Denegacin del servicio Distribuidos - DDoS)

En seguridad informtica, un ataque de denegacin de servicio, tambin llamado ataque DoS (de las siglas en ingls Denial of Service), es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legtimos. Normalmente provoca la prdida de la conectividad de la red por el consumo del ancho de banda de la red de la vctima o sobrecarga de los recursos computacionales del sistema de la vctima. Se genera mediante la saturacin de los puertos con flujo de informacin, haciendo que el servidor se sobrecargue y no pueda seguir prestando servicios, por eso se le denomina "denegacin", pues hace que el servidor no d abasto a la cantidad de solicitudes. Esta tcnica es usada por los llamadoscrackers para dejar fuera de servicio a servidores objetivo. Una ampliacin del ataque DoS es el llamado ataque distribuido de denegacin de servicio, tambin llamado ataque DDoS (de las siglas en inglsDistributed Denial of Service) el cual lleva a cabo generando un gran flujo de informacin desde varios puntos de conexin. La forma ms comn de realizar un DDoS es a travs de una botnet, siendo esta tcnica el ciberataque ms usual y eficaz por su sencillez tecnolgica. En ocasiones, esta herramienta ha sido utilizada como un buen mtodo para comprobar la capacidad de trfico que un ordenador puede soportar sin volverse inestable y afectar a los servicios que presta. Un administrador de redes puede as conocer la capacidad real de cada mquina.

En qu consiste un ataque de DOS? Un ataque de Denegacin de Servicio tiene como objetivo dejar inaccesible a un determinado recurso (generalmente un servidor web). Estos ataques generalmente se llevan a cabo mediante el uso de herramientas que envan una gran cantidad de paquetes de forma automtica para desbordar los recursos del

servidor logrando de esta manera que el propio servicio quede inoperable. Adems, se suelen coordinar ataques involucrando un gran nmero de personas para que inicien este tipo de ataque en simultneo, tratndose as de un ataque de denegacin de servicio distribuido, el cul muchas veces es un poco ms difcil de contener. Qu mtodos de defensa existen? Se debe revisar la configuracin de Routers y Firewalls para detener IPs invlidas as como tambin el filtrado de protocolos que no sean necesarios. Algunos firewalls y routers proveen la opcin de prevenir inundaciones (floods) en los protocolos TCP/UDP. Adems es aconsejable habilitar la opcin de logging (logs) para llevar un control adecuado de las conexiones que existen con dichos routers. Cmo medida de respuesta es muy importante contar con un plan de respuesta a incidentes. Si ocurre algn hecho de este tipo, cada persona dentro de la organizacin debera saber cul es su funcin especfica. Otras de las alternativas que se deben tener en cuenta es la solicitud ayuda al Proveedor de Servicios de Internet (ISP). Esto puede ayudar a bloquear el trfico ms cercano a su origen sin necesidad de que alcance a la organizacin. En caso de contar con IDS/IPS (intrusin-detection/prevention system), estos pueden detectar el mal uso de protocolos vlidos como posibles vectores de ataque. Se debe tener en cuenta, adems, la configuracin de estas herramientas. Esto debe realizarse con el tiempo necesario y mediante personal capacitado, intentando en lo posible mantener actualizadas las firmas de estos dispositivos. Cabe destacar que es de suma importancia analizar los casos de falsos positivos para llevar a cabo una posible reconfiguracin de este tipo de herramientas. Algunos consejos un poco ms tcnicos que pueden ayudar son:

Limitar la tasa de trfico proveniente de un nico host. Limitar el nmero de conexiones concurrentes al servidor. Restringir el uso del ancho de banda por aquellos hosts que cometan violaciones. Realizar un monitoreo de las conexiones TCP/UDP que se llevan a cabo en el servidor (permite identificar patrones de ataque).

Posiblemente este tipo de ataques seguirn ocurriendo a lo largo del tiempo. Es por esto que es necesario adoptar medidas preventivas para intentar evitarlos as como tambin contar con los recursos necesarios a la hora de responder en caso de que el ataque fuera exitoso.

En forma general, un ataque de Denegacin de Servicio (DoS por sus siglas en ingls) se genera mediante la saturacin o sobrecarga de un servicio o recurso, de forma tal que el mismo deja de responder, lo hace en forma intermitente o ms lento que de lo normal. Un ataque de DDoS se produce cuando cientos o miles de computadoras se conectan a un servicio y, como el servidor no es capaz de responder a cada una de las solicitudes deja de responder (denegacin) y se vuelve inaccesible para los posibles usuarios legtimos. Generalmente las conexiones y ancho de banda consumido provoca la prdida de la conectividad de la red de la vctima. La eficiencia del ataque se basa en la cantidad de atacantes y en el ancho de banda utilizado por cada uno de ellos. En un ejemplo publicado por Microsoft suponen lo siguiente:

se tienen 500 mquinas atacantes cada una de ellas tiene una conexin DSL y utiliza un ancho de 128 Kb/seg. (de subida)

Con esto se puede generar 500 * 128 Kb/seg. = 64000 Kb/seg. = 62,5 MB/seg. Esto es aproximadamente el tamao de 40 lneas T1 (1,544 MB/seg.). Por supuesto variando el nmero de atacantes y su ancho de banda promedio, se producen cambios en el volumen de trfico y as se podra inundar fcilmente redes de cualquier tamao.

Si bien el ataque ms conocido y realizado en la actualidad es al servicio web, se puede realizar sobre cualquier recurso de la vctima, desde el correo electrnico (e-mail bombing), tiempos de procesamiento, espacio de almacenamiento, telfono, fax, etc. La saturacin simplemente obedece a afectar de alguna forma la ejecucin normal de tareas por parte del afectado, lo cual finalmente impacta en su imagen y en los beneficios del negocio. En caso de una entidad pblica o gubernamental este tipo de ataques puede afectar seriamente a las operaciones que la entidad brinda a los ciudadanos y por eso se utiliza como medio de reclamo y protesta ya que el impacto es pblico, masivo y multiplicador.

En la actualidad estos ataques se pueden realizar de diversas maneras pero se destaca el uso y alquiler de Botnet: la infeccin de miles de usuarios permite

utilizar esos recursos como herramienta de ataque por parte de un delincuente en el momento que se desee. Bsicamente cualquier usuario, infectado por un troyano del tipo Bot, puede formar parte de un ataque dirigido a una organizacin y, sin saberlo ser "cmplice" de la comisin de delitos con alcance internacional.