De Wikipedia, la enciclopedia libre
  (Redirigido desde Ddos )
Saltar a navegación Saltar a búsqueda
"DoS" vuelve a dirigir aquí. Para la familia de sistemas operativos de computadora, consulte DOS . Para conocer el departamento ejecutivo federal de los Estados Unidos, consulte el Departamento de Estado de los Estados Unidos . Para otros usos, consulte DOS (desambiguación) .
Diagrama de un ataque DDoS. Observe cómo varias computadoras están atacando a una sola computadora

En informática , un ataque de denegación de servicio ( ataque DoS ) es un ciberataque en el que el perpetrador busca hacer que una máquina o recurso de red no esté disponible para sus usuarios previstos interrumpiendo temporal o indefinidamente los servicios de un host conectado a Internet . La denegación de servicio generalmente se logra inundando la máquina o el recurso de destino con solicitudes superfluas en un intento de sobrecargar los sistemas y evitar que se cumplan algunas o todas las solicitudes legítimas. [1]

En un ataque distribuido de denegación de servicio ( ataque DDoS ), el tráfico entrante que inunda a la víctima se origina en muchas fuentes diferentes. Esto efectivamente hace que sea imposible detener el ataque simplemente bloqueando una sola fuente.

Un ataque DoS o DDoS es análogo a un grupo de personas que se apiñan en la puerta de entrada de una tienda, lo que dificulta la entrada de clientes legítimos y, por lo tanto, interrumpe el comercio.

Los autores criminales de ataques DoS a menudo tienen como objetivo sitios o servicios alojados en servidores web de alto perfil , como bancos o pasarelas de pago con tarjeta de crédito . La venganza , el chantaje [2] [3] [4] y el activismo [5] pueden motivar estos ataques.

Historia [ editar ]

Panix , el tercer ISP más antiguo del mundo, fue el objetivo de lo que se cree que es el primer ataque DoS. El 6 de septiembre de 1996, Panix fue objeto de un ataque de inundación SYN que provocó la caída de sus servicios durante varios días mientras los proveedores de hardware, en particular Cisco, encontraban una defensa adecuada. [6]

Khan C. Smith hizo otra demostración temprana del ataque DoS en 1997 durante un evento DEF CON , interrumpiendo el acceso a Internet a Las Vegas Strip durante más de una hora. La publicación de código de muestra durante el evento condujo al ataque en línea de Sprint , EarthLink , E-Trade y otras corporaciones importantes en el año siguiente. [7]

El 5 de marzo de 2018, un cliente anónimo del proveedor de servicios con sede en EE. UU. Arbor Networks fue víctima del mayor DDoS hasta esa fecha, alcanzando un pico de aproximadamente 1,7 terabits por segundo. [8] El récord anterior se había establecido unos días antes, el 1 de marzo de 2018, cuando GitHub fue golpeado por un ataque de 1,35 terabits por segundo. [9] En febrero de 2020, Amazon Web Services experimentó un ataque con un volumen máximo de 2,3 terabits por segundo. [10] [11]

Telegrama de Hong Kong [ editar ]

Durante las protestas contra la extradición de Hong Kong en junio de 2019, la aplicación de mensajería Telegram fue objeto de un ataque DDoS, destinado a evitar que los manifestantes la usaran para coordinar movimientos. Los fundadores de Telegram han declarado que este ataque parece ser el de un "actor de tamaño estatal" a través de direcciones IP que se originan en China. [12]

Wikipedia abajo [ editar ]

El 6 y 7 de septiembre de 2019, Wikipedia fue derribada por un ataque DDoS en Alemania y algunas partes de Europa. Los usuarios de las redes sociales, mientras esperaban la recuperación de Wikipedia, crearon un " hashtag ", #WikipediaDown, en Twitter en un esfuerzo por llamar la atención del público. [13]

Tipos [ editar ]

Los ataques de denegación de servicio se caracterizan por un intento explícito de los atacantes de evitar el uso legítimo de un servicio. Hay dos formas generales de ataques DoS: los que bloquean los servicios y los que inundan los servicios. Se distribuyen los ataques más graves. [14]

DoS distribuido [ editar ]

Un ataque de denegación de servicio distribuido (DDoS) ocurre cuando varios sistemas inundan el ancho de banda o los recursos de un sistema objetivo, generalmente uno o más servidores web. [14] Un ataque DDoS utiliza más de una dirección IP o máquinas únicas , a menudo de miles de hosts infectados con malware. [15] [16] Un ataque distribuido de denegación de servicio generalmente involucra más de 3 a 5 nodos en diferentes redes; menos nodos pueden calificar como un ataque DoS pero no es un ataque DDoS. [17] [18]

Varias máquinas pueden generar más tráfico de ataque que una máquina, varias máquinas de ataque son más difíciles de apagar que una máquina de ataque, y el comportamiento de cada máquina de ataque puede ser más sigiloso, lo que dificulta su seguimiento y apagado. Dado que el tráfico entrante que inunda a la víctima proviene de diferentes fuentes, puede ser imposible detener el ataque simplemente usando el filtrado de ingreso . También dificulta la distinción entre el tráfico de usuarios legítimos y el tráfico de ataques cuando se distribuye en varios puntos de origen. Como alternativa o aumento de un DDoS, los ataques pueden implicar la falsificación de direcciones IP del remitente ( suplantación de direcciones IP) complicando aún más la identificación y la derrota del ataque. Estas ventajas del atacante provocan desafíos para los mecanismos de defensa. Por ejemplo, simplemente comprar más ancho de banda entrante que el volumen actual del ataque podría no ayudar, porque el atacante podría simplemente agregar más máquinas de ataque.

La escala de los ataques DDoS ha seguido aumentando en los últimos años, superando en 2016 un terabit por segundo . [19] [20] Algunos ejemplos comunes de ataques DDoS son la inundación de UDP , la inundación de SYN y la amplificación de DNS . [21] [22]

Ataques a la capa de aplicación [ editar ]

Un ataque DDoS de capa de aplicación (a veces denominado ataque DDoS de capa 7 ) es una forma de ataque DDoS en el que los atacantes se dirigen a procesos de capa de aplicación . [23] [17] El ataque sobre ejercita funciones o características específicas de un sitio web con la intención de desactivar esas funciones o características. Este ataque a la capa de aplicación es diferente de un ataque de red completa y, a menudo, se usa contra instituciones financieras para distraer al personal de seguridad y de TI de las violaciones de seguridad. [24] En 2013, los ataques DDoS en la capa de aplicación representaron el 20% de todos los ataques DDoS. [25] Según una investigación de Akamai Technologies, ha habido "un 51 por ciento más de ataques a la capa de aplicación" desde el cuarto trimestre de 2013 hasta el cuarto trimestre de 2014 y "un 16 por ciento más" del tercer trimestre de 2014 al cuarto trimestre de 2014. [26] En noviembre de 2017; Junade Ali, un científico informático de Cloudflare, señaló que si bien los ataques a nivel de red continúan siendo de alta capacidad, ocurren con menos frecuencia. Ali señala además que, aunque los ataques a nivel de red son cada vez menos frecuentes, los datos de Cloudflare demuestran que los ataques a la capa de aplicación aún no muestran signos de desaceleración. [27]

Capa de aplicación [ editar ]

El modelo OSI (ISO / IEC 7498-1) es un modelo conceptual que caracteriza y estandariza las funciones internas de un sistema de comunicación dividiéndolo en capas de abstracción . El modelo es un producto del proyecto de interconexión de sistemas abiertos de la Organización Internacional de Normalización (ISO). El modelo agrupa funciones de comunicación similares en una de las siete capas lógicas. Una capa sirve a la capa superior y es servida por la capa inferior. Por ejemplo, una capa que proporciona comunicaciones sin errores a través de una red proporciona la ruta de comunicación que necesitan las aplicaciones por encima de ella, mientras que llama a la siguiente capa inferior para enviar y recibir paquetes que atraviesan esa ruta.

En el modelo OSI, la definición de su capa de aplicación tiene un alcance más limitado de lo que a menudo se implementa. El modelo OSI define la capa de aplicación como la interfaz de usuario. La capa de aplicación OSI es responsable de mostrar datos e imágenes al usuario en un formato reconocible por humanos y de interactuar con la capa de presentación debajo de ella. En una implementación, las capas de aplicación y presentación se combinan con frecuencia.

Método de ataque [ editar ]

Un ataque DDoS en la capa de aplicación se realiza principalmente con fines específicos, incluida la interrupción de transacciones y el acceso a bases de datos. Requiere menos recursos que los ataques a la capa de red, pero a menudo los acompaña. [28] Un ataque puede disfrazarse para que parezca tráfico legítimo, excepto que se dirige a paquetes o funciones de aplicaciones específicas. El ataque a la capa de aplicación puede interrumpir servicios como la recuperación de información o las funciones de búsqueda en un sitio web. [25] Es muy común que los atacantes utilicen aplicaciones prediseñadas y proyectos de código abierto para ejecutar el ataque. [ cita requerida ]

DoS persistente avanzado [ editar ]

Un DoS persistente avanzado (APDoS) está asociado con una amenaza persistente avanzada y requiere una mitigación de DDoS especializada . [29] Estos ataques pueden persistir durante semanas; el período continuo más largo observado hasta ahora duró 38 días. Este ataque involucró aproximadamente 50+ petabits (50,000+ terabits) de tráfico malicioso. [30]

Los atacantes en este escenario pueden cambiar tácticamente entre varios objetivos para crear una desviación para evadir las contramedidas defensivas DDoS, pero al mismo tiempo concentrar el impulso principal del ataque en una sola víctima. En este escenario, los atacantes con acceso continuo a varios recursos de red muy poderosos son capaces de mantener una campaña prolongada que genera niveles enormes de tráfico DDoS no amplificado.

Los ataques APDoS se caracterizan por:

  • reconocimiento avanzado ( OSINT previo al ataque y escaneo con señuelos extensivo diseñado para evadir la detección durante períodos prolongados)
  • ejecución táctica (ataque con víctimas primarias y secundarias, pero el foco está en las primarias)
  • Motivación explícita (un objetivo final / objetivo calculado)
  • gran capacidad informática (acceso a una potencia informática considerable y un ancho de banda de red)
  • Ataques simultáneos de capas de OSI de subprocesos múltiples (herramientas sofisticadas que operan en las capas 3 a 7)
  • persistencia durante períodos prolongados (combinando todo lo anterior en un ataque concertado y bien administrado en una variedad de objetivos). [31]

Denegación de servicio como servicio [ editar ]

Algunos proveedores ofrecen los servicios denominados "booter" o "stresser", que tienen interfaces sencillas basadas en la web y aceptan pagos a través de la web. Comercializados y promocionados como herramientas de prueba de estrés, se pueden utilizar para realizar ataques de denegación de servicio no autorizados y permitir que atacantes técnicamente poco sofisticados accedan a herramientas de ataque sofisticadas. [32] Usualmente impulsado por una botnet , el tráfico producido por un consumidor estresante puede oscilar entre 5 y 50 Gbit / s, lo que, en la mayoría de los casos, puede negar al usuario doméstico promedio el acceso a Internet. [33]

Síntomas [ editar ]

El Equipo de preparación para emergencias informáticas de los Estados Unidos (US-CERT) ha identificado síntomas de un ataque de denegación de servicio que incluyen: [34]

  • rendimiento de red inusualmente lento (abrir archivos o acceder a sitios web),
  • indisponibilidad de un sitio web en particular, o
  • imposibilidad de acceder a cualquier sitio web.

Técnicas de ataque [ editar ]

Se utiliza una amplia gama de herramientas y técnicas para lanzar ataques DoS. [ editar ]

El ataque DoS más simple se basa principalmente en la fuerza bruta, inundando el objetivo con un flujo abrumador de paquetes, saturando su ancho de banda de conexión o agotando los recursos del sistema del objetivo. Las inundaciones que saturan el ancho de banda dependen de la capacidad del atacante para generar un flujo abrumador de paquetes. Una forma común de lograr esto hoy en día es a través de la denegación de servicio distribuida, empleando una botnet .

Herramientas de ataque [ editar ]

En casos como MyDoom y Slowloris, las herramientas están integradas en malware y lanzan sus ataques sin el conocimiento del propietario del sistema. Stacheldraht es un ejemplo clásico de herramienta DDoS. Utiliza una estructura en capas en la que el atacante utiliza un programa cliente para conectarse a controladores que son sistemas comprometidos que emiten comandos a los agentes zombis que, a su vez, facilitan el ataque DDoS. El atacante pone en peligro a los agentes a través de los controladores mediante rutinas automatizadas para aprovechar las vulnerabilidades en los programas que aceptan conexiones remotas que se ejecutan en los hosts remotos objetivo. Cada manipulador puede controlar hasta mil agentes. [35]

En otros casos, una máquina puede convertirse en parte de un ataque DDoS con el consentimiento del propietario, por ejemplo, en la Operación Payback organizada por el grupo Anonymous . El cañón de iones de órbita baja se ha utilizado normalmente de esta forma. Junto con High Orbit Ion Cannon, una amplia variedad de herramientas DDoS están disponibles en la actualidad, incluidas versiones pagas y gratuitas, con diferentes funciones disponibles. Existe un mercado clandestino para estos en foros relacionados con piratas informáticos y canales de IRC.

Ataques a la capa de aplicación [ editar ]

Los ataques a la capa de aplicación emplean vulnerabilidades que causan DoS y pueden hacer que el software que se ejecuta en el servidor llene el espacio del disco o consuma toda la memoria disponible o el tiempo de CPU . Los ataques pueden utilizar tipos de paquetes específicos o solicitudes de conexión para saturar recursos finitos, por ejemplo, ocupando el número máximo de conexiones abiertas o llenando el espacio en disco de la víctima con registros. Un atacante con acceso a nivel de shell a la computadora de una víctima puede ralentizarla hasta que quede inutilizable o bloquearla usando una bomba de horquilla . Otro tipo de ataque DoS a nivel de aplicación es XDoS (o XML DoS) que puede ser controlado por modernos firewalls de aplicaciones web (WAF).

Otro objetivo de los ataques DDoS puede ser generar costos adicionales para el operador de la aplicación, cuando este último usa recursos basados ​​en la computación en la nube . En este caso, los recursos utilizados normalmente por la aplicación están vinculados a un nivel de calidad de servicio (QoS) necesario (p. Ej., Las respuestas deben ser inferiores a 200 ms) y esta regla suele estar vinculada a software automatizado (p. Ej., Amazon CloudWatch [36] ) para recaudar más recursos virtuales del proveedor para cumplir con los niveles de QoS definidos para el aumento de solicitudes. El principal incentivo detrás de estos ataques puede ser hacer que el propietario de la aplicación aumente los niveles de elasticidad para manejar el aumento del tráfico de aplicaciones, con el fin de causar pérdidas financieras o forzarlos a ser menos competitivos.

Un ataque de plátano es otro tipo particular de DoS. Implica redirigir los mensajes salientes del cliente al cliente, evitando el acceso externo, así como inundando al cliente con los paquetes enviados. Un ataque TERRESTRE es de este tipo.

Ataques de degradación del servicio [ editar ]

Los zombis pulsantes son computadoras comprometidas que están dirigidas a lanzar inundaciones intermitentes y de corta duración de sitios web de víctimas con la intención de simplemente ralentizarlo en lugar de bloquearlo. Este tipo de ataque, denominado degradación del servicio , puede ser más difícil de detectar y puede interrumpir y obstaculizar la conexión a sitios web durante períodos de tiempo prolongados, lo que podría causar más interrupciones generales que un ataque de denegación de servicio. [37] [38] La exposición de los ataques de degradación del servicio se complica aún más por la cuestión de discernir si el servidor realmente está siendo atacado o está experimentando cargas de tráfico legítimo más altas de lo normal. [39]

Ataque de denegación de servicio distribuido [ editar ]

El malware puede llevar mecanismos de ataque DDoS; uno de los ejemplos más conocidos de esto fue MyDoom . Su mecanismo DoS se activó en una fecha y hora específicas. Este tipo de DDoS implicó codificar la dirección IP de destino antes de lanzar el malware y no fue necesaria ninguna interacción adicional para lanzar el ataque.

Un sistema también puede verse comprometido con un troyano que contenga un agente zombi . Los atacantes también pueden ingresar a los sistemas utilizando herramientas automatizadas que explotan fallas en programas que escuchan conexiones de hosts remotos. Este escenario se refiere principalmente a los sistemas que actúan como servidores en la web. Stacheldraht es un ejemplo clásico de herramienta DDoS. Utiliza una estructura en capas en la que el atacante usa un programa cliente para conectarse a los controladores, que son sistemas comprometidos que emiten comandos a los agentes zombis, que a su vez facilitan el ataque DDoS. El atacante pone en peligro a los agentes a través de los controladores. Cada manipulador puede controlar hasta mil agentes. [35]En algunos casos, una máquina puede convertirse en parte de un ataque DDoS con el consentimiento del propietario, por ejemplo, en Operation Payback , organizado por el grupo Anonymous . Estos ataques pueden utilizar diferentes tipos de paquetes de Internet como: TCP, UDP, ICMP, etc.

Estas colecciones de sistemas comprometidos se conocen como botnets . Las herramientas DDoS como Stacheldraht todavía utilizan métodos clásicos de ataque DoS centrados en la suplantación y amplificación de IP, como los ataques smurf y fraggle (tipos de ataques de consumo de ancho de banda). También se pueden utilizar las inundaciones SYN (un ataque de escasez de recursos). Las herramientas más nuevas pueden utilizar servidores DNS para fines de DoS. A diferencia del mecanismo DDoS de MyDoom, las botnets se pueden convertir en contra de cualquier dirección IP. Los niños de script los utilizan para negar la disponibilidad de sitios web conocidos a usuarios legítimos. [40] Los atacantes más sofisticados utilizan herramientas DDoS con fines de extorsión. - incluso contra sus rivales comerciales. [41]

Pueden aparecer ataques simples como las inundaciones SYN con una amplia gama de direcciones IP de origen, dando la apariencia de un DoS bien distribuido. Estos ataques de inundación no requieren la finalización del protocolo de enlace de tres vías de TCP e intentan agotar la cola SYN de destino o el ancho de banda del servidor. Debido a que las direcciones IP de origen pueden falsificarse trivialmente, un ataque podría provenir de un conjunto limitado de fuentes o incluso puede provenir de un solo host. Las mejoras de pila, como las cookies SYN, pueden ser una mitigación eficaz contra la inundación de la cola SYN, pero no abordan el agotamiento del ancho de banda.

Si un atacante realiza un ataque desde un solo host, se clasificaría como un ataque DoS. De hecho, cualquier ataque contra la disponibilidad se clasificaría como un ataque de denegación de servicio. Por otro lado, si un atacante usa muchos sistemas para lanzar ataques simultáneamente contra un host remoto, esto se clasificaría como un ataque DDoS.

Se ha informado de que hay nuevos ataques desde dispositivos de Internet de las cosas (IoT) que han estado involucrados en ataques de denegación de servicio.[42] En un ataque notorio que se realizó alcanzó un máximo de alrededor de 20.000 solicitudes por segundo que provenían de alrededor de 900 cámaras de circuito cerrado de televisión.[43]

GCHQ del Reino Unido tiene herramientas creadas para DDoS, llamadas PREDATORS FACE y ROLLING THUNDER. [44]

Extorsión DDoS [ editar ]

En 2015, las botnets DDoS como DD4BC crecieron en importancia, apuntando a las instituciones financieras. [45] Los ciber-extorsionadores suelen comenzar con un ataque de bajo nivel y una advertencia de que se llevará a cabo un ataque mayor si no se paga un rescate en Bitcoin . [46] Los expertos en seguridad recomiendan que los sitios web específicos no paguen el rescate. Los atacantes tienden a involucrarse en un esquema de extorsión extendido una vez que reconocen que el objetivo está listo para pagar. [47]

Ataque HTTP POST DoS lento [ editar ]

Descubierto por primera vez en 2009, el ataque HTTP POST lento envía un encabezado HTTP POST completo y legítimo, que incluye un campo 'Longitud de contenido' para especificar el tamaño del cuerpo del mensaje a seguir. Sin embargo, el atacante procede a enviar el cuerpo del mensaje real a una velocidad extremadamente lenta (por ejemplo, 1 byte / 110 segundos). Debido a que todo el mensaje es correcto y está completo, el servidor de destino intentará obedecer el campo 'Longitud del contenido' en el encabezado y esperará a que se transmita todo el cuerpo del mensaje, lo que puede llevar mucho tiempo. El atacante establece cientos o incluso miles de tales conexiones hasta que se agotan todos los recursos para las conexiones entrantes en el servidor (la víctima), lo que hace que cualquier conexión adicional (incluidas las legítimas) sea imposible hasta que se hayan enviado todos los datos. Es notable que, a diferencia de muchos otros ataques DDoS o DDoS, que intentan someter al servidor sobrecargando su red o CPU,un ataque POST lento HTTP apunta alrecursos lógicos de la víctima, lo que significa que la víctima aún tendría suficiente ancho de banda de red y potencia de procesamiento para operar. [48] Además, combinado con el hecho de que Apache , por defecto, aceptará solicitudes de hasta 2GB de tamaño, este ataque puede ser particularmente poderoso. Los ataques HTTP POST lentos son difíciles de diferenciar de las conexiones legítimas y, por lo tanto, pueden eludir algunos sistemas de protección. OWASP , un proyecto de seguridad de aplicaciones web de código abierto , lanzó una herramienta para probar la seguridad de los servidores contra este tipo de ataques. [49]

Ataque de desafío Colapsar (CC) [ editar ]

Un ataque Challenge Collapsar (CC) es un ataque en el que las solicitudes HTTP estándar se envían con frecuencia a un servidor web específico, en el que los identificadores uniformes de recursos (URI) requieren complicados algoritmos u operaciones de base de datos que consumen mucho tiempo, para agotar los recursos del servidor web específico. [50] [51] [52]

En 2004, un hacker chino apodado KiKi inventó una herramienta de piratería para enviar este tipo de solicitudes para atacar un cortafuegos NSFOCUS llamado "Collapsar", por lo que la herramienta de piratería se conocía como "Challenge Collapsar", o CC para abreviar. En consecuencia, este tipo de ataque recibió el nombre de "ataque CC". [53]

Inundación del Protocolo de mensajes de control de Internet (ICMP) [ editar ]

Un ataque smurf se basa en dispositivos de red mal configurados que permiten que los paquetes se envíen a todos los hosts de una red en particular a través de la dirección de transmisión de la red, en lugar de una máquina específica. El atacante enviará una gran cantidad de paquetes IP con la dirección de origen falsificada para que parezca ser la dirección de la víctima. La mayoría de los dispositivos de una red responderán, de forma predeterminada, enviando una respuesta a la dirección IP de origen. Si la cantidad de máquinas en la red que reciben y responden a estos paquetes es muy grande, la computadora de la víctima se inundará de tráfico. Esto sobrecarga la computadora de la víctima e incluso puede inutilizarla durante dicho ataque. [54]

La inundación de ping se basa en enviar a la víctima una cantidad abrumadora de paquetes de ping , generalmente usando el comando "ping" de hosts similares a Unix (el indicador -t en los sistemas Windows es mucho menos capaz de abrumar a un objetivo, también el -l (size ) no permite un tamaño de paquete enviado superior a 65500 en Windows). Es muy sencillo de iniciar, siendo el requisito principal el acceso a un ancho de banda mayor que el de la víctima.

El ping de la muerte se basa en enviar a la víctima un paquete de ping con formato incorrecto, lo que provocará un bloqueo del sistema en un sistema vulnerable.

El ataque BlackNurse es un ejemplo de un ataque que se aprovecha de los paquetes ICMP del puerto de destino inalcanzable requeridos.

Nuke [ editar ]

Un Nuke es un ataque anticuado de denegación de servicio contra redes informáticas que consiste en paquetes ICMP fragmentados o no válidos enviados al objetivo, logrado mediante el uso de una utilidad de ping modificada para enviar repetidamente estos datos corruptos, lo que ralentiza la computadora afectada hasta que se detiene por completo. [55]

Un ejemplo específico de un ataque nuclear que ganó cierta prominencia es el WinNuke , que aprovechó la vulnerabilidad en el controlador NetBIOS en Windows 95 . Se envió una cadena de datos fuera de banda al puerto TCP 139 de la máquina de la víctima, lo que provocó que se bloqueara y mostrara una pantalla azul de la muerte . [55]

Ataques de igual a igual [ editar ]

Artículo principal: Direct Connect (protocolo) § Direct Connect utilizado para ataques DDoS

Los atacantes han encontrado una forma de aprovechar una serie de errores en los servidores de igual a igual para iniciar ataques DDoS. El más agresivo de estos ataques DDoS peer-to-peer-DDoS explota DC ++ . Con peer-to-peer no hay botnet y el atacante no tiene que comunicarse con los clientes que subvierte. En cambio, el atacante actúa como un "maestro títere", instruyendo a los clientes de grandes centros de intercambio de archivos de igual a igual a desconectarse de su red de igual a igual y conectarse al sitio web de la víctima. [56] [57] [58]

Ataques permanentes de denegación de servicio [ editar ]

La denegación de servicio permanente (PDoS), también conocida en general como phlashing, [59] es un ataque que daña tanto un sistema que requiere el reemplazo o reinstalación del hardware. [60] A diferencia del ataque distribuido de denegación de servicio, un ataque PDoS explota fallas de seguridad que permiten la administración remota en las interfaces de administración del hardware de la víctima, como enrutadores, impresoras u otro hardware de red . El atacante usa estas vulnerabilidades para reemplazar el firmware de un dispositivo con una imagen de firmware modificada, corrupta o defectuosa, un proceso que cuando se realiza legítimamente se conoce como flasheo. Esto, por tanto, " ladrillos"el dispositivo, inutilizándolo para su propósito original hasta que pueda ser reparado o reemplazado.

El PDoS es un ataque dirigido por hardware puro que puede ser mucho más rápido y requiere menos recursos que usar una botnet o un servidor root / v en un ataque DDoS. Debido a estas características, y la alta probabilidad y potencial de ataques de seguridad en dispositivos integrados habilitados para redes (NEED), esta técnica ha llamado la atención de numerosas comunidades de piratas informáticos. BrickerBot , un malware que apuntaba a dispositivos IoT, usaba ataques PDoS para deshabilitar sus objetivos. [61]

PhlashDance es una herramienta creada por Rich Smith (un empleado del Laboratorio de Seguridad de Sistemas de Hewlett-Packard) que se utiliza para detectar y demostrar vulnerabilidades de PDoS en la Conferencia de Seguridad Aplicada EUSecWest de 2008 en Londres. [62]

Ataque reflejado / falsificado [ editar ]

Un ataque de denegación de servicio distribuido puede implicar el envío de solicitudes falsificadas de algún tipo a una gran cantidad de computadoras que responderán a las solicitudes. Al utilizar la suplantación de direcciones del Protocolo de Internet , la dirección de origen se establece en la de la víctima objetivo, lo que significa que todas las respuestas irán (e inundarán) al objetivo. (Esta forma de ataque reflejada a veces se denomina "DRDOS". [63] )

Los ataques de solicitud de eco ICMP ( ataque Smurf ) pueden considerarse una forma de ataque reflejado, ya que los hosts de inundación envían solicitudes de eco a las direcciones de transmisión de redes mal configuradas, lo que incita a los hosts a enviar paquetes de respuesta de eco a la víctima. Algunos de los primeros programas DDoS implementaron una forma distribuida de este ataque.

Amplificación [ editar ]

Los ataques de amplificación se utilizan para ampliar el ancho de banda que se envía a una víctima. Por lo general, esto se hace a través de servidores DNS de acceso público que se utilizan para causar congestión en el sistema de destino mediante el tráfico de respuesta de DNS. Se pueden explotar muchos servicios para que actúen como reflectores, algunos más difíciles de bloquear que otros. [64] US-CERT ha observado que diferentes servicios pueden dar lugar a diferentes factores de amplificación, como se muestra a continuación: [65]

Ataques de amplificación basados ​​en UDP
ProtocoloFactor de amplificación de ancho de banda
Memcached50000 (corregido en la versión 1.5.6) [66]
NTP556.9 (corregido en la versión 4.2.7p26) [67]
CharGen358,8
DNShasta 179 [68]
QOTD140,3
Protocolo de red de Quake63.9 (corregido en la versión 71)
BitTorrent4.0 - 54.3 [69] (corregido en libuTP desde 2015)
CoAP10 - 50
BRAZOS33,5
SSDP30,8
Kad16,3
SNMPv26.3
Protocolo de Steam5.5
NetBIOS3.8

Los ataques de amplificación de DNS involucran un nuevo mecanismo que aumentó el efecto de amplificación, utilizando una lista de servidores DNS mucho más grande que la vista anteriormente. El proceso generalmente implica que un atacante envíe una solicitud de búsqueda de nombre DNS a un servidor DNS público, falsificando la dirección IP de origen de la víctima objetivo. El atacante intenta solicitar la mayor cantidad de información posible, amplificando así la respuesta de DNS que se envía a la víctima objetivo. Dado que el tamaño de la solicitud es significativamente menor que la respuesta, el atacante puede aumentar fácilmente la cantidad de tráfico dirigido al objetivo. [70] [71] SNMP y NTP también se pueden explotar como reflectores en un ataque de amplificación.

Un ejemplo de un ataque DDoS amplificado a través del Network Time Protocol (NTP) es a través de un comando llamado monlist, que envía los detalles de los últimos 600 hosts que han solicitado la hora del servidor NTP al solicitante. Se puede enviar una pequeña solicitud a este servidor de tiempo utilizando una dirección IP de origen falsificada de alguna víctima, lo que da como resultado una respuesta 556,9 veces el tamaño de la solicitud que se envía a la víctima. Esto se amplifica cuando se utilizan redes de bots que envían solicitudes con la misma fuente de IP falsificada, lo que resultará en el envío de una gran cantidad de datos a la víctima.

Es muy difícil defenderse de este tipo de ataques porque los datos de respuesta provienen de servidores legítimos. Estas solicitudes de ataque también se envían a través de UDP, que no requiere una conexión al servidor. Esto significa que la IP de origen no se verifica cuando el servidor recibe una solicitud. Con el fin de crear conciencia sobre estas vulnerabilidades, se han iniciado campañas dedicadas a encontrar vectores de amplificación que han llevado a las personas a corregir sus resolutores o hacer que los resolutores se cierren por completo.

Botnet Mirai [ editar ]

Este ataque funciona mediante el uso de un gusano para infectar cientos de miles de dispositivos IoT en Internet. El gusano se propaga a través de redes y sistemas que toman el control de dispositivos IoT mal protegidos, como termostatos, relojes habilitados para Wi-Fi y lavadoras. [72] Cuando el dispositivo se convierte en esclavo, por lo general, el propietario o usuario no tendrá ninguna indicación inmediata. El dispositivo de IoT en sí no es el objetivo directo del ataque, se utiliza como parte de un ataque más grande. [73] Estos dispositivos recién esclavizados se denominan esclavos o bots. Una vez que el hacker ha adquirido la cantidad deseada de bots, les indica a los bots que intenten ponerse en contacto con un ISP. En octubre de 2016, una botnet Mirai atacó a Dyn, que es el ISP de sitios como Twitter, Netflix, etc. [72]Tan pronto como esto ocurrió, estos sitios web estuvieron inaccesibles durante varias horas. Este tipo de ataque no es físicamente dañino, pero sin duda será costoso para las grandes empresas de Internet que sean atacadas.

RU-¿Muerto-todavía? (RUDY) [ editar ]

El ataque RUDY se dirige a las aplicaciones web por falta de sesiones disponibles en el servidor web. Al igual que Slowloris , RUDY detiene las sesiones mediante transmisiones POST interminables y enviando un valor de encabezado de longitud de contenido arbitrariamente grande.

SACK Panic [ editar ]

Al manipular el tamaño máximo de segmento y el reconocimiento selectivo (SACK) , un par remoto puede usarlo para causar una denegación de servicio por un desbordamiento de enteros en el kernel de Linux, causando incluso un pánico en el kernel . [74] Jonathan Looney descubrió CVE - 2019-11477 , CVE- 2019-11478 , CVE- 2019-11479 el 17 de junio de 2019. [75]

Ataque de musaraña [ editar ]

El ataque de la musaraña es un ataque de denegación de servicio en el Protocolo de control de transmisión donde el atacante emplea técnicas de intermediario . Utiliza ráfagas cortas de tráfico sincronizado para interrumpir las conexiones TCP en el mismo enlace, aprovechando una debilidad en el mecanismo de tiempo de espera de retransmisión de TCP. [76]

Ataque de lectura lenta [ editar ]

Un ataque de lectura lenta envía solicitudes de capa de aplicación legítimas, pero lee las respuestas muy lentamente, tratando de agotar el grupo de conexiones del servidor. Esto se logra anunciando un número muy pequeño para el tamaño de la ventana de recepción de TCP y, al mismo tiempo, vaciando lentamente el búfer de recepción de TCP de los clientes, lo que provoca una tasa de flujo de datos muy baja.

Ataque de denegación de servicio distribuido de bajo ancho de banda sofisticado [ editar ]

Un ataque DDoS sofisticado de bajo ancho de banda es una forma de DoS que usa menos tráfico y aumenta su efectividad apuntando a un punto débil en el diseño del sistema de la víctima, es decir, el atacante envía tráfico consistente en solicitudes complicadas al sistema. [77] Esencialmente, un ataque DDoS sofisticado tiene un costo más bajo debido a que utiliza menos tráfico, es más pequeño en tamaño, lo que lo hace más difícil de identificar y tiene la capacidad de dañar sistemas que están protegidos por mecanismos de control de flujo. [77] [78]

(S) SYN flood [ editar ]

Ver también: SYN flood

Una inundación SYN ocurre cuando un host envía una avalancha de paquetes TCP / SYN, a menudo con una dirección de remitente falsificada. Cada uno de estos paquetes se maneja como una solicitud de conexión, lo que hace que el servidor genere una conexión semiabierta , enviando un paquete TCP / SYN-ACK (Reconocimiento) y esperando un paquete en respuesta de la dirección del remitente (respuesta a el paquete ACK). Sin embargo, debido a que la dirección del remitente está falsificada, la respuesta nunca llega. Estas conexiones semiabiertas saturan la cantidad de conexiones disponibles que puede hacer el servidor, evitando que responda a solicitudes legítimas hasta que finalice el ataque. [79]

Ataques de lágrimas [ editar ]

Un ataque de lágrima implica el envío de fragmentos de IP destrozados con cargas útiles superpuestas y de gran tamaño a la máquina de destino. Esto puede bloquear varios sistemas operativos debido a un error en su código de reensamblaje de fragmentación de TCP / IP . [80] Los sistemas operativos Windows 3.1x , Windows 95 y Windows NT , así como las versiones de Linux anteriores a las versiones 2.0.32 y 2.1.63 son vulnerables a este ataque.

(Aunque en septiembre de 2009, una vulnerabilidad en Windows Vista se denominó "ataque de lágrima", este apuntó a SMB2, que es una capa más alta que los paquetes TCP que usaba la lágrima). [81] [82]

Uno de los campos en un encabezado IP es el campo de "desplazamiento de fragmento", que indica la posición inicial, o desplazamiento, de los datos contenidos en un paquete fragmentado en relación con los datos del paquete original. Si la suma del desplazamiento y el tamaño de un paquete fragmentado difiere de la del siguiente paquete fragmentado, los paquetes se superponen. Cuando esto sucede, un servidor vulnerable a ataques de lágrimas no puede volver a ensamblar los paquetes, lo que genera una condición de denegación de servicio.

Denegación de servicio de telefonía (TDoS) [ editar ]

La voz sobre IP ha hecho que la originación abusiva de un gran número de llamadas telefónicas de voz sea económica y fácilmente automatizada, al tiempo que permite tergiversar los orígenes de las llamadas mediante la suplantación de identidad de llamadas .

Según la Oficina Federal de Investigaciones de EE. UU. , La denegación de servicio de telefonía (TDoS) ha aparecido como parte de varios esquemas fraudulentos:

  • Un estafador contacta al banquero o corredor de la víctima, haciéndose pasar por la víctima para solicitar una transferencia de fondos. El intento del banquero de contactar a la víctima para verificar la transferencia falla ya que las líneas telefónicas de la víctima se inundan con miles de llamadas falsas, lo que hace que la víctima sea inaccesible. [83]
  • Un estafador contacta a los consumidores con un reclamo falso para cobrar un préstamo de día de pago pendiente de miles de dólares. Cuando el consumidor se opone, el estafador toma represalias inundando al empleador de la víctima con miles de llamadas automáticas. En algunos casos, el identificador de llamadas que se muestra se falsifica para hacerse pasar por la policía o las fuerzas del orden. [84]
  • Un estafador contacta a los consumidores con una demanda falsa de cobro de deudas y amenaza con enviar a la policía; cuando la víctima se niega, el estafador inunda los números de la policía local con llamadas en las que se falsifica el identificador de llamadas para mostrar el número de la víctima. La policía pronto llega a la residencia de la víctima tratando de encontrar el origen de las llamadas.

La denegación de servicio de telefonía puede existir incluso sin telefonía por Internet . En el escándalo de interferencias telefónicas de las elecciones del Senado de New Hampshire de 2002 , los telemercaderes se utilizaron para inundar a los oponentes políticos con llamadas falsas para bloquear los bancos telefónicos el día de las elecciones. La publicación generalizada de un número también puede inundarlo con suficientes llamadas para inutilizarlo, como sucedió por accidente en 1981 con múltiples suscriptores + 1- código de área -867-5309 inundados por cientos de llamadas mal marcadas diariamente en respuesta a la canción 867-5309 / Jenny .

TDoS se diferencia de otros tipos de acoso telefónico (como llamadas de broma y llamadas telefónicas obscenas ) por el número de llamadas originadas; al ocupar líneas continuamente con llamadas automáticas repetidas, la víctima no puede realizar ni recibir llamadas telefónicas de rutina y de emergencia.

Las vulnerabilidades relacionadas incluyen ataques de inundación de SMS y fax negro o transmisión de bucle de fax.

Ataque de vencimiento TTL [ editar ]

Se necesitan más recursos del enrutador para eliminar un paquete con un valor TTL de 1 o menos que para reenviar un paquete con un valor TTL más alto. Cuando se descarta un paquete debido a la expiración del TTL, la CPU del enrutador debe generar y enviar una respuesta de tiempo excedido ICMP . Generar muchas de estas respuestas puede sobrecargar la CPU del enrutador. [85]

Ataque UPnP [ editar ]

Este ataque utiliza una vulnerabilidad existente en el protocolo Universal Plug and Play (UPnP) para sortear una cantidad considerable de los métodos de defensa actuales e inundar la red y los servidores de un objetivo. El ataque se basa en una técnica de amplificación de DNS, pero el mecanismo de ataque es un enrutador UPnP que reenvía solicitudes de una fuente externa a otra sin tener en cuenta las reglas de comportamiento UPnP. El uso del enrutador UPnP devuelve los datos en un puerto UDP inesperado desde una dirección IP falsa, lo que dificulta tomar medidas simples para detener la inundación de tráfico. Según los investigadores de Imperva , la forma más eficaz de detener este ataque es que las empresas bloqueen los enrutadores UPnP. [86] [87]

Ataque de reflexión SSDP [ editar ]

En 2014 se descubrió que SSDP se estaba utilizando en ataques DDoS conocidos como " ataque de reflexión SSDP con amplificación". Muchos dispositivos, incluidos algunos enrutadores residenciales, tienen una vulnerabilidad en el software UPnP que permite a un atacante obtener respuestas del número de puerto 1900 a una dirección de destino de su elección. Con una botnet de miles de dispositivos, los atacantes pueden generar tasas de paquetes suficientes y ocupar ancho de banda para saturar enlaces, provocando la denegación de servicios. [88] [89] [90] La empresa de redes Cloudflare ha descrito este ataque como el "Protocolo DDoS estúpidamente simple". [91]

Suplantación de ARP [ editar ]

La suplantación de ARP es un ataque DoS común que involucra una vulnerabilidad en el protocolo ARP que permite a un atacante asociar su dirección MAC a la dirección IP de otra computadora o puerta de enlace (como un enrutador), lo que hace que el tráfico destinado a la IP auténtica original se vuelva a generar. -enrutado al del atacante, provocando denegación de servicio.

Técnicas de defensa [ editar ]

Las respuestas defensivas a los ataques de denegación de servicio generalmente implican el uso de una combinación de detección de ataques, clasificación de tráfico y herramientas de respuesta, con el objetivo de bloquear el tráfico que identifican como ilegítimo y permitir el tráfico que identifican como legítimo. [92] A continuación se proporciona una lista de herramientas de prevención y respuesta:

Hardware de interfaz de la aplicación [ editar ]

El hardware front-end de la aplicación es un hardware inteligente que se coloca en la red antes de que el tráfico llegue a los servidores. Se puede utilizar en redes junto con enrutadores y conmutadores. El hardware de interfaz de usuario analiza los paquetes de datos a medida que ingresan al sistema y luego los identifica como prioritarios, regulares o peligrosos. Hay más de 25 proveedores de administración de ancho de banda .

Indicadores clave de finalización del nivel de aplicación [ editar ]

Los enfoques de los ataques DDoS contra aplicaciones basadas en la nube pueden basarse en un análisis de la capa de aplicación, que indica si el tráfico masivo entrante es legítimo y, por lo tanto, desencadena decisiones de elasticidad sin las implicaciones económicas de un ataque DDoS. [93] Estos enfoques se basan principalmente en una ruta de valor identificada dentro de la aplicación y monitorean el progreso de las solicitudes en esta ruta, a través de marcadores llamados indicadores clave de finalización. [94]

En esencia, estas técnicas son métodos estadísticos para evaluar el comportamiento de las solicitudes entrantes para detectar si está sucediendo algo inusual o anormal.

Una analogía es una tienda departamental de ladrillos y mortero donde los clientes pasan, en promedio, un porcentaje conocido de su tiempo en diferentes actividades, como recoger artículos y examinarlos, devolverlos, llenar una canasta, esperar para pagar, pagar. , y saliendo. Estas actividades de alto nivel corresponden a los indicadores clave de finalización en un servicio o sitio, y una vez que se determina el comportamiento normal, se puede identificar el comportamiento anormal. Si una multitud de clientes llegaba a la tienda y pasaba todo su tiempo recogiendo artículos y devolviéndolos, pero nunca hizo ninguna compra, esto podría marcarse como un comportamiento inusual.

Los grandes almacenes pueden intentar adaptarse a los períodos de alta actividad incorporando una reserva de empleados con poca antelación. Pero si hiciera esto de manera rutinaria, si una multitud comenzara a aparecer pero nunca comprara nada, esto podría arruinar la tienda con los costos adicionales de los empleados. Pronto, la tienda identificaría la actividad de la mafia y reduciría el número de empleados, reconociendo que la mafia no proporciona ganancias y no debe ser atendida. Si bien esto puede dificultar que los clientes legítimos sean atendidos durante la presencia de la mafia, salva a la tienda de la ruina total.

En el caso de los servicios en la nube elástica, donde una carga de trabajo adicional enorme y anormal puede incurrir en cargos significativos por parte del proveedor de servicios en la nube, esta técnica se puede utilizar para reducir o incluso detener la expansión de la disponibilidad del servidor para protegerse de pérdidas económicas.

Blackholing y sinkholing [ editar ]

Con el enrutamiento de agujero negro, todo el tráfico al DNS o la dirección IP atacados se envía a un "agujero negro" (interfaz nula o un servidor inexistente). Para ser más eficiente y evitar afectar la conectividad de la red, puede ser administrado por el ISP. [95]

Un sumidero de DNS enruta el tráfico a una dirección IP válida que analiza el tráfico y rechaza los paquetes defectuosos. El hundimiento no es eficaz para la mayoría de los ataques graves.

Prevención basada en IPS [ editar ]

Los sistemas de prevención de intrusiones (IPS) son eficaces si los ataques tienen firmas asociadas. Sin embargo, la tendencia entre los ataques es tener contenido legítimo pero con malas intenciones. Los sistemas de prevención de intrusiones que funcionan en el reconocimiento de contenido no pueden bloquear los ataques DoS basados ​​en el comportamiento. [29]

Un IPS basado en ASIC puede detectar y bloquear ataques de denegación de servicio porque tiene el poder de procesamiento y la granularidad para analizar los ataques y actuar como un disyuntor de forma automatizada. [29]

Un IPS basado en tasas (RBIPS) debe analizar el tráfico de manera granular y monitorear continuamente el patrón de tráfico y determinar si existe una anomalía en el tráfico. Debe permitir que fluya el tráfico legítimo mientras bloquea el tráfico de ataque DoS. [96]

Defensa basada en DDS [ editar ]

Más centrado en el problema que IPS, un sistema de defensa DoS (DDS) puede bloquear los ataques DoS basados ​​en la conexión y aquellos con contenido legítimo pero con malas intenciones. Un DDS también puede abordar tanto los ataques de protocolo (como la lágrima y el ping de la muerte) como los ataques basados ​​en la velocidad (como las inundaciones ICMP y las inundaciones SYN). DDS tiene un sistema especialmente diseñado que puede identificar y obstruir fácilmente los ataques de denegación de servicio a una velocidad mayor que un software basado en un sistema. [97]

Cortafuegos [ editar ]

En el caso de un ataque simple, un firewall podría tener una regla simple agregada para denegar todo el tráfico entrante de los atacantes, según los protocolos, los puertos o las direcciones IP de origen.

Sin embargo, los ataques más complejos serán difíciles de bloquear con reglas simples: por ejemplo, si hay un ataque en curso en el puerto 80 (servicio web), no es posible eliminar todo el tráfico entrante en este puerto porque al hacerlo evitará que el servidor sirviendo tráfico legítimo. [98] Además, los cortafuegos pueden estar demasiado profundos en la jerarquía de la red, y los enrutadores se ven afectados negativamente antes de que el tráfico llegue al cortafuegos. Además, muchas herramientas de seguridad aún no son compatibles con IPv6 o es posible que no estén configuradas correctamente, por lo que los firewalls a menudo pueden pasar por alto durante los ataques. [99]

Enrutadores [ editar ]

Al igual que los conmutadores, los enrutadores tienen cierta capacidad de limitación de velocidad y ACL . Ellos también se configuran manualmente. La mayoría de los enrutadores pueden verse abrumados fácilmente por un ataque DoS. Cisco IOS tiene características opcionales que pueden reducir el impacto de las inundaciones. [100]

Interruptores [ editar ]

La mayoría de los conmutadores tienen alguna capacidad ACL y de limitación de velocidad . Algunos conmutadores proporcionan limitación de velocidad automática y / o en todo el sistema , modelado de tráfico , enlace retardado ( empalme de TCP ), inspección profunda de paquetes y filtrado Bogon (filtrado de IP falso) para detectar y remediar ataques DoS a través del filtrado de velocidad automático y la conmutación por error y el equilibrio de enlaces WAN. . [29] [ cita requerida ]

Estos esquemas funcionarán siempre que los ataques DoS puedan prevenirse usándolos. Por ejemplo, la inundación SYN se puede prevenir mediante el enlace retardado o el empalme de TCP. De manera similar, el DoS basado en contenido puede evitarse mediante la inspección profunda de paquetes. Los ataques que se originan en direcciones oscuras o que se dirigen a direcciones oscuras se pueden prevenir mediante el filtrado bogon . El filtrado de tasa automático puede funcionar siempre que los umbrales de tasa establecidos se hayan establecido correctamente. La conmutación por error de Wan-link funcionará siempre que ambos enlaces tengan un mecanismo de prevención DoS / DDoS. [29] [ cita requerida ]

Filtrado ascendente [ editar ]

Todo el tráfico pasa a través de un "centro de limpieza" o un "centro de limpieza" a través de varios métodos, como proxies, túneles, conexiones cruzadas digitales o incluso circuitos directos, que separan el tráfico "malo" (DDoS y también otros ataques comunes de Internet) y solo envía un buen tráfico más allá del servidor. El proveedor necesita una conectividad centralizada a Internet para administrar este tipo de servicio, a menos que estén ubicados dentro de las mismas instalaciones que el "centro de limpieza" o el "centro de limpieza". Los ataques DDoS pueden abrumar a cualquier tipo de firewall de hardware, y el paso de tráfico malicioso a través de redes grandes y maduras se vuelve cada vez más efectivo y económicamente sostenible contra DDoS. [101]

Bloqueo de puertos vulnerables [ editar ]

Por ejemplo, en un ataque de reflexión SSDP; una mitigación clave es bloquear el tráfico UDP entrante en el puerto 1900 en el firewall. [102]

Denegación de servicio involuntaria [ editar ]

Una denegación de servicio involuntaria puede ocurrir cuando un sistema termina siendo denegado, no debido a un ataque deliberado por parte de un solo individuo o grupo de individuos, sino simplemente debido a un repentino y enorme aumento en popularidad. Esto puede suceder cuando un sitio web extremadamente popular publica un enlace destacado a un segundo sitio menos preparado, por ejemplo, como parte de una noticia. El resultado es que una proporción significativa de los usuarios habituales del sitio principal (potencialmente cientos de miles de personas) hacen clic en ese enlace en el espacio de unas pocas horas, lo que tiene el mismo efecto en el sitio web de destino que un ataque DDoS. Un VIPDoS es lo mismo, pero específicamente cuando el enlace fue publicado por una celebridad.

Cuando Michael Jackson murió en 2009, sitios web como Google y Twitter se ralentizaron o incluso colapsaron. [103] Los servidores de muchos sitios pensaron que las solicitudes provenían de un virus o software espía que intentaba causar un ataque de denegación de servicio, advirtiendo a los usuarios que sus consultas parecían "solicitudes automatizadas de un virus informático o aplicación de software espía". [104]

Los sitios de noticias y los sitios de enlaces, sitios cuya función principal es proporcionar enlaces a contenido interesante en otros lugares de Internet, tienen más probabilidades de causar este fenómeno. El ejemplo canónico es el efecto Slashdot cuando se recibe tráfico de Slashdot . También se conoce como "el abrazo de muerte de Reddit " y "el efecto Digg ".

También se sabe que los enrutadores crean ataques DoS involuntarios, ya que tanto los enrutadores D-Link como los Netgear han sobrecargado los servidores NTP al inundar los servidores NTP sin respetar las restricciones de los tipos de clientes o las limitaciones geográficas.

También pueden producirse denegaciones de servicio involuntarias similares a través de otros medios, por ejemplo, cuando se menciona una URL en la televisión. Si un servidor está siendo indexado por Google u otro motor de búsqueda durante los períodos pico de actividad, o no tiene mucho ancho de banda disponible mientras está indexado, también puede experimentar los efectos de un ataque DoS. [29] [ verificación fallida ] [ cita requerida ]

Se han tomado acciones legales en al menos uno de esos casos. En 2006, Universal Tube & Rollform Equipment Corporation demandó a YouTube : un gran número de posibles usuarios de YouTube.com escribieron accidentalmente la URL de la compañía de tubos, utube.com. Como resultado, la compañía de tubos terminó teniendo que gastar grandes cantidades de dinero en actualizar su ancho de banda. [105] La empresa parece haberse aprovechado de la situación, y utube.com ahora contiene anuncios de ingresos publicitarios.

En marzo de 2014, después de que el vuelo 370 de Malaysia Airlines desapareciera, DigitalGlobe lanzó un servicio de crowdsourcing en el que los usuarios podían ayudar a buscar el avión perdido en imágenes de satélite. La respuesta abrumó a los servidores de la empresa. [106]

Una denegación de servicio involuntaria también puede resultar de un evento programado previamente creado por el propio sitio web, como fue el caso del Censo en Australia en 2016. [107] Esto podría deberse a que un servidor proporciona algún servicio en un momento específico. Este podría ser un sitio web de la universidad que configura las calificaciones para que estén disponibles donde resultará en muchas más solicitudes de inicio de sesión en ese momento que en cualquier otro.

Efectos secundarios de los ataques [ editar ]

Retrodispersión [ editar ]

Consulte también: retrodispersión (correo electrónico) y ruido de fondo de Internet

En la seguridad de las redes informáticas, la retrodispersión es un efecto secundario de un ataque de denegación de servicio falsificado. En este tipo de ataque, el atacante falsifica (o falsifica) la dirección de origen en los paquetes IP enviados a la víctima. En general, la máquina víctima no puede distinguir entre los paquetes falsificados y los paquetes legítimos, por lo que la víctima responde a los paquetes falsificados como lo haría normalmente. Estos paquetes de respuesta se conocen como retrodispersión. [108]

Si el atacante está falsificando direcciones de origen de forma aleatoria, los paquetes de respuesta de retrodispersión de la víctima se enviarán de vuelta a destinos aleatorios. Este efecto puede ser utilizado por telescopios de red como evidencia indirecta de tales ataques.

El término "análisis de retrodispersión" se refiere a la observación de paquetes de retrodispersión que llegan a una parte estadísticamente significativa del espacio de direcciones IP para determinar las características de los ataques DoS y las víctimas.

Legalidad [ editar ]

Numerosos sitios web que ofrecen herramientas para realizar un ataque DDoS fueron incautados por el FBI en virtud de la Ley de Abuso y Fraude Informático . [109]
Ver también: Delitos informáticos

Muchas jurisdicciones tienen leyes según las cuales los ataques de denegación de servicio son ilegales.

  • En los EE. UU., Los ataques de denegación de servicio pueden considerarse un delito federal según la Ley de abuso y fraude informático con sanciones que incluyen años de prisión. [110] La Sección de Delitos Informáticos y Propiedad Intelectual del Departamento de Justicia de los Estados Unidos se ocupa de los casos de DoS y DDoS. En un ejemplo, en julio de 2019, Austin Thompson, también conocido como DerpTrolling, fue sentenciado a 27 meses de prisión y una restitución de $ 95,000 por un tribunal federal por realizar múltiples ataques DDoS a las principales compañías de videojuegos, interrumpiendo sus sistemas de horas a días. [111] [112]
  • En los países europeos , la comisión de ataques criminales de denegación de servicio puede, como mínimo, conducir al arresto. [113] El Reino Unido es inusual porque prohibió específicamente los ataques de denegación de servicio y estableció una pena máxima de 10 años de prisión con la Ley de policía y justicia de 2006 , que enmendó la sección 3 de la Ley de uso indebido de computadoras de 1990 . [114]
  • En enero de 2019, Europol anunció que "se están llevando a cabo acciones en todo el mundo para rastrear a los usuarios" de Webstresser.org, un antiguo mercado DDoS que se cerró en abril de 2018 como parte de la Operación Power Off. [115] Europol dijo que la policía del Reino Unido estaba llevando a cabo una serie de "operaciones en vivo" dirigidas a más de 250 usuarios de Webstresser y otros servicios DDoS. [116]

El 7 de enero de 2013, Anonymous publicó una petición en el sitio whitehouse.gov pidiendo que se reconociera el DDoS como una forma legal de protesta similar a las protestas de Occupy , alegando que la similitud en el propósito de ambas es la misma. [117]

Ver también [ editar ]

  • Ataque DDoS en la capa de aplicación
  • BASHLITE
  • Ataque de mil millones de risas: ataque de  denegación de servicio en analizadores XML, explotación de la expansión de entidades
  • Botnet  : colección de dispositivos conectados a Internet comprometidos controlados por un tercero
  • Blaster (gusano informático)
  • Dendroid (malware)
  • Bomba de bifurcación  : ataque de denegación de servicio en el que un proceso se replica continuamente para agotar los recursos disponibles del sistema, ralentizando o bloqueando el sistema debido a la falta de recursos.
  • Cañón de iones de alta órbita  : herramienta de ataque de denegación de servicio (HOIC)
  • DDoS de golpe y fuga
  • Espionaje industrial  : uso del espionaje con fines comerciales en lugar de con fines de seguridad
  • Bucle infinito  : lenguaje de programación
  • Sistema de detección de intrusiones  : un dispositivo o una aplicación de software que monitorea una red o sistemas en busca de actividad maliciosa.
  • Cañón de iones de órbita baja  : prueba de tensión de red de código abierto y aplicación de ataque de denegación de servicio (LOIC)
  • Ataque de amenaza mixta
  • Sistema de detección de intrusiones en la red
  • Ciberataque Dyn 2016  - Ciberataque 2016 en Europa y América del Norte
  • Terrorismo de papel
  • Escudo del proyecto
  • Rehacer
  • Ataque de agotamiento de recursos
  • SlowDroid
  • Slowloris (seguridad informática)
  • Unicornio UDP
  • Sentada virtual
  • Web shell  : amenaza a la seguridad web que permite el acceso remoto a un servidor web.
  •  Interferencia de radio : interferencia con comunicaciones inalámbricas autorizadas
  • Ataque de denegación de servicio XML
  • Xor DDoS  : malware troyano de Linux con capacidades de rootkit
  • Zemra
  • Zombie (informática)  : computadora conectada a la red que se ha visto comprometida y se utiliza para tareas maliciosas sin que el propietario lo sepa

Referencias [ editar ]

  1. ^ "Comprensión de los ataques de denegación de servicio" . US-CERT. 6 de febrero de 2013 . Consultado el 26 de mayo de 2016 .
  2. ^ Prince, Matthew (25 de abril de 2016). "Amenazas DDoS vacías: Conoce al Colectivo Armada" . CloudFlare . Consultado el 18 de mayo de 2016 .
  3. ^ "El presidente de Brand.com, Mike Zammuto, revela un intento de chantaje" . 5 de marzo de 2014. Archivado desde el original el 11 de marzo de 2014.
  4. ^ "Mike Zammuto de Brand.com habla de la extorsión de Meetup.com" . 5 de marzo de 2014. Archivado desde el original el 13 de mayo de 2014.
  5. ^ "La filosofía de los anónimos" . Radicalphilosophy.com. 2010-12-17 . Consultado el 10 de septiembre de 2013 .
  6. ^ "Ataques distribuidos de denegación de servicio - The Internet Protocol Journal - Volumen 7, número 4" . Cisco . Archivado desde el original el 26 de agosto de 2019 . Consultado el 26 de agosto de 2019 .
  7. ^ Smith, Steve. "5 redes de bots famosas que tomaron como rehén a Internet" . tqaweekly . Consultado el 20 de noviembre de 2014 .
  8. ^ Goodin, Dan (5 de marzo de 2018). "El proveedor de servicios estadounidense sobrevive al mayor DDoS registrado en la historia" . Ars Technica . Consultado el 6 de marzo de 2018 .
  9. ^ Guardabosques, Steve. "GitHub golpeó con el ataque DDoS más grande jamás visto | ZDNet" . ZDNet . Consultado el 14 de octubre de 2018 .
  10. ^ "Amazon 'frustra el ciberataque DDoS más grande de la historia ' " . BBC News . 18 de junio de 2020 . Consultado el 11 de noviembre de 2020 .
  11. ^ Pinho, Mario (29 de mayo de 2020). "El informe AWS Shield Threat Landscape ya está disponible" . Blog de seguridad de AWS . Consultado el 11 de noviembre de 2020 .
  12. Marvin, Rob (13 de junio de 2019). "Ataque DDoS chino golpea Telegram durante las protestas de Hong Kong" . Consultado el 7 de septiembre de 2019 .
  13. Cavanagh, Michaela (7 de septiembre de 2019). " ' Ataque malicioso' desconecta Wikipedia en Alemania" . Deutsche Welle . Consultado el 7 de septiembre de 2019 .
  14. ↑ a b Taghavi Zargar, Saman (noviembre de 2013). "Un estudio de los mecanismos de defensa contra ataques de inundación de denegación de servicio distribuida (DDoS)" (PDF) . ENCUESTAS Y TUTORIALES DE COMUNICACIONES IEEE. págs. 2046–2069 . Consultado el 7 de marzo de 2014 .
  15. Khalifeh, Soltanian, Mohammad Reza (10 de noviembre de 2015). Métodos teóricos y experimentales de defensa contra ataques DDoS . Amiri, Iraj Sadegh, 1977-. Waltham, MA. ISBN 978-0128053997. OCLC  930795667 .
  16. ^ "¿Su sitio web ha sido mordido por un zombi?" . Cloudbric. 3 de agosto de 2015 . Consultado el 15 de septiembre de 2015 .
  17. ^ a b "Ataques DDoS de capa siete". Instituto Infosec .
  18. ^ Raghavan, SV (2011). Una investigación sobre la detección y mitigación de ataques de denegación de servicio (DoS) . Saltador. ISBN 9788132202776.
  19. ^ Goodin, Dan (28 de septiembre de 2016). "DDoS récord entregado por> 145k cámaras pirateadas" . Ars Technica . Archivado desde el original el 2 de octubre de 2016.
  20. ^ Khandelwal, Swati (26 de septiembre de 2016). "El ataque DDoS de 1 Tbps más grande del mundo lanzado desde 152.000 dispositivos inteligentes pirateados" . The Hacker News. Archivado desde el original el 30 de septiembre de 2016.
  21. ^ Kumar, Bhattacharyya, Dhruba; Kalita, Jugal Kumar (27 de abril de 2016). Ataques DDoS: evolución, detección, prevención, reacción y tolerancia . Boca Raton, FL. ISBN 9781498729659. OCLC  948286117 .
  22. ^ "Imperva, panorama global de amenazas DDoS, informe de 2019" (PDF) . Imperva.com . Imperva . Consultado el 4 de mayo de 2020 .
  23. ^ Lee, Newton (2013). Contraterrorismo y ciberseguridad: Conciencia total de la información . Saltador. ISBN 9781461472056.
  24. ^ "Gartner dice que el 25 por ciento de los ataques distribuidos de denegación de servicios en 2013 se basarán en aplicaciones" . Gartner . 21 de febrero de 2013 . Consultado el 28 de enero de 2014 .
  25. ↑ a b Ginovsky, John (27 de enero de 2014). "Lo que debe saber sobre el empeoramiento de los ataques DDoS" . Revista Bancaria ABA . Archivado desde el original el 9 de febrero de 2014.
  26. ^ "Estado de Internet del cuarto trimestre de 2014 - informe de seguridad: números - el blog de Akamai" . blogs.akamai.com .
  27. ^ Ali, Junade (23 de noviembre de 2017). "El nuevo panorama DDoS" . Blog de Cloudflare .
  28. ^ Higgins, Kelly Jackson (17 de octubre de 2013). "Ataque DDoS utilizó navegador 'sin cabeza' en 150 horas de asedio" . Lectura oscura . InformationWeek. Archivado desde el original el 22 de enero de 2014 . Consultado el 28 de enero de 2014 .
  29. ↑ a b c d e f Kiyuna y Conyers (2015). Libro de consulta sobre la guerra cibernética . ISBN 978-1329063945.
  30. ^ Ilascu, Ionut (21 de agosto de 2014). "Asedio DDoS de 38 días asciende a más de 50 petabits en mal tráfico" . Noticias de Softpedia . Consultado el 29 de julio de 2018 .
  31. ^ Gold, Steve (21 de agosto de 2014). "Compañía de videojuegos golpeada por ataque DDoS de 38 días" . Revista SC Reino Unido . Archivado desde el original el 1 de febrero de 2017 . Consultado el 4 de febrero de 2016 .
  32. ^ Krebs, Brian (15 de agosto de 2015). "Pruebas de estrés de los servicios de arranque, financieramente" . Krebs sobre seguridad . Consultado el 9 de septiembre de 2016 .
  33. ^ Mubarakali, Azath; Srinivasan, Karthik; Mukhalid, Reham; Jaganathan, Subash CB; Marina, Ninoslav (26 de enero de 2020). "Desafíos de seguridad en Internet de las cosas: detección distribuida de ataques de denegación de servicio utilizando sistemas expertos basados ​​en máquinas de vectores de soporte" . Inteligencia computacional . 36 (4): 1580-1592. doi : 10.1111 / moneda.12293 . ISSN 0824-7935 . 
  34. ^ McDowell, Mindi (4 de noviembre de 2009). "Consejo de seguridad cibernética ST04-015: comprensión de los ataques de denegación de servicio" . Equipo de preparación para emergencias informáticas de los Estados Unidos . Archivado desde el original el 4 de noviembre de 2013 . Consultado el 11 de diciembre de 2013 .
  35. ↑ a b Dittrich, David (31 de diciembre de 1999). "La herramienta distribuida de ataque de denegación de servicio" stacheldraht " . Universidad de Washington. Archivado desde el original el 16 de agosto de 2000 . Consultado el 11 de diciembre de 2013 .
  36. ^ "Amazon CloudWatch" . Amazon Web Services, Inc .
  37. ^ Enciclopedia de tecnología de la información . Atlantic Publishers & Distributors. 2007. p. 397. ISBN 978-81-269-0752-6.
  38. ^ Schwabach, Aaron (2006). Internet y la ley . ABC-CLIO. pag. 325. ISBN 978-1-85109-731-9.
  39. ^ Lu, Xicheng; Wei Zhao (2005). Redes y Computación Móvil . Birkhäuser. pag. 424. ISBN 978-3-540-28102-3.
  40. ^ Boyle, Phillip (2000). "SANS Institute - Preguntas frecuentes sobre detección de intrusiones: herramientas distribuidas de ataque de denegación de servicio: n / a" . Instituto SANS. Archivado desde el original el 15 de mayo de 2008 . Consultado el 2 de mayo de 2008 .
  41. Leyden, John (23 de septiembre de 2004). "Empresa de tarjetas de crédito estadounidense lucha contra el ataque DDoS" . El registro . Consultado el 2 de diciembre de 2011 .
  42. ^ Swati Khandelwal (23 de octubre de 2015). "Hackear cámaras CCTV para lanzar ataques DDoS" . The Hacker News .
  43. ^ Zeifman, Igal; Gayer, Ofer; Wilder, Or (21 de octubre de 2015). "Botnet CCTV DDoS en nuestro propio patio trasero" . incapsula.com .
  44. Glenn Greenwald (15 de julio de 2014). "HACKING EN LÍNEA Y OTRAS FORMAS DE QUE LOS ESPÍAS BRITÁNICOS BUSCAN CONTROLAR INTERNET" . La intercepción_ . Consultado el 25 de diciembre de 2015 .
  45. ^ "¿Quién está detrás de los ataques DDoS y cómo puede proteger su sitio web?" . Cloudbric. 10 de septiembre de 2015 . Consultado el 15 de septiembre de 2015 .
  46. ^ Solon, Olivia (9 de septiembre de 2015). "Los ciber-extorsionistas que apuntan al sector financiero están exigiendo rescates de Bitcoin" . Bloomberg . Consultado el 15 de septiembre de 2015 .
  47. ^ Greenberg, Adam (14 de septiembre de 2015). "Akamai advierte del aumento de la actividad del grupo de extorsión DDoS" . Revista SC . Consultado el 15 de septiembre de 2015 .
  48. ^ "Plan OWASP - Strawman - Layer_7_DDOS.pdf" (PDF) . Abra el proyecto de seguridad de aplicaciones web . 18 de marzo de 2014 . Consultado el 18 de marzo de 2014 .
  49. ^ "Herramienta de publicación HTTP OWASP" . Archivado desde el original el 21 de diciembre de 2010.
  50. ^ "¿Qué es un ataque CC?" . HUAWEI CLOUD: crece con inteligencia . Archivado desde el original el 5 de marzo de 2019 . Consultado el 5 de marzo de 2019 .
  51. ^ 刘鹏; 郭 洋. "Método, dispositivo y sistema de defensa del ataque CC (challenge collapsar)" . Patentes de Google . Archivado desde el original el 5 de marzo de 2019 . Consultado el 5 de marzo de 2018 .
  52. ^ 曾宪 力; 史 伟; 关 志 来; 彭国柱. "Método y dispositivo de protección contra ataques CC (Challenge Collapsar)" . Patentes de Google . Archivado desde el original el 5 de marzo de 2019 . Consultado el 5 de marzo de 2018 .
  53. ^ "史上 最 臭名昭著 的 黑客 工具 CC 的 前世 今生" . NetEase (en chino). 驱动 中国 网 (北京). 2014-07-24. Archivado desde el original el 5 de marzo de 2019 . Consultado el 5 de marzo de 2019 .
  54. ^ "Tipos de ataques DDoS" . Recursos distribuidos de ataques de denegación de servicio (DDoS), laboratorios de tecnología generalizada en la Universidad de Indiana . Laboratorio de gestión avanzada de redes (ANML). 3 de diciembre de 2009. Archivado desde el original el 14 de septiembre de 2010 . Consultado el 11 de diciembre de 2013 .
  55. ^ a b "¿Qué es un arma nuclear? | Radware - DDoSPedia" . security.radware.com . Consultado el 16 de septiembre de 2019 .
  56. ^ Paul Sop (mayo de 2007). "Alerta de ataque de denegación de servicio distribuida de Prolexic" . Prolexic Technologies Inc . Prolexic Technologies Inc. Archivado desde el original el 3 de agosto de 2007 . Consultado el 22 de agosto de 2007 .
  57. ^ Robert Lemos (mayo de 2007). "Redes peer-to-peer cooptadas para ataques DOS" . SecurityFocus . Consultado el 22 de agosto de 2007 .
  58. ^ Fredrik Ullner (mayo de 2007). "Negar ataques distribuidos" . DC ++: Solo estos chicos, ¿sabes? . Consultado el 22 de agosto de 2007 .
  59. Leyden, John (21 de mayo de 2008). "El ataque de flasheo destruye los sistemas embebidos" . El registro . Consultado el 7 de marzo de 2009 .
  60. ^ Jackson Higgins, Kelly (19 de mayo de 2008). "Hardware de sabotajes de ataque de denegación de servicio permanente" . Lectura oscura. Archivado desde el original el 8 de diciembre de 2008.
  61. ^ " Resultados de " BrickerBot "en ataque PDoS" . Radware . Radware. 4 de mayo de 2017 . Consultado el 22 de enero de 2019 .
  62. ^ "Conferencia de seguridad aplicada de EUSecWest: Londres, Reino Unido" EUSecWest. 2008. Archivado desde el original el 1 de febrero de 2009.
  63. ^ Rossow, Christian (febrero de 2014). "Infierno de amplificación: revisando los protocolos de red para el abuso de DDoS" (PDF) . Sociedad de Internet. Archivado desde el original (PDF) el 4 de marzo de 2016 . Consultado el 4 de febrero de 2016 .
  64. ^ Paxson, Vern (2001). "Un análisis del uso de reflectores para ataques distribuidos de denegación de servicio" . ICIR.org.
  65. ^ "Alerta (TA14-017A) Ataques de amplificación basados ​​en UDP" . US-CERT. 8 de julio de 2014 . Consultado el 8 de julio de 2014 .
  66. ^ "Notas de la versión Memcached 1.5.6" . 2018-02-27 . Consultado el 3 de marzo de 2018 .
  67. ^ "Ataque DRDoS / Amplification usando el comando ntpdc monlist" . support.ntp.org. 2010-04-24 . Consultado el 13 de abril de 2014 .
  68. van Rijswijk-Deij, Roland (2014). "DNSSEC y su potencial para ataques DDoS". DNSSEC y su potencial para ataques DDoS: un estudio de medición integral . Prensa ACM. págs. 449–460. doi : 10.1145 / 2663716.2663731 . ISBN 9781450332132.
  69. ^ Adamsky, Florian (2015). "Intercambio de archivos P2P en el infierno: aprovechando las vulnerabilidades de BitTorrent para lanzar ataques DoS reflectantes distribuidos" .
  70. ^ Vaughn, Randal; Evron, Gadi (2006). "Ataques de amplificación de DNS" (PDF) . ISOTF. Archivado desde el original (PDF) el 14 de diciembre de 2010.
  71. ^ "Alerta (TA13-088A) Ataques de amplificación de DNS" . US-CERT. 8 de julio de 2013 . Consultado el 17 de julio de 2013 .
  72. ^ a b Kolias, Constantinos; Kambourakis, Georgios; Stavrou, Angelos; Voas, Jeffrey (2017). "DDoS en el IoT: Mirai y otras botnets". Computadora . 50 (7): 80–84. doi : 10.1109 / MC.2017.201 .
  73. ^ Kuzmanovic, Aleksandar; Knightly, Edward W. (25 de agosto de 2003). Ataques de denegación de servicio de baja velocidad dirigidos a TCP: la musaraña frente a los ratones y los elefantes . ACM. págs. 75–86. CiteSeerX 10.1.1.307.4107 . doi : 10.1145 / 863955.863966 . ISBN  978-1581137354.
  74. ^ "SACK Panic y otros problemas de denegación de servicio de TCP" . Wiki de Ubuntu . 17 de junio de 2019. Archivado desde el original el 19 de junio de 2019 . Consultado el 21 de junio de 2019 .
  75. ^ "CVE-2019-11479" . CVE . Archivado desde el original el 21 de junio de 2019 . Consultado el 21 de junio de 2019 .
  76. ^ Yu Chen; Kai Hwang; Yu-Kwong Kwok (2005). "Filtrado de ataques DDoS de musaraña en dominio de frecuencia". 30º aniversario de la Conferencia IEEE sobre redes informáticas locales (LCN'05) l . págs. 8 págs. doi : 10.1109 / LCN.2005.70 . ISBN 978-0-7695-2421-4.
  77. ↑ a b Ben-Porat, U .; Bremler-Barr, A .; Levy, H. (1 de mayo de 2013). "Vulnerabilidad de los mecanismos de red a sofisticados ataques DDoS". Transacciones IEEE en computadoras . 62 (5): 1031–1043. doi : 10.1109 / TC.2012.49 . ISSN 0018-9340 . 
  78. ^ orbitalsatelite. "Prueba HTTP lenta" . SourceForge .
  79. ^ "Ataques de inundación TCP SYN y mitigaciones comunes" . Tools.ietf.org . Agosto de 2007. RFC 4987 . Consultado el 2 de diciembre de 2011 . 
  80. ^ "Asesoramiento CERT CA-1997-28 ataques de denegación de servicio IP" . CERT. 1998 . Consultado el 18 de julio de 2014 .
  81. ^ "Windows 7, Vista expuesta a 'ataque de lágrima ' " . ZDNet . 8 de septiembre de 2009 . Consultado el 11 de diciembre de 2013 .
  82. ^ "Aviso de seguridad de Microsoft (975497): vulnerabilidades en SMB podrían permitir la ejecución remota de código" . Microsoft.com. 8 de septiembre de 2009 . Consultado el 2 de diciembre de 2011 .
  83. ^ "FBI - llamadas telefónicas falsas distraen a los consumidores del robo genuino" . FBI.gov. 2010-05-11 . Consultado el 10 de septiembre de 2013 .
  84. ^ "Alertas de estafa de Internet Crime Complaint Center (IC3) 7 de enero de 2013" . IC3.gov . 2013-01-07 . Consultado el 10 de septiembre de 2013 .
  85. ^ "Identificación y mitigación de ataques de vencimiento TTL" . Cisco Systems . Consultado el 24 de mayo de 2019 .
  86. ^ "El nuevo método de ataque DDoS aprovecha UPnP" . Lectura oscura . Consultado el 29 de mayo de 2018 .
  87. ^ "El nuevo método de ataque DDoS exige un nuevo enfoque para la mitigación del asalto de amplificación - Blog | Imperva" . Blog | Imperva . 2018-05-14 . Consultado el 29 de mayo de 2018 .
  88. ^ Guía de ataques DDoS, pág. 8
  89. ^ "Ataques de amplificación basados ​​en UDP" .
  90. ^ SSDP genera 100 Gbps DDoS
  91. ^ "El protocolo DDoS estúpidamente simple (SSDP) genera 100 Gbps DDoS" . El blog de Cloudflare . 2017-06-28 . Consultado el 13 de octubre de 2019 .
  92. ^ Loukas, G .; Oke, G. (septiembre de 2010) [agosto de 2009]. "Protección contra ataques de denegación de servicio: una encuesta" (PDF) . Computación. J. 53 (7): 1020–1037. doi : 10.1093 / comjnl / bxp078 . Archivado desde el original (PDF) el 24 de marzo de 2012 . Consultado el 2 de diciembre de 2015 .
  93. ^ Alqahtani, S .; Gamble, RF (1 de enero de 2015). Ataques DDoS en nubes de servicio . 2015 48th Hawaii International Conference on System Sciences (HICSS) . págs. 5331–5340. doi : 10.1109 / HICSS.2015.627 . ISBN 978-1-4799-7367-5.
  94. ^ Kousiouris, George (2014). "INDICADORES CLAVE DE FINALIZACIÓN: minimización del efecto de los ataques DoS en aplicaciones elásticas basadas en la nube basadas en puntos de control de la cadena de markov a nivel de aplicación". Conferencia CLOSER . doi : 10.5220 / 0004963006220628 .
  95. Patrikakis, C .; Masikos, M .; Zouraraki, O. (diciembre de 2004). "Ataques distribuidos de denegación de servicio" . El diario de protocolo de Internet . 7 (4): 13–35.
  96. ^ Abante, Carl (2 de marzo de 2013). "Relación entre Firewalls y Protección contra DDoS" . Sabiduría del comercio electrónico . Consultado el 24 de mayo de 2013 .[ dudoso - discutir ]
  97. ^ Popeskic, Valter. "¿Cómo prevenir o detener los ataques DoS?" .
  98. ^ Froutan, Paul (24 de junio de 2004). "Cómo defenderse de los ataques DDoS" . Computerworld . Consultado el 15 de mayo de 2010 .
  99. ^ "Las preocupaciones sobre la vulnerabilidad de la seguridad cibernética se disparan" . ComputerWeekly.com . Consultado el 13 de agosto de 2018 .
  100. ^ Suzen, Mehmet. "Algunos consejos de IoS para (proveedores) de servicios de Internet" (PDF) . Archivado desde el original (PDF) el 10 de septiembre de 2008.
  101. ^ "Mitigación de DDoS a través de centros de limpieza regionales (enero de 2004)" (PDF) . SprintLabs.com . Sprint ATL Research. Archivado desde el original (PDF) el 21 de septiembre de 2008 . Consultado el 2 de diciembre de 2011 .
  102. ^ Ataque SSDP DDoS
  103. Shiels, Maggie (26 de junio de 2009). "Web se ralentiza después de la muerte de Jackson" . BBC News .
  104. ^ "Lo sentimos. Error de consulta automatizada" . Foros de productos de Google ›Foro de búsqueda de Google . 20 de octubre de 2009 . Consultado el 11 de febrero de 2012 .
  105. ^ "YouTube demandado por sitio de sonido similar" . BBC News . 2006-11-02.
  106. ^ Bill Chappell (12 de marzo de 2014). "La gente sobrecarga el sitio web, con la esperanza de ayudar a buscar Jet perdido" . NPR . Consultado el 4 de febrero de 2016 .
  107. ^ Palmer, Daniel (19 de agosto de 2016). "Los expertos ponen en duda las afirmaciones de DDoS del censo" . Delimitador . Consultado el 31 de enero de 2018 .
  108. ^ "Análisis de retrodispersión (2001)" . Animaciones (video). Asociación Cooperativa para el Análisis de Datos de Internet . Consultado el 11 de diciembre de 2013 .
  109. ^ "FBI incauta 15 sitios web de DDoS-para-alquiler" . Kotaku . El 6 de enero de 2019.
  110. ^ "Código de Estados Unidos: Título 18,1030. Fraude y actividad relacionada en relación con las computadoras | Oficina de impresión del gobierno" . gpo.gov. 2002-10-25 . Consultado el 15 de enero de 2014 .
  111. ^ "Hombre de Utah condenado por delito de piratería informática" . 2019-07-02. Archivado desde el original el 10 de julio de 2019.
  112. Smolaks, Max (4 de julio de 2019). "Get rekt: dos años en tintineo para DerpTrolling DDoS mocoso que revienta el juego" . El registro . Consultado el 27 de septiembre de 2019 .Austin Thompson, también conocido como DerpTrolling, quien saltó a la fama en 2013 al lanzar ataques de denegación de servicio distribuido (DDoS) contra las principales empresas de videojuegos, ha sido condenado a 27 meses de prisión por un tribunal federal. Thompson, residente de Utah, también tendrá que pagar $ 95,000 a Daybreak Games, que era propiedad de Sony cuando sufrió a manos de DerpTrolling. Entre diciembre de 2013 y enero de 2014, Thompson también derribó Steam de Valve, la plataforma de distribución digital más grande para juegos de PC, así como el servicio Origin de Electronic Arts y BattleNet de Blizzard. La interrupción duró desde horas hasta días.
  113. ^ "Acción internacional contra el grupo ciberdelincuente DD4BC" . EUROPOL . 12 de enero de 2016.
  114. ^ "Ley de uso indebido de computadoras de 1990" . Legislación.gov.uk: Archivos Nacionales del Reino Unido . 10 de enero de 2008.
  115. ^ "Sala de redacción" . Europol . Consultado el 29 de enero de 2019 .
  116. ^ "Las autoridades de todo el mundo persiguen a los usuarios del sitio web más grande de DDoS para contratar" . Europol . Consultado el 29 de enero de 2019 .
  117. ^ "Petición DDoS anónima: el grupo llama a la Casa Blanca para reconocer la denegación de servicio distribuida como protesta" . HuffingtonPost.com. 2013-01-12.

Lectura adicional [ editar ]

  • Ethan Zuckerman; Hal Roberts; Ryan McGrady; Jillian York; John Palfrey (diciembre de 2011). "Ataques distribuidos de denegación de servicio contra medios independientes y sitios de derechos humanos" (PDF) . El Berkman Center for Internet & Society de la Universidad de Harvard. Archivado desde el original (PDF) el 26 de febrero de 2011 . Consultado el 2 de marzo de 2011 .
  • "Informes de medios públicos de DDOS" . Harvard. Archivado desde el original el 25 de diciembre de 2010.
  • PC World: los ataques DDoS en la capa de aplicación se están volviendo cada vez más sofisticados

Enlaces externos [ editar ]

  • RFC  4732 Consideraciones sobre la denegación de servicio de Internet
  • Informe de Akamai sobre el estado de la seguridad de Internet: estadísticas trimestrales de tendencias de Internet y seguridad
  • Preguntas frecuentes sobre la seguridad en la World Wide Web del W3C
  • cert.org Guía de CERT para ataques DoS. (documento histórico)
  • Informe resumido de ATLAS : informe global en tiempo real de ataques DDoS.
  • Cañón de iones de órbita baja : la conocida herramienta de prueba de tensión de red
  • Cañón de iones de alta órbita : un Flooder HTTP simple
  • LOIC SLOW Un intento de incorporar SlowLoris y Slow Network Tools en LOIC