Ataque de denegación de servizo

Diagrama dun ataque DDoS Stacheldraht.

Un ataque de denegación de servizo coñecido en inglés como DoS Attack (acrónimo de denial-of-service), é un intento de facer que os recursos dun sistema non estean dispoñibles para os seus usuarios. Os obxectivos típicos son os servidores web, e o ataque busca que as páxinas aloxadas non estean dispoñibles na rede. Non se trata dunha invasión do sistema, senón da súa invalidación por sobrecarga. Os ataques de denegación de servizo realízanse xeralmente de dúas formas:

  • forzar o sistema vítima a reiniciar ou consumir todos os recursos (como a memoria ou o procesamento, por exemplo) para que xa non poida prestar o seu servizo;
  • obstruír os medios de comunicación entre os usuarios e o sistema vítima para que non poidan comunicarse correctamente.

Ataque distribuído

Nun ataque de denegación de servizo distribuído (tamén coñecido como DDoS, acrónimo de Distributed Denial of Service), un ordenador mestre chamado master pode ter miles de ordenadores zombies baixo o seu mando. Neste caso, as tarefas de ataque de denegación de servizo distribúense a un "exército" de máquinas escravas.

O ataque consiste en facer que os zombies (máquinas infectadas baixo o mando do master) se preparen para acceder a un determinado recurso nun determinado servidor ao mesmo tempo na mesma data. Despois desta fase, nun momento determinado, todos os zombies (conectados e conectados á rede) acceden ao mesmo recurso dende o mesmo servidor. Como os servidores web teñen un número limitado de usuarios que poden atender simultaneamente (slots), o gran e repentino número de solicitudes de acceso esgota este número, facendo que o servidor non poida atender máis solicitudes.

Dependendo do recurso atacado, o servidor pode reiniciarse ou mesmo colgarse.

Os virus coñecidos creados para a distribución de rutinas de ataque de denegación de servizo inclúen "Codered", "Slammer", "MyDoom", que escravizan aos infectados. As ferramentas de ataque DDoS coñecidas inclúen "Fabi" (1998), "Blitznet", "Trin00" (xuño/1999), "TFN" (ago/1999), "Stacheldraht" (setembro/1999), "Shaft", "TFN2K " (Dec/1999), "Trank".

Outra estratexia de ataque sería a través de botnets que realizan ataques de denegación de servizo contra obxectivos remotos.

Tipos de ataques DoS

O principal obxectivo dun ataque de denegación de servizo é facer que un recurso informático sexa inaccesible para os seus usuarios lexítimos. As dúas clases principais de métodos de ataque son a limitación do ancho de banda e o esgotamento dos recursos. Os ataques de limitación do ancho de banda caracterízanse por ataques de inundación e amplificación. Os ataques de esgotamento de recursos son ataques que usan mal os protocolos de comunicación de rede ou envían paquetes de rede mal formados.[1]

Ataques por inundación

Os ataques de inundación caracterízanse por enviar un gran volume de tráfico ao sistema da vítima principal co fin de conxestionar o seu ancho de banda. O impacto deste ataque pode variar desde a ralentización do sistema, ata a caída do mesmo ou o acaparamento do ancho de banda da rede da vítima. Os ataques Flood poden usar paquetes do Protocolo de datagramas de usuario (UDP) ou do Protocolo de mensaxes de control de Internet (ICMP).[1] Un dos grandes problemas deste ataque é que se pode utilizar calquera tipo de paquete, só tendo permiso para percorrer as ligazóns ao sistema de destino, consumindo así toda a capacidade do servidor.

Ataques de amplificación

Os ataques de amplificación caracterízanse por enviar solicitudes falsificadas a un gran número de ordenadores ou a un enderezo IP de difusión, que á súa vez responderá ás solicitudes. Falsificar o enderezo IP de orixe das solicitudes ao enderezo IP da vítima principal fará que todas as respostas sexan dirixidas ao destino do ataque. O enderezo IP de transmisión é unha característica que se atopa nos enrutadores. Cando unha solicitude ten un enderezo IP de difusión como enderezo de destino, o enrutador replica o paquete e envíao a todos os enderezos IP dentro do intervalo de difusión. Nos ataques de amplificación, os enderezos de difusión utilízanse para amplificar e reflectir o tráfico do ataque, reducindo así o ancho de banda da vítima principal.[1]

Ataques por explotación de protocolos

Os ataques de explotación de protocolo caracterízanse por consumir excesivamente os recursos da vítima principal ao explotar algunha característica específica ou falla de implementación dalgún protocolo instalado no sistema da vítima.

Os principais ataques de explotación do protocolo son o mal uso dos paquetes TCP SYN (Transfer Control Protocol Synchronize) ou dos paquetes TCP PUSHACK.[1]

Notas

Véxase tamén