Amenazas potenciales

UNIDAD II

Denegacion de Servicio

Ataques de denegacin de servici simple (Deny of Service)

Se caracterizan por tener un nico origen desde el cual se realiza la

denegacin de servicio.

Ataques de denegacin de servicio distribuido (Distributed DOS o DDOS)

Se utilizan varias fuentes coordinadas que pueden realizar un ataque

progresivo, rotatorio o total.

En la dcada de los noventa, los ataques clsicos de un hacker era

conseguir el numero de telfono de un modem conectado a un
ordenador.

Los protocolos que gobiernan Internet: IP, TCP, UDP, ICMP, permiten que
a mediados de los noventa se empiecen a registrar los primeros ataques
por red (1995/1996)

Estos ataques se utilizaron en las guerras de IRC dnde el objetivo era

desconectar al contrincante para conseguir el puesto de operador de un
canal.

1997 aparece la primera herramienta efectiva para la realizacin de

ataques de denegacin de servicio (TRIN00).

Posteriormente aparecen cientos de derivados y mejoras de esta herramienta

(1998 TFN, 1999 TFN2K).

La evolucin de estas herramientas de denegacin de servicio va ligada

al desarrollo de Internet.

Los ataques combinados o distribuidos empiezan a parecer a finales del

2000 y en la actualidad son los preferidos por los hakers.

Orgenes de los ataques DOS/DDOS

Usuarios legtimos o internos: se subdivide en aquellos usuarios poco

cuidadosos que colapsan el sistema o servicio inconscientes.

Ejemplo:

Personas que llenan el disco duro del sistema bajo archivos de msica

Usuarios malintencionados (aquellos que aprovechan sus acceso para causar

problemas de forma premeditada)

Usuarios ladrones que utilizan su acceso de un usuario legtimo (ya sea robndolo del
usuario o aprovechndose de la confianza de este)

Agentes externos: hace referencia a los no usuarios del sistema. De esta

forma se consigue acceso al recurso o servicio sin necesidad de ser un
usuario legitimo

En este grupo usualmente se falsea la direccin de origen (faked/spoofed IP)

con el propsito de evitar el origen real del ataque.

La peligrosidad de este tipo de ataques por red viene dada por su

independencia de plataforma hardware o sistema operativo.

El protocolo IP permite una comunicacin homognea (independiente del

tipo de ordenador o fabricante) a travs de espacios heterogneos (redes
ETHERNET, ATM...), un ataque exitoso contra el protocolo IP se convierte
inmediatamente en una amenaza real para todos los ordenadores
conectados a Internet.

Denegacin de Servicio (Deny Of Service, DOS)

Ataque de denegacin de servicio (DOS Attack) como la apropiacin

exclusiva de un recurso o servicio con la intencin de evitar cualquier
acceso de terceros. Tambin se incluyen en esta definicin los ataques
destinados a colapsar un recurso o sistema con la intencin de destruir el
servicio o recurso [WWW45].

El ataque de IP Flooding (inundacin de paquetes IP) se realiza

habitualmente en redes locales o en conexiones con un gran ancho de
banda disponible.

Consiste en la generacin de trfico espurio con el objetivo de conseguir la

degradacin del servicio de red. De esta forma, el atacante consigue un gran
consumo del ancho de banda disponible ralentizando las comunicaciones
existentes en toda la red.

Se da principalmente en redes locales dnde el control de acceso al medio es

nulo y cualquier mquina puede enviar/recibir sin ningn tipo de limitacin en
el ancho de banda consumido.

El trafico generado puede ser:

Aleatorio: Cuando la direccin de origen o destino del paquete IP es

ficticia o falsa. Este tipo de ataque es el ms bsico y simplemente busca
degradar el servicio de comunicacin del segmento de red dnde el
ordenador responsable del ataque est conectado.

Definido o dirigido: Cuando la direccin de origen, destino (o ambas) es

la de la mquina que recibe el ataque. El objetivo de este ataque es
doble, ya que adems del colapso del servicio de red dnde el atacante
genera los paquetes IP busca colapsar un ordenador destino, ya sea
reduciendo el ancho de banda disponible para que siga ofreciendo el
servicio o colapsar el servicio ante una gran cantidad de peticiones que
el servidor ser incapaz de procesar.

Introduccin a los ataques DDoS

Un ataque de Denegacin de Servicio Distribuido (DdoS) es

un tipo especial de ataque DoS en el que se utilizan varios
equipos para realizar un ataque coordinado contra una mquina.
En este tipo de ataque se suelen utilizar mquinas denominadas
Zombies que el atacante consigue controlar gracias a algn tipo
de malware.

Al conjunto de mquinas Zombies que controla un atacante se las

suele denominar BotNets.

Introduccin a los ataques DDoS

Existen multitud de herramientas de DdoS conocidas, algunas de

las ms importantes son:

Trinoo: Primera herramienta conocida de este tipo.

TFN y TFN2K: ICMP Flood, SYN Flood, UDP Flood.
Stacheldraht: ICMP Flood, SYN Flood, UDP Flood y Smurf.

Shaft: SYN flooding, UDP flooding, ICMP flooding, and Smurf

Introduccin a los ataques DDoS

Ejemplos de ataques DdoS reales:

En Febrero de 2000 ualgunas compaas incluyendo Yahoo,
Amazon y Ebay sufrieron una serie de ataques DdoS que les
dejaron sin servicio.
En Julio de 2001 una serie de ataques DdoS tuvieron efecto
sobre la web de la Casa Blanca.
En Octubre de 2002 se realiz un ataque DdoS contra los
servidores DNS raz quelograron afectar a 9 de 13 de los
servidores DNS que controlan Internet.
En Mayo de 2007 Estonia sufri un ataque DdoS masivo que
afect a multitud de servidores incluyendo la presidencia, el
parlamento, varios ministerios, bancos, telecomunicaciones, etc.