Pin It

Security

NOTA: Este articulo fue publicado originalmente en inglés en la revista PenTest Magazine.
Ramiro Caire – IT professional & Security Consultant
ramiro.caire at gmail.com – Twitter: @rcaire



Este artículo cubrirá algunos conceptos acerca de un tipo de ataque conocido llamado "DDoS" (Denegación de Servicio Distribuído, por sus siglas en ingles) con algunas demostraciones en laboratorio como “Prueba de Concepto” con algunas contramedidas. En este paper, nos enfocaremos en dos tipos de ataques: "SYN Flood" y "Slow HTTP DDoS Attack".

Entendiendo DDoS

Es muy probable que ud ya conozca el Ataque de Denegación de Servicio Distribuído (DDoS) el cual es una extensión del ya conocido DoS (Denial of Service) que sucede cuando el servidor objetivo se ve saturado de peticiones TCP o UDP a determinado servicio (por lo general, servicio web al puerto 80, pero esto depende de las intenciones del atacante, cualquier servicio puede ser vulnerable) dejando de responder incluso a peticiones genuinas.

El concepto de "Distribuído" es concerniente a que estas peticiones son realizadas desde cientos, miles de máquinas infectadas (comunmente llamadas "zombies") las cuales son gobernadas a través de "Botnets" de manera coordinada al mismo tiempo, lo cual supone una sumatoria de ancho de banda, uso de memoria y procesamiento en el objetivo que, por lo general, ningun servidor podría soportar, terminando en un colapso del servicio atacado por no poder responder cada peticion.

En este articulo haremos foco en dos tipos de ataques, los mismos son "SYN flood" y "Slow HTTP DDoS Attack".

La clave del éxito para los ataques de DDoS es la cantidad de “zombies” con que cuenta cada Botnet. Podemos afirmar que mayor es el número de máquinas atacantes, mayor es la efectividad del ataque.

A modo de ejemplo, hagamos el siguiente cálculo rápido:
Una "botnet" tiene 3000 máquinas zombies listas para atacar. Cada máquina utiliza una conexion hogareña (generalmente xDSL) con un promedio de 128 Kib/s de ancho de banda de subida (upstream):

3000 hosts * 128 KiB/s (upstream) = 384000 KiB/s = 375,00 MiB/s

Es decir, se genera un tráfico resultante de 375,00 MiB/s, el cual es un ancho de banda más que suficiente para colapsar prácticamente cualquier sistema (aún estando protegido) ya que los vínculos que los ISP le otorgan a los servidores target son claramente inferiores a este valor. Pero este no es el único factor que influye en el éxito de un ataque DDoS, también podemos mencionar la variante de ataque que se realizará (descriptos anteriormente), la buena o mala configuración de los servidores target, la duración del ataque, etc.

Contenido completo en fuente original Vanguardsec - Parte I y II
 

0 comentarios:

Publicar un comentario

 
Top