Clasificación de ataques DoS

Publicado en Artículos, Seguridad,


Tweet about this on TwitterShare on Google+1Share on Facebook0Share on LinkedIn0

Los ataques de denegación de servicio o DoS (Denial of Service) son uno de los tipos de incidentes de seguridad más típicos y siguen siendo muy utilizados. Llevar a cabo un ataque de denegación de servicio no requiere, en muchos casos, conocimientos avanzados. Algunos ejemplos al respecto son el ataque sufrido por 19.000 páginas web francesas a raíz del atentado a la revista satírica francesa Charlie Hebdo, el ataque sufrido por las plataformas de juego online Xbox y Playstation Network, el ataque que sufrió la empresa Dinahosting o uno de los mayores ataques de la historia sufrido por la CloudFlare con picos de 400 Gbps que aprovechaba una vulnerabilidad en el protocolo NTP (Network Time Protocol).

Antes de continuar, definamos brevemente que es un ataque de denegación de servicio. “Un DoS es aquel ataque que tiene como objetivo degradar la calidad de servicio de un sistema o una red llegando a dejarlo en un estado no operativo o inaccesible“. Este estado puede lograrse saturando los recursos disponibles o causando un error catastrófico que provoque que algún proceso crítico o todo el sistema deje de estar operativo.

Como evolución de los ataques de denegación de servicio convencionales surgieron los ataques de denegación de servicio distribuidos o DDoS (DistributedDenial of Service), que consisten en la coordinación de múltiples ataques DoS desde distintas fuentes contra uno o varios objetivos.

Este tipo de ataques suelen tener efectos devastadores en los sistemas atacados y solo es posible una defensa eficaz mediante una amplia cooperación entre los diferentes actores que componen Internet, desde los proveedor de servicios (ISP) hasta los usuarios finales, que deben poner los medios para mantener los equipos libres de malware, como por ejemplo botnets, que puedan ser utilizadas en este tipo de ataques.

A continuación se detallan los diferentes tipos de clasificación de los ataques DoS.

Tipos básicos de ataques DoS

Existen múltiples clasificaciones de ataques DoS debido en parte al gran número y diversidad de los mismos. Una de ellas se basa en el tipo de daño o efecto provocado:

1. Saturación

Su objetivo es agotar o saturar alguno de los recursos clave del sistema, entre los que se incluyen el tiempo de CPU, memoria, ancho de banda, accesos a sistemas externos, espacio en disco o alimentación de los sistemas.

Este tipo ha sido utilizado en múltiples ataques que ha realizado el grupo Anonymous, en la que se coordinan un gran número de atacantes.

2. Modificación de la configuración

Su objetivo es alterar o eliminar la configuración de alguno de los elementos clave del sistema, típicamente servidores o routers. Estos cambios suelen provocar efectos críticos en los sistemas afectados, dejándolos fuera de servicio.

Un ejemplo de esta categoría de ataque es el realizado por el grupo Syrian Electronic Army contra el periódico New York Times, en el cual consiguieron acceso a una cuenta con privilegios del registrador de dominios utilizado por el periódico y modificaron la configuración de los DNS, redirigiendo el tráfico a otro servidor. Otro ejemplo es usar una vulnerabilidad específica, como la reportada en los productos Omron NS Series HMI que permite modificar la configuración de los dispositivos.

3. Destrucción

El resultado del ataque es la destrucción o alteración física de alguno de los componentes del sistema. Aunque en un primer momento para realizar este tipo de ataques era casi siempre necesario tener acceso físico al sistema, hoy en día con la conexión a Internet de los sistemas de control industrial es más fácil realizar este tipo de ataque de forma remota.

El ataque contra una fábrica de acero alemana en diciembre del 2014 es un claro ejemplo. Este ataque causó grandes daños físicos, siendo uno de los primeros ataques de denegación de servicio de tipo destructivo realizado de forma remota que afectó a los elementos físicos de un sistema de control industrial. Los atacantes utilizaron la técnica de spear-phishing para acceder a la red corporativa de la fábrica, para posteriormente infiltrarse en el sistema de control industrial. El ataque afectó a numerosos sistemas, imposibilitando el apagado controlado del alto horno de la fábrica, lo que causo grandes daños.

4. Disruptivo

Consiste en la interrupción de la comunicación entre dos dispositivos al alterar el estado de la información, haciendo inviable la trasferencia de información. Un ejemplo es el reinicio no solicitado de sesiones TCP (TCP reset attack).

5. Obstrucción

Este tipo de técnicas intenta impedir la comunicación entre los interlocutores, impidiendo que la víctima se pueden comunicar de forma adecuadamente. Un ejemplo sería el filtrado de dirección IPs que realiza por ISP, filtrado de paquetes DNS,… Este tipo de técnicas se utilizan a menudo por motivos legales/judiciales, como ocurre en Golden Shield Project en China.

Taxonomía por tipo de ataque

En el artículo “A Taxonomy of DDoS Attack and DDos Defense Mechanisms“, los autores proponen una clasificación en base a las características del ataque: nivel de automatización, validez de la dirección origen y explotación de vulnerabilidad

Clasificación por nivel de capa OSI

Esta clasificación divide los ataques DoS en dos grandes grupos:

Nivel de infraestructura. incluye todos aquellos enfocados en atacar vulnerabilidades o debilidades contra la capa de red y de transporte del modelo OSI. Típicamente los protocolos más atacados son TCP, UDP o ICMP al sustentar Internet. Esta categoría es usada habitualmente en ataques DDoS al poderse usar contra una los sistemas conectados a Internet.

Sin embargo, existen otros protocolos con vulnerabilidades por su diseño o implementación. Un ejemplo de estos protocolos es DNP3 (Distributed Network Protocol). Aunque fue diseñado en base a requisitos de gran fiabilidad en entornos industriales, no se tuvo en cuenta la seguridad lo que supuso un error de diseño que ha facilitado que se puede afectar a las comunicaciones en los sistemas industriales.

En el siguiente diagrama se puede un listado de los principales ataques DDoS a nivel de red.

Capa de aplicación. Este tipo agrupa los ataques dirigidos contra la capa siete o de aplicación del modelo OSI. Consisten en identificar y utilizar alguna característica o punto débil en la aplicación para producir una degradación o interrupción del servicio del sistema. El protocolo de capa de aplicación más atacado es el HTTP, sin embargo protocolos como el NTP (Network Time Protocol), SMTP o DNS han sido ampliamente utilizados. Según datos de Akamai, CDN especializada en defensa contra DDoS, durante el Q4 del 2014 un 10% de los DDoS fueron de capa de aplicación y su tendencia es al alza


vía INCIBE

Califica esta entrada

Etiquetas:


Deja un comentario

Cuanto es 8 + 10 ?
Please leave these two fields as-is:
IMPORTANTE! Necesitas resolver la operación matemática para poder continuar.

Newsletter

Redes sociales

Centro de soporte

Centro de recursos