DoS y DDoS

¿Qué diferencia hay entre un DoS y un DDos?

Si bien un DoS o DDoS no es sinonimo de hackear o defacear un sitio web, estos pueden causar grandes problemas al servidor en donde esta alojada la web atacada.
El objetivo de estos ataques es el de afectar la performance de la pagina atacada, agotando el ancho de banda o sobrepasando la capacidad de procesamiento.
A su vez, el sitio web también puede verse afectado si la base de datos es sobrecargada con varias peticiones al mismo tiempo.

DoS: Denial of Service (Denegación de servicio).

Un servidor web está preparado para soportar una cierta cantidad de peticiones o conexiones simultáneas. Si supera ese límite de conexiones, pueden pasar dos cosas:

  1. La respuesta de las peticiones de los usuarios pueden ser lentas o nulas
  2. El Servidor se desconecta de la red y queda sin conexión.

Ataque Dos

Satura el servidor por medio de muchas peticiones de una misma pc que poco a poco va consumiendo recursos hasta que comience a rechazar las peticiones y comenzara a denegar el servicio (DoS)
Como ventaja tiene que el administrador puede ver de dónde vienen todos esos ataques, banea la IP y el ataque cesa…

Este tipo de ataque se realiza con programas de estilo escritorio como este que se puede apreciar en la imagen:

wikiboat dos

En el cual se coloca una IP y la potencia del ataque y listo.
El uso de este tipo de programas en el hacking es muy mal visto, ya que solo le dan mal uso, es decir, lo utilizan para tirar sitios web.
Así como este, existen varios programas más y son pocos los que les dan buen uso a los programas de este tipo. Un buen uso seria realizar un test de carga o estrés, para saber cuánto trafico podría soportar un sitio web.

 

DDoS: Distributed Denial of service

(Denegacion de servicio distribuida

Esto es algo similar al ataque DoS, ya que este tipo de ataque también consiste en tirar el servidor. La diferencia está en que este ataque es distribuido. Esto quiere decir que no se ataca desde una sola PC como en el DoS, sino que son muchas PCs, haciendo peticiones al mismo servidor. El administrador de la web no podrá saber de dónde viene el ataque, por lo tanto cuesta más detenerlo. A esto se lo llama Denegación de Servicio Distribuida (DDoS)

Ataque Ddos

Este tipo de ataque (DDoS) Se hace con una red Zombie. En otras palabras, se hace con una Botnet.
En ambos casos lo que se busca es consumir el ancho de banda del servidor para tirar la web.
Obviamente es mucho más potente un ataque con una Botnet ya que son varias PCs las que atacan a un solo sitio.

Este tipo de ataque se realiza con software de escritorio muy similares a los troyanos (tanto el cliente como el servidor son ejecutables), también están los de panel web y finalmente por IRC.
A continuación, algunas capturas de paneles de botnets:

IRC:

DDos IRC

Web:

Ataques desde Panel de control Ddos

En todos los casos, los métodos de propagación son iguales. Un caso muy visto, son los videos llamativos de facebook

Ataques desde facebook

Al ser infectados, luego nosotros infectaremos a nuestros contactos y asi sucesivamente hasta formar una cadena con una gran cantidad de infectados

Red infectada

Existen más formas de infección, como la web:

Vulnerabilidad en flash

Al abrir o ejecutar cualquiera de estos, es muy probable que acabemos infectados por una botnet y nuestra conexión sería utilizada para atacar sitios.

¿Cómo prevenir ataques?

Como webmasters podemos instalar en nuestro servidor el famoso mod_evasive
Básicamente lo que hace es mantener una tabla dinámica con las URIs accedidas por las distintas IPs de los clientes del Apache, y permite ejecutar algunas acciones cuando una misma IP solicita un mismo recurso (una misma URI o elementos de un mismo sitio) más de n veces en m segundos. La acción por default que ejecuta el mod_evasive es, una vez superado el máximo de requests por segundo permitidos, bloquear durante una cantidad de segundos al cliente (la IP) devolviendo un error 403 (Forbidden) a la petición HTTP. Pero lo interesante es que también permite ejecutar un comando de sistema al registrarse un intento de ataque, con lo cual se puede agregar una regla al iptables para bloquear la IP del cliente.
Otra forma es utilizando Cloudflare que es un sistema gratuito que actua como un servidor “proxy” entre sus visitantes y nuestro servidor. Al actuar como un “proxy”, CloudFlare cachea (almacena en memoría) el contenido estático de su web, lo que disminuye el número de peticiones a nuestros servidores, pero todavía permite a sus visitantes el acceso a su web. Existen varias ventajas del sistema CloudFlare.
Mejora del Rendimiento de la Web: CloudFlare tiene servidores “proxy” situados en todo el mundo. Los servidores “proxy” están situados cerca de sus visitantes, lo que significa que noten mejoras en el tiempo de carga de una página, ya que el contenido “cacheado” se entrega desde servidor “caché” más cercano en vez de directamente desde nuestro servidor. Muchos estudios demuestran que cuanto más rápida es una web más tiempo los visitantes permanecen en ella.
Protección contra Comentarios no Deseados (Spam): CloudFlare aprovecha datos de los recursos de terceros para reducir el número de comentarios “spam” en su web.
Alerta a los Visitantes de Ordenadores Infectados: CloudFlare alerta a los visitantes humanos de que tienen un ordenador infestado y que necesitan tomar las acciones apropiadas para limpiar el “malware” o los virus de su ordenador. Los visitantes deberan introducir un CAPTCHA (conjunto visual de números y letras) para acceder a su web.
Modo de Navegación Offline: El el caso de que nuestro servidor esté no disponible, los visitantes podrán aún acceder a su web ya que CloudFlare servirá a los visitantes las páginas desde su memoría caché. Entre otras ventajas más.

Leave a Comment