Le damos la bienvenida a la plataforma CI.

logotipo de cyber insight
Inicio de sesión
Comienza de forma gratuita
logotipo de cyber insight

Ataques DoS

Losataques de denegación de servicio (o ataques DoS) son ataques más maliciosos que tienen como objetivo inundar un sistema, servidor o / y red con tráfico con el fin de sobrecargar sus recursos y ancho de banda y así interrumpir las operaciones de negocio. El resultado es que el sistema deja de ser capaz de procesar y satisfacer las solicitudes legítimas y se impide a los usuarios realizar tareas rutinarias y necesarias.

Mientras que un ataque DoS se origina en un solo sistema, los hackers lanzan un ataque de denegación de servicio distribuido (DDoS) desde un mayor número de máquinas anfitrionas infectadas con malware que controlan. Estos ataques son más rápidos y difíciles de bloquear que los ataques DoS, ya que hay que identificar y neutralizar varios sistemas para evitar la interrupción.

¿Para qué se utilizan?

Los ataques DoS y DDoS no benefician directamente a los atacantes. Su principal objetivo es interrumpir la eficacia del servicio de la víctima. Por eso también se denominan ataques de denegación de servicio: afectan al sitio objetivo de manera que ya no puede prestar servicios a quienes quieren acceder a él.

Los hackers también los utilizan para crear una oportunidad para otro tipo de ataque. Un ataque DoS o DDoS exitoso generalmente requiere que el sistema se desconecte, lo que puede hacerlo vulnerable a otros tipos de ataques. Una forma habitual de prevenir estos ataques es utilizar un cortafuegos para detectar si las peticiones enviadas al sitio web son legítimas. Las solicitudes falsas pueden entonces descartarse, permitiendo que el tráfico normal fluya sin interrupción.

Los ataques DoS más comunes son: Ataque TCP SYN Flood, ataque Teardrop, ataque Smurf, ataque Ping-of-Death y Botnets.

Ataque de inundación TCP SYN

Los ataques TCP SYN Flood (también llamados SYN Flood ) son ataques DoS que consumen todos los recursos disponibles del servidor atacado y lo hacen inaccesible al tráfico legítimo. Puede dirigirse a cualquier sistema conectado a Internet y que ofrezca servicios de Protocolo de Control de Transmisión (TCP) (por ejemplo, servidor web, servidor de correo electrónico, transferencia de archivos).

Los ataques de inundación SYN funcionan explotando el proceso de handshake de una conexión TCP. La capa TCP se satura e impide que se complete el proceso de handshake entre el cliente y el servidor en cada puerto.

En condiciones normales, cualquier conexión entre un cliente y un servidor que utilice el protocolo TCP requiere el "handshake" de tres vías. Consiste en una serie de mensajes que intercambian el cliente y el servidor:

  1. El cliente inicia la conexión enviando un mensaje SYN (de sincronización) al servidor;
  2. El servidor acusa recibo de este mensaje enviando un mensaje SYN / ACK (Synchronize-Acknowledge) de vuelta al cliente;
  3. El cliente confirma la conexión con un mensaje final ACK. Con esto, la conexión TCP se establece y puede enviar y recibir datos.

El objetivo de esta transmisión de mensajes es verificar la autenticidad de cada participante y determinar la clave y las opciones de encriptación que asegurarán la comunicación posterior. Este proceso debe completarse antes de que esté disponible una interfaz de comunicación entre las dos partes.

Descripción del ataque

En un ataque de inundación TCP SYN, el atacante envía repetidas solicitudes SYN a cada puerto del servidor objetivo para abrumarlo y hacer que no pueda responder a las solicitudes de conexión genuinas. Esto funciona de la siguiente manera:

  • El hacker envía un gran número de peticiones SYN al servidor, a menudo a través de direcciones IP falsas;
  • El servidor, que no es consciente del ataque, responde a cada uno de los intentos de conexión con un paquete SYN / ACK y deja un puerto abierto para recibir la respuesta;
  • El hacker envía más peticiones SYN mientras el servidor espera la confirmación ACK. Cada nuevo paquete SYN hace que el servidor mantenga abierta una nueva conexión de puerto durante un tiempo determinado. Una vez que todos los puertos disponibles están ocupados, el servidor ya no puede funcionar normalmente. Esto pone todos los puertos de comunicación del servidor en un estado medio abierto - el servidor está constantemente dejando conexiones abiertas, esperando que cada conexión se agote antes de que el puerto vuelva a estar disponible. Por ello, este tipo de ataque se denomina "ataque medio abierto".
Ataque DoS; ataque de inundación TCP SYN

Mitigación

Existen algunos métodos para prevenir este tipo de ataques:

  • Uso de cookies SYN: Utilizando hashing criptográfico, el servidor envía su respuesta SYN-ACK con un número de secuencia (seqno). Se forma a partir de la dirección IP del cliente, el número de puerto y alguna otra información única. Cuando el cliente responde, este hash se incluye en el paquete ACK. El servidor comprueba primero el ACK y sólo entonces asigna la memoria para la conexión;
  • Uso de cookies RST: El servidor envía intencionadamente un SYN-ACK no válido para la primera petición de un cliente concreto. Esto hace que el cliente genere un paquete RST informando al servidor de que algo va mal. Cuando se recibe este paquete, el servidor sabe que la solicitud es legítima, registra al cliente y acepta más conexiones entrantes de él;
  • Uso de microbloques: Asignación de un micro registro (hasta 16 bytes) en la memoria del servidor para cada solicitud SYN entrante en lugar de un objeto de conexión completo.
  • Aumentar la cola de espera: Ajustar las pilas TCP para mitigar el impacto de las inundaciones SYN. Esto puede hacerse reduciendo el tiempo de espera hasta que una pila libere la memoria asignada a una conexión o bien abandonando selectivamente las conexiones entrantes.
  • Reciclaje de la conexión TCP más antigua medio abierta: Sobrescribiendo la conexión más antigua a medio abrir en cuanto se llene el backlog. Este método supone que las conexiones legítimas pueden establecerse por completo en menos tiempo del que se tarda en llenar la acumulación de paquetes SYN maliciosos. Sin embargo, esta defensa falla cuando aumenta el volumen de los ataques.

Ataque de lágrimas

Los ataquesde lágrima son ataques DoS que consisten en el envío de paquetes de datos fragmentados a un servidor objetivo. Estos ataques aprovechan un fallo de reensamblaje de fragmentación TCP/PI en el código de algunos sistemas operativos que procesan grandes cantidades de datos. En lugar de ensamblar todas las piezas en el orden correcto y entregarlas como se espera, los sistemas esperan piezas que nunca llegan. Los atacantes aprovechan este fallo enviando al ordenador objetivo paquetes de datos enormes y fragmentados que se solapan entre sí. Como el servidor no puede reagrupar los paquetes, se sobrecarga y se bloquea. Los ataques de lágrima suelen funcionar en ordenadores con sistemas operativos antiguos, como Windows 95, Windows 3.1x, Windows NT y algunas versiones anteriores de Linux. Sin embargo, algunos ataques también funcionaron en sistemas con Windows 7 y Windows Vista.

Mitigación

Las redes de dispositivos actuales son muy avanzadas y pueden detectar fácilmente los paquetes fragmentados corruptos. Una vez que se identifica un paquete problemático, se puede excluir fácilmente para evitar el ataque de lágrima.

Algunos métodos para desactivar un ataque de lágrimas:

  • Si se siguen utilizando ordenadores antiguos y no se dispone de los parches correspondientes, hay que desactivar SMBv2 y bloquear los puertos 139 y 445 (como recomienda Microsoft);
  • Una red de cortafuegos eficaz: filtra los datos basura e infectados y los mantiene fuera del espectro de la red;
  • Caché: Proporciona el contenido de estado necesario para el funcionamiento normal de un dispositivo, ayudando a mitigar los riesgos asociados al ataque;
  • Proxy seguro: comprueba los paquetes entrantes y evita que entren datos erróneos en la unidad.

Ataque de los pitufos

Los ataques Smurf son ataques DoS en los que el atacante inunda el servidor objetivo, explotando las vulnerabilidades del Protocolo de Internet (IP) y del Protocolo de Mensajes de Control de Internet (ICMP). Estos ataques se originan en el ordenador del atacante y tienen como objetivo los routers que interactúan con un gran número de dispositivos. Funcionan sobrecargando los recursos de la red mediante el envío de solicitudes de eco ICMP a las máquinas de la red. Los ordenadores responden con respuestas de eco. Esto crea una situación de botnet que genera una alta tasa de tráfico ICPM. Como resultado, el servidor se ve inundado de peticiones de datos y paquetes ICPM que abruman y ralentizan el sistema, haciéndolo inoperable y vulnerable a los ataques.

Descripción del ataque

El ataque pitufo funciona normalmente en los siguientes pasos:

  • En primer lugar, el malware crea un paquete de red unido a una dirección IP falsa. Esta técnica se llama "spoofing". El malware puede descargarse de un sitio web no verificado o de un archivo adjunto de correo electrónico infectado, por ejemplo. Suele permanecer inactivo hasta que un usuario remoto lo activa;
  • El paquete contiene un mensaje de ping ICMP que pide a los nodos de la red que reciben el paquete que envíen una respuesta;
  • Estas respuestas, o "ecos", se envían de nuevo a las direcciones IP de la red, creando un bucle sin fin.

Mitigación

Existen algunas técnicas para defenderse de estos ataques DoS:

  • Bloquear las emisiones dirigidas por IP: La desactivación del tráfico de difusión dirigido en los routers impide las solicitudes de difusión de eco ICPM en los dispositivos de red.
  • Configurar los routers y hosts para que no respondan a las peticiones de eco ICPM.

Ataque Ping of Death (PoD)

Losataques Ping of Death (PoD ) son ataques DoS en los que el atacante pretende interrumpir, destruir o congelar el sistema objetivo enviando paquetes de datos sobredimensionados con un simple comando ping.

Un paquete correcto del Protocolo de Internet versión 4 (IPv4) consta de 65.535 bytes. Algunos ordenadores no pueden procesar paquetes más grandes.

Descripción del ataque

El ataque funciona de la siguiente manera:

  • Los ordenadores utilizan un sistema de mensajería de respuesta de eco ICMP (conocido como "ping") para probar las conexiones de red. El sistema funciona esencialmente como un dispositivo de sonar entre dispositivos. Envía un pulso que se hace eco para informar al operador sobre el entorno de la red. Si la conexión funciona como debería, los dispositivos de origen reciben una respuesta de los dispositivos de destino. Los comandos ping están limitados a un tamaño máximo de 65.535 bytes.
  • Los atacantes utilizan los comandos ping para desarrollar un comando ping de la muerte. Escriben un simple bucle que les permite ejecutar el comando ping con tamaños de paquetes que superan el límite máximo de 65.535 bytes cuando el ordenador de destino intenta reensamblar los fragmentos.
  • El envío de paquetes de más de 65.535 bytes va en contra de las reglas de IP. Para evitarlo, los atacantes envían paquetes en fragmentos, que el sistema objetivo intenta ensamblar. Si esto tiene éxito, el paquete sobredimensionado provoca un desbordamiento de la memoria. Esto hace que el servidor de destino se bloquee, se congele o se reinicie.

Los hackers pueden explotar esta vulnerabilidad en cualquier fuente que envíe datagramas IP. Esto incluye ecos ICMP, Intercambio de Paquetes de Red (IPX), Protocolo de Control de Transmisión (TCP) y Protocolo de Datagramas de Usuario (UDP).

Mitigación

Las empresas pueden utilizar las siguientes técnicas para prevenir estos ataques DoS:

  • Uso de cortafuegos que comprueban el tamaño máximo de los paquetes IP fragmentados y bloquean los mensajes de ping ICMP;
  • Añade comprobaciones al proceso de reensamblaje para garantizar que los paquetes de datos no superen el tamaño máximo de los paquetes tras la recombinación;
  • Configurarun búfer de memoria con espacio suficiente para procesar paquetes que superen el tamaño máximo.

Botnets

Una red de bots es un grupo de dispositivos infectados con malware y conectados a Internet controlados por un hacker (también llamado bot-herder ). Cada máquina individual dentro de la red botnet se llama bot. El bot-herder opera la infraestructura de la botnet desde un punto central y puede utilizar los dispositivos comprometidos para llevar a cabo simultáneamente una acción criminal coordinada. Las redes de bots se utilizan a menudo para ataques DDoS, infiltración de malware, envío de correos electrónicos no deseados, delitos financieros y fraude por clic.

Las redes de bots se producen cuando el responsable del bot envía bots bajo su mando y desde servidores de control a destinatarios desconocidos, utilizando archivos compartidos, correos electrónicos, aplicaciones de redes sociales u otros bots como intermediarios. Tan pronto como el destinatario abre el archivo malicioso en su dispositivo, el bot informa al centro de control, donde el bot-herder puede dictar órdenes a las máquinas infectadas.

Las redes de bots son muy adecuadas para las intrusiones a largo plazo. Los bots pueden ser fácilmente actualizados por el bot-herder y pueden cambiar toda su funcionalidad dependiendo de lo que quiera conseguir con ellos. También pueden adaptarse a los ajustes y contramedidas del sistema objetivo. También pueden utilizar otros dispositivos infectados en la red de la botnet como canales de comunicación, dando al atacante un gran número de canales de comunicación para adaptar sus funciones y entregar actualizaciones.

Ataque DoS; Botnet

Mitigación

Las siguientes técnicas pueden ayudar a mitigar los ataques de botnets:

  • Actualizaciones periódicas del software para reducir la probabilidad de que un ataque de botnet explote las vulnerabilidades del sistema;
  • Despliegue de un sistema de detección de intrusos (IDS) en toda la red;
  • Uso de filtros de agujeros negros que detienen el tráfico no deseado antes de que entre en una red protegida.

Si aún no ha analizado su nivel de seguridad con nuestra aplicación gratuita, ¡regístrese aquí!

Compartir el puesto:

Compartir en facebook
Compartir en twitter
Compartir en linkedin
Compartir en whatsapp
Compartir en el correo electrónico

Estos artículos también pueden interesarle

Chica que resume un artículo en línea

¿Qué es un procesador (Art. 28)?

Un encargado del tratamiento es una persona física o jurídica, una autoridad pública, una agencia u otro organismo que trata datos personales por cuenta del responsable del tratamiento. Procesamiento por encargo - ejemplos:

Leer más
17 de enero de 2022

¿Qué es el malware?

Malware: El malware es cualquier software malicioso que tiene como objetivo causar daño a un ordenador, sistema, cliente o red informática. Algunos ejemplos son los virus, los gusanos,

Leer más
13 de agosto de 2021

Una pista:

La aplicación estará disponible en breve.