Alumno: Carlos Manuel Hernandez Lara

Grupo: SCO7SA116

Carrera: Lic. Sistemas Computacionales

Materia: Seguridad

Fecha de entrega: 26/11/2022

 Ataque DoS

¿Qué es un ataque DoS?

Un ataque de denegación de servicio es un tipo de ciberataque en el que un actor
malicioso tiene como objetivo que un ordenador u otro dispositivo no esté disponible
para los usuarios a los que va dirigido, interrumpiendo el funcionamiento normal del
mismo. Los ataques DoS suelen funcionar al sobrecargar o inundar una máquina
objetivo con solicitudes hasta que el tráfico normal es incapaz de ser procesado, lo
que provoca una denegación de servicio a los usuarios de la adición. Un ataque
DoS se caracteriza por utilizar un único ordenador para lanzar el ataque.
Un ataque de denegación de servicio distribuido es un tipo de ataque DoS que
proviene de muchas fuentes distribuidas, como un ataque DDoS de una botnet.

¿Cómo funciona un ataque DoS?

El objetivo principal de un ataque DoS es sobrecargar la capacidad de una máquina
objetivo, lo que da lugar a una denegación de servicio a solicitudes adicionales. Los
múltiples vectores de ataque de los ataques DoS pueden agruparse por sus
similitudes.
Los ataques DoS suelen ser de dos categorías:
Ataques de desbordamiento de búfer
Un tipo de ataque en el que se produce un desbordamiento de búfer de la memoria
puede hacer que una máquina consuma todo el espacio disponible en el disco duro,
la memoria o el tiempo de la CPU. Esto suele provocar un comportamiento lento,
caídas del sistema u otros comportamientos perjudiciales para el servidor, que
acaba provocando una denegación de servicio.
Ataques de inundación
Al saturar un servidor objetivo con una cantidad abrumadora de paquetes, un actor
malicioso es capaz de sobrecargar la capacidad del servidor, lo que provoca una
denegación de servicio. Para que la mayoría de los ataques de inundación DoS
tengan éxito, el actor malicioso debe tener más ancho de banda disponible que el
objetivo.

¿Qué ataques DoS históricamente significativos se han

producido?
Históricamente, los ataques DoS solían aprovecharse de las vulnerabilidades de
seguridad presentes en el diseño de red, software y hardware. Estos ataques ya
son menos frecuentes, ya que los ataques DDoS tienen una mayor capacidad de
perturbación y son relativamente fáciles de crear dadas las herramientas
disponibles. En realidad, la mayoría de los ataques DoS también pueden convertirse
en ataques DDoS.
Algunos de los ataques DoS históricos más habituales son:
Ataque Smurf - un ataque DoS que se ha aprovechado previamente en el
que un actor malicioso utiliza la dirección de difusión de una red vulnerable
mediante el envío de paquetes falsos, lo que resulta en la inundación de
una dirección IP objetivo.

Inundación de ping - Este sencillo ataque de denegación de servicio se basa

en sobrecargar a un objetivo con paquetes ICMP. Al inundar un objetivo con
más pings de los que es capaz de responder con eficacia, se puede producir
una denegación de servicio. Este ataque también se puede utilizar como un
ataque DDoS.

Ping de la muerte - se le suele confundir con un ataque de inundación de

ping, un ataque de ping de la muerte implica el envío de un paquete
malformado a una máquina objetivo, lo que provoca un comportamiento
dañino, como la caída del sistema.

¿Cómo se puede saber si un ordenador está sufriendo un

ataque DoS?
Aunque pueda ser difícil separar un ataque de otros errores de conectividad de red
o de gran consumo de ancho de banda, hay algunas características que pueden
indicar que se está produciendo un ataque.
Los indicadores de un ataque DoS incluyen:
Rendimiento atípico de la red, como tiempos de carga de archivos o sitios
web demasiado largos

La imposibilidad de cargar un sitio web concreto, como tu propiedad web

Pérdida repentina de conectividad en los dispositivos de la misma red

¿Cuál es la diferencia entre un ataque DDoS y un ataque

DoS?
La diferencia entre el DDoS y el DoS es el número de conexiones que se usan en
el ataque. Algunos ataques DoS, como los ataques "bajos y lentos", como Slowloris,
son potentes por su simplicidad y los requisitos mínimos necesarios para que sean
efectivos.
DoS usa una única conexión, mientras que un ataque DDoS utiliza muchas fuentes
de ataque de tráfico, con frecuencia en forma de una botnet. En general, muchos
de los ataques son fundamentalmente similares y se pueden intentar utilizando una
o varias fuentes de tráfico malicioso. Más información sobre cómo la protección
contra DDoS de Cloudflare detiene los ataques de denegación de servicio.

Técnicas de protección de ataques DDoS y DoS

Reduzca la superficie expuesta a ataques

Una de las primeras técnicas para mitigar los ataques DDoS es minimizar la
superficie del área que puede ser atacada y, por lo tanto, limitar las opciones de los
atacantes lo que permite construir protecciones en un solo lugar. Queremos
asegurarnos de no exponer nuestra aplicación o nuestros recursos a los puertos,
protocolos o aplicaciones de donde no esperan ninguna comunicación. Por lo tanto,
minimizar los posibles puntos de ataque nos permite concentrar nuestros esfuerzos
para mitigarlos. En algunos casos, podemos hacerlo si colocamos nuestros recursos
informáticos por detrás de las Redes de distribución de contenido o Balanceadores
de carga y restringir el tráfico directo de Internet a ciertas partes de nuestra
infraestructura, como los servidores de bases de datos. En otros casos, puede
utilizar firewalls o listas de control de acceso para controlar qué tráfico llega a las
aplicaciones.

Plan para escalado

Existen dos consideraciones claves para mitigar ataques DDoS volumétricos de

gran escala, la capacidad del ancho de banda y la capacidad del servidor de
absorber y mitigar los ataques.
Capacidad de tránsito. Cuando diseñe sus aplicaciones, asegúrese que su
proveedor de alojamiento le brinde conectividad a Internet amplia y redundante para
administrar grandes volúmenes de tráfico. Dado que el objetivo final de los ataques
DDoS es afectar la disponibilidad de sus recursos/aplicaciones, debe ubicarlos, no
solo cerca de sus usuarios finales, sino también de los grandes intercambios de
Internet que brindarán a sus usuarios un acceso fácil a su aplicación, incluso durante
grandes volúmenes de tráfico. Además, las aplicaciones web pueden ir un paso más
allá si emplean redes de distribución de contenido y servicios inteligentes de
resolución de DNS que proporcionan una capa adicional de infraestructura de red
para servir contenido y resolver consultas DNS desde ubicaciones que a menudo
están más cerca de sus usuarios finales.

Capacidad del servidor. La mayoría de los ataques DDoS son ataques volumétricos
que utilizan muchos recursos. Por lo tanto, es importante que pueda escalar
rápidamente sus recursos de computación. Puede hacerlo con la ejecución de
recursos informáticos más grandes o aquellos con características como interfaces
de red más extensas o redes mejoradas que admitan volúmenes más grandes.
Además, también es común usar balanceadores de carga para monitorear y cambiar
cargas continuamente entre recursos para evitar sobrecargar cualquier recurso.

Conozca qué es el tráfico normal y anormal

Cada vez que detectamos niveles elevados de tráfico que golpean a un host, la base
es poder aceptar solo el tráfico que nuestro host pueda manejar sin afectar la
disponibilidad. Este concepto se llama limitación de velocidad. Las técnicas de
protección más avanzadas pueden ir un paso más allá y solo aceptan de manera
inteligente el tráfico que es legítimo cuando se analizan los paquetes individuales.
Para hacer esto, debe comprender las características del buen tráfico que
generalmente recibe el objetivo y poder comparar cada paquete con esta línea de
base.

Implemente firewalls para ataques sofisticados de aplicaciones

Una buena práctica es utilizar un Firewall de aplicaciones web contra ataques, como
la inyección SQL o la falsificación de solicitudes entre sitios, que intentan aprovechar
una vulnerabilidad en su propia aplicación. Además, debido a la naturaleza única de
estos ataques, debería poder crear fácilmente mitigaciones personalizadas contra
solicitudes ilegítimas que podrían tener características como disfrazarse de buen
tráfico o provenir de direcciones IP incorrectas, geografías inesperadas, etc. A veces
también puede ser útil para mitigar los ataques, ya que pueden obtener un soporte
experimentado para estudiar los patrones de tráfico y crear protecciones
personalizadas.
 ¿Qué es un firewall de Red?

Un firewall de red es un sistema que es capaz de controlar el acceso a la red de su

organización y, por lo tanto, protege su red. Actúa como un filtro para bloquear el
tráfico entrante no legítimo antes de que pueda ingresar a la red de su organización
y causar daños.
Su propósito principal es brindar protección a una red interna separándola de la red
externa. También controla las comunicaciones entre ambas redes.
Los diferentes tipos de firewalls de red son:
Filtros de paquetes: son sistemas de firewall tradicionales que se basan en
atributos de paquetes, como la dirección IP de origen y destino, protocolos y
puertos asociados con paquetes individuales. Estos atributos determinan si
el tráfico de paquetes o indicios debe tener acceso a través del firewall o no.

Cortafuegos de inspección de estado: estos cortafuegos tienen la capacidad

adicional de inspeccionar paquetes que pertenecen a una sesión completa.
Si una sesión está perfectamente establecida entre dos puntos finales,
permite la comunicación.

Cortafuegos de la capa de aplicación: pueden examinar información de la

capa de aplicación como una solicitud HTTP, FTP, etc. Si encuentra algunas
aplicaciones no legítimas, puede bloquearlas allí mismo.

Cortafuegos de próxima generación: son cortafuegos avanzados con

capacidades de inspección profunda más allá del protocolo o el bloqueo e
inspección de puertos. Incluye inspección a nivel de aplicación, inteligencia,
prevención de intrusiones, firewalls de aplicaciones web, etc.

¿Cómo ayuda a detener los ataques en el borde?

Un firewall de red controla el flujo de datos y el tráfico hacia o desde su red. Estos
datos se conocen como “paquetes”, que pueden contener o no códigos maliciosos
para dañar su sistema.
Durante los días ocupados o la temporada alta de vacaciones, los piratas
informáticos bombardean su red con malware, spam, virus y otras intenciones
maliciosas.
En este momento, su firewall aplica un cierto conjunto de reglas en el tráfico de red
entrante y saliente para examinar si se alinean con esas reglas o no.
 Si coincide, el firewall permite que el tráfico pase.

Si no, rechaza o bloquea el tráfico.

De esta forma, su red permanece perfectamente a salvo de cualquier tipo de
amenazas, ya sean internas o externas.

¿Cómo aprovechar al máximo su firewall?

Inspeccione la cobertura del firewall: si ha cambiado algo en su red

últimamente, no olvide revisar todos los sistemas que cubre el firewall.
Examine si todavía están protegidos o no para arreglar las cosas
inmediatamente antes de que se produzca el daño.

Esté atento a los dispositivos conectados: si usted o sus empleados conectan

un teléfono inteligente o cualquier otro dispositivo a la red, entonces es
necesario protegerlos. Para ello, intente instalar un firewall personal en estos
dispositivos para proteger sus datos.

Aísle su sistema de pago: proteja sus flujos de pago manteniéndolos alejados

de las vulnerabilidades. Para ello, configure su firewall, de modo que detenga
todo tipo de transferencia de datos no confiables hacia / desde sus sistemas
de pago.
Permita las cosas que sean de máxima necesidad para el procesamiento y las
ventas de tarjetas, mientras prohíbe la comunicación directa entre estos sistemas e
Internet.