En
segurida informatica
, un
ataque de denegacion de serviciu
, tamien llamau ataque
DOS
(poles sos sigles n'ingles,
D
enial
o
f
S
ervice
), ye un ataque a un sistema d'
ordenadores
o
rede
que causa qu'un serviciu o recursu seya inaccesible a los usuarios llexitimos. De normal provoca la perda de la conectividad cola rede pol consumu del
anchu de banda
de la rede de la victima o sobrecarga de los recursos computacionales del sistema atacau. Un exemplu notable d'ello producio'l
27 de marzu
de
2013
, cuando l'ataque d'una empresa a otra anubrio la
rede
de
correos basura
provocando una ralentizacion xeneral d'
Internet
ya inclusive llego a afectar a puntos clave como'l
nodo central
de
Londres
.
[1]
Atacar DOS xenerar por aciu la saturacion de los puertos con multiples fluxos d'informacion, faciendo que'l
servidor
se sobrecargue y nun pueda siguir emprestando'l so serviciu. Por eso denominar
denegacion
, pos fai que'l servidor nun pueda atender a la cantida enorme de solicitues. Esta teunica ye usada polos
crackers
o pirates informaticos pa dexar fora de serviciu servidores oxetivu.
Una ampliacion del ataque DOS ye'l llamau
ataque de negacion de serviciu distribuyiu
(
DDoS
poles sos sigles n'ingles) el cual llevase a cabu xenerando un gran fluxu d'informacion dende dellos puntos de conexon escontra un mesmu puntu de destin. La forma mas comun de realizar un DDoS ye al travies d'una
rede de bots
, siendo esta teunica'l
ciberataque
mas avezau y eficaz pola so cencellez teunoloxica.
N'ocasiones, esta ferramienta foi utilizada como un bon metodu pa comprobar la capacida de traficu qu'un ordenador puede soportar ensin volvese inestable y afectar a los servicios qu'empresta. Un alministrador de redes puede asina conocer la capacida real de cada maquina.
Un ataque de negacion de serviciu torga l'usu llexitimu de los usuarios al usar un serviciu de rede. L'ataque puede dase de munches formes. Pero toos tienen daque de mancomun: utilicen la familia de protocolos
TCP/IP
pa consiguir el so propositu.
Un ataque DOS puede ser perpetau de delles formes. Anque basicamente consisten en:
- Consumu de recursos computacionales, tales como anchu de banda, espaciu de discu, o tiempu de procesador.
- Alteracion d'informacion de configuracion, tales como informacion de rutes d'encaminamientu.
- Alteracion d'informacion d'estau, tales como interrupcion de sesiones TCP (TCP reset).
- Interrupcion de componentes fisicos de rede.
- Obstruccion de medios de comunicacion ente usuarios d'un serviciu y la victima, de manera que ya nun puedan comunicase afechiscamente.
Cuando una maquina comunicar por aciu
TCP/IP
con otra, unvia una serie de datos xunto al pidimientu real. Estos datos formen la cabecera de la solicitu. Dientro de la cabecera atopen unes senalizaciones llamaes
Flags
(
banderes
). Estes senalizaciones (banderes) dexen empecipiar una conexon, cerrala, indicar qu'una solicitu ye urxente, reiniciar una conexon, etc. Les banderes incluyense tantu na solicitu (vecera), como na respuesta (servidor).
Pa esclarialo, veamos como ye un intercambiu estandar TCP/IP:
1) Establecer Conexon: el veceru unvia una Flag SYN; si'l servidor acepta la conexon, esti tendria de responde-y con un SYN/ACK; depues el veceru tendria de responder con una Flag ACK.
1-Veceru --------SYN-----> 2 Servidor
4-Veceru <-----SYN/ACK---- 3 Servidor
5-Veceru --------ACK-----> 6 Servidor
2) Resetear Conexon: al haber dalgun error o perda de paquetes d'unviada establez unviada de Flags RST:
1-Veceru -------Reset-----> 2-servidor
4-Veceru <----Reset/ACK---- 3-Servidor
5-Veceru --------ACK------> 6-Servidor
L'hinchente SYN unvia un fluxu de paquetes TCP/SYN (dellos pidimientos con Flags SYN na cabecera), munches vegaes cola direicion d'orixe falsificada. Cada unu de los paquetes recibios ye tratau pol destin como un pidimientu de conexon, causando que'l servidor intente establecer una conexon al responder con un paquete TCP/SYN-ACK y esperando el paquete de respuesta TCP/ACK (Parte del procesu d'establecimientu de conexon TCP de 3 vies). Sicasi, por cuenta de que la direicion d'orixe ye falsa o la direicion IP real nun solicito la conexon, nunca llega la respuesta.
Estos intentos de conexon peracaben recursos nel servidor y acopen el numberu de conexones que pueden establecese, amenorgando la disponibilidad del servidor pa responder pidimientos llexitimos de conexon.
SYN cookies
aprove un mecanismu de proteicion contra Enllena SYN, esaniciando la reserva de recursos nel host destin, pa una conexon en momentu de la so xestion inicial.
Ye una teunica DOS que pretende escosar l'anchu de banda de la victima. Consiste n'unviar de forma siguida un numberu elevau de paquetes
ICMP
Echo request
(
ping
) de tamanu considerable a la victima, de forma que esta hai de responder con paquetes
ICMP
Echo reply
(
pong
) lo que supon una sobrecarga tantu na rede como nel sistema de la victima.
Dependiendo de la rellacion ente capacida de procesamientu de la victima y l'atacante, el grau de sobrecarga varia, esto ye, si un atacante tien una capacida enforma mayor, la victima nun puede remanar el traficu xenerau.
Esiste una variante a
ICMP Flood
denominau Ataque Smurf qu'amplifica considerablemente los efeutos d'un ataque
ICMP
.
Esisten tres partes nun Ataque Smurf: L'atacante, l'intermediariu y la victima (vamos comprobar que l'intermediariu tamien puede ser victima).
Nel ataque Smurf, l'atacante dirixe paquetes
ICMP
tipu "
echo request
" (ping) a una direicion IP de broadcast, usando como direicion IP orixe, la direicion de la victima (
Spoofing
). Esperase que los equipos coneutaos respuendan al pidimientu, usando
Echo reply
, a la maquina orixe (victima).
Dizse que l'efeutu ye amplificau, por cuenta de que la cantida de respuestes llograes, correspuende a la cantida d'equipos na rede que puedan responder. Toes estes respuestes son dirixies a la victima intentando colapsar los sos recursos de rede.
Como se dixo enantes, los intermediarios tamien sufren los mesmos problemes que les mesmes victimes.
Basicamente esti ataque consiste en xenerar grandes cantidaes de paquetes
UDP
contra la victima escoyida. Por cuenta de la naturaleza ensin conexon del protocolu UDP, esti tipu d'ataques suel venir acompanau d'
IP spoofing
.
Ye avezau dirixir esti ataque contra maquines qu'executen el serviciu Echo, de forma que se xeneren mensaxes Echo d'un elevau tamanu.
[
ensin referencies
]
[2]
A nivel global, esti problema foi creciendo, en parte pola mayor facilida pa crear ataques y tamien pola mayor cantida d'equipos disponibles mal configuraos o con fallos de segurida que son esplotaos pa xenerar estos ataques. Vese un aumentu nos ataques por reflexon y d'amplificacion per sobre l'usu de
botnets
.
[3]
A principios de 2014, l'usu d'ataques basaos en protocolos UDP aumento significativamente. Anguano asoceden importantes incidentes con ataques basaos en CHARGEN, NTP y DNS
[4]
. D'alcuerdu al reporte de DDOS de Prolexic de Q1 2014, l'anchu de banda promedio de los ataques crecio nun 39% al respective de los ataques del 2013. Respectu del mesmu trimestre del 2013, hubo un 47% d'aumentu na cantida d'ataques y un 133% de crecedera del anchu de banda punta (
peak
) de los ataques.
[5]
El
21 d'ochobre
de
2016
asocedieron, principalmente n'
Estaos Xunios
, los ataques mas masivos de la ultima decada y vieronse afeutaes aplicaciones y paxina web como
Twitter
,
Spotify
,
Amazon
,
Netflix
y la version dixital de
The New York Times
.
[6]