Denegación de Servicio Distribuida (DDoS) se traduce como “denegación de servicio distribuida”. El ataque se basa en las limitaciones de algún servicio, por ejemplo, un servidor web, cuando el número de solicitudes excede sus capacidades de procesamiento. El recurso atacado deja de estar disponible, se “congela”, etc
. Objetos de ataques DDoS: tiendas en línea, grandes portales, casinos y otras organizaciones que brindan servicios a través de Internet. Para tales empresas, incluso una hora de inactividad amenaza con pérdidas significativas.
Es difícil determinar el iniciador del ataque, ya que las solicitudes provienen de diferentes direcciones IP(por ejemplo, de una botnet). Estos pueden ser grupos de piratas informáticos contratados por competidores o atacantes que participan en chantajes.
Hay sitios especializados donde puede solicitar un ataque DDoS. El cliente especifica el objeto, selecciona el paquete de tarifas y paga el servicio. Es casi imposible rastrear al cliente, ya que la información sobre la transacción está encriptada o no se guarda.
Auditoría de seguridad de la información
Clasificación
Los ataques DDoS se dividen en tres tipos, según el nivel y el tipo de impacto en el objeto:
-
Agotamiento de recursos
El cliente es “bombardeado” con paquetes a través del protocolo seleccionado (por ejemplo, UDP o ICMP) en puertos aleatorios. El servidor verifica los datos entrantes y envía una respuesta al número de puerto especificado. Si el nodo no está disponible, el host envía un mensaje de respuesta marcado como “El nodo no está disponible”. Como resultado, el canal se desborda con paquetes con números de puerto especificados aleatoriamente.
-
Uso de las funciones del protocolo HTTP
El atacante realiza un análisis preliminar del objeto atacado, analiza las solicitudes dirigidas a la base de datos y selecciona las solicitudes POST más “pesadas”. A continuación, envía el paquete al nodo de destino utilizando computadoras infectadas(bots). Como resultado, el host se “ahoga” con la cantidad simultánea de paquetes que le llegan y deja de responder.
-
Uso de las funciones de algunos protocolos para crear una cola
Un ciberdelincuente envía un paquete SYN a un punto final como prueba de validación de accesibilidad. El servidor confirma la recepción y envía una solicitud de sincronización en respuesta. En este punto, el atacante no envía el mensaje, por lo que el servidor pone en cola el paquete recibido para esperar la confirmación. El envío simultáneo desde varias direcciones IP provoca un desbordamiento del búfer.