En segurida informatica , un ataque de denegacion de serviciu , tamien llamau ataque DOS (poles sos sigles n'ingles, D enial o f S ervice ), ye un ataque a un sistema d' ordenadores o rede que causa qu'un serviciu o recursu seya inaccesible a los usuarios llexitimos. De normal provoca la perda de la conectividad cola rede pol consumu del anchu de banda de la rede de la victima o sobrecarga de los recursos computacionales del sistema atacau. Un exemplu notable d'ello producio'l 27 de marzu de 2013 , cuando l'ataque d'una empresa a otra anubrio la rede de correos basura provocando una ralentizacion xeneral d' Internet ya inclusive llego a afectar a puntos clave como'l nodo central de Londres . ^[1]

Atacar DOS xenerar por aciu la saturacion de los puertos con multiples fluxos d'informacion, faciendo que'l servidor se sobrecargue y nun pueda siguir emprestando'l so serviciu. Por eso denominar denegacion , pos fai que'l servidor nun pueda atender a la cantida enorme de solicitues. Esta teunica ye usada polos crackers o pirates informaticos pa dexar fora de serviciu servidores oxetivu.

Una ampliacion del ataque DOS ye'l llamau ataque de negacion de serviciu distribuyiu ( DDoS poles sos sigles n'ingles) el cual llevase a cabu xenerando un gran fluxu d'informacion dende dellos puntos de conexon escontra un mesmu puntu de destin. La forma mas comun de realizar un DDoS ye al travies d'una rede de bots , siendo esta teunica'l ciberataque mas avezau y eficaz pola so cencellez teunoloxica.

N'ocasiones, esta ferramienta foi utilizada como un bon metodu pa comprobar la capacida de traficu qu'un ordenador puede soportar ensin volvese inestable y afectar a los servicios qu'empresta. Un alministrador de redes puede asina conocer la capacida real de cada maquina.

Metodos d'ataque [ editar | editar la fonte ]

Un ataque de negacion de serviciu torga l'usu llexitimu de los usuarios al usar un serviciu de rede. L'ataque puede dase de munches formes. Pero toos tienen daque de mancomun: utilicen la familia de protocolos TCP/IP pa consiguir el so propositu.

Un ataque DOS puede ser perpetau de delles formes. Anque basicamente consisten en:

• Consumu de recursos computacionales, tales como anchu de banda, espaciu de discu, o tiempu de procesador.
• Alteracion d'informacion de configuracion, tales como informacion de rutes d'encaminamientu.
• Alteracion d'informacion d'estau, tales como interrupcion de sesiones TCP (TCP reset).
• Interrupcion de componentes fisicos de rede.
• Obstruccion de medios de comunicacion ente usuarios d'un serviciu y la victima, de manera que ya nun puedan comunicase afechiscamente.

Enllena SYN (SYN Flood) [ editar | editar la fonte ]

Principios de TCP/IP [ editar | editar la fonte ]

Cuando una maquina comunicar por aciu TCP/IP con otra, unvia una serie de datos xunto al pidimientu real. Estos datos formen la cabecera de la solicitu. Dientro de la cabecera atopen unes senalizaciones llamaes Flags ( banderes ). Estes senalizaciones (banderes) dexen empecipiar una conexon, cerrala, indicar qu'una solicitu ye urxente, reiniciar una conexon, etc. Les banderes incluyense tantu na solicitu (vecera), como na respuesta (servidor).

Pa esclarialo, veamos como ye un intercambiu estandar TCP/IP:

1) Establecer Conexon: el veceru unvia una Flag SYN; si'l servidor acepta la conexon, esti tendria de responde-y con un SYN/ACK; depues el veceru tendria de responder con una Flag ACK.

1-Veceru --------SYN-----> 2 Servidor
4-Veceru <-----SYN/ACK---- 3 Servidor
5-Veceru --------ACK-----> 6 Servidor

2) Resetear Conexon: al haber dalgun error o perda de paquetes d'unviada establez unviada de Flags RST:

1-Veceru -------Reset-----> 2-servidor
4-Veceru <----Reset/ACK---- 3-Servidor
5-Veceru --------ACK------> 6-Servidor

L'hinchente SYN unvia un fluxu de paquetes TCP/SYN (dellos pidimientos con Flags SYN na cabecera), munches vegaes cola direicion d'orixe falsificada. Cada unu de los paquetes recibios ye tratau pol destin como un pidimientu de conexon, causando que'l servidor intente establecer una conexon al responder con un paquete TCP/SYN-ACK y esperando el paquete de respuesta TCP/ACK (Parte del procesu d'establecimientu de conexon TCP de 3 vies). Sicasi, por cuenta de que la direicion d'orixe ye falsa o la direicion IP real nun solicito la conexon, nunca llega la respuesta.

Estos intentos de conexon peracaben recursos nel servidor y acopen el numberu de conexones que pueden establecese, amenorgando la disponibilidad del servidor pa responder pidimientos llexitimos de conexon.

SYN cookies aprove un mecanismu de proteicion contra Enllena SYN, esaniciando la reserva de recursos nel host destin, pa una conexon en momentu de la so xestion inicial.

Enllena ICMP (ICMP Flood) [ editar | editar la fonte ]

Ye una teunica DOS que pretende escosar l'anchu de banda de la victima. Consiste n'unviar de forma siguida un numberu elevau de paquetes ICMP Echo request ( ping ) de tamanu considerable a la victima, de forma que esta hai de responder con paquetes ICMP Echo reply ( pong ) lo que supon una sobrecarga tantu na rede como nel sistema de la victima.

Dependiendo de la rellacion ente capacida de procesamientu de la victima y l'atacante, el grau de sobrecarga varia, esto ye, si un atacante tien una capacida enforma mayor, la victima nun puede remanar el traficu xenerau.

SMURF [ editar | editar la fonte ]

Esiste una variante a ICMP Flood denominau Ataque Smurf qu'amplifica considerablemente los efeutos d'un ataque ICMP .

Esisten tres partes nun Ataque Smurf: L'atacante, l'intermediariu y la victima (vamos comprobar que l'intermediariu tamien puede ser victima).

Nel ataque Smurf, l'atacante dirixe paquetes ICMP tipu " echo request " (ping) a una direicion IP de broadcast, usando como direicion IP orixe, la direicion de la victima ( Spoofing ). Esperase que los equipos coneutaos respuendan al pidimientu, usando Echo reply , a la maquina orixe (victima).

Dizse que l'efeutu ye amplificau, por cuenta de que la cantida de respuestes llograes, correspuende a la cantida d'equipos na rede que puedan responder. Toes estes respuestes son dirixies a la victima intentando colapsar los sos recursos de rede.

Como se dixo enantes, los intermediarios tamien sufren los mesmos problemes que les mesmes victimes.

Enllena UDP (UDP Flood) [ editar | editar la fonte ]

Basicamente esti ataque consiste en xenerar grandes cantidaes de paquetes UDP contra la victima escoyida. Por cuenta de la naturaleza ensin conexon del protocolu UDP, esti tipu d'ataques suel venir acompanau d' IP spoofing .

Ye avezau dirixir esti ataque contra maquines qu'executen el serviciu Echo, de forma que se xeneren mensaxes Echo d'un elevau tamanu. ^{[ ensin referencies ] [2]}

Impautu na rede [ editar | editar la fonte ]

A nivel global, esti problema foi creciendo, en parte pola mayor facilida pa crear ataques y tamien pola mayor cantida d'equipos disponibles mal configuraos o con fallos de segurida que son esplotaos pa xenerar estos ataques. Vese un aumentu nos ataques por reflexon y d'amplificacion per sobre l'usu de botnets . ^[3]

A principios de 2014, l'usu d'ataques basaos en protocolos UDP aumento significativamente. Anguano asoceden importantes incidentes con ataques basaos en CHARGEN, NTP y DNS ^[4] . D'alcuerdu al reporte de DDOS de Prolexic de Q1 2014, l'anchu de banda promedio de los ataques crecio nun 39% al respective de los ataques del 2013. Respectu del mesmu trimestre del 2013, hubo un 47% d'aumentu na cantida d'ataques y un 133% de crecedera del anchu de banda punta ( peak ) de los ataques. ^[5]

El 21 d'ochobre de 2016 asocedieron, principalmente n' Estaos Xunios , los ataques mas masivos de la ultima decada y vieronse afeutaes aplicaciones y paxina web como Twitter , Spotify , Amazon , Netflix y la version dixital de The New York Times . ^[6]

Ver tamien [ editar | editar la fonte ]

• Ping de la muerte
• Anonymous
• Nuke
• Flags
• Ataque Smurf
• Mil millones de rises
• Mitigacion de DDoS

Referencies [ editar | editar la fonte ]

Enllaces esternos [ editar | editar la fonte ]

• Syn Flood, que ye y como apangalo
• Intentando detener un DDoS