Ataques de Denegación de Servicio: Simulación y Prevención

Clase 23 de 33 • Curso de Pentesting a Redes

Resumen

¿Qué son los ataques de denegación de servicio?

Los ataques de denegación de servicio (DoS) y ataques de denegación de servicio distribuido (DDoS) son dos tipos de ataques cibernéticos extremadamente comunes hoy en día. Estos ataques buscan desactivar servicios al saturarlos de información para que los dispositivos afectados no puedan responder adecuadamente. A pesar de su impacto, como Open testers, no necesitamos saturar por completo una red; podemos simular estos ataques para medir las respuestas de las redes y dispositivos bajo estrés.

¿Cuáles son los objetivos de estos ataques?

Podemos agrupar los ataques de denegación de servicio en tres grandes categorías:

Compromiso de servidores web: Los servidores web suelen ser los primeros blancos debido a su exposición constante a internet.
Obstaculización del acceso a recursos internos: Se puede intentar redirigir tráfico hacia la red interna de una organización para saturarla.
Detención del funcionamiento de segmentos de red o dispositivos específicos: Esto se hace para lograr que un recurso interno o específico no esté disponible.

¿Cuáles son los tipos de ataques de denegación de servicio?

Podemos clasificar los ataques de denegación de servicio en dos grandes tipos:

Ataques a nivel de red: Se saturan protocolos como TCP y Ethernet, afectando la infraestructura.
Ataques a nivel de aplicación: El famoso ejemplo es la saturación de servicios HTTP en el puerto 80, utilizados por servidores web, para impedir el acceso de usuarios a una página.

¿Cómo se ejecuta un ataque DDoS distribuido?

A diferencia de un DoS normal, un ataque DDoS utiliza múltiples máquinas desde diferentes ubicaciones (a menudo controladas por una botnet) para saturar un servidor o servicio de forma sincronizada.

Arquitectura distribuida: Un solo controlador maestro supervisa las máquinas 'bots' o 'zombies' que realizan el ataque simultáneamente.
Ejemplo de ataques famosos: Grupos como Anonymous han usado este método para saturar sitios web de grandes corporaciones como Visa y Sony.

¿Cómo podemos prevenir ser víctimas de un ataque de este tipo?

Como testers y profesionales en seguridad, nuestro objetivo no es demostrar el daño, sino fortalecer la seguridad. A continuación algunas recomendaciones:

Desactivar servicios o puertos innecesarios: Minimiza las superficies de ataque potenciales.
Limitar el ancho de banda por servicio: Mantener un control del flujo puede ayudar a manejar situaciones de saturación.
Dispositivos de seguridad perimetral: Pueden bloquear accesos desde direcciones IP sospechosas después de un conteo determinado de solicitudes.
Absorción del ataque: La opción más cara, pero confiable, implica robustecer los servidores para que puedan gestionar una alta cantidad de tráfico y peticiones.

Siempre recuerda, al realizar un Pen Testing, la intención es mejorar la seguridad organizacional y no atacar indiscriminadamente. Al implementar estas estrategias, no solo prevenimos ataques potenciales, sino que también fortalecemos la infraestructura general.

Jose Luis Quintero Sanchez

student•

Una de las Estrategias de Protección mas usadas por las empresas (incluso Platzi), es la incorporación de un CDN, como por ejemplo CloudFlare, Cloudfront (Amazon AWS), Incapsula (Imperia). Normalmente estos CDN, ademas de agilizar tus paginas web haciendo caching de contenido estático, también proporciona módulos de WAF (Web Application Firewall) que ademas de proteger contra el Top 10 OWASP, también detienen ataques DDoS, de hecho, son capaces de absorber y contener.

Diego Fernando Ramos Aguirre

student•

Gracias por el aporte.

Oscar Jaramillo

student•

Gerson Cortes

student•

Ataques de amplificación | Cuando abre una página web, inicialmente envía una pequeña cantidad de datos y el servidor envía una respuesta mucho mayor. Lo mismo ocurre con algunos servidores DNS, servidores Network Time Protocol (NTP), bases de datos y cachés, y otros.

Por ejemplo, un atacante podría usar la red BotNet para enviar una solicitud a un servidor NTP abierto. La primera solicitud es pequeña y consta de unos pocos bytes. Pero la respuesta puede ser 200 veces mayor. Un atacante que envía un megabyte puede generar una respuesta de 200 megabytes. Si suplantan la dirección IP de la consulta inicial, los datos van directamente al objetivo, no a la red BotNet.

Diego Fernando Ramos Aguirre

student•

Interesante saber tambien como pueden utilizar servidores legítimos para que aporten a un ataque DoS.

Oscar Jaramillo

student•

Jefferson Pacheco Suárez

student•

Modelo de un ataque DoS

Objetivos

Servidores web: esto porque es la puerta de entrada a la infraestructura o servicio que se desea atacar.
Obstaculizar el acceso a recursos internos.
Detener el funcionamiento de una red o dispositivos específicos.

Tipos de ataques

Ataques ICMP. (Saturación de ping)
Ataques SYN.
Request Floods. (Saturación de respuesta por paquetes creados a apps específicas)
Ataques específicos a aplicaciones. (http : 80)
Ataques DDoS: Multiples máquinas atacan un mismo objetivo, usualmente se usan Botnets para este tipo de ataques.

Estrategias de protección

Desactivar puertos y servicios que no estén en uso.
Limitación de canal/ enrutador: Asignar un ancho de banda determinado a un servicio o puerto específico.
Configuración de seguridad perimetral: mediante el uso de firewalls, IDS e IPS, VPNS, filtrado de contenido, protección de endpoints, etc.
Absorción de ataques: Por medio de un servidor robusto que soporte las peticiones del atacante.

Oscar Jaramillo

student•

Un ataque de denegación de servicio, llamado también ataque DoS, es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos.

Louis Joseph Sandoval Rojas

student•

En extremo interesante, para practicarlo varias veces hasta que se te quede todo

Julián Mejia

student•

Muy buena clase.