Técnicas y métodos de ataques DoS

El robo de información confidencial y la no disponibilidad de los servicios suelen ser los ataques que más preocupan a las organizaciones. Desde mi punto de vista, pocos controles se implantan para evitar el robo de información, sin embargo los CIO de las compañías apuestan por la redundancia de todo lo que le permite el presupuesto de TI, es decir, redundar servidores, discos, lineas de comunicaciones o incluso el centro de datos al completo. Supongo que este empeño de redundar todo se debe a la facilidad de ver cuándo un servicio no está disponible, la solución rápida es todo por dos, mientras que si hablamos de robo de información normalmente el atacante obtendrá todos los datos que andaba buscando y sin hacer ruido habrá cumplido su objetivo sin que la víctima se percate, ambas partes quedarán contentas y por tanto no será necesario invertir en la protección de la información.

Esta fiebre por la disponibilidad del servicio hace que surjan nuevas técnicas de ataques para tratar de tirar abajo los servicios de una organización. A continuación veremos brevemente algunos ataques de DoS:

Ataque Smurf: Ocurre cuando el atacante envía paquetes a la IP de broadcast modificando su IP origen, es decir realizando IP spoofing, todos los equipos pertenecientes a la red contestarán el paquete de broadcast hacia la máquina de la víctima sobrecargando el ancho de banda y los recursos del sistema atacado.

Ping flood: Consiste en sobrecargar los recursos de la máquina de la víctima enviando paquetes ICMP echo request de gran tamaño, la víctima tratará de responder utilizando recursos innecesariamente. También conocido como ping de la muerte.

SYN flood: El atacante envía paquetes TCP/SYN falsificando la dirección IP origen, provocando que las conexiones no terminen de abrirse y saturando la capacidad máxima de conexiones disponible que es capaz de manejar la máquina atacada.

Ataque teardrop: Ocurre cuando el atacante envía paquetes IP fragmentados para aprovechar errores en el reensamblado de los paquetes TCP/IP en el equipo de la víctima. El ataque puede provocar un crash en el sistema operativo o aplicación que maneje el paquete.

Ataque P2P: Hace que los clientes de una gran red de compartición de ficheros P2P se desconecten de la red P2P y realicen conexiones contra el sitio web de la víctima. Como resultado, miles de ordenadores intentan conectarse a la página web de la víctima degradando el rendimiento del servicio web.

PDoS: También llamado Phlashing, consiste en averiar el hardware del sistema y su único remedio es el reemplazo del hardware dañado.

Buffer overflow: Consiste en consumir todos los recursos disponibles, como por ejemplo memoria y CPU, provocando el desbordamiento del sistema.

Ataque por fuerza bruta: El atacante sobrecargará los recursos del sistema de la víctima enviándole una gran cantidad de paquetes que necesiten ser procesados para realizar algún tipo de comprobación, como por ejemplo intentos de autenticación.

Saturación del ancho de banda: Ocurre cuando el atacante dispone de mayor ancho de banda que la víctima.

Ataque Banana: Este ataque redirige los paquetes de salida de la víctima al propio equipo de la víctima, provocando un bucle y no permitiendo el acceso hacia fuera.

Pulsing zombie: Es un ataque que degrada el servicio enviando paquetes de manera continua y estable sin que la víctima lo perciba durante un periodo de tiempo prolongado. Aunque degrada el rendimiento del sistema no llega a provocar la no disponibilidad del servicio.

Nuke: Es un ataque muy similar al anterior que tiene por objetivo degradar el rendimiento de una red, para ello se utilizan herramientas que envían paquetes mal formados como paquetes ICMP inválidos o paquetes fragmentados de manera continua. Este tipo de tráfico provoca que la red vaya lenta.

Ataque DDoS: Ocurre cuando muchos sistemas comprometidos sobrecargan el ancho de banda o recursos del sistema atacado.

Reflected attack: Consiste en enviar solicitudes falsificadas a una gran cantidad de equipos que contestarán al sistema atacado sobrecargando el ancho de banda y los recursos de la víctima. Para ello es necesario realizar IP spoofing modificando la dirección IP origen de los paquetes de solicitud para que las respuestas sean contra el equipo atacado.

Como podemos ver existen muchos tipos de ataques de denegación de servicio, hay ataques tanto para provocar la no disponibilidad de una máquina en tu propia red como para provocar la no disponibilidad de algún servicio alojado en un centro de datos. Para finalizar me gustaría destacar el ataque de DDoS de NTP reflection que alcanzó aproximadamente los 400 Gbps superando el anterior ataque de DDoS de DNS reflection contra Spamhaus de 300 Gbps.

Si la disponibilidad de los servicios nos preocupa, ¿estamos preparados para mitigar ataques DDoS?