Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Trataremos los ataques DDoS que explotan las debilidades en protocolos específi-
cos principalmente en la Capa 3 y la Capa 4 del modelo OSI.
1.- Cliente
En el modelo cliente/servidor, el cliente es el sistema informático que está iniciando
una nueva conexión a otro sistema (el servidor).
2.- Servidor
En el modelo cliente servidor, el servidor es un servicio informático que espera reci-
bir una conexión y solicitud de otro sistema (el cliente).
El cliente inicia una conexión y, una vez establecida, la comunicación puede co-
menzar.
Para cada conexión, los recursos se asignan y consumen tanto en el cliente como
en el servidor.
Como ejemplo, cuando se crea una conexión TCP entre el navegador web de un
usuario y un servidor web, el servidor web asignará diversas áreas de memoria pa-
ra rastrear la comunicación y mantener los datos del estado de la conexión.
Como regla general, mientras más recursos use un protocolo específico, más sus-
ceptible será al ataque DDoS. Los ataques DDoS de protocolo son posibles debido
La Figura ilustra el ataque DDoS a la conexión TCP, uno de los ataques de protoco-
lo más triviales.
El sistema de destino tiene un límite de configuración finito dentro del sistema ope-
rativo que le permite admitir hasta 20.000 conexiones TCP. Esto significa que una
red de bots de 20 nodos podría llenar el conjunto de conexiones (20 nodos x 1000
conexiones / nodo = 20.000 conexiones).
Una red de bots de 100.000 nodos es bastante común, y se han observado redes
de bots grandes con más de 10 millones de nodos en los últimos años. Con las co-
nexiones DDoS haciendo uso de todas las “threads” de conexión en el objetivo, no
se pueden establecer conexiones legítimas.
Los dispositivos que “hacen seguimiento” del estado de la conexión de red como
firewalls, IPS / IDS o balanceadores de carga a menudo usan más memoria cuando
experimentan un ataque DDoS de protocolo. Cada nueva conexión o flujo de datos
requiere la asignación de recursos en estos dispositivos. Si la magnitud del ataque
es lo suficientemente significativa, puede resultar en memoria agotada en estos
dispositivos.
Los dispositivos que “hacen seguimiento” del estado de la conexión de red como
firewalls, IPS / IDS o balanceadores de carga pueden usar más recursos de CPU.
Este comportamiento es común en ataques de protocolo relacionados con TLS /
SSL donde los dispositivos de destino o intermedios pueden descifrar el tráfico a un
costo considerable de la CPU.
La mayoría de las pilas o “stacks” de red del sistema operativo contienen límites
específicos codificados que controlan el tamaño de varios buffers y tablas almace-
nadas en la memoria física. Entonces, aunque el objetivo puede parecer normal o
inactivo, uno de estos límites arbitrarios puede haberse excedido, lo que resulta en
el rechazo de conexiones adicionales.
Los ataques DDoS de protocolo son a menudo ataques de bajo consumo de ancho
de banda, que pueden pasar desapercibidos fácilmente. Los ataques de protocolo
que explotan límites codificados en dispositivos de red pueden pasar desapercibi-
dos ya que los dispositivos pueden aparecer inactivos. Estos ataques a veces se
pueden diagnosticar erróneamente como una interrupción de la red en lugar de un
ataque.
Información complementaria
The TLS protocol aims primarily to provide privacy and data integrity between two or
more communicating computer applications. When secured by TLS, connections
between a client (e.g., a web browser) and a server (e.g., wikipedia.org) should
have one or more of the following properties:
In addition to the properties above, careful configuration of TLS can provide addi-
tional privacy-related properties such as forward secrecy, ensuring that any future
disclosure of encryption keys cannot be used to decrypt any TLS communications
recorded in the past.
TLS supports many different methods for exchanging keys, encrypting data, and
authenticating message integrity. As a result, secure configuration of TLS involves
many configurable parameters, and not all choices provide all of the privacy-related
properties described in the list above.
Attempts have been made to subvert aspects of the communications security that
TLS seeks to provide, and the protocol has been revised several times to address
these security threats.
Developers of web browsers have also revised their products to defend against po-
tential security weaknesses after these were discovered.
The TLS protocol comprises two layers: the TLS record and the TLS handshake
protocols.
Recursos finitos
Con pocas excepciones, la mayoría de las organizaciones tienen una cantidad limi-
tada de CPU y memoria en sus dispositivos y servidores de red. Un ataque DDoS
de protocolo destinado a agotar la CPU o la memoria en estos dispositivos aprove-
cha este hecho. El aumento de la capacidad de la CPU o la memoria en los servido-
res y dispositivos de red a menudo requerirá el pedido de hardware con un tiempo
asociado de instalación y configuración.
Fuentes falsificadas
Este método de mitigación a menudo es inefectivo para los ataques DDoS de pro-
tocolo. Si se lo contacta, el soporte técnico de la mayoría de los ISP agregará re-
glas para bloquear el tráfico específico antes de que llegue a la red de destino. Este
enfoque puede ser eficaz para mitigar los ataques simplistas, pero a menudo será
incapaz de mitigar escenarios más complejos. La limitación está relacionada con las
capacidades de filtrado mínimas ofrecidas por la mayoría de los ISP. Por ejemplo,
la mayoría de los ISP podrán e filtrar todo el tráfico hacia o desde una dirección IP
específica, o todo el tráfico usando un protocolo determinado. Pero esta es una
herramienta muy radical y puede que no sea lo suficientemente granular para blo-
quear el tráfico DDoS y al mismo tiempo permitir el tráfico legítimo. El mismo nivel
de filtrado está disponible en los firewalls y routers locales con el beneficio adicional
de estar bajo el control de la organización.
Analítica de tráfico
https://info.corsa.com/hubfs/PDFs/Corsa-Whitepaper-DDoS-Mitigation-RevH-2017-07-
07.pdf?utm_campaign=Security&utm_source=hs_automation&utm_medium=email&utm_content=5543
1422&_hsenc=p2ANqtz-
_shufY3tfIMd9oh09VMf6jvFTmJ1cshGxoSAHNDJ6ootPpnrfkuu9DqDX6GHi_7mRl5MS9568pCDPBIQ
6Dvva4sGb-ZA&_hsmi=55431422
https://info.corsa.com/hubfs/PDFs/Corsa-Whitepaper-DDoS-Mitigation-RevH-2017-07-
07.pdf?utm_campaign=Security&utm_source=hs_automation&utm_medium=email&utm_content=5543
1422&_hsenc=p2ANqtz-
_shufY3tfIMd9oh09VMf6jvFTmJ1cshGxoSAHNDJ6ootPpnrfkuu9DqDX6GHi_7mRl5MS9568pCDPBIQ
6Dvva4sGb-ZA&_hsmi=55431422
Un servicio dedicado de mitigación de DDoS suele ser el más efectivo. Estos servi-
cios son similares al enfoque CDN (Figura previa) mencionado anteriormente pero
con capacidades avanzadas específicas para identificar y bloquear el tráfico DDoS.
Al igual que un CDN, un servicio de mitigación de buena reputación tiene una red
masiva de centros de depuración / “filtrado” distribuidos globalmente capaces de
bloquear ataques DDoS de magnitud.
Ejemplos:
El protocolo de enlace normal de 3 pasos (Figura) hace que el cliente envíe un pa-
quete SYN inicial al servidor. El servidor agrega la conexión semi-abierta a su tabla
interna de estado de conexiones (cola de sincronización) y luego responde con un
SYN-ACK.
En una conexión normal, el cliente responde con un ACK. En este punto, la cone-
xión se establece y la comunicación puede ocurrir. En flood SYN, este proceso se
interrumpe (Figura). Al igual que en una conexión normal, el atacante envía un pa-
quete SYN inicial. Para ocultar al atacante, la dirección IP de origen a menudo se
falsifica.
https://www.researchgate.net/publication/283621673_Vulnerability_of_Network_Traffic_in_Data_Cente
rs_under_Various_kinds_of_Attacks/figures?lo=1&utm_source=google&utm_medium=organic
El primero es que los balanceadores de carga, los firewalls y otros dispositivos que
gestionan el estado de conexión utilizarán excesiva CPU y pueden desbordar las
tablas de estado. El segundo, y el comportamiento más dañino, es que muchas
redes no tienen el tamaño adecuado para un gran volumen de paquetes SYN. Por
ejemplo, un router anunciado como que maneja 1Gbps de datos solo podría mane-
jar 100Mbps de paquetes SYN pequeños.
Entonces, aunque la conexión de red del objetivo parece poco utilizada, el hardware
de la red en sí puede estar bajo una presión extrema y no puede atender el tráfico
de manera oportuna. La siguiente captura de paquetes es una inundación de TCP
17:55:29.246821 IP 222.32.64.150.49755 > 192.168.10.10.443: Flags [S], seq 306851430, win 512, length 0
17:55:29.246833 IP 148.200.242.234.49756 > 192.168.10.10.443: Flags [S], seq 1332043940, win 512, length 0
17:55:29.246858 IP 35.11.224.126.49758 > 192.168.10.10.443: Flags [S], seq 899324917, win 512, length 0
173:55:29.246880 IP 21.38.29.36.49759 > 192.168.10.10.443: Flags [S], seq 1208062333, win 512, length 0
Los ataques SlowLoris y ‘R U Dead Yet?’ DDoS son ataques de ancho de banda
bajo que intentan agotar los recursos de conexión del destino al enviar solicitudes
que nunca se completan.
Edición © UCASAL
Este material fue elaborado por el Mg. Carlos Said en conjunto a la Dirección de Diseño y Desarrollo Instruccional del Sistema de Educación a
Distancia con exclusivos fines didácticos. Todos los derechos de uso y distribución son reservados. Cualquier copia, edición o reducción, co-
rrección, alquiles, intercambio o contrato, préstamo, difusión y/o emisión de exhibiciones públicas de este material o de alguna parte del mismo
sin autorización expresa, están terminantemente prohibidos y la realización de cualquiera de estas actividades haría incurrir en responsabilida-
des legales y podrá dar lugar a actuaciones penales. Ley 11.723 - Régimen Legal de la Propiedad Intelectual; Art. 172 C.P.