En internet, un ataque de denegación de servicio(DDoS) es el que se realiza cuando una cantidad considerable de sistemas atacan a un objetivo único, provocando la denegación de servicio de los usuarios del sistema afectado. La sobrecarga de mensajes entrantes sobre el sistema objetivo fuerza su cierre, denegando el servicio a los usuarios legítimos.
En un ataque DDoS típico el hacker (o si lo prefiere cracker) empieza buscando una vulnerabilidad en un sistema informático y creando un master para el DDoS. Desde este master el sistema identifica y se comunica con otros sistemas que pueda utilizar. El atacante usa las herramientas de cracking disponibles en internet sobre cientos o miles de equipos. Con un solo comando el atacante puede controlar todas estas máquinas para que lancen un ataque simultáneo sobre un objetivo concreto. La avalancha de paquetes provoca el error de denegación de servicio.
Los ataques DDoS funcionan de esta forma: un atacante envía una ráfaga de paquetes (básicamente datos basura) a un recipiente (en este caso los servidores DNS de Dyn) que se sobrecarga con los paquetes basura y esto hace imposible que gestionen nuevos intentos de conexión. El resultado es que cualquier conexión es mucho más lenta o sencillamente no funciona.
Mientras que la prensa tiende a centrarse en las victimas de los ataques DDoS, lo cierto es que hay más afectados por estos ataques – como son todos los sistemas afectados y controlados por el intruso. Aunque los propietarios de estos equipos no siempre están al tanto de la debilidad de sus equipos si es cierto que pueden sufrir de errores, problemas de funcionamiento y degradación del servicio. Tanto los propietarios como los usuarios del sitio afectado sufren los efectos del ataque. Yahoo, Buy.com, RIAA o la oficina de Copyright de Estados Unidos son algunas de las víctimas de estos ataques DDoS. Unos ataques que también pueden provocar mayores daños por encadenamiento. Por ejemplo, en octubre de 2012 un ataque masivo DDoS dejo a todo el país de Myammar desconectado.
Al equipo que cae bajo el control del intruso se le llama bot o zombie. Al grupo de ordenadores afectados se le llama botnet o armada zombi. Tanto Kaspersky Labs como Symantec consideran los botnets –y no el spam, los virus ni los gusanos – como la mayor amenaza de seguridad en internet.
Tipos de ataques de denegación de servicios
Un ataque de denegación de servicio impide el uso legítimo de los usuarios al usar un servicio de red. El ataque se puede dar de muchas formas. Pero todas tienen algo en común: utilizan la familia de protocolos TCP/IP para conseguir su propósito. Dado que el objetivo de esta nota es informativo no detallaremos aspectos técnicos que hagan perder el nterés del autor.
Un ataque DoS puede ser perpetrado de varias formas. Aunque básicamente consisten en:
- Consumo de recursos computacionales, tales como ancho de banda, espacio de disco, o tiempo de procesador.
- Alteración de información de configuración, tales como información de rutas de encaminamiento.
- Alteración de información de estado, tales como interrupción de sesiones TCP (TCP reset).
- Interrupción de componentes físicos de red.
- Obstrucción de medios de comunicación entre usuarios de un servicio y la víctima, de manera que ya no puedan comunicarse adecuadamente.
Mitigación de DDoS
La mitigación de DDoS es un conjunto de técnicas para resistir ataques de denegación distribuida-de-servicio (DDoS) en redes conectadas a Internet protegiendo así el objetivo y las redes de reenvío. Esto se hace pasando tráfico dirigido a la red atacada a través de redes de alta capacidad con filtros de “limpieza de tráfico”.
La mitigación de DDoS requiere identificar correctamente tráfico entrante para separar el tráfico humano del tráfico de bots que-parecen-humanos y de navegadores web capturados. El proceso se hace comparando firmas y examinando diferentes atributos del tráfico, incluyendo direcciones IP, variaciones de cookies, encabezados HTTP y huellas de Javascript.
La mitigación manual de DDoS ya no es recomendada debido a que los atacantes DDoS son capaces de evitar los software de mitigación de DDoS que son activados manualmente. Las buenas prácticas para la mitigación DDoS incluyen tener tanto tecnologías anti-DDoS como servicios de respuesta de emergencia anti-DDoS. La mitigación DDoS también está disponible a través de proveedores basados en la nube.
Historial de ataques de denegación de servicio
Los ataques DoS a los sistemas conectados a Internet tienen una larga historia, podría decirse que comenzó con el ataque de gusanos Robert Morris en 1988. En ese ataque, Morris, un estudiante graduado en el MIT, lanzó una pieza de malware auto reproductor (un gusano) que se extendió rápidamente a través de Internet global y desbordamientos de búfer y ataques de DOS en los sistemas afectados. La mayoría de las instituciones académicas y de investigación estaban conectadas a Internet en ese momento, pero se estimó que hasta el 10% de los 60,000 sistemas en los EE. UU. Se vieron afectados. Los daños se estimaron en hasta $ 100 millones, según la Oficina de Contabilidad General de EE. UU.
Morris fue enjuiciado con éxito bajo la Ley de Fraude y Abuso Informático de 1986 y sentenciado a tres años de libertad condicional, 400 horas de servicio comunitario y una multa de U$D 10,000.
Casos resonantes
Mastercard, Visa, Sony, PayPal, WordPress, Bolsa de Hong Kong y la CIA encumbran la lista de las principales empresas hostigadas por los denominados `hactivist` (Hackers activistas). Dyn (uno de los mayores proveedores de DNS), Twitter, CNN, Spotify, Netflix.
División consultoría de EvaluandoCloud.com