DDoS: Análisis de Ataques Coordinados

agosto 22, 2013 § Deja un comentario

NOTA: Este articulo fue publicado originalmente en inglés en la revista PenTest Magazine.
Ramiro Caire – IT professional & Security Consultant
ramiro.caire at gmail.com – Twitter: @rcaire

Este artículo cubrirá algunos conceptos acerca de un tipo de ataque conocido llamado “DDoS” (Denegación de Servicio Distribuído, por sus siglas en ingles) con algunas demostraciones en laboratorio como “Prueba de Concepto” con algunas contramedidas. En este paper, nos enfocaremos en dos tipos de ataques: “SYN Flood” y “Slow HTTP DDoS Attack“.

Entendiendo DDoS

Es muy probable que ud ya conozca el Ataque de Denegación de Servicio Distribuído (DDoS) el cual es una extensión del ya conocido DoS (Denial of Service) que sucede cuando el servidor objetivo se ve saturado de peticiones TCP o UDP a determinado servicio (por lo general, servicio web al puerto 80, pero esto depende de las intenciones del atacante, cualquier servicio puede ser vulnerable) dejando de responder incluso a peticiones genuinas.

El concepto de “Distribuído” es concerniente a que estas peticiones son realizadas desde cientos, miles de máquinas infectadas (comunmente llamadas “zombies”) las cuales son gobernadas a través de “Botnets” de manera coordinada al mismo tiempo, lo cual supone una sumatoria de ancho de banda, uso de memoria y procesamiento en el objetivo que, por lo general, ningun servidor podría soportar, terminando en un colapso del servicio atacado por no poder responder cada peticion.

En este articulo haremos foco en dos tipos de ataques, los mismos son “SYN flood” y “Slow HTTP DDoS Attack”.

La clave del éxito para los ataques de DDoS es la cantidad de “zombies” con que cuenta cada Botnet. Podemos afirmar que mayor es el número de máquinas atacantes, mayor es la efectividad del ataque.

A modo de ejemplo, hagamos el siguiente cálculo rápido:
Una “botnet” tiene 3000 máquinas zombies listas para atacar. Cada máquina utiliza una conexion hogareña (generalmente xDSL) con un promedio de 128 Kib/s de ancho de banda de subida (upstream):

3000 hosts * 128 KiB/s (upstream) = 384000 KiB/s = 375,00 MiB/s

Es decir, se genera un tráfico resultante de 375,00 MiB/s, el cual es un ancho de banda más que suficiente para colapsar prácticamente cualquier sistema (aún estando protegido) ya que los vínculos que los ISP le otorgan a los servidores target son claramente inferiores a este valor. Pero este no es el único factor que influye en el éxito de un ataque DDoS, también podemos mencionar la variante de ataque que se realizará (descriptos anteriormente), la buena o mala configuración de los servidores target, la duración del ataque, etc.

Contenido completo en fuente original VanguardsecParte I y II

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

¿Qué es esto?

Actualmente estás leyendo DDoS: Análisis de Ataques Coordinados en Seguridad Informática.

Meta

A %d blogueros les gusta esto: