Ataque de denegación de servicio

Tipo de ciberataque

Diagrama de un ataque DDoS. Observe cómo varios equipos atacan a un único equipo.

En informática , un ataque de denegación de servicio ( ataque DoS ) es un ciberataque en el que el autor busca hacer que una máquina o un recurso de red no esté disponible para sus usuarios previstos interrumpiendo temporal o indefinidamente los servicios de un host conectado a una red . La denegación de servicio se logra típicamente inundando la máquina o el recurso objetivo con solicitudes superfluas en un intento de sobrecargar los sistemas y evitar que se cumplan algunas o todas las solicitudes legítimas. [1] La gama de ataques varía ampliamente, abarcando desde inundar un servidor con millones de solicitudes para reducir su rendimiento, sobrecargar un servidor con una cantidad sustancial de datos no válidos, hasta enviar solicitudes con una dirección IP ilegítima . [2]

En un ataque de denegación de servicio distribuido ( ataque DDoS ), el tráfico entrante que inunda a la víctima proviene de muchas fuentes diferentes. Se requieren estrategias más sofisticadas para mitigar este tipo de ataque; simplemente intentar bloquear una sola fuente es insuficiente, ya que hay múltiples fuentes. [3] Un ataque DoS o DDoS es análogo a un grupo de personas que se agolpan en la puerta de entrada de una tienda, lo que dificulta la entrada de clientes legítimos, interrumpiendo así el comercio y perdiendo dinero para el negocio. Los perpetradores criminales de ataques DoS a menudo apuntan a sitios o servicios alojados en servidores web de alto perfil, como bancos o pasarelas de pago con tarjeta de crédito . La venganza y el chantaje , [4] [5] [6] así como el hacktivismo , [7] pueden motivar estos ataques.

Historia

Panix , el tercer ISP más antiguo del mundo, fue el objetivo de lo que se cree que fue el primer ataque DoS. El 6 de septiembre de 1996, Panix fue objeto de un ataque de inundación SYN , que dejó fuera de servicio sus servicios durante varios días mientras los proveedores de hardware, en particular Cisco , ideaban una defensa adecuada. [8] Otra demostración temprana del ataque DoS fue realizada por Khan C. Smith en 1997 durante un evento DEF CON , interrumpiendo el acceso a Internet al Strip de Las Vegas durante más de una hora. La publicación de un código de muestra durante el evento condujo al ataque en línea de Sprint , EarthLink , E-Trade y otras grandes corporaciones en el año siguiente. [9] El mayor ataque DDoS hasta la fecha ocurrió en septiembre de 2017, cuando Google Cloud experimentó un ataque con un volumen máximo de2,54 Tb/s , revelado por Google el 17 de octubre de 2020. [10] Se cree que el poseedor del récord fue un ataque ejecutado por un cliente anónimo del proveedor de servicios con sede en EE. UU. Arbor Networks , que alcanzó un pico de aproximadamente1,7 Tb/s . [11]

En febrero de 2020, Amazon Web Services sufrió un ataque con un volumen máximo de2,3 Tb/s . [12] En julio de 2021, el proveedor de CDN Cloudflare se jactó de proteger a su cliente de un ataque DDoS de una botnet global Mirai que llegaba a 17,2 millones de solicitudes por segundo. [13] El proveedor ruso de prevención de DDoS Yandex dijo que bloqueó un ataque DDoS de canalización HTTP el 5 de septiembre de 2021 que se originó en equipos de red Mikrotik sin parches. [14] En la primera mitad de 2022, la invasión rusa de Ucrania dio forma significativa al panorama de las ciberamenazas, con un aumento de los ciberataques atribuidos tanto a actores patrocinados por el estado como a actividades hacktivistas globales. El evento más notable fue un ataque DDoS en febrero, el más grande que ha sufrido Ucrania, que interrumpió los servicios del gobierno y del sector financiero. Esta ola de ciberagresión se extendió a aliados occidentales como el Reino Unido, Estados Unidos y Alemania. En particular, el sector financiero del Reino Unido vio un aumento en los ataques DDoS por parte de actores de estados nacionales y hacktivistas, destinados a socavar a los aliados de Ucrania. [15]

En febrero de 2023, Cloudflare se enfrentó a un ataque de 71 millones de solicitudes por segundo que, según Cloudflare, fue el mayor ataque DDoS HTTP en ese momento. [16] Los ataques DDoS HTTP se miden por solicitudes HTTP por segundo en lugar de paquetes por segundo o bits por segundo. El 10 de julio de 2023, la plataforma de fanfiction Archive of Our Own (AO3) se enfrentó a ataques DDoS que interrumpieron sus servicios. Anonymous Sudan , que reivindicó el ataque por motivos religiosos y políticos, fue visto con escepticismo por AO3 y los expertos. Flashpoint, un proveedor de inteligencia de amenazas, señaló las actividades pasadas del grupo, pero dudó de sus motivos declarados. Es poco probable que AO3, respaldado por la organización sin fines de lucro Organization for Transformative Works (OTW) y que depende de donaciones, cumpla con el rescate de 30.000 dólares en Bitcoin . [17] [18] En agosto de 2023, el grupo de hacktivistas NoName057 atacó a varias instituciones financieras italianas mediante la ejecución de ataques DoS lentos . [19] El 14 de enero de 2024, ejecutaron un ataque DDoS en sitios web federales suizos, motivado por la asistencia del presidente Zelensky al Foro Económico Mundial de Davos . El Centro Nacional de Seguridad Cibernética de Suiza mitigó rápidamente el ataque, asegurando que los principales servicios federales permanecieran seguros, a pesar de los problemas temporales de accesibilidad en algunos sitios web. [20] En octubre de 2023, la explotación de una nueva vulnerabilidad en el protocolo HTTP/2 resultó en que el récord del mayor ataque DDoS HTTP se batiera dos veces, una vez con un ataque de 201 millones de solicitudes por segundo observado por Cloudflare, [21] y nuevamente con un ataque de 398 millones de solicitudes por segundo observado por Google . [22] En agosto de 2024, Global Secure Layer observó e informó sobre un DDoS de paquetes récord a 3.15 mil millones de paquetes por segundo, que tenía como objetivo un número no revelado de servidores de juegos no oficiales de Minecraft . [23] En octubre de 2024, Internet Archive enfrentó dos ataques DDoS graves que dejaron al sitio completamente fuera de línea, inmediatamente después de un ataque anterior que filtró registros de más de 31 millones de usuarios del sitio. [24] [25] El grupo hacktivista SN_Blackmeta afirmó que el ataque DDoS era una represalia por la participación estadounidense en la guerra entre Israel y Hamás , a pesar de que Internet Archive no está afiliado al gobierno de los Estados Unidos; sin embargo, su vínculo con la filtración de datos anterior sigue sin estar claro. [26]

Tipos

Los ataques de denegación de servicio se caracterizan por un intento explícito por parte de los atacantes de impedir el uso legítimo de un servicio. Existen dos formas generales de ataques DoS: los que bloquean los servicios y los que los inundan. Los ataques más graves son los distribuidos. [27]

DoS distribuido

Un ataque de denegación de servicio distribuido (DDoS) ocurre cuando varios sistemas inundan el ancho de banda o los recursos de un sistema objetivo, generalmente uno o más servidores web. [27] Un ataque DDoS utiliza más de una dirección IP o máquinas únicas, a menudo de miles de hosts infectados con malware . [28] [29] Un ataque de denegación de servicio distribuido generalmente involucra más de 3 a 5 nodos en diferentes redes; menos nodos pueden calificar como un ataque DoS pero no es un ataque DDoS. [30] [31]

Varias máquinas de ataque pueden generar más tráfico de ataque que una sola máquina y son más difíciles de desactivar, y el comportamiento de cada máquina de ataque puede ser más sigiloso, lo que hace que el ataque sea más difícil de rastrear y apagar. Dado que el tráfico entrante que inunda a la víctima se origina en diferentes fuentes, puede ser imposible detener el ataque simplemente utilizando el filtrado de entrada . También dificulta distinguir el tráfico de usuarios legítimos del tráfico de ataque cuando se distribuye en múltiples puntos de origen. Como alternativa o ampliación de un DDoS, los ataques pueden implicar la falsificación de direcciones IP del remitente ( suplantación de direcciones IP ), lo que complica aún más la identificación y la derrota del ataque. Estas ventajas para el atacante causan desafíos para los mecanismos de defensa. Por ejemplo, simplemente comprar más ancho de banda entrante que el volumen actual del ataque podría no ayudar, porque el atacante podría simplemente agregar más máquinas de ataque. [ cita requerida ] La escala de los ataques DDoS ha seguido aumentando en los últimos años, en 2016 superando un terabit por segundo . [32] [33] Algunos ejemplos comunes de ataques DDoS son la inundación UDP , la inundación SYN y la amplificación DNS . [34] [35]

Ataque de yo-yo

Un ataque yo-yo es un tipo específico de DoS/DDoS dirigido a aplicaciones alojadas en la nube que utilizan escalado automático . [36] [37] [38] El atacante genera una inundación de tráfico hasta que un servicio alojado en la nube se escala hacia afuera para manejar el aumento de tráfico, luego detiene el ataque, dejando a la víctima con recursos sobreaprovisionados. Cuando la víctima vuelve a reducir la escala, el ataque se reanuda, lo que hace que los recursos vuelvan a aumentar. Esto puede resultar en una calidad de servicio reducida durante los períodos de aumento y reducción de escala y una pérdida financiera de recursos durante los períodos de sobreaprovisionamiento mientras opera con un costo menor para un atacante en comparación con un ataque DDoS normal, ya que solo necesita generar tráfico durante una parte del período de ataque.

Ataques a la capa de aplicación

Un ataque DDoS de capa de aplicación (a veces denominado ataque DDoS de capa 7 ) es una forma de ataque DDoS en el que los atacantes apuntan a procesos de capa de aplicación . [39] [30] El ataque sobreejercita funciones o características específicas de un sitio web con la intención de deshabilitar esas funciones o características. Este ataque de capa de aplicación es diferente de un ataque de red completa, y a menudo se utiliza contra instituciones financieras para distraer al personal de TI y seguridad de las brechas de seguridad. [40] En 2013, los ataques DDoS de capa de aplicación representaron el 20% de todos los ataques DDoS. [41] Según la investigación de Akamai Technologies , ha habido "un 51 por ciento más de ataques de capa de aplicación" del cuarto trimestre de 2013 al cuarto trimestre de 2014 y "un 16 por ciento más" del tercer trimestre de 2014 al cuarto trimestre de 2014. [42] En noviembre de 2017; Junade Ali, un ingeniero de Cloudflare señaló que, si bien los ataques a nivel de red siguen siendo de alta capacidad, ocurrían con menor frecuencia. Ali señaló además que, si bien los ataques a nivel de red eran cada vez menos frecuentes, los datos de Cloudflare demostraban que los ataques a nivel de aplicación todavía no mostraban signos de desaceleración. [43]

Capa de aplicación

El modelo OSI (ISO/IEC 7498-1) es un modelo conceptual que caracteriza y estandariza las funciones internas de un sistema de comunicación al dividirlo en capas de abstracción . El modelo es un producto del proyecto de Interconexión de Sistemas Abiertos de la Organización Internacional de Normalización (ISO). El modelo agrupa funciones de comunicación similares en una de siete capas lógicas. Una capa sirve a la capa superior y es servida por la capa inferior. Por ejemplo, una capa que proporciona comunicaciones sin errores a través de una red proporciona la ruta de comunicaciones que necesitan las aplicaciones que están por encima de ella, mientras que llama a la capa inmediatamente inferior para enviar y recibir paquetes que recorren esa ruta. En el modelo OSI, la definición de su capa de aplicación tiene un alcance más limitado de lo que se suele implementar. El modelo OSI define la capa de aplicación como la interfaz de usuario. La capa de aplicación OSI es responsable de mostrar datos e imágenes al usuario en un formato reconocible para el ser humano y de interactuar con la capa de presentación que se encuentra debajo. En una implementación, las capas de aplicación y presentación se combinan con frecuencia.

Método de ataque

El ataque DoS más simple se basa principalmente en la fuerza bruta, inundando el objetivo con un flujo abrumador de paquetes, sobresaturando su ancho de banda de conexión o agotando los recursos del sistema del objetivo. Las inundaciones que saturan el ancho de banda dependen de la capacidad del atacante para generar el flujo abrumador de paquetes. Una forma común de lograr esto hoy en día es a través de la denegación de servicio distribuida, empleando una botnet . Un ataque DDoS de capa de aplicación se realiza principalmente con fines específicos, incluida la interrupción de transacciones y acceso a bases de datos. Requiere menos recursos que los ataques de capa de red, pero a menudo los acompaña. [44] Un ataque puede disfrazarse para parecer tráfico legítimo, excepto que apunta a paquetes o funciones de aplicación específicos. El ataque a la capa de aplicación puede interrumpir servicios como la recuperación de información o funciones de búsqueda en un sitio web. [41]

DoS persistente avanzado

Un ataque DoS persistente avanzado (APDoS) está asociado con una amenaza persistente avanzada y requiere una mitigación de DDoS especializada . [45] Estos ataques pueden persistir durante semanas; el período continuo más largo observado hasta ahora duró 38 días. Este ataque involucró aproximadamente 50+ petabits (50,000+ terabits) de tráfico malicioso. [46] Los atacantes en este escenario pueden cambiar tácticamente entre varios objetivos para crear una distracción para evadir las contramedidas defensivas de DDoS, pero al mismo tiempo concentrar el impulso principal del ataque en una sola víctima. En este escenario, los atacantes con acceso continuo a varios recursos de red muy poderosos son capaces de sostener una campaña prolongada que genere enormes niveles de tráfico DDoS no amplificado. Los ataques APDoS se caracterizan por:

  • Reconocimiento avanzado ( OSINT previo al ataque y escaneo extenso con señuelo diseñado para evadir la detección durante largos períodos)
  • Ejecución táctica (ataque con víctimas tanto primarias como secundarias, pero con el foco puesto en las primarias)
  • motivación explícita (un objetivo final calculado)
  • Gran capacidad de procesamiento (acceso a una importante potencia informática y ancho de banda de red)
  • Ataques simultáneos de capa OSI de múltiples subprocesos (herramientas sofisticadas que operan en las capas 3 a 7)
  • persistencia durante períodos prolongados (combinando todo lo anterior en un ataque concertado y bien gestionado contra una variedad de objetivos). [47]

Denegación de servicio como servicio

Algunos proveedores ofrecen los llamados servicios de arranque o de estrés , que tienen interfaces web sencillas y aceptan pagos a través de la red. Se comercializan y promocionan como herramientas de prueba de estrés y pueden utilizarse para realizar ataques de denegación de servicio no autorizados y permitir a atacantes técnicamente poco sofisticados acceder a herramientas de ataque sofisticadas. [48] Generalmente alimentado por una botnet, el tráfico producido por un estresor de consumo puede oscilar entre 5 y 50 Gbit/s, lo que, en la mayoría de los casos, puede negar el acceso a Internet al usuario doméstico medio. [49]

Ataque de denegación de servicio modulado por Markov

Un ataque de denegación de servicio modulado por Markov ocurre cuando el atacante interrumpe los paquetes de control utilizando un modelo Markov oculto . Un entorno en el que los ataques basados ​​en el modelo Markov son frecuentes es el de los juegos en línea, ya que la interrupción del paquete de control socava la jugabilidad y la funcionalidad del sistema. [50]

Síntomas

El Equipo de Preparación para Emergencias Informáticas de los Estados Unidos (US-CERT) ha identificado síntomas de un ataque de denegación de servicio que incluyen: [51]

  • rendimiento de red inusualmente lento (abrir archivos o acceder a sitios web),
  • falta de disponibilidad de un sitio web en particular, o
  • imposibilidad de acceder a cualquier sitio web.

Técnicas de ataque

Herramientas de ataque

En casos como MyDoom y Slowloris , las herramientas están integradas en malware y lanzan sus ataques sin el conocimiento del propietario del sistema. Stacheldraht es un ejemplo clásico de una herramienta DDoS. Utiliza una estructura en capas donde el atacante utiliza un programa cliente para conectarse a controladores que son sistemas comprometidos que emiten comandos a los agentes zombis que a su vez facilitan el ataque DDoS. Los agentes son comprometidos a través de los controladores por el atacante utilizando rutinas automatizadas para explotar vulnerabilidades en programas que aceptan conexiones remotas que se ejecutan en los hosts remotos objetivo. Cada controlador puede controlar hasta mil agentes. [52]

En otros casos, una máquina puede convertirse en parte de un ataque DDoS con el consentimiento del propietario, por ejemplo, en la Operación Payback organizada por el grupo Anonymous . El Low Orbit Ion Cannon se ha utilizado típicamente de esta manera. Junto con High Orbit Ion Cannon, hoy en día hay una amplia variedad de herramientas DDoS disponibles, incluidas versiones pagas y gratuitas, con diferentes características disponibles. Existe un mercado clandestino para ellas en foros relacionados con hackers y canales IRC.

Ataques a la capa de aplicación

Los ataques a nivel de aplicación emplean exploits que provocan denegación de servicio (DoS) y pueden hacer que el software que se ejecuta en el servidor llene el espacio en disco o consuma toda la memoria o el tiempo de CPU disponibles . Los ataques pueden utilizar tipos de paquetes específicos o solicitudes de conexión para saturar recursos finitos, por ejemplo, ocupando el número máximo de conexiones abiertas o llenando el espacio en disco de la víctima con registros. Un atacante con acceso a nivel de shell a la computadora de una víctima puede ralentizarla hasta que quede inutilizable o bloquearla utilizando una bomba de bifurcación . Otro tipo de ataque DoS a nivel de aplicación es XDoS (o XML DoS) que puede controlarse mediante firewalls de aplicaciones web (WAF) modernos. Todos los ataques pertenecen a la categoría de explotación de tiempo de espera . [53]

Los ataques Slow DoS implementan un ataque de capa de aplicación. Ejemplos de amenazas son Slowloris, que establece conexiones pendientes con la víctima, o SlowDroid , un ataque que se ejecuta en dispositivos móviles. Otro objetivo de los ataques DDoS puede ser producir costos adicionales para el operador de la aplicación, cuando este último utiliza recursos basados ​​en la computación en la nube . En este caso, normalmente los recursos utilizados por la aplicación están vinculados a un nivel de calidad de servicio (QoS) necesario (por ejemplo, las respuestas deben ser inferiores a 200 ms) y esta regla suele estar vinculada a un software automatizado (por ejemplo, Amazon CloudWatch [54] ) para obtener más recursos virtuales del proveedor para cumplir con los niveles de QoS definidos para el aumento de solicitudes. El principal incentivo detrás de estos ataques puede ser impulsar al propietario de la aplicación a aumentar los niveles de elasticidad para manejar el aumento del tráfico de la aplicación, causar pérdidas financieras u obligarlos a ser menos competitivos. Un ataque banana es otro tipo particular de DoS. Implica redirigir los mensajes salientes del cliente de vuelta al cliente, impidiendo el acceso externo, así como inundar al cliente con los paquetes enviados. Un ataque LAND es de este tipo.

Ataques de degradación del servicio

Los zombis pulsantes son computadoras comprometidas que están dirigidas a lanzar inundaciones intermitentes y de corta duración de los sitios web de las víctimas con la intención de simplemente ralentizarlos en lugar de bloquearlos. Este tipo de ataque, conocido como degradación del servicio , puede ser más difícil de detectar y puede interrumpir y obstaculizar la conexión a los sitios web durante períodos prolongados de tiempo, lo que puede causar una interrupción general mayor que un ataque de denegación de servicio. [55] [56] La exposición de los ataques de degradación del servicio se complica aún más por la cuestión de discernir si el servidor realmente está siendo atacado o está experimentando cargas de tráfico legítimas más altas de lo normal. [57]

Ataque DoS distribuido

Si un atacante lanza un ataque desde un único host, se clasificaría como un ataque DoS. Cualquier ataque contra la disponibilidad se clasificaría como un ataque de denegación de servicio. Por otro lado, si un atacante utiliza muchos sistemas para lanzar ataques simultáneamente contra un host remoto, esto se clasificaría como un ataque DDoS. El malware puede llevar mecanismos de ataque DDoS; uno de los ejemplos más conocidos de esto fue MyDoom . Su mecanismo DoS se activó en una fecha y hora específicas. Este tipo de DDoS implicaba codificar de forma rígida la dirección IP del objetivo antes de liberar el malware y no era necesaria ninguna interacción adicional para lanzar el ataque. Un sistema también puede verse comprometido con un troyano que contenga un agente zombi . Los atacantes también pueden entrar en los sistemas utilizando herramientas automatizadas que explotan fallas en los programas que escuchan conexiones desde hosts remotos. Este escenario afecta principalmente a los sistemas que actúan como servidores en la web. Stacheldraht es un ejemplo clásico de una herramienta DDoS. Utiliza una estructura en capas donde el atacante utiliza un programa cliente para conectarse a los manejadores, que son sistemas comprometidos que emiten comandos a los agentes zombi, que a su vez facilitan el ataque DDoS. Los agentes son comprometidos a través de los manejadores por el atacante. Cada manejador puede controlar hasta mil agentes. [52] En algunos casos una máquina puede convertirse en parte de un ataque DDoS con el consentimiento del propietario, por ejemplo, en Operation Payback , organizado por el grupo Anonymous . Estos ataques pueden utilizar diferentes tipos de paquetes de internet como TCP, UDP, ICMP, etc.

Estas colecciones de sistemas comprometidos se conocen como botnets . Las herramientas DDoS como Stacheldraht todavía utilizan métodos clásicos de ataque DoS centrados en la suplantación de IP y la amplificación como ataques smurf y ataques fraggle (tipos de ataques de consumo de ancho de banda). También se pueden utilizar inundaciones SYN (un ataque de hambre de recursos). Las herramientas más nuevas pueden usar servidores DNS para fines DoS. A diferencia del mecanismo DDoS de MyDoom, las botnets se pueden activar contra cualquier dirección IP. Los script kiddies las usan para negar la disponibilidad de sitios web conocidos a usuarios legítimos. [58] Los atacantes más sofisticados usan herramientas DDoS con fines de extorsión  , incluso contra sus rivales comerciales. [59] Se ha informado de que hay nuevos ataques de dispositivos de Internet de las cosas (IoT) que han estado involucrados en ataques de denegación de servicio. [60] En un ataque conocido que se realizó alcanzó un máximo de alrededor de 20.000 solicitudes por segundo que provenían de alrededor de 900 cámaras de CCTV. [61] El GCHQ del Reino Unido tiene herramientas diseñadas para DDoS, llamadas PREDATORS FACE y ROLLING THUNDER. [62]

Los ataques simples, como las inundaciones SYN, pueden aparecer con una amplia gama de direcciones IP de origen, lo que da la apariencia de un ataque DoS distribuido. Estos ataques de inundación no requieren la finalización del protocolo de enlace de tres vías TCP e intentan agotar la cola SYN de destino o el ancho de banda del servidor. Debido a que las direcciones IP de origen se pueden falsificar de manera trivial, un ataque podría provenir de un conjunto limitado de fuentes o incluso puede originarse en un solo host. Las mejoras de la pila, como las cookies SYN, pueden ser una mitigación eficaz contra las inundaciones de la cola SYN, pero no abordan el agotamiento del ancho de banda. En 2022, los ataques TCP fueron el método principal en los incidentes DDoS, representando el 63% de toda la actividad DDoS. Esto incluye tácticas como TCP SYN , TCP ACK e inundaciones TCP. Dado que TCP es el protocolo de red más extendido, se espera que sus ataques sigan prevaleciendo en la escena de amenazas DDoS. [15]

Extorsión DDoS

En 2015, las botnets DDoS como DD4BC ganaron prominencia, apuntando a instituciones financieras. [63] Los ciberextorsionadores suelen comenzar con un ataque de bajo nivel y una advertencia de que se llevará a cabo un ataque más grande si no se paga un rescate en bitcoins . [64] Los expertos en seguridad recomiendan a los sitios web atacados que no paguen el rescate. Los atacantes tienden a entrar en un esquema de extorsión extendido una vez que reconocen que el objetivo está dispuesto a pagar. [65]

Ataque DoS POST lento HTTP

Descubierto por primera vez en 2009, el ataque HTTP POST lento envía un encabezado HTTP POST legítimo y completo , que incluye un campo Content-Length para especificar el tamaño del cuerpo del mensaje a seguir. Sin embargo, el atacante luego procede a enviar el cuerpo real del mensaje a una velocidad extremadamente lenta (por ejemplo, 1 byte/110 segundos). Debido a que todo el mensaje es correcto y completo, el servidor de destino intentará obedecer el campo Content-Length en el encabezado y esperará a que se transmita todo el cuerpo del mensaje, lo que puede llevar mucho tiempo. El atacante establece cientos o incluso miles de conexiones de este tipo hasta que se agotan todos los recursos para las conexiones entrantes en el servidor víctima, lo que hace imposible cualquier otra conexión hasta que se hayan enviado todos los datos. Es notable que, a diferencia de muchos otros ataques DDoS o DDoS, que intentan someter al servidor sobrecargando su red o CPU, un ataque HTTP POST lento apunta a los recursos lógicos de la víctima, lo que significa que la víctima aún tendría suficiente ancho de banda de red y potencia de procesamiento para operar. [66] Combinado con el hecho de que el servidor HTTP Apache , por defecto, acepta peticiones de hasta 2 GB de tamaño, este ataque puede ser particularmente poderoso. Los ataques POST lentos HTTP son difíciles de diferenciar de las conexiones legítimas y por lo tanto son capaces de eludir algunos sistemas de protección. OWASP , un proyecto de seguridad de aplicaciones web de código abierto , lanzó una herramienta para probar la seguridad de los servidores contra este tipo de ataque. [67]

Desafío Ataque de colapso (CC)

Un ataque Challenge Collapsar (CC) es un ataque en el que se envían solicitudes HTTP estándar a un servidor web de destino con frecuencia. Los identificadores uniformes de recursos (URI) en las solicitudes requieren algoritmos complicados que consumen mucho tiempo u operaciones de base de datos que pueden agotar los recursos del servidor web de destino. [68] [69] [70] En 2004, un hacker chino apodado KiKi inventó una herramienta de piratería para enviar este tipo de solicitudes para atacar un firewall NSFOCUS llamado Collapsar, y por lo tanto la herramienta de piratería se conoció como Challenge Collapsar, o CC para abreviar. En consecuencia, este tipo de ataque recibió el nombre de ataque CC . [71]

Protocolo de mensajes de control de Internet (ICMP)

Un ataque smurf se basa en dispositivos de red mal configurados que permiten enviar paquetes a todos los hosts de una red particular a través de la dirección de difusión de la red, en lugar de a una máquina específica. El atacante enviará una gran cantidad de paquetes IP con la dirección de origen falsificada para que parezca la dirección de la víctima. [72] La mayoría de los dispositivos de una red responderán, de forma predeterminada, enviando una respuesta a la dirección IP de origen. Si la cantidad de máquinas en la red que reciben y responden a estos paquetes es muy grande, la computadora de la víctima se inundará de tráfico. Esto sobrecarga la computadora de la víctima e incluso puede dejarla inutilizable durante un ataque de este tipo. [73]

El ataque Ping flood se basa en enviar a la víctima una cantidad abrumadora de paquetes ping , generalmente utilizando el comando ping desde hosts tipo Unix . [a] Es muy simple de ejecutar, el requisito principal es tener acceso a un ancho de banda mayor que el de la víctima. El ataque Ping of death se basa en enviar a la víctima un paquete ping malformado, que provocará un bloqueo del sistema en un sistema vulnerable. El ataque BlackNurse es un ejemplo de un ataque que aprovecha los paquetes ICMP requeridos de Puerto de destino inalcanzable.

Arma nuclear

Un nuke es un ataque de denegación de servicio anticuado contra redes informáticas que consiste en enviar paquetes ICMP fragmentados o inválidos al objetivo, lo que se logra utilizando una utilidad ping modificada para enviar repetidamente estos datos corruptos , lo que ralentiza el equipo afectado hasta que se detiene por completo. [74] Un ejemplo específico de un ataque nuke que ganó cierta prominencia es WinNuke , que explotó la vulnerabilidad en el controlador NetBIOS en Windows 95. Se envió una cadena de datos fuera de banda al puerto TCP 139 de la máquina de la víctima, lo que provocó que se bloqueara y mostrara una pantalla azul de la muerte . [74]

Ataques peer to peer

Los atacantes han encontrado una forma de explotar una serie de errores en los servidores peer-to-peer para iniciar ataques DDoS. El más agresivo de estos ataques DDoS peer-to-peer explota DC++ . Con peer-to-peer no hay botnet y el atacante no tiene que comunicarse con los clientes que subvierte. En cambio, el atacante actúa como un titiritero , instruyendo a los clientes de grandes centros de intercambio de archivos peer-to-peer para que se desconecten de su red peer-to-peer y se conecten al sitio web de la víctima. [75] [76] [77]

Ataques de denegación de servicio permanentes

La denegación de servicio permanente (PDoS), también conocida vagamente como phlashing, [78] es un ataque que daña un sistema tan gravemente que requiere el reemplazo o la reinstalación del hardware. [79] A diferencia del ataque de denegación de servicio distribuido, un ataque PDoS explota fallas de seguridad que permiten la administración remota en las interfaces de administración del hardware de la víctima, como enrutadores , impresoras u otro hardware de red . El atacante usa estas vulnerabilidades para reemplazar el firmware de un dispositivo con una imagen de firmware modificada, corrupta o defectuosa, un proceso que cuando se realiza de manera legítima se conoce como flasheo. La intención es bloquear el dispositivo, dejándolo inutilizable para su propósito original hasta que pueda ser reparado o reemplazado. El PDoS es un ataque puramente dirigido al hardware que puede ser mucho más rápido y requiere menos recursos que usar una botnet en un ataque DDoS. Debido a estas características y al potencial y alta probabilidad de vulnerabilidades de seguridad en dispositivos integrados habilitados para la red, esta técnica ha llamado la atención de numerosas comunidades de hackers. BrickerBot , un malware que apuntaba a dispositivos IoT, utilizó ataques PDoS para deshabilitar sus objetivos. [80] PhlashDance es una herramienta creada por Rich Smith (un empleado del Laboratorio de Seguridad de Sistemas de Hewlett-Packard ) que se utilizó para detectar y demostrar vulnerabilidades PDoS en la Conferencia de Seguridad Aplicada EUSecWest de 2008 en Londres, Reino Unido. [81]

Ataque reflejado

Un ataque distribuido de denegación de servicio puede implicar el envío de solicitudes falsificadas de algún tipo a una gran cantidad de computadoras que responderán a las solicitudes. Al usar la suplantación de direcciones del Protocolo de Internet , la dirección de origen se establece en la de la víctima objetivo, lo que significa que todas las respuestas irán al objetivo (y lo inundarán). Esta forma de ataque reflejado a veces se denomina ataque distribuido de denegación de servicio reflexivo ( DRDoS ). [82] Los ataques de solicitud de eco ICMP ( ataques Smurf ) pueden considerarse una forma de ataque reflejado, ya que los hosts que inundan envían solicitudes de eco a las direcciones de transmisión de redes mal configuradas, lo que incita a los hosts a enviar paquetes de respuesta de eco a la víctima. Algunos de los primeros programas DDoS implementaron una forma distribuida de este ataque.

Amplificación

Los ataques de amplificación se utilizan para aumentar el ancho de banda que se envía a una víctima. Muchos servicios pueden ser explotados para actuar como reflectores, algunos más difíciles de bloquear que otros. [83] US-CERT ha observado que diferentes servicios pueden dar lugar a diferentes factores de amplificación, como se muestra en la siguiente tabla: [84]

Ataques de amplificación basados ​​en UDP
ProtocoloFactor de amplificaciónNotas
Mitel MiCollab2.200.000.000 [85]
Memcached50.000Corregido en la versión 1.5.6 [86]
Programa Nacional de Pruebas556,9Corregido en la versión 4.2.7p26 [87]
CARGA358,8
Sistema de nombres de dominiohasta 179 [88]
Pregunta del día140.3
Protocolo de red Quake63.9Corregido en la versión 71
BitTorrent4.0 - 54.3 [89]Corregido en libuTP desde 2015
CoAP10 - 50
BRAZOS33.5
SSDP30.8
Kad16.3
SNMPv26.3
Protocolo de Steam5.5
NetBIOS3.8

Los ataques de amplificación de DNS implican que un atacante envíe una solicitud de búsqueda de nombre DNS a uno o más servidores DNS públicos, falsificando la dirección IP de origen de la víctima objetivo. El atacante intenta solicitar la mayor cantidad de información posible, amplificando así la respuesta DNS que se envía a la víctima objetivo. Dado que el tamaño de la solicitud es significativamente menor que la respuesta, el atacante puede aumentar fácilmente la cantidad de tráfico dirigido al objetivo. [90] [91]

SNMP y NTP también pueden ser explotados como reflectores en un ataque de amplificación. Un ejemplo de un ataque DDoS amplificado a través del Protocolo de Tiempo de Red (NTP) es a través de un comando llamado monlist, que envía los detalles de los últimos 600 hosts que han solicitado la hora del servidor NTP de vuelta al solicitante. Una pequeña solicitud a este servidor de hora puede ser enviada usando una dirección IP de origen falsificada de alguna víctima, lo que da como resultado una respuesta 556,9 veces el tamaño de la solicitud que se envía a la víctima. Esto se amplifica cuando se utilizan botnets que envían todas las solicitudes con la misma fuente de IP falsificada, lo que dará como resultado que se envíe una cantidad masiva de datos de vuelta a la víctima. Es muy difícil defenderse contra este tipo de ataques porque los datos de respuesta provienen de servidores legítimos. Estas solicitudes de ataque también se envían a través de UDP, que no requiere una conexión al servidor. Esto significa que la IP de origen no se verifica cuando el servidor recibe una solicitud. Para generar conciencia sobre estas vulnerabilidades, se han iniciado campañas dedicadas a encontrar vectores de amplificación que han llevado a las personas a reparar sus resolvers o a apagarlos por completo. [ cita requerida ]

Red de bots Mirai

La botnet Mirai funciona utilizando un gusano informático para infectar cientos de miles de dispositivos IoT en Internet. El gusano se propaga a través de redes y sistemas tomando el control de dispositivos IoT mal protegidos, como termostatos, relojes habilitados para Wi-Fi y lavadoras. [92] El propietario o usuario generalmente no tendrá una indicación inmediata de cuándo se infecta el dispositivo. El dispositivo IoT en sí no es el objetivo directo del ataque, se utiliza como parte de un ataque más grande. [93] Una vez que el hacker ha esclavizado la cantidad deseada de dispositivos, les indica que intenten comunicarse con un ISP. En octubre de 2016, una botnet Mirai atacó a Dyn , que es el ISP de sitios como Twitter , Netflix , etc. [92] Tan pronto como esto ocurrió, todos estos sitios web quedaron inaccesibles durante varias horas.

¿Ya estás muerto? (RUDY)

El ataque RUDY ataca las aplicaciones web mediante la inactivación de sesiones disponibles en el servidor web. Al igual que Slowloris, RUDY mantiene las sesiones detenidas mediante transmisiones POST interminables y enviando un valor de encabezado de longitud de contenido arbitrariamente grande. [94]

Pánico en SACK

Un par remoto puede manipular el tamaño máximo de segmento y el reconocimiento selectivo (SACK) para provocar una denegación de servicio mediante un desbordamiento de enteros en el kernel de Linux, lo que podría provocar un pánico del kernel . [95] Jonathan Looney descubrió CVE - 2019-11477, CVE-2019-11478, CVE-2019-11479 el 17 de junio de 2019. [96]

Ataque de musaraña

El ataque shrew es un ataque de denegación de servicio al Protocolo de Control de Transmisión en el que el atacante emplea técnicas de intermediario . Explota una debilidad en el mecanismo de tiempo de espera de retransmisión de TCP, utilizando breves ráfagas sincronizadas de tráfico para interrumpir las conexiones TCP en el mismo enlace. [97]

Ataque de lectura lenta

Un ataque de lectura lenta envía solicitudes legítimas de la capa de aplicación, pero lee las respuestas muy lentamente, manteniendo las conexiones abiertas durante más tiempo con la esperanza de agotar el grupo de conexiones del servidor. La lectura lenta se logra anunciando un número muy pequeño para el tamaño de la ventana de recepción TCP y, al mismo tiempo, vaciando lentamente el búfer de recepción TCP de los clientes, lo que provoca una tasa de flujo de datos muy baja. [98]

Ataque de denegación de servicio distribuido sofisticado y de bajo ancho de banda

Un ataque DDoS sofisticado de bajo ancho de banda es una forma de DoS que utiliza menos tráfico y aumenta su efectividad al apuntar a un punto débil en el diseño del sistema de la víctima, es decir, el atacante envía tráfico que consiste en solicitudes complicadas al sistema. [99] Esencialmente, un ataque DDoS sofisticado tiene un costo menor debido a que utiliza menos tráfico, es más pequeño en tamaño, lo que lo hace más difícil de identificar, y tiene la capacidad de dañar sistemas que están protegidos por mecanismos de control de flujo. [99] [100]

inundación SYN

Una inundación SYN ocurre cuando un host envía una inundación de paquetes TCP/SYN, a menudo con una dirección de remitente falsificada. Cada uno de estos paquetes se maneja como una solicitud de conexión, lo que hace que el servidor genere una conexión semiabierta , envíe de vuelta un paquete TCP/SYN-ACK y espere un paquete de respuesta de la dirección del remitente. Sin embargo, debido a que la dirección del remitente es falsificada, la respuesta nunca llega. Estas conexiones semiabiertas agotan las conexiones disponibles que el servidor puede hacer, lo que le impide responder a solicitudes legítimas hasta que finalice el ataque. [101]

Ataques de lágrimas

Un ataque teardrop implica enviar fragmentos de IP mutilados con cargas superpuestas y de gran tamaño a la máquina de destino. Esto puede hacer que varios sistemas operativos se bloqueen debido a un error en su código de reensamblado de fragmentación TCP/IP . [102] Los sistemas operativos Windows 3.1x , Windows 95 y Windows NT , así como las versiones de Linux anteriores a las versiones 2.0.32 y 2.1.63 son vulnerables a este ataque. [b] Uno de los campos de un encabezado IP es el campo de desplazamiento del fragmento , que indica la posición inicial, o desplazamiento, de los datos contenidos en un paquete fragmentado en relación con los datos del paquete original. Si la suma del desplazamiento y el tamaño de un paquete fragmentado difiere de la del siguiente paquete fragmentado, los paquetes se superponen. Cuando esto sucede, un servidor vulnerable a ataques teardrop no puede reensamblar los paquetes, lo que da como resultado una condición de denegación de servicio. [105]

Denegación de servicio de telefonía

La voz sobre IP ha hecho que la generación abusiva de un gran número de llamadas telefónicas sea económica y fácil de automatizar, al tiempo que permite falsear el origen de las llamadas mediante la suplantación de la identidad del interlocutor . Según la Oficina Federal de Investigaciones de Estados Unidos , la denegación de servicio telefónico (TDoS) ha aparecido como parte de varios esquemas fraudulentos:

  • Un estafador se comunica con el banco o el corredor de la víctima, haciéndose pasar por la víctima, para solicitar una transferencia de fondos. El intento del banquero de comunicarse con la víctima para verificar la transferencia fracasa porque las líneas telefónicas de la víctima se inundan con llamadas falsas, lo que hace que no se pueda contactar con ella. [106]
  • Un estafador se comunica con los consumidores con una reclamación falsa para cobrar un préstamo de día de pago pendiente por miles de dólares. Cuando el consumidor se opone, el estafador toma represalias inundando al empleador de la víctima con llamadas automáticas. En algunos casos, el identificador de llamadas que se muestra se falsifica para hacerse pasar por la policía o las fuerzas del orden. [107]
  • Swatting : un estafador se comunica con los consumidores con una demanda falsa de cobro de deudas y amenaza con enviar a la policía; cuando la víctima se niega, el estafador inunda los números de la policía local con llamadas en las que se falsifica el identificador de llamadas para mostrar el número de la víctima. La policía llega pronto a la residencia de la víctima para intentar encontrar el origen de las llamadas.

El TDoS puede existir incluso sin telefonía por Internet . En el escándalo de interferencias telefónicas en las elecciones al Senado de New Hampshire de 2002 , se utilizaron teleoperadores para inundar a los oponentes políticos con llamadas falsas para bloquear los bancos de teléfonos el día de las elecciones. La publicación generalizada de un número también puede inundarlo con suficientes llamadas para dejarlo inutilizable, como ocurrió por accidente en 1981 con múltiples suscriptores del código de área +1- -867-5309 inundados por cientos de llamadas diarias en respuesta a la canción " 867-5309/Jenny ". El TDoS se diferencia de otros acosos telefónicos (como las llamadas de broma y las llamadas telefónicas obscenas ) por la cantidad de llamadas que se originan. Al ocupar las líneas continuamente con repetidas llamadas automáticas, se impide a la víctima realizar o recibir llamadas telefónicas rutinarias y de emergencia. Los exploits relacionados incluyen ataques de inundación de SMS y fax negro o transmisión continua de fax mediante el uso de un bucle de papel en el remitente.

Ataque de expiración de TTL

Se necesitan más recursos del enrutador para descartar un paquete con un valor TTL de 1 o menos que para reenviar un paquete con un valor TTL más alto. Cuando se descarta un paquete debido a la expiración del TTL, la CPU del enrutador debe generar y enviar una respuesta de tiempo excedido de ICMP . Generar muchas de estas respuestas puede sobrecargar la CPU del enrutador. [108]

Ataque UPnP

Un ataque UPnP utiliza una vulnerabilidad existente en el protocolo Universal Plug and Play (UPnP) para burlar la seguridad de la red e inundar la red y los servidores de un objetivo. El ataque se basa en una técnica de amplificación de DNS, pero el mecanismo de ataque es un enrutador UPnP que reenvía solicitudes de una fuente externa a otra. El enrutador UPnP devuelve los datos en un puerto UDP inesperado desde una dirección IP falsa, lo que dificulta la adopción de medidas sencillas para detener la inundación de tráfico. Según los investigadores de Imperva , la forma más eficaz de detener este ataque es que las empresas bloqueen los enrutadores UPnP. [109] [110]

Ataque de reflexión SSDP

En 2014, se descubrió que el Protocolo de Descubrimiento de Servicios Simples (SSDP, por sus siglas en inglés) se estaba utilizando en ataques DDoS conocidos como ataques de reflexión SSDP con amplificación . Muchos dispositivos, incluidos algunos enrutadores residenciales, tienen una vulnerabilidad en el software UPnP que permite a un atacante obtener respuestas del puerto UDP 1900 a una dirección de destino de su elección. Con una botnet de miles de dispositivos, los atacantes pueden generar tasas de paquetes suficientes y ocupar ancho de banda para saturar los enlaces, lo que provoca la denegación de servicios. [111] [112] [113] Debido a esta debilidad, la empresa de redes Cloudflare ha descrito a SSDP como el "Protocolo DDoS Estúpidamente Simple". [114]

Suplantación de ARP

La suplantación de ARP es un ataque DoS común que implica una vulnerabilidad en el protocolo ARP que permite a un atacante asociar su dirección MAC a la dirección IP de otra computadora o puerta de enlace , lo que provoca que el tráfico destinado a la IP auténtica original se redirija a la del atacante, lo que provoca una denegación de servicio.

Técnicas de defensa

Las respuestas defensivas a los ataques de denegación de servicio generalmente implican el uso de una combinación de detección de ataques, clasificación de tráfico y herramientas de respuesta, con el objetivo de bloquear el tráfico que las herramientas identifican como ilegítimo y permitir el tráfico que identifican como legítimo. [115] Una lista de herramientas de respuesta incluye lo siguiente.

Filtrado ascendente

Todo el tráfico destinado a la víctima se desvía para pasar a través de un centro de limpieza o un centro de depuración a través de varios métodos como: cambiar la dirección IP de la víctima en el sistema DNS, métodos de tunelización (GRE/VRF, MPLS, SDN), [116] proxies, conexiones cruzadas digitales o incluso circuitos directos. El centro de limpieza separa el tráfico malo (DDoS y también otros ataques comunes de Internet) y solo pasa el tráfico legítimo bueno al servidor de la víctima. [117] La ​​víctima necesita una conectividad central a Internet para utilizar este tipo de servicio a menos que se encuentre dentro de las mismas instalaciones que el centro de limpieza. Los ataques DDoS pueden saturar cualquier tipo de firewall de hardware, y pasar tráfico malicioso a través de redes grandes y maduras se vuelve cada vez más efectivo y económicamente sostenible contra los DDoS. [118]

Hardware del front-end de la aplicación

El hardware de interfaz de aplicación es un hardware inteligente que se coloca en la red antes de que el tráfico llegue a los servidores. Se puede utilizar en redes junto con enrutadores y conmutadores y como parte de la administración del ancho de banda . El hardware de interfaz de aplicación analiza los paquetes de datos a medida que ingresan a la red e identifica y descarta flujos peligrosos o sospechosos.

Indicadores clave de finalización a nivel de aplicación

Los enfoques para la detección de ataques DDoS contra aplicaciones basadas en la nube pueden basarse en un análisis de la capa de aplicación, que indica si el tráfico masivo entrante es legítimo. [119] Estos enfoques se basan principalmente en una ruta de valor identificada dentro de la aplicación y monitorean el progreso de las solicitudes en esta ruta, a través de marcadores llamados indicadores clave de finalización . [120] En esencia, estas técnicas son métodos estadísticos para evaluar el comportamiento de las solicitudes entrantes para detectar si está sucediendo algo inusual o anormal. Una analogía es con una tienda departamental de ladrillo y cemento donde los clientes pasan, en promedio, un porcentaje conocido de su tiempo en diferentes actividades, como recoger artículos y examinarlos, devolverlos, llenar una cesta, esperar para pagar, pagar e irse. Si una multitud de clientes llegara a la tienda y pasara todo su tiempo recogiendo artículos y devolviéndolos, pero nunca hiciera ninguna compra, esto podría marcarse como un comportamiento inusual.

Agujeros negros y hundimientos

Con el enrutamiento de agujero negro , todo el tráfico hacia el DNS o la dirección IP atacada se envía a un agujero negro (interfaz nula o un servidor inexistente). Para ser más eficiente y evitar afectar la conectividad de la red, puede ser administrado por el ISP. [121] Un sumidero de DNS enruta el tráfico hacia una dirección IP válida que analiza el tráfico y rechaza los paquetes defectuosos. El sumidero puede no ser eficiente para ataques severos.

Prevención basada en IPS

Los sistemas de prevención de intrusiones (IPS) son eficaces si los ataques tienen firmas asociadas a ellos. Sin embargo, la tendencia entre los ataques es tener contenido legítimo pero malas intenciones. Los sistemas de prevención de intrusiones que funcionan con reconocimiento de contenido no pueden bloquear ataques DoS basados ​​en el comportamiento. [45] Un IPS basado en ASIC puede detectar y bloquear ataques de denegación de servicio porque tiene el poder de procesamiento y la granularidad para analizar los ataques y actuar como un disyuntor de manera automática. [45]

Defensa basada en DDS

Más centrado en el problema que IPS, un sistema de defensa DoS (DDS) puede bloquear ataques DoS basados ​​en conexión y aquellos con contenido legítimo pero con malas intenciones. Un DDS también puede abordar tanto ataques de protocolo (como teardrop y ping of death) como ataques basados ​​en velocidad (como inundaciones ICMP y SYN). DDS tiene un sistema especialmente diseñado que puede identificar y obstruir fácilmente ataques de denegación de servicio a una mayor velocidad que un sistema basado en software. [122]

Cortafuegos

En el caso de un ataque simple, se puede ajustar un firewall para denegar todo el tráfico entrante de los atacantes, en función de protocolos, puertos o direcciones IP de origen. Sin embargo, los ataques más complejos serán difíciles de bloquear con reglas simples: por ejemplo, si hay un ataque en curso en el puerto 80 (servicio web), no es posible descartar todo el tráfico entrante en este puerto porque al hacerlo se impedirá que el servidor reciba y sirva tráfico legítimo. [123] Además, los firewalls pueden estar demasiado profundos en la jerarquía de la red, y los enrutadores se ven afectados negativamente antes de que el tráfico llegue al firewall. Además, muchas herramientas de seguridad aún no admiten IPv6 o pueden no estar configuradas correctamente, por lo que los firewalls pueden ser ignorados durante los ataques. [124]

Enrutadores

Al igual que los conmutadores, los enrutadores tienen algunas capacidades de limitación de velocidad y ACL . También se configuran manualmente. La mayoría de los enrutadores pueden verse fácilmente sobrecargados por un ataque DoS. Nokia SR-OS, que utiliza procesadores FP4 o FP5, ofrece protección contra DDoS. [125] Nokia SR-OS también utiliza Nokia Deepfield Defender basado en análisis de big data para la protección contra DDoS. [126] Cisco IOS tiene funciones opcionales que pueden reducir el impacto de las inundaciones. [127]

Interruptores

La mayoría de los conmutadores tienen alguna capacidad de limitación de velocidad y ACL . Algunos conmutadores proporcionan limitación de velocidad automática o de todo el sistema , modelado de tráfico , enlace retardado ( empalme TCP ), inspección profunda de paquetes y filtrado bogon (filtrado de IP falsa) para detectar y remediar ataques DoS a través del filtrado automático de velocidad y conmutación por error y equilibrio de enlaces WAN. Estos esquemas funcionarán siempre que los ataques DoS se puedan prevenir mediante su uso. Por ejemplo, la inundación SYN se puede prevenir mediante el enlace retardado o el empalme TCP. De manera similar, el DoS basado en contenido se puede prevenir mediante la inspección profunda de paquetes. Los ataques que utilizan paquetes marcianos se pueden prevenir mediante el filtrado bogon. El filtrado automático de velocidad puede funcionar siempre que los umbrales de velocidad establecidos se hayan establecido correctamente. La conmutación por error de enlaces WAN funcionará siempre que ambos enlaces tengan un mecanismo de prevención DoS. [45]

Bloqueo de puertos vulnerables

Las amenazas pueden estar asociadas a números de puerto TCP o UDP específicos. El bloqueo de estos puertos en el firewall puede mitigar el ataque. Por ejemplo, en un ataque de reflexión SSDP, la mitigación clave es bloquear el tráfico UDP entrante en el puerto 1900. [128]

Denegación de servicio involuntaria

Una denegación de servicio no intencional puede ocurrir cuando un sistema termina siendo denegado, no debido a un ataque deliberado por parte de un solo individuo o grupo de individuos, sino simplemente debido a un repentino aumento enorme en popularidad. Esto puede suceder cuando un sitio web extremadamente popular publica un enlace destacado a un segundo sitio, menos preparado, por ejemplo, como parte de una noticia. El resultado es que una proporción significativa de los usuarios habituales del sitio principal, potencialmente cientos de miles de personas, hacen clic en ese enlace en el espacio de unas pocas horas, teniendo el mismo efecto en el sitio web de destino que un ataque DDoS. Un VIPDoS es lo mismo, pero específicamente cuando el enlace fue publicado por una celebridad. Cuando Michael Jackson murió en 2009, sitios web como Google y Twitter se ralentizaron o incluso se bloquearon. [129] Los servidores de muchos sitios pensaron que las solicitudes provenían de un virus o software espía que intentaba causar un ataque de denegación de servicio, advirtiendo a los usuarios que sus consultas parecían "solicitudes automáticas de un virus informático o una aplicación de software espía". [130]

Los sitios de noticias y de enlaces (cuya función principal es proporcionar enlaces a contenido interesante en otros lugares de Internet) son los que tienen más probabilidades de provocar este fenómeno. El ejemplo canónico es el efecto Slashdot cuando se recibe tráfico de Slashdot . También se lo conoce como "el abrazo de la muerte de Reddit " [131] y "el efecto Digg ". [132]

También puede producirse una denegación de servicio involuntaria similar a través de otros medios, por ejemplo, cuando se menciona una URL en la televisión. En marzo de 2014, después de que desapareciera el vuelo 370 de Malaysia Airlines , DigitalGlobe lanzó un servicio de colaboración colectiva en el que los usuarios podían ayudar a buscar el avión desaparecido en imágenes satelitales. La respuesta abrumó los servidores de la empresa. [133] Una denegación de servicio involuntaria también puede ser resultado de un evento preprogramado creado por el propio sitio web, como fue el caso del censo en Australia en 2016. [134]

En al menos un caso de este tipo se han tomado medidas legales. En 2006, Universal Tube & Rollform Equipment Corporation demandó a YouTube : una gran cantidad de posibles usuarios de YouTube.com escribieron accidentalmente la URL de la empresa de tubos, utube.com. Como resultado, la empresa de tubos terminó teniendo que gastar grandes cantidades de dinero en actualizar su ancho de banda. [135] La empresa parece haber sacado provecho de la situación, ya que ahora utube.com contiene anuncios y recibe ingresos por publicidad.

También se sabe que los enrutadores crean ataques DoS no intencionales, ya que los enrutadores D-Link y Netgear han sobrecargado los servidores NTP al inundarlos sin respetar las restricciones de los tipos de clientes o las limitaciones geográficas.

Efectos secundarios de los ataques

Retrodispersión

En la seguridad de redes informáticas, la retrodispersión es un efecto secundario de un ataque de denegación de servicio falsificado. En este tipo de ataque, el atacante falsifica (o falsifica) la dirección de origen en los paquetes IP enviados a la víctima. En general, la máquina víctima no puede distinguir entre los paquetes falsificados y los paquetes legítimos, por lo que responde a los paquetes falsificados como lo haría normalmente. Estos paquetes de respuesta se conocen como retrodispersión. [136]

Si el atacante falsifica direcciones de origen de forma aleatoria, los paquetes de respuesta de retrodispersión de la víctima se enviarán de vuelta a destinos aleatorios. Este efecto puede ser utilizado por los telescopios de red como evidencia indirecta de tales ataques. El término análisis de retrodispersión se refiere a la observación de los paquetes de retrodispersión que llegan a una parte estadísticamente significativa del espacio de direcciones IP para determinar las características de los ataques DoS y las víctimas.

Legalidad

El FBI confiscó numerosos sitios web que ofrecían herramientas para llevar a cabo ataques DDoS en virtud de la Ley de Abuso y Fraude Informático . [137]

Muchas jurisdicciones tienen leyes que prohíben los ataques de denegación de servicio. La UNCTAD destaca que 156 países, o el 80% a nivel mundial, han promulgado leyes contra el delito cibernético para combatir su impacto generalizado. Las tasas de adopción varían según la región: en Europa, el 91% y en África, el 72%. [138]

  • En los EE. UU., los ataques de denegación de servicio pueden considerarse un delito federal según la Ley de Fraude y Abuso Informático, con sanciones que incluyen años de prisión. [139] La Sección de Delitos Informáticos y Propiedad Intelectual del Departamento de Justicia de los EE. UU. maneja casos de DoS y DDoS. En un ejemplo, en julio de 2019, Austin Thompson, también conocido como DerpTrolling , fue sentenciado a 27 meses de prisión y a una restitución de $95,000 por un tribunal federal por realizar múltiples ataques DDoS a importantes empresas de videojuegos, interrumpiendo sus sistemas desde horas hasta días. [140] [141]
  • En los países europeos, la comisión de ataques delictivos de denegación de servicio puede, como mínimo, dar lugar a un arresto. [142] El Reino Unido es inusual en el sentido de que prohibió específicamente los ataques de denegación de servicio y estableció una pena máxima de 10 años de prisión con la Ley de Policía y Justicia de 2006 , que modificó la Sección 3 de la Ley de Uso Indebido de Computadoras de 1990. [ 143]
  • En enero de 2019, Europol anunció que "se están llevando a cabo acciones en todo el mundo para rastrear a los usuarios" de Webstresser.org, un antiguo mercado de DDoS que se cerró en abril de 2018 como parte de la Operación Power Off. [144] Europol dijo que la policía del Reino Unido estaba llevando a cabo una serie de "operaciones en vivo" dirigidas a más de 250 usuarios de Webstresser y otros servicios DDoS. [145]

El 7 de enero de 2013, Anonymous publicó una petición en el sitio whitehouse.gov pidiendo que los DDoS sean reconocidos como una forma legal de protesta similar a las protestas de Occupy , afirmando que la similitud en el propósito de ambas es la misma. [146]

Véase también

Notas

  1. ^ El indicador -t en los sistemas Windows es mucho menos capaz de saturar un objetivo, además el indicador -l (tamaño) no permite enviar paquetes con un tamaño mayor a 65500 en Windows.
  2. ^ Aunque en septiembre de 2009 se hizo referencia a una vulnerabilidad en Windows Vista como un ataque teardrop , este tenía como objetivo SMB2 , que es una capa superior a los paquetes TCP que usaba teardrop). [103] [104]

Referencias

  1. ^ "Entender los ataques de denegación de servicio". US-CERT. 6 de febrero de 2013. Consultado el 26 de mayo de 2016 .
  2. ^ Elleithy, Khaled; Blagovic, Drazen; Cheng, Wang; Sideleau, Paul (1 de enero de 2005). "Técnicas de ataque de denegación de servicio: análisis, implementación y comparación". Facultad de Ciencias de la Computación e Ingeniería. Publicaciones .
  3. ^ "¿Qué es un ataque DDoS? - Significado de DDoS". Kaspersky . 13 de enero de 2021 . Consultado el 5 de septiembre de 2021 .
  4. ^ Prince, Matthew (25 de abril de 2016). "Empty DDoS Threats: Meet the Armada Collective". CloudFlare . Consultado el 18 de mayo de 2016 .
  5. ^ "El presidente de Brand.com, Mike Zammuto, revela un intento de chantaje". 5 de marzo de 2014. Archivado desde el original el 11 de marzo de 2014.
  6. ^ "Mike Zammuto de Brand.com habla sobre la extorsión en Meetup.com". 5 de marzo de 2014. Archivado desde el original el 13 de mayo de 2014.
  7. ^ Halpin, Harry (17 de diciembre de 2010). "La filosofía de Anonymous". Radicalphilosophy.com . Consultado el 10 de septiembre de 2013 .
  8. ^ "Ataques de denegación de servicio distribuidos - The Internet Protocol Journal - Volumen 7, Número 4". Cisco . Archivado desde el original el 26 de agosto de 2019 . Consultado el 26 de agosto de 2019 .
  9. ^ Smith, Steve. "5 famosas botnets que tomaron a Internet como rehén". tqaweekly . Consultado el 20 de noviembre de 2014 .
  10. ^ Cimpanu, Catalin. "Google dice que mitigó un ataque DDoS de 2,54 Tbps en 2017, el más grande conocido hasta la fecha". ZDNet . Consultado el 16 de septiembre de 2021 .
  11. ^ Goodin, Dan (5 de marzo de 2018). «Proveedor de servicios estadounidense sobrevive al mayor ataque DDoS registrado en la historia». Ars Technica . Consultado el 6 de marzo de 2018 .
  12. ^ "Amazon 'frustra el mayor ciberataque DDoS de la historia'". BBC News . 18 de junio de 2020 . Consultado el 11 de noviembre de 2020 .
  13. ^ "Cloudflare mitigó un ataque DDoS récord de 17,2 millones de RPS". SecurityWeek . 23 de agosto de 2021.
  14. ^ "Yandex atacado por la potente botnet DDoS Meris". threatpost.com . 10 de septiembre de 2021 . Consultado el 23 de diciembre de 2021 .
  15. ^ Equipo ab , Azure Network Security (21 de febrero de 2023). «Resumen de 2022: tendencias y perspectivas de los ataques DDoS». Blog de seguridad de Microsoft . Consultado el 7 de abril de 2024 .
  16. ^ "Cloudflare mitiga un ataque DDoS récord de 71 millones de solicitudes por segundo". El blog de Cloudflare . 13 de febrero de 2023 . Consultado el 13 de enero de 2024 .
  17. ^ Weatherbed, Jess (11 de julio de 2023). «El sitio de fanfiction de AO3 se vio obligado a cerrar por una ola de ataques DDoS». The Verge . Consultado el 9 de abril de 2024 .
  18. ^ "Archive of Our Own se encuentra inactivo debido a un ataque DDoS". Polygon . 10 de julio de 2023.
  19. ^ "Settimo giorno di attacchi informatici all'Italia. NoName057(16) torna alle Banche e alle Telecomunicazioni". 6 de agosto de 2023.
  20. ^ "Suiza sufre un ciberataque tras la visita del presidente de Ucrania". SWI swissinfo.ch . 17 de enero de 2024 . Consultado el 8 de abril de 2024 .
  21. ^ "HTTP/2 Rapid Reset: deconstructing the record-breaking attack" (Reinicio rápido HTTP/2: deconstrucción del ataque récord). El blog de Cloudflare . 10 de octubre de 2023. Consultado el 13 de enero de 2024 .
  22. ^ "Google mitigó el mayor ataque DDoS hasta la fecha, con un pico de más de 398 millones de rps". Blog de Google Cloud . 10 de octubre de 2023 . Consultado el 13 de enero de 2024 .
  23. ^ "Ataque DDoS sin precedentes con una velocidad de 3.150 millones de paquetes mitigado por Global Secure Layer". globalsecurelayer.com . Consultado el 28 de agosto de 2024 .
  24. ^ "Hackean Internet Archive y la filtración de datos afecta a 31 millones de usuarios". www.bleepingcomputer.com . Consultado el 10 de octubre de 2024 .
  25. ^ Davis, Wes (9 de octubre de 2024). «El Internet Archive está bajo ataque, con una filtración que revela información sobre 31 millones de cuentas». The Verge . Consultado el 10 de octubre de 2024 .
  26. ^ Boran, Marie (10 de octubre de 2024). «Los piratas informáticos afirman que el ataque a Internet Archive fue «catastrófico»». Newsweek . Consultado el 10 de octubre de 2024 .
  27. ^ ab Taghavi Zargar, Saman (noviembre de 2013). "A Survey of Defense Mechanisms Against Distributed Denial of Service (DDoS) Flooding Attacks" (PDF) . Encuestas y tutoriales de comunicaciones del IEEE. págs. 2046–2069. Archivado (PDF) desde el original el 7 de marzo de 2014. Consultado el 7 de marzo de 2014 .
  28. ^ Khalifeh, Soltanian, Mohammad Reza (10 de noviembre de 2015). Métodos teóricos y experimentales para la defensa contra ataques DDoS . Amiri, Iraj Sadegh, 1977-. Waltham, MA. ISBN 978-0128053997.OCLC 930795667  .{{cite book}}: CS1 maint: location missing publisher (link) CS1 maint: multiple names: authors list (link)
  29. ^ "¿Su sitio web ha sido mordido por un zombi?". Cloudbric. 3 de agosto de 2015. Consultado el 15 de septiembre de 2015 .
  30. ^ ab "Ataques DDoS de capa siete". Infosec Institute .
  31. ^ Raghavan, SV (2011). Una investigación sobre la detección y mitigación de ataques de denegación de servicio (DoS) . Springer. ISBN 9788132202776.
  32. ^ Goodin, Dan (28 de septiembre de 2016). "Según se informa, más de 145.000 cámaras pirateadas han realizado ataques DDoS récord". Ars Technica . Archivado desde el original el 2 de octubre de 2016.
  33. ^ Khandelwal, Swati (26 de septiembre de 2016). "El mayor ataque DDoS de 1 Tbps del mundo lanzado desde 152.000 dispositivos inteligentes pirateados". The Hacker News. Archivado desde el original el 30 de septiembre de 2016.
  34. ^ Kumar, Bhattacharyya, Dhruba; Kalita, Jugal Kumar (27 de abril de 2016). Ataques DDoS: evolución, detección, prevención, reacción y tolerancia . Boca Raton, FL. ISBN 9781498729659. OCLC  948286117.{{cite book}}: CS1 maint: location missing publisher (link) CS1 maint: multiple names: authors list (link)
  35. ^ "Imperva, Global DDoS Threat Landscape, 2019 Report" (PDF) . Imperva.com . Imperva . Archivado (PDF) del original el 9 de octubre de 2022 . Consultado el 4 de mayo de 2020 .
  36. ^ Sides, Mor; Bremler-Barr, Anat ; Rosensweig, Elisha (17 de agosto de 2015). "Ataque Yo-Yo: vulnerabilidad en el mecanismo de escalado automático". ACM SIGCOMM Computer Communication Review . 45 (4): 103–104. doi :10.1145/2829988.2790017.
  37. ^ Barr, Anat; Ben David, Ronen (2021). "Escalado automático de Kubernetes: vulnerabilidad y mitigación de ataques Yo -Yo ". Actas de la 11.ª Conferencia internacional sobre computación en la nube y ciencia de los servicios . págs. 34–44. arXiv : 2105.00542 . doi :10.5220/0010397900340044. ISBN . 978-989-758-510-4. Número de identificación del sujeto  233482002.
  38. ^ Xu, Xiaoqiong; Li, Jin; Yu, Hongfang; Luo, largo; Wei, Xuetao; Sol, pandilla (2020). "Hacia la mitigación de los ataques Yo-Yo en el mecanismo de escalado automático de la nube". Comunicaciones y Redes Digitales . 6 (3): 369–376. doi : 10.1016/j.dcan.2019.07.002 . S2CID  208093679.
  39. ^ Lee, Newton (2013). Contraterrorismo y ciberseguridad: conciencia total sobre la información . Springer. ISBN 9781461472056.
  40. ^ "Gartner afirma que el 25 por ciento de los ataques distribuidos de denegación de servicios en 2013 estarán basados ​​en aplicaciones". Gartner . 21 de febrero de 2013. Archivado desde el original el 25 de febrero de 2013 . Consultado el 28 de enero de 2014 .
  41. ^ ab Ginovsky, John (27 de enero de 2014). "Lo que debe saber sobre el empeoramiento de los ataques DDoS". ABA Banking Journal . Archivado desde el original el 9 de febrero de 2014.
  42. ^ "Informe sobre el estado de Internet en el cuarto trimestre de 2014: cifras - El blog de Akamai". blogs.akamai.com .
  43. ^ Ali, Junade (23 de noviembre de 2017). "El nuevo panorama de los ataques DDoS". Blog de Cloudflare .
  44. ^ Higgins, Kelly Jackson (17 de octubre de 2013). «Ataque DDoS utilizó un navegador «sin cabeza» en un asedio de 150 horas». Dark Reading . InformationWeek. Archivado desde el original el 22 de enero de 2014 . Consultado el 28 de enero de 2014 .
  45. ^ abcd Kiyuna y Conyers (2015). Libro de consulta sobre guerra cibernética . Lulu.com. ISBN 978-1329063945.
  46. ^ Ilascu, Ionut (21 de agosto de 2014). "38-Day Long DDoS Siege Amounts to Over 50 Petabits in Bad Traffic" (Un asedio DDoS de 38 días equivale a más de 50 petabits en tráfico peligroso). Softpedia News . Consultado el 29 de julio de 2018 .
  47. ^ Gold, Steve (21 de agosto de 2014). «Compañía de videojuegos afectada por ataque DDoS de 38 días». SC Magazine UK . Archivado desde el original el 1 de febrero de 2017. Consultado el 4 de febrero de 2016 .
  48. ^ Krebs, Brian (15 de agosto de 2015). "Prueba de estrés de los servicios Booter, financieramente". Krebs on Security . Consultado el 9 de septiembre de 2016 .
  49. ^ Mubarakali, Azath; Srinivasan, Karthik; Mukhalid, Reham; Jaganathan, Subash CB; Marina, Ninoslav (26 de enero de 2020). "Desafíos de seguridad en la Internet de las cosas: detección de ataques distribuidos de denegación de servicio utilizando sistemas expertos basados ​​en máquinas de vectores de soporte". Inteligencia Computacional . 36 (4): 1580–1592. doi :10.1111/coin.12293. ISSN  0824-7935. S2CID  214114645.
  50. ^ Befekadu, Getachew K.; Gupta, Vijay; Antsaklis, Panos J. (2015). "Control sensible al riesgo bajo estrategias de ataque de denegación de servicio (DoS) moduladas por Markov". IEEE Transactions on Automatic Control . 60 (12): 3299–3304. doi :10.1109/TAC.2015.2416926. S2CID  9510043 . Consultado el 19 de octubre de 2023 .
  51. ^ McDowell, Mindi (4 de noviembre de 2009). "Consejo de seguridad cibernética ST04-015: comprensión de los ataques de denegación de servicio". Equipo de preparación para emergencias informáticas de los Estados Unidos . Archivado desde el original el 4 de noviembre de 2013. Consultado el 11 de diciembre de 2013 .
  52. ^ ab Dittrich, David (31 de diciembre de 1999). «La herramienta de ataque de denegación de servicio distribuido «stachelraht»». Universidad de Washington. Archivado desde el original el 16 de agosto de 2000. Consultado el 11 de diciembre de 2013 .
  53. ^ Cambiaso, Enrico; Papaleo, Gianluca; Chiola, Giovanni; Aiello, Maurizio (2015). "Diseño y modelado del siguiente ataque DoS lento". Conferencia sobre inteligencia computacional en seguridad para sistemas de información (CISIS 2015) . 249-259. Springer.
  54. ^ "Amazon CloudWatch". Servicios web de Amazon, Inc.
  55. ^ Enciclopedia de tecnología de la información . Atlantic Publishers & Distributors. 2007. pág. 397. ISBN 978-81-269-0752-6.
  56. ^ Schwabach, Aaron (2006). Internet y el derecho . ABC-CLIO. pág. 325. ISBN 978-1-85109-731-9.
  57. ^ Lu, Xicheng; Wei Zhao (2005). Redes y Computación Móvil . Birkhäuser. pag. 424.ISBN 978-3-540-28102-3.
  58. ^ Boyle, Phillip (2000). "SANS Institute – Preguntas frecuentes sobre detección de intrusiones: herramientas de ataque distribuido de denegación de servicio: n/a". SANS Institute. Archivado desde el original el 15 de mayo de 2008. Consultado el 2 de mayo de 2008 .
  59. ^ Leyden, John (23 de septiembre de 2004). «Firma de tarjetas de crédito estadounidense lucha contra ataque DDoS». The Register . Consultado el 2 de diciembre de 2011 .
  60. ^ Swati Khandelwal (23 de octubre de 2015). "Hackeo de cámaras de CCTV para lanzar ataques DDoS". The Hacker News .
  61. ^ Zeifman, Igal; Gayer, Ofer; Wilder, Or (21 de octubre de 2015). "Botnet de DDoS para CCTV en nuestro propio patio trasero". incapsula.com .
  62. ^ Glenn Greenwald (15 de julio de 2014). "PIRATERÍA EN LAS ENCUESTAS ONLINE Y OTRAS FORMAS EN LAS QUE LOS ESPÍAS BRITÁNICOS BUSCAN CONTROLAR INTERNET". The Intercept_ . Consultado el 25 de diciembre de 2015 .
  63. ^ "¿Quién está detrás de los ataques DDoS y cómo puede proteger su sitio web?". Cloudbric. 10 de septiembre de 2015. Consultado el 15 de septiembre de 2015 .
  64. ^ Solon, Olivia (9 de septiembre de 2015). "Los ciberextorsionadores que atacan al sector financiero exigen rescates en bitcoins". Bloomberg . Consultado el 15 de septiembre de 2015 .
  65. ^ Greenberg, Adam (14 de septiembre de 2015). «Akamai advierte de una mayor actividad de un grupo de extorsión DDoS». Revista SC . Consultado el 15 de septiembre de 2015 .
  66. ^ "OWASP Plan - Strawman - Layer_7_DDOS.pdf" (PDF) . Proyecto de seguridad de aplicaciones web abiertas . 18 de marzo de 2014. Archivado (PDF) del original el 9 de octubre de 2022 . Consultado el 18 de marzo de 2014 .
  67. ^ "Herramienta de publicación HTTP de OWASP". Archivado desde el original el 21 de diciembre de 2010.
  68. ^ "¿Qué es un ataque CC?". HUAWEI CLOUD: crece con inteligencia . Archivado desde el original el 5 de marzo de 2019. Consultado el 5 de marzo de 2019 .
  69. ^ 刘鹏; 郭洋. «Método, dispositivo y sistema de defensa contra ataques CC (challenge collapsar)». Patentes de Google . Archivado desde el original el 5 de marzo de 2019. Consultado el 5 de marzo de 2018 .
  70. ^ 曾宪力; 史伟; 关志来; 彭国柱. "Método y dispositivo de protección contra ataques CC (Challenge Collapsar)". Patentes de Google . Archivado desde el original el 5 de marzo de 2019 . Consultado el 5 de marzo de 2018 .
  71. ^ "史上最臭名昭著的黑客工具 CC的前世今生". NetEase (en chino simplificado). 驱动中国网(北京). 24 de julio de 2014. Archivado desde el original el 5 de marzo de 2019 . Consultado el 5 de marzo de 2019 .
  72. ^ Sun, Fei Xian (2011). "Modelo de evaluación de riesgos basado en la teoría del peligro para ataques de pitufos". Materiales de ingeniería clave . 467–469: 515–521. doi :10.4028/www.scientific.net/KEM.467-469.515. ISSN  1662-9795. S2CID  110045205.
  73. ^ "Tipos de ataques DDoS". Recursos sobre ataques de denegación de servicio distribuidos (DDoS), Pervasive Technology Labs de la Universidad de Indiana . Advanced Networking Management Lab (ANML). 3 de diciembre de 2009. Archivado desde el original el 14 de septiembre de 2010. Consultado el 11 de diciembre de 2013 .
  74. ^ ab "¿Qué es un arma nuclear? | Radware — DDoSPedia". security.radware.com . Consultado el 16 de septiembre de 2019 .
  75. ^ Paul Sop (mayo de 2007). «Prolexic Distributed Denial of Service Attack Alert». Prolexic Technologies Inc. Archivado desde el original el 3 de agosto de 2007. Consultado el 22 de agosto de 2007 .
  76. ^ Robert Lemos (mayo de 2007). «Redes peer-to-peer cooptadas para ataques DOS». SecurityFocus. Archivado desde el original el 24 de septiembre de 2015. Consultado el 22 de agosto de 2007 .
  77. ^ Fredrik Ullner (mayo de 2007). "Denegación de ataques distribuidos". DC++: Just These Guys, Ya Know? . Consultado el 22 de agosto de 2007 .
  78. ^ Leyden, John (21 de mayo de 2008). "Ataque de phlashing arrasa con sistemas integrados". The Register . Consultado el 7 de marzo de 2009 .
  79. ^ Jackson Higgins, Kelly (19 de mayo de 2008). "Ataque de denegación de servicio permanente sabotea el hardware". Dark Reading. Archivado desde el original el 8 de diciembre de 2008.
  80. ^ ""BrickerBot" provoca un ataque PDoS". Radware . 4 de mayo de 2017 . Consultado el 22 de enero de 2019 .
  81. ^ "Conferencia sobre seguridad aplicada EUSecWest: Londres, Reino Unido" EUSecWest. 2008. Archivado desde el original el 1 de febrero de 2009.
  82. ^ Rossow, Christian (febrero de 2014). "Amplification Hell: Revisiting Network Protocols for DDoS Abuse" (PDF) . Internet Society. Archivado desde el original (PDF) el 4 de marzo de 2016. Consultado el 4 de febrero de 2016 .
  83. ^ Paxson, Vern (2001). "Análisis del uso de reflectores para ataques distribuidos de denegación de servicio". ICIR.org.
  84. ^ "Alerta (TA14-017A) Ataques de amplificación basados ​​en UDP". US-CERT. 8 de julio de 2014. Consultado el 8 de julio de 2014 .
  85. ^ "CVE-2022-26143: Una vulnerabilidad de día cero para lanzar ataques DDoS de amplificación de UDP". Blog de Cloudflare . 8 de marzo de 2022 . Consultado el 16 de marzo de 2022 .
  86. ^ "Notas de la versión de Memcached 1.5.6". GitHub . 27 de febrero de 2018 . Consultado el 3 de marzo de 2018 .
  87. ^ "Ataque de amplificación/DRDoS con el comando ntpdc monlist". support.ntp.org. 24 de abril de 2010. Consultado el 13 de abril de 2014 .
  88. ^ van Rijswijk-Deij, Roland (2014). "DNSSEC y su potencial para ataques DDoS: un estudio de medición exhaustivo". Actas de la Conferencia de 2014 sobre medición de Internet. ACM Press. págs. 449–460. doi :10.1145/2663716.2663731. ISBN 9781450332132.S2CID2094604  .
  89. ^ Adamsky, Florian (2015). "Intercambio de archivos P2P en el infierno: explotación de vulnerabilidades de BitTorrent para lanzar ataques DoS distribuidos y reflexivos".
  90. ^ Vaughn, Randal; Evron, Gadi (2006). "Ataques de amplificación de DNS" (PDF) . ISOTF. Archivado desde el original (PDF) el 14 de diciembre de 2010.
  91. ^ "Alerta (TA13-088A) Ataques de amplificación de DNS". US-CERT. 8 de julio de 2013. Consultado el 17 de julio de 2013 .
  92. ^ ab Kolias, Constantinos; Kambourakis, Georgios; Stavrou, Angelos; Voas, Jeffrey (2017). "DDoS en el IoT: Mirai y otras botnets". Computer . 50 (7): 80–84. doi :10.1109/MC.2017.201. S2CID  35958086.
  93. ^ Kuzmanovic, Aleksandar; Knightly, Edward W. (25 de agosto de 2003). "Ataques de denegación de servicio dirigidos a TCP de baja tasa: la musaraña frente a los ratones y los elefantes". Actas de la conferencia de 2003 sobre aplicaciones, tecnologías, arquitecturas y protocolos para comunicaciones informáticas . ACM. págs. 75–86. CiteSeerX 10.1.1.307.4107 . doi :10.1145/863955.863966. ISBN.  978-1581137354.S2CID173992197  .
  94. ^ "Ru-dead-yet". 8 de septiembre de 2016.[ Se necesita una fuente no primaria ]
  95. ^ "SACK Panic y otros problemas de denegación de servicio TCP". Wiki de Ubuntu . 17 de junio de 2019. Archivado desde el original el 19 de junio de 2019. Consultado el 21 de junio de 2019 .
  96. ^ "CVE-2019-11479". CVE . Archivado desde el original el 21 de junio de 2019 . Consultado el 21 de junio de 2019 .
  97. ^ Yu Chen; Kai Hwang; Yu-Kwong Kwok (2005). "Filtrado de ataques DDoS de tipo shrew en el dominio de frecuencia". 30.º aniversario de la Conferencia IEEE sobre redes informáticas locales (LCN'05)l . pp. 8 págs. doi :10.1109/LCN.2005.70. hdl :10722/45910. ISBN 978-0-7695-2421-4.S2CID 406686  .
  98. ^ "¿Qué es un ataque DDoS de lectura lenta?". NetScout Systems .
  99. ^ ab Ben-Porat, U.; Bremler-Barr, A.; Levy, H. (1 de mayo de 2013). "Vulnerabilidad de los mecanismos de red a ataques DDoS sofisticados". IEEE Transactions on Computers . 62 (5): 1031–1043. doi :10.1109/TC.2012.49. ISSN  0018-9340. S2CID  26395831.
  100. ^ orbitalsatelite (8 de septiembre de 2016). "Prueba de HTTP lento". SourceForge .
  101. ^ Eddy, Wesley (agosto de 2007). "Ataques de inundación TCP SYN y mitigaciones comunes". Tools.ietf.org . doi : 10.17487/RFC4987 . RFC 4987 . Consultado el 2 de diciembre de 2011 . 
  102. ^ "CERT Advisory CA-1997-28 IP Denial-of-Service Attacks" (Aviso CERT CA-1997-28 sobre ataques de denegación de servicio de IP). CERT. 1998. Consultado el 18 de julio de 2014 .
  103. ^ "Windows 7 y Vista expuestos a un 'ataque de lágrima'". ZDNet . 8 de septiembre de 2009. Archivado desde el original el 6 de noviembre de 2010 . Consultado el 11 de diciembre de 2013 .
  104. ^ "Microsoft Security Advisory (975497): Vulnerabilidades en SMB podrían permitir la ejecución remota de código". Microsoft.com. 8 de septiembre de 2009. Consultado el 2 de diciembre de 2011 .
  105. ^ Bhardwaj, Akashdeep (12 de junio de 2023), "Soluciones para ataques DDoS en entornos de nube", Mitigación de amenazas cibernéticas de nueva generación para redes de computación en la nube , BENTHAM SCIENCE PUBLISHERS, págs. 42-55, doi : 10.2174/9789815136111123010006, ISBN 978-981-5136-11-1, consultado el 9 de febrero de 2024
  106. ^ "FBI — Llamadas telefónicas falsas distraen a los consumidores de robos genuinos". FBI.gov. 11 de mayo de 2010. Consultado el 10 de septiembre de 2013 .
  107. ^ "Alertas de estafas del Centro de denuncias de delitos en Internet (IC3) del 7 de enero de 2013". IC3.gov . 7 de enero de 2013 . Consultado el 10 de septiembre de 2013 .
  108. ^ "Identificación y mitigación de ataques por expiración de TTL". Cisco Systems . Consultado el 24 de mayo de 2019 .
  109. ^ "Nuevo método de ataque DDoS aprovecha UPnP". Dark Reading . Consultado el 29 de mayo de 2018 .
  110. ^ "El nuevo método de ataque DDoS exige un nuevo enfoque para mitigar los ataques de amplificación – Blog | Imperva". Blog | Imperva . 14 de mayo de 2018 . Consultado el 29 de mayo de 2018 .
  111. ^ "Centro de análisis e intercambio de información entre varios estados". CIS .
  112. ^ "Ataques de amplificación basados ​​en UDP". 18 de diciembre de 2019.
  113. ^ "El protocolo SSDP (Stupidly Simple DDoS Protocol) genera ataques DDoS de 100 Gbps". El blog de Cloudflare . 28 de junio de 2017.
  114. ^ "El protocolo SSDP genera ataques DDoS de 100 Gbps". El blog de Cloudflare . 28 de junio de 2017 . Consultado el 13 de octubre de 2019 .
  115. ^ Loukas, G.; Oke, G. (septiembre de 2010). "Protection Against Denial of Service Attacks: A Survey" (PDF) . Comput. J. 53 (7): 1020–1037. doi :10.1093/comjnl/bxp078. Archivado desde el original (PDF) el 24 de marzo de 2012 . Consultado el 2 de diciembre de 2015 .
  116. ^ "MPLS-Based Synchronous Traffic Shunt (NANOG28)". Riverhead Networks, Cisco, Colt Telecom . NANOG28. 3 de enero de 2003. Archivado desde el original el 15 de mayo de 2021. Consultado el 10 de enero de 2003 .{{cite web}}: CS1 maint: bot: original URL status unknown (link)
  117. ^ "Técnicas de desvío y filtrado para derrotar ataques DDoS". Cisco, Riverhead Networks . NANOG23. 23 de octubre de 2001. Archivado desde el original el 15 de mayo de 2021. Consultado el 30 de octubre de 2001 .{{cite web}}: CS1 maint: bot: original URL status unknown (link)
  118. ^ "Mitigación de ataques DDoS mediante centros regionales de limpieza (enero de 2004)" (PDF) . SprintLabs.com . Sprint ATL Research. Archivado desde el original (PDF) el 21 de septiembre de 2008 . Consultado el 2 de diciembre de 2011 .
  119. ^ Alqahtani, S.; Gamble, RF (1 de enero de 2015). "Ataques DDoS en nubes de servicios". 2015 48th Hawaii International Conference on System Sciences . págs. 5331–5340. doi :10.1109/HICSS.2015.627. ISBN 978-1-4799-7367-5. Número de identificación del sujeto  32238160.
  120. ^ Kousiouris, George (2014). "INDICADORES CLAVE DE COMPLETACIÓN: minimización del efecto de los ataques DoS en aplicaciones elásticas basadas en la nube basadas en puntos de control de cadena de Markov a nivel de aplicación". Conferencia CLOSER . pp. 622–628. doi :10.5220/0004963006220628. ISBN . 978-989-758-019-2.
  121. ^ Patrikakis, C.; Masikos, M.; Zouraraki, O. (diciembre de 2004). "Ataques distribuidos de denegación de servicio". La revista del protocolo de Internet . 7 (4): 13–35. Archivado desde el original el 27 de diciembre de 2015 . Consultado el 13 de enero de 2010 .
  122. ^ Popeskic, Valter (16 de octubre de 2012). "¿Cómo prevenir o detener los ataques DoS?".
  123. ^ Froutan, Paul (24 de junio de 2004). «Cómo defenderse de los ataques DDoS». Computerworld . Archivado desde el original el 2 de julio de 2014. Consultado el 15 de mayo de 2010 .
  124. ^ "Las preocupaciones por la vulnerabilidad de la ciberseguridad se disparan". ComputerWeekly.com . Consultado el 13 de agosto de 2018 .
  125. ^ "Tecnología de procesador de red FP" . Consultado el 15 de junio de 2024 .
  126. ^ Defensor de Nokia Deepfield
  127. ^ Suzen, Mehmet. "Algunos consejos de IoS para proveedores de servicios de Internet" (PDF) . Archivado desde el original (PDF) el 10 de septiembre de 2008.
  128. ^ "Ataque DDoS SSDP | Cloudflare".
  129. ^ Shiels, Maggie (26 de junio de 2009). "La web se ralentiza tras la muerte de Jackson". BBC News .
  130. ^ "Lo sentimos. Error en la consulta automatizada". Foros de productos de Google › Foro de búsqueda de Google . 20 de octubre de 2009 . Consultado el 11 de febrero de 2012 .
  131. ^ "Historia de un abrazo mortal en Reddit y lecciones aprendidas" . Consultado el 24 de septiembre de 2024 .
  132. ^ Plocek, Keith. "El efecto Digg v4". Social Keith. Archivado desde el original el 22 de octubre de 2010. Consultado el 20 de octubre de 2010 .
  133. ^ Bill Chappell (12 de marzo de 2014). "La gente sobrecarga el sitio web con la esperanza de ayudar a buscar el avión desaparecido". NPR . Consultado el 4 de febrero de 2016 .
  134. ^ Palmer, Daniel (19 de agosto de 2016). "Expertos ponen en duda las afirmaciones sobre ataques DDoS en el censo". Delimiter . Consultado el 31 de enero de 2018 .
  135. ^ "YouTube demandado por un sitio que suena parecido". BBC News . 2 de noviembre de 2006.
  136. ^ "Análisis de retrodispersión (2001)". Animaciones (vídeo). Asociación cooperativa para el análisis de datos de Internet . Consultado el 11 de diciembre de 2013 .
  137. ^ "El FBI incauta 15 sitios web de ataques DDoS por encargo". Kotaku . 6 de enero de 2019.
  138. ^ "Legislación sobre delitos cibernéticos en todo el mundo | UNCTAD". unctad.org . Consultado el 8 de abril de 2024 .
  139. ^ "Código de los Estados Unidos: Título 18,1030. Fraude y actividades relacionadas con computadoras | Oficina de Imprenta del Gobierno". gpo.gov. 25 de octubre de 2002. Consultado el 15 de enero de 2014 .
  140. ^ "Hombre de Utah sentenciado por piratería informática". 2 de julio de 2019. Archivado desde el original el 10 de julio de 2019.
  141. ^ Smolaks, Max (4 de julio de 2019). "Get rekt: Two years in clink for game-busting DDoS brat DerpTrolling". The Register . Consultado el 27 de septiembre de 2019 . Austin Thompson, también conocido como DerpTrolling, que saltó a la fama en 2013 al lanzar ataques de denegación de servicio distribuido (DDoS) contra importantes compañías de videojuegos, ha sido sentenciado a 27 meses de prisión por un tribunal federal. Thompson, residente de Utah, también tendrá que pagar 95.000 dólares a Daybreak Games, que era propiedad de Sony cuando sufrió los efectos de DerpTrolling. Entre diciembre de 2013 y enero de 2014, Thompson también derribó Steam de Valve (la plataforma de distribución digital más grande para juegos de PC), así como el servicio Origin de Electronic Arts y BattleNet de Blizzard. La interrupción duró desde horas hasta días.
  142. ^ "Acción internacional contra el grupo cibercriminal DD4BC". EUROPOL . 12 de enero de 2016.
  143. ^ "Ley de 1990 sobre uso indebido de ordenadores". Legislación.gov.uk — Archivos Nacionales del Reino Unido . 10 de enero de 2008.
  144. ^ "Sala de prensa". Europol . Consultado el 29 de enero de 2019 .
  145. ^ "Las autoridades de todo el mundo persiguen a los usuarios del mayor sitio web de ataques DDoS por encargo". Europol . Consultado el 29 de enero de 2019 .
  146. ^ "Petición anónima contra ataques DDoS: un grupo pide a la Casa Blanca que reconozca la denegación de servicio distribuida como una protesta". HuffingtonPost.com. 12 de enero de 2013.

Lectura adicional

  • Ethan Zuckerman; Hal Roberts; Ryan McGrady; Jillian York; John Palfrey (diciembre de 2011). "Ataques distribuidos de denegación de servicio contra medios independientes y sitios de derechos humanos" (PDF) . The Berkman Center for Internet & Society de la Universidad de Harvard. Archivado desde el original (PDF) el 26 de febrero de 2011. Consultado el 2 de marzo de 2011 .
  • "Informes de medios públicos sobre ataques DDOS". Harvard. Archivado desde el original el 25 de diciembre de 2010.
  • PC World - Los ataques DDoS en la capa de aplicación son cada vez más sofisticados
  •  Consideraciones sobre denegación de servicio en Internet según RFC 4732
  • Informe sobre el estado de la seguridad en Internet de Akamai: estadísticas trimestrales sobre tendencias de seguridad e Internet
  • W3C Preguntas frecuentes sobre seguridad en la World Wide Web
  • Guía de CERT sobre ataques DoS (documento histórico)
  • Informe resumido ATLAS: informe global en tiempo real de ataques DDoS.
  • Cañón de iones de órbita baja: la conocida herramienta de pruebas de estrés de red
  • Cañón de iones de órbita alta: un simple inundador HTTP
  • LOIC SLOW Un intento de incorporar SlowLoris y Slow Network Tools en LOIC
Retrieved from "https://en.wikipedia.org/w/index.php?title=Denial-of-service_attack&oldid=1253924195#Distributed_DoS"