jueves, 30 de noviembre de 2017

¿Qué es un ataque DDoS?


Un ataque DDoS (Distributed Denial of Service) es un caso particular de DoS (Denial of Service). Un ataque DoS consiste en, como su nombre indica, negar un servicio, es decir, bloquear el acceso a clientes legítimos a un servicio como puede ser un correo electrónico, una página web, u otro servicio de Internet.

Las formas de lograr esto son de lo más variopintas, puede consistir en bloquear la electricidad, ya que sin electricidad no hay Internet. Cortar las comunicaciones. Deshabilitar el Servidor DNS de una página web etc… Sin embargo la forma más popular de DoS consiste en, de forma legítima, bloquear el contenido destinado a el resto de usuarios de la Red a base de hacer muchas peticiones del servicio en cuestión.

Un Servidor a la hora de prestar un servicio está preparado para prestar servicio a un número determinado de peticiones/segundo. Lo lógico es que haya momentos del día en los que la tasa de peticiones recibidas sea mayor que la tasa de servicio que puede ofrecer (esto es así en todos los Servidores y servicios normales). Y entonces lo que se hace es que se ponen las peticiones en una cola de espera, y lo que hace el Servidor en este caso sería extraer peticiones de la lista de espera y atenderlas apropiadamente.

Es importante notar que la capacidad de esta cola es finita y generalmente no es excesivamente grande, por lo que si la cola de espera está llena y llega una petición más, esta no podrá ser atendida, pero tampoco cabe en la cola de espera ya que no queda memoria, por lo tanto la petición se rechaza y el dispositivo que la ha hecho será notificada, pudiendo hacer la petición de nuevo o no.

Ahora pongámonos en la piel de un atacante malintencionado. Si soy capaz de lanzar enormes cantidades de peticiones, muchas mas que la tasa de servicio del Servidor, me estoy asegurando de que la cola de mensajes se está llenando. Si hago esto durante un rato largo, la probabilidad de que haya un mensaje en la cola de espera que no sea mío es muy pequeña. Es decir, he conseguido que el Servidor en cuestión esté dedicado prácticamente en su totalidad a atenderme a mí.

Por lo explicado con anterioridad, el resto de peticiones de otras personas que quieran acceder al servicio serán rechazadas, y por lo tanto habremos triunfado en el ataque ya que no podrán acceder al servicio.

DDoS es simplemente realizar este ataque desde muchos equipos en vez de uno. Este ataque es mucho más difícil de bloquear ya que si un único atacante envía muchas peticiones a un Servidor, es fácil detectarlo ya que todas las peticiones malintencionadas tienen la misma IP pública y se puede bloquear fácilmente con un firewall. Sin embargo si miles de equipos se ponen de acuerdo para realizar este ataque, la tasa de peticiones que tiene que enviar cada uno es mucho menor que en el caso de DoS, por lo que es más difícil detectar un flujo de tráfico anómalo. Además teniendo en cuenta que si se bloquea un equipo de ataque en un DDoS de 1.000 quedan aún 999 equipos realizando el ataque y el impacto en paliar el ataque es mínimo.

Para realizar estos ataques existen herramientas específicas para ello como puede ser LOIC (Low Orbit Ion Cannon). Esta fue especialmente popular desde que se lanzó ya que las cibercomunidades se ponían de acuerdo para realizar un DDoS en conjunto. Sin embargo los ataques DDoS suelen ser no voluntarios, si una persona es capaz de infectar equipos con un pequeño virus que bajo demanda hace peticiones de Internet a una página es muy difícil detectar dicho virus y sin darnos cuenta de la infección un atacante puede estar aprovechándose de nuestra IP pública para sus beneficios. Esto se consigue mediante botnets.

Los ataques DoS y DDoS se han contemplado ya en muchos países como un modo legítimo de protesta y de huelga, mientras que en otros está tremendamente penado por la ley.

No hay comentarios:

Publicar un comentario