Tipos de ataques DDoS | Protección DDoS

El ataque DDoS (Denegación de servicio) es un bombardeo de los servidores de la víctima en paquetes separados con una dirección de retorno falsa. La falla en este caso es el resultado del desbordamiento (obstrucción del tráfico) de la banda alquilada por el cliente desde el host, o el aumento del consumo de recursos en el sistema atacado. Al mismo tiempo, los atacantes enmascaran la dirección del remitente para evitar la posibilidad de bloqueo de IP. Echemos un vistazo a algunos tipos comunes.

TCP SYN Flood

El propósito del ataque SYN Flood es gastar en exceso los recursos del sistema. Para cada paquete SYN entrante, el sistema reserva ciertos recursos en la memoria, genera una respuesta SYN + ACK que contiene información criptográfica, búsquedas en las tablas de sesiones, etc., es decir, consume tiempo del procesador. La denegación de servicio ocurre con un flujo SYN Flood de 100 a 500 mil paquetes por segundo. Y un atacante, que tiene al menos un canal de gigabits, puede dirigir un flujo de hasta 1,5 millones de paquetes por segundo. La protección contra el tipo de ataques SYN Flood se lleva a cabo mediante sistemas DPI, que pueden analizar y controlar el tráfico que los atraviesa. Por ejemplo, dicha funcionalidad proporciona una solución SCAT de expertos en VAS. El sistema primero detecta un ataque cuando se supera el umbral especificado de solicitudes SYN no confirmadas por el cliente, y luego, de forma independiente, en lugar del sitio protegido, responde a ellas. Una sesión TCP se organiza desde sitios protegidos después de que el cliente confirma la solicitud.

Inundación UDP fragmentada

Este ataque se lleva a cabo mediante paquetes UDP fragmentados de pequeño tamaño, para el análisis y ensamblaje de los cuales la plataforma debe asignar recursos. Los sistemas de análisis de tráfico profundo también brindan protección contra este tipo de inundación, descartando protocolos que no son relevantes para el sitio web del cliente o restringiéndolos por banda. Por ejemplo, para los sitios web, los protocolos de trabajo son HTTP, HTTPS; en este caso, los protocolos irrelevantes pueden simplemente excluirse o limitarse en el ancho de banda.

Atacar usando botneta

Los atacantes generalmente intentan inundar el carril de la víctima con una gran cantidad de paquetes o conexiones, sobrecargando el equipo de red. Tales ataques volumétricos se llevan a cabo utilizando muchos sistemas comprometidos que son parte del bodnet.

En este ejemplo, un atacante controla varias «máquinas zombies» para realizar ataques. Los «zombis» se comunican con la máquina host a través de un canal secreto seguro, y el control a menudo se lleva a cabo a través de IRC, redes P2P e incluso a través de Twitter. Al realizar este tipo de ataque, el usuario no necesita ocultar la dirección IP de cada máquina, y debido a la gran cantidad de computadoras involucradas en el ataque, tales acciones conducen a una carga significativa en el sitio. Además, los atacantes suelen elegir las solicitudes que requieren más recursos.

Se utilizan varias estrategias de comportamiento para proteger contra los ataques de botnet , cuya tarea es detectar desviaciones inesperadas y ráfagas de tráfico. Otra opción que ofrece VAS Experts es utilizar la prueba de Turing (páginas CAPTCHA). En este caso, solo los usuarios que hayan superado con éxito la prueba de «humanidad» pueden trabajar con el sitio. Al mismo tiempo, la página de captcha se encuentra en un servidor separado capaz de manejar el flujo de solicitudes de botnet de cualquier tamaño. También me gustaría mencionar los ataques que aparecieron relativamente recientemente. Estamos hablando de ataques en dispositivos IoT para «capturarlos» e incluirlos en una botnet para ataques DDoS. Los atacantes usan una táctica simple: escanean todas las direcciones IP disponibles y buscan puertos Telnet o SSH abiertos. Cuando se encuentran dichas direcciones, intentan iniciar sesión utilizando un conjunto estándar de inicios de sesión y contraseñas. Si se obtiene acceso al equipo, se descarga un archivo de script ( .sh ) que bombea el cuerpo del bot, lo inicia y cierra el acceso al dispositivo, bloquea los puertos Telnet y realiza cambios en iptables para evitar que el sistema sea interceptado por otro gusano. Para minimizar el riesgo o evitar la piratería de dispositivos IoT, debe realizar pasos simples: deshabilite las funciones de red no utilizadas del dispositivo, deshabilite el acceso Telnet y acceda a SSH, si es posible cambie a una conexión por cable en lugar de Wi-Fi y también actualice regularmente el software.

Pitufo ataca

El atacante envía un paquete falso de eco ICMP a la dirección de transmisión. En este caso, la dirección de origen del paquete se reemplaza por la dirección de la víctima para «sustituir» el sistema de destino. Como el paquete Echo se envió a la dirección de transmisión, todas las máquinas de la red amplificadora devuelven sus respuestas a la víctima. Después de enviar un paquete ICMP a una red de 100 sistemas, el atacante inicia un aumento de cien veces en el ataque DDoS. Para evitar el efecto de la amplificación, los expertos en seguridad de redes recomiendan prohibir las operaciones de transmisión directa en todos los enrutadores fronterizos. También vale la pena, además, configurar el sistema operativo en el modo «silencioso» de descartar paquetes de eco ICMP de difusión. Ataque DNS mejoradoUn ataque de ganancia es el ataque DDoS más común que utiliza servidores de nombres recursivos. Es similar a un ataque de Pitufo, solo en este caso el atacante envía pequeñas consultas al solucionador de DNS, como si lo obligara a enviar respuestas a la dirección falsificada. En cuanto a un ejemplo específico, en febrero de 2007, se llevaron a cabo una serie de ataques en los servidores DNS raíz, de los cuales depende directamente el funcionamiento normal de toda la red. Las prácticas populares de defensa contra este tipo de ataque se pueden encontrar en el sitio web de Cisco.

Restablecer TCP

El restablecimiento de TCP se realiza manipulando paquetes RST en una conexión TCP. Un paquete RST es un encabezado que indica que es necesaria una reconexión. Esto generalmente se usa si se ha detectado algún error o si se va a detener la carga de datos. Un atacante puede interrumpir una conexión TCP enviando constantemente un paquete RST con valores válidos, lo que hace que sea imposible establecer una conexión entre la fuente y el receptor. Este tipo de ataque puede prevenirse: es necesario controlar cada paquete transmitido y asegurarse de que la secuencia de números llegue en el orden correcto. Los sistemas de análisis de tráfico profundo manejan esto. Ahora, el objetivo principal de piratear dispositivos es la organización de ataques DDoS o causar daños al restringir el acceso de los usuarios al sitio en Internet. Por lo tanto, los operadores de telecomunicaciones, los proveedores de servicios de Internet y otras compañías, incluidos los expertos VAS, también ofrecen y organizan soluciones de protección DDoS: monitoreo de tráfico en tiempo real para rastrear anomalías y ráfagas de banda, función NAT de grado de operador, que le permite «esconderse »El dispositivo del suscriptor de intrusos, que bloquea el acceso a él desde Internet, así como otros sistemas inteligentes e incluso de autoaprendizaje.

Descargo de responsabilidad : este artículo está escrito solo con fines educativos. El autor o editor no publicó este artículo con fines maliciosos. Si los lectores desean utilizar la información para beneficio personal, el autor y el editor no son responsables de ningún daño o daño causado.