Muchas veces escuchamos sobre ataques DOS, que traducido literalmente del inglés significa ataque de denegación de servicio. Ahora bien, hay muchos que conocen y han sufrido estos ataques en el pasado, pero muchos que recién comienzan en el mundo del hosting pueden desconocer este tema. Por eso hoy abordaremos un breve artículo para explicar en términos simples y prácticos… qué es un ataque DOS.
¿Qué es un ataque DOS?
Un ataque DOS (del inglés, Denial Of Service) es un ataque a un sistema o red que tiene como finalidad la denegación del servicio, es decir, que el sistema o red no pueda servir normalmente las peticiones a usuarios legítimos. En un DOS se genera una enorme cantidad de peticiones desde un host en particular, lo cual satura los servicios que corren de cara al servidor y generalmente provoca la pérdida de conectividad de la red por un alto consumo de ancho de banda, o una sobrecarga por un alto número de paquetes por segundo (ppts)
Tipos de ataque DOS
Los ataques DOS se puede dar de muchas formas, pero todas tienen un punto en común, y es la utilización del protocolo TCP/IP para lograr que el ataque sea efectivo. Si bien existen muchísimas formas, estas características son compartidas por la mayoría de los ataques:
- Consumo de recursos de sistema, como ancho de banda, ram o cpu.
- Alteración de información de configuración, como puede ser el routeo de la información.
- Alteraciónes de estado, tales como interrupción de sesiones TCP (TCP reset).
- Interrupción de componentes físicos de red.
- Interrupción de los medios que enlazan un servicio y la víctima, de manera que ya no pueda haber comunicación.
Ejemplos de ataques DOS comunes
Conecction Flood
Se da cuando el ataque alcanza el límite máximo de conexiones simultáneas que un servicio de internet puede soportar, una vez se llega a ese límite ya no se admiten conexiones nuevas. Por lo tanto, se genera una denegación del servicio en ese momento, las conexiones se establecen pero no hacen peticiones y es una forma de colmar la capacidad del servidor. Este tipo de ataques, más si vienen desde un solo host, son fácilmente identificables.
Ataque SYN Flood
Un ataque SYN flood es una forma de DOS que involucra al atacante enviando sucesivas peticiones de tipo SYN. Normalmente cuando un cliente intenta establecer una conexión TCP a un servidor, el cliente y el servidor intercambian una serie de mensaje, que normalmente se podrían resumir de esta manera:
- El cliente hace una petición de la conexión enviando un mensaje SYN al servidor.
- El servidor acepta esta petición enviando un mensaje
SYN-ACK
hacia el cliente. - El cliente responde nuevamente con un ACK, y finalmente se establece la conexión.
Esto sería el comportamiento normal para establecer una conexión TCP, sin embargo, en el caso del SYN Flood, el ataque funciona no respondendo de la manera que se espera, en su lugar el atacante puede elegir entre no enviar el código ACK por defecto o hacer un spoof a la dirección IP en el mensaje SYN, causando así que el server envíe mensajes SYN-ACK a una IP falsa, que no devolverá nunca el ACK por que sabe que nunca envió el SYN.
Buffer overflow (Inundación de buffer)
Es uno de los ataques más frecuentes, el concepto es simple, enviar más paquetes de las que el buffer del servicio puede soportar, y por lógica llegando al límite del mismo, ocasionando así que el servidor no pueda responder a nuevas peticiones. De esta manera se satura el buffer y se impide que las conexiones legítimas puedan ser servidas correctamente por el servidor.
Más información sobre tipos de DOS e información general, puede encontrarse en los siguientes enlaces:
En el próximo artículo trataremos una variante muy conocida del clásico DOS, los famosos ataques DDOS.