Ataques DoS y DDoS

Los ataques de denegación de servicio (DoS) y denegación de servicio distribuido (DDoS) son intentos maliciosos de interrumpir las operaciones normales del servidor, servicio o red objetivo a través de una inundación de tráfico de Internet.

Los ataques DoS generalmente se pueden dividir en tres categorías, que se describen en las siguientes secciones:

  • Directo

  • Red de bots

  • reflejado

  • Amplificación

Ataques DoS directos

Un ataque DoS directo ocurre cuando la fuente del ataque genera los paquetes, independientemente del protocolo, la aplicación, que se envían directamente a la víctima del ataque. El atacante lanza un ataque DoS directo a un servidor web enviando numerosos paquetes TCP SYN. Este tipo de ataque tiene como objetivo inundar a la víctima con una cantidad abrumadora de paquetes para sobresaturar el ancho de banda de su conexión o agotar los recursos del sistema del objetivo. Este tipo de ataque también se conoce como ataque de inundación SYN . Los ciberdelincuentes también pueden utilizar ataques DoS y DDoS para generar costos adicionales para la víctima cuando ésta utiliza servicios en la nube. En la mayoría de los casos, cuando utiliza un servicio en la nube como Amazon Web Services (AWS), Microsoft Azure o Digital Ocean, paga por uso. Los atacantes pueden lanzar ataques DDoS para hacerle pagar más por el uso y los recursos. Otro tipo de ataque DoS implica explotar vulnerabilidades, como desbordamientos de búfer, para provocar la falla de un servidor o incluso de un dispositivo de infraestructura de red, provocando posteriormente una condición DoS.

Red de bots

Una botnet es una colección de máquinas comprometidas que el atacante puede manipular desde un sistema de comando y control (CnC o C2) para participar en un ataque DDoS, enviar correos electrónicos no deseados y realizar otras actividades ilícitas.

La botnet está compuesta por terminales de usuario comprometidos (computadoras portátiles), enrutadores inalámbricos domésticos y dispositivos de Internet de las cosas (IoT), como cámaras IP.

Ataques DoS y DDoS reflejados

Con los ataques DoS y DDoS reflejados, los atacantes envían a las fuentes paquetes falsificados que parecen ser de la víctima, y ​​luego las fuentes se convierten en participantes involuntarios en el ataque reflejado al enviar el tráfico de respuesta de regreso a la víctima prevista. UDP se utiliza a menudo como mecanismo de transporte en este tipo de ataques porque es más fácil de falsificar debido a la falta de un protocolo de enlace de tres vías.

Si el atacante decide que quiere atacar a una víctima, puede enviar paquetes a una fuente que crea que estos paquetes son legítimos. Luego, la fuente responde a las solicitudes NTP enviando las respuestas a la víctima, que no esperaba estos paquetes NTP de la fuente.

Ataques DDoS de amplificación

Un ataque de amplificación es una forma de ataque DoS reflejado en el que el tráfico de respuesta se compone de paquetes que son mucho más grandes que los que envió inicialmente el atacante. Un ejemplo de este tipo de ataque es un atacante que envía consultas DNS a un servidor DNS configurado como resolución abierta. Luego, el servidor DNS responde con respuestas de tamaño de paquete mucho mayores que los paquetes de consulta iniciales. El resultado final es que la máquina de la víctima se ve inundada por paquetes grandes para los cuales nunca realizó consultas.

Recursos

LogoQué es un ataque DDOS y cómo proteger su sitio contra unoAmazon Web Services, Inc.
LogoCómo lanzar un ataque DDoS | Herramientas para ataques DoS y DDoS | CloudflareCloudflare
AnteriorRoute Manipulation AttacksSiguienteOmisión del control de acceso a la red (NAC)

Última actualización