¿Qué es un ataque DDoS?
Un
ataque DDoS(Distributed Denial of Service) es un caso particular de
DoS(Denial of Service). Un ataque DoS consiste en, como su nombre
indica, negar un servicio, es decir, yo de algún modo bloqueo el acceso a
clientes legítimos a un servicio como puede ser un correo electrónico,
una página web, u otro servicio de internet.
Nótese
que las formas de lograr esto son de lo más variopintas, puede
consistir en bloquear la electricidad de un distrito ya que sin
electricidad no hay internet. Cortar las comunicaciones. Deshabilitar el
servidor DNS de una página web etc… Sin embargo la forma más popular de
DoS consiste en, de forma legítima, bloquear el contenido destinado a
el resto de usuarios de la red a base de hacer muchas peticiones del
servicio en cuestión.
Un servidor a la hora
de prestar un servicio está preparado para prestar servicio a un número
determinado de peticiones/segundo. Lo lógico es que haya momentos del
día en los que la tasa de peticiones recibidas sea mayor que la tasa de
servicio que puede ofrecer(Esto es así en todos los servidores y
servicios normales) Y entonces lo que se hace es que se ponen las
peticiones en una cola de espera, y lo que hace el servidor en este caso
sería extraer peticiones de la lista de espera y atenderlas
apropiadamente.
Es importante notar que la
capacidad de esta cola es finita y generalmente no es excesivamente
grande, por lo que si la cola de espera está llena y llega una petición
más, esta no podrá ser atendida, pero tampoco cabe en la cola de espera
ya que no queda memoria, por lo tanto la petición se rechaza y el
dispositivo que la ha hecho será notificada, pudiendo hacer la petición
de nuevo o no.
Ahora pongámonos en la piel
de un atacante malintencionado. Si yo soy capaz de lanzar enormes
cantidades de peticiones, muchas mas que la tasa de servicio del
servidor, me estoy asegurando de que la cola de mensajes se está
llenando. Si hago esto durante un rato largo, la probabilidad de que
haya un mensaje en la cola de espera que no sea mio es muy pequeña. Es
decir, he conseguido que el servidor en cuestión esté dedicado
prácticamente en su totalidad a atenderme a mí. Por lo explicado con
anterioridad, el resto de peticiones de otras personas que quieran
acceder al servicio serán rechazadas, y por lo tanto habremos triunfado
en el ataque ya que no podrán acceder al servicio.
DDoS
es simplemente realizar este ataque desde muchos equipos en vez de uno.
Este ataque es mucho más difícil de bloquear ya que si un único
atacante envía muchas peticiones a un servidor, es fácil detectarlo ya
que todas las peticiones malintencionadas tienen la misma IP Pública y
se puede bloquear fácilmente con un firewall. Sin embargo si miles de
equipos se ponen de acuerdo para realizar este ataque, la tasa de
peticiones que tiene que enviar cada uno es mucho menor que en el caso
de DoS, por lo que es más difícil detectar un flujo de tráfico anómalo.
Además teniendo en cuenta que si se bloquea un equipo de ataque en un
DDoS de 1.000 quedan aún 999 equipos realizando el ataque y el impacto
en paliar el ataque es mínimo.
Para realizar
estos ataques existen herramientas específicas para ello como puede ser
LOIC(Low Orbit Ion Cannon) la cual es específica para DoS. Esta fue
especialmente popular desde que se lanzó ya que las cibercomunidades se
ponían de acuerdo para realizar un DDoS en conjunto. Sin embargo los
ataques DDoS suelen ser no voluntarios, si una persona es capaz de
infectar equipos con un pequeño virus que bajo demanda hace peticiones
de internet a una página es muy difícil detectar dicho virus y sin
darnos cuenta de la infección un Hacker puede estar aprovechándose de
nuestra IP Pública para sus beneficios. Esto se consigue mediante
botnets.
Los ataques DoS y DDoS se han
contemplado ya en muchos paises como un modo legítimo de protesta y de
huelga, mientras que en otros está tremendamente penado por la ley.
Un
ataque DDoS(Distributed Denial of Service) es un caso particular de
DoS(Denial of Service). Un ataque DoS consiste en, como su nombre
indica, negar un servicio, es decir, yo de algún modo bloqueo el acceso a
clientes legítimos a un servicio como puede ser un correo electrónico,
una página web, u otro servicio de internet.
Nótese
que las formas de lograr esto son de lo más variopintas, puede
consistir en bloquear la electricidad de un distrito ya que sin
electricidad no hay internet. Cortar las comunicaciones. Deshabilitar el
servidor DNS de una página web etc… Sin embargo la forma más popular de
DoS consiste en, de forma legítima, bloquear el contenido destinado a
el resto de usuarios de la red a base de hacer muchas peticiones del
servicio en cuestión.
Un servidor a la hora
de prestar un servicio está preparado para prestar servicio a un número
determinado de peticiones/segundo. Lo lógico es que haya momentos del
día en los que la tasa de peticiones recibidas sea mayor que la tasa de
servicio que puede ofrecer(Esto es así en todos los servidores y
servicios normales) Y entonces lo que se hace es que se ponen las
peticiones en una cola de espera, y lo que hace el servidor en este caso
sería extraer peticiones de la lista de espera y atenderlas
apropiadamente.
Es importante notar que la
capacidad de esta cola es finita y generalmente no es excesivamente
grande, por lo que si la cola de espera está llena y llega una petición
más, esta no podrá ser atendida, pero tampoco cabe en la cola de espera
ya que no queda memoria, por lo tanto la petición se rechaza y el
dispositivo que la ha hecho será notificada, pudiendo hacer la petición
de nuevo o no.
Ahora pongámonos en la piel
de un atacante malintencionado. Si yo soy capaz de lanzar enormes
cantidades de peticiones, muchas mas que la tasa de servicio del
servidor, me estoy asegurando de que la cola de mensajes se está
llenando. Si hago esto durante un rato largo, la probabilidad de que
haya un mensaje en la cola de espera que no sea mio es muy pequeña. Es
decir, he conseguido que el servidor en cuestión esté dedicado
prácticamente en su totalidad a atenderme a mí. Por lo explicado con
anterioridad, el resto de peticiones de otras personas que quieran
acceder al servicio serán rechazadas, y por lo tanto habremos triunfado
en el ataque ya que no podrán acceder al servicio.
DDoS
es simplemente realizar este ataque desde muchos equipos en vez de uno.
Este ataque es mucho más difícil de bloquear ya que si un único
atacante envía muchas peticiones a un servidor, es fácil detectarlo ya
que todas las peticiones malintencionadas tienen la misma IP Pública y
se puede bloquear fácilmente con un firewall. Sin embargo si miles de
equipos se ponen de acuerdo para realizar este ataque, la tasa de
peticiones que tiene que enviar cada uno es mucho menor que en el caso
de DoS, por lo que es más difícil detectar un flujo de tráfico anómalo.
Además teniendo en cuenta que si se bloquea un equipo de ataque en un
DDoS de 1.000 quedan aún 999 equipos realizando el ataque y el impacto
en paliar el ataque es mínimo.
Para realizar
estos ataques existen herramientas específicas para ello como puede ser
LOIC(Low Orbit Ion Cannon) la cual es específica para DoS. Esta fue
especialmente popular desde que se lanzó ya que las cibercomunidades se
ponían de acuerdo para realizar un DDoS en conjunto. Sin embargo los
ataques DDoS suelen ser no voluntarios, si una persona es capaz de
infectar equipos con un pequeño virus que bajo demanda hace peticiones
de internet a una página es muy difícil detectar dicho virus y sin
darnos cuenta de la infección un Hacker puede estar aprovechándose de
nuestra IP Pública para sus beneficios. Esto se consigue mediante
botnets.
Los ataques DoS y DDoS se han
contemplado ya en muchos paises como un modo legítimo de protesta y de
huelga, mientras que en otros está tremendamente penado por la ley.
No hay comentarios:
Publicar un comentario