SI04003 – Seguridad en Redes I

Explicación del tema – Sesión 3

Definición.
Un ataque de denegación de servicio, también llamado ataque DoS (en inglés Denial of Service),
es un ataque cibernético que causa que un servicio, aplicación o recurso computacional sea
innaccesible a las solicitudes normales de los usuarios.

Normalmente provoca la pérdida de la conectividad o capacidad de cómputo en los sistemas por

el consumo enorme del ancho de banda de la red de la víctima o la gran sobrecarga en la
utilización de los recursos computacionales del sistema del blanco de ataque.

¿Cómo se puede ejecutar DoS?

Un atacante inicia un DoS simplemente enviando mucho tráfico a una dirección de IP de una
determinada aplicación donde determinados buffers o campos de almacenamiento no soportan
tanta cantidad de información dado que los programadores no pueden anticipar este tipo de
problemas y muchas veces la infraestructura de TI no soporta tal sobre capacidad.

Muchas veces el atacante conoce que el sistema blanco del ataque tiene ciertas vulnerabilidades
y prepara el ataque, algunos ejemplos de esos ataques donde se explotan vulnerabilidades son:

- Enviando mensajes vía email que contienen archivos anexos con nombre de archivo de
256 caracteres hacia una correo Netscape o correo de Microsoft.

- Enviando paquetes tipo ICMP (Internet Control Message Protocol) de un tamaño muy
grande, este es conocido como “el ping de la muerte”

TCP Syn Flood Attack (Ataque de saturación Syn TCP).

Este tipo de ataque se produce cuando un atacante inunda un servidor con una barrera de
solicitudes de conexión. Como dichos mensajes tienen una dirección de retorno que no se puede
alcanzar, no es posible establecer conexión. El volumen obtenido de conexiones abiertas sin
resolver acaba saturando el servidor y puede hacer que éste deniegue servicio a solicitudes
válidas, por lo que se impide que los usuarios legítimos puedan entrar en un sitio Web, acceder al
correo electrónico, utilizar el servicio FTP, etc.

Ataque Smurf (el del pitufo).

En este tipo de ataque, el atacante envía grandes cantidades de tráfico ICMP (ping) a la dirección
de broadcast, todos ellos teniendo la dirección de origen cambiada (spoofing) a la dirección de la
víctima. Si el dispositivo de ruteo envía el tráfico a esas direcciones de broadcast lo hace en capa
2 donde está la función de broadcast, y la mayoría de los host tomarán los mensajes ICMP de
echo request y lo responderán, multiplicando el tráfico por cada host de la subred. En las redes
que ofrecen múltiples accesos a broadcast, potencialmente miles de máquinas responderán a
cada paquete. Todas esas respuestas vuelven a la IP de origen (la IP de la víctima atacada).

Ataques distribuidos.
Denegación de Servicio Distribuido (DDoS) es un tipo especial de un ataque de Denegación de
Servicios (DoS) consistente en la realización de un ataque conjunto y coordinado entre varios
equipos (que pueden ser cientos o miles) hacia sistema víctima (objetivo del ataque).

Esto es posible gracias a un cierto tipo de software malicioso que permite obtener el control de
esas máquinas ya que un atacante ha instalado previamente en ellas este software, ya se
accesando en forma directa a los equipos o mediante el envió de algún gusano.
A las máquinas infectadas por el software mencionado anteriormente se las conoce como
máquinas Zombie, y al conjunto de todas las que están a disposición de un atacante se le conoce
como equipos comprometidos.

El atacante envía un comando a estas máquinas comprometidas y estas a su vez disparan

comandos a todas las máquinas Zombie para iniciar un ataque contra un servicio, Portal, etc. En
forma simultanea.

Contra estos tipos de ataques es muy complicado defenderse, algunos grandes portales de
Internet han tenido graves problemas, de hecho reciben amenazas de grupos delictivos
solicitando dinero para no atacarlos.

Algunas empresas como AT&T ofrecen servicios llamados anti-DDoS donde básicamente analizan
el tráfico de los grandes portales y si este tráfico tiene un comportamiento parecido a un ataque
DDoS desvían el tráfico malicioso hasta que este es ya normal.

Historia de eventos conocidos de DoS.

En febrero del 2000 se realizaron varios ataques de DDoS sobre sitios o portales en Internet,
Buy.com, eBay Inc. experimentaron caídas en sus sitios por varias horas. Otros sitios fueron
afectados como Yahoo, Amazon.com y CNN.

En general estas caídas variaron entre 3 a 5 Horas, se calculó de acuerdo a Yankee Group que
estas empresas gastaron más de 300 millones de dólares para aumentar su Seguridad de
Información.