemplo, si hay un ataque en curso en el puerto 80 (servicio web), no es posible descartar todo el tráfico entrante en este puerto porque al hacerlo se impedirá que el servidor reciba y sirva tráfico legítimo. [123] Además, los firewalls pueden estar demasiado profundos en la jerarquía de la red, y los enrutadores se ven afectados negativamente antes de que el tráfico llegue al firewall. Además, muchas herramientas de seguridad aún no admiten IPv6 o pueden no estar configuradas correctamente, por lo que los firewalls pueden ser ignorados durante los ataques. [124]
Al igual que los conmutadores, los enrutadores tienen algunas capacidades de limitación de velocidad y ACL . También se configuran manualmente. La mayoría de los enrutadores pueden verse fácilmente sobrecargados por un ataque DoS. Nokia SR-OS, que utiliza procesadores FP4 o FP5, ofrece protección contra DDoS. [125] Nokia SR-OS también utiliza Nokia Deepfield Defender basado en análisis de big data para la protección contra DDoS. [126] Cisco IOS tiene funciones opcionales que pueden reducir el impacto de las inundaciones. [127]
La mayoría de los conmutadores tienen alguna capacidad de limitación de velocidad y ACL . Algunos conmutadores proporcionan limitación de velocidad automática o de todo el sistema , modelado de tráfico , enlace retardado ( empalme TCP ), inspección profunda de paquetes y filtrado bogon (filtrado de IP falsa) para detectar y remediar ataques DoS a través del filtrado automático de velocidad y conmutación por error y equilibrio de enlaces WAN. Estos esquemas funcionarán siempre que los ataques DoS se puedan prevenir mediante su uso. Por ejemplo, la inundación SYN se puede prevenir mediante el enlace retardado o el empalme TCP. De manera similar, el DoS basado en contenido se puede prevenir mediante la inspección profunda de paquetes. Los ataques que utilizan paquetes marcianos se pueden prevenir mediante el filtrado bogon. El filtrado automático de velocidad puede funcionar siempre que los umbrales de velocidad establecidos se hayan establecido correctamente. La conmutación por error de enlaces WAN funcionará siempre que ambos enlaces tengan un mecanismo de prevención DoS. [45]
Las amenazas pueden estar asociadas a números de puerto TCP o UDP específicos. El bloqueo de estos puertos en el firewall puede mitigar el ataque. Por ejemplo, en un ataque de reflexión SSDP, la mitigación clave es bloquear el tráfico UDP entrante en el puerto 1900. [128]
Una denegación de servicio no intencional puede ocurrir cuando un sistema termina siendo denegado, no debido a un ataque deliberado por parte de un solo individuo o grupo de individuos, sino simplemente debido a un repentino aumento enorme en popularidad. Esto puede suceder cuando un sitio web extremadamente popular publica un enlace destacado a un segundo sitio, menos preparado, por ejemplo, como parte de una noticia. El resultado es que una proporción significativa de los usuarios habituales del sitio principal, potencialmente cientos de miles de personas, hacen clic en ese enlace en el espacio de unas pocas horas, teniendo el mismo efecto en el sitio web de destino que un ataque DDoS. Un VIPDoS es lo mismo, pero específicamente cuando el enlace fue publicado por una celebridad. Cuando Michael Jackson murió en 2009, sitios web como Google y Twitter se ralentizaron o incluso se bloquearon. [129] Los servidores de muchos sitios pensaron que las solicitudes provenían de un virus o software espía que intentaba causar un ataque de denegación de servicio, advirtiendo a los usuarios que sus consultas parecían "solicitudes automáticas de un virus informático o una aplicación de software espía". [130]
Los sitios de noticias y de enlaces (cuya función principal es proporcionar enlaces a contenido interesante en otros lugares de Internet) son los que tienen más probabilidades de provocar este fenómeno. El ejemplo canónico es el efecto Slashdot cuando se recibe tráfico de Slashdot . También se lo conoce como "el abrazo de la muerte de Reddit " [131] y "el efecto Digg ". [132]
También se sabe que los enrutadores pueden generar ataques DoS no intencionales, ya que tanto los enrutadores D-Link como Netgear han sobrecargado los servidores NTP inundándolos sin respetar las restricciones de los tipos de clientes o las limitaciones geográficas. También pueden producirse ataques de denegación de servicio no intencionales similares a través de otros medios, por ejemplo, cuando se menciona una URL en la televisión. Si un servidor está siendo indexado por Google u otro motor de búsqueda durante los períodos pico de actividad, o no tiene mucho ancho de banda disponible mientras está siendo indexado, también puede experimentar los efectos de un ataque DoS. [45] [ verificación fallida ] [ cita requerida ]
Se han tomado acciones legales en al menos un caso de este tipo. En 2006, Universal Tube & Rollform Equipment Corporation demandó a YouTube : un gran número de posibles usuarios de YouTube.com escribieron accidentalmente la URL de la empresa de tubos, utube.com. Como resultado, la empresa de tubos terminó teniendo que gastar grandes cantidades de dinero en actualizar su ancho de banda. [133] La empresa parece haberse aprovechado de la situación, ya que utube.com ahora contiene anuncios para obtener ingresos publicitarios. En marzo de 2014, después de que desapareciera el vuelo 370 de Malaysia Airlines , DigitalGlobe lanzó un servicio de crowdsourcing en el que los usuarios podían ayudar a buscar el avión desaparecido en imágenes satelitales. La respuesta abrumó los servidores de la empresa. [134] Una denegación de servicio involuntaria también puede ser el resultado de un evento preprogramado creado por el propio sitio web, como fue el caso del censo en Australia en 2016. [135] Esto podría deberse a que un servidor proporciona algún servicio en un momento específico.
En la seguridad de redes informáticas, la retrodispersión es un efecto secundario de un ataque de denegación de servicio falsificado. En este tipo de ataque, el atacante falsifica (o falsifica) la dirección de origen en los paquetes IP enviados a la víctima. En general, la máquina víctima no puede distinguir entre los paquetes falsificados y los paquetes legítimos, por lo que responde a los paquetes falsificados como lo haría normalmente. Estos paquetes de respuesta se conocen como retrodispersión. [136]
Si el atacante falsifica direcciones de origen de forma aleatoria, los paquetes de respuesta de retrodispersión de la víctima se enviarán de vuelta a destinos aleatorios. Este efecto puede ser utilizado por los telescopios de red como evidencia indirecta de tales ataques. El término análisis de retrodispersión se refiere a la observación de los paquetes de retrodispersión que llegan a una parte estadísticamente significativa del espacio de direcciones IP para determinar las características de los ataques DoS y las víctimas.
Muchas jurisdicciones tienen leyes que prohíben los ataques de denegación de servicio. La UNCTAD destaca que 156 países, o el 80% a nivel mundial, han promulgado leyes contra el delito cibernético para combatir su impacto generalizado. Las tasas de adopción varían según la región: en Europa, el 91% y en África, el 72%. [138]
El 7 de enero de 2013, Anonymous publicó una petición en el sitio whitehouse.gov pidiendo que los DDoS sean reconocidos como una forma legal de protesta similar a las protestas de Occupy , afirmando que la similitud en el propósito de ambas es la misma. [146]
{{cite book}}
: CS1 maint: location missing publisher (link) CS1 maint: multiple names: authors list (link){{cite book}}
: CS1 maint: location missing publisher (link) CS1 maint: multiple names: authors list (link){{cite web}}
: CS1 maint: bot: original URL status unknown (link){{cite web}}
: CS1 maint: bot: original URL status unknown (link)Austin Thompson, también conocido como DerpTrolling, que saltó a la fama en 2013 al lanzar ataques de denegación de servicio distribuido (DDoS) contra importantes compañías de videojuegos, ha sido sentenciado a 27 meses de prisión por un tribunal federal. Thompson, residente de Utah, también tendrá que pagar 95.000 dólares a Daybreak Games, que era propiedad de Sony cuando sufrió los efectos de DerpTrolling. Entre diciembre de 2013 y enero de 2014, Thompson también derribó Steam de Valve (la plataforma de distribución digital más grande para juegos de PC), así como el servicio Origin de Electronic Arts y BattleNet de Blizzard. La interrupción duró desde horas hasta días.