PROYECTO DE INVERSION

1 Ataques de Negación de Servicio (DoS)

1.1 ¿Qué es un ataque de negación de servicio?

En su forma más básica un ataque de negación de servicio (DoS) es cualquier acción, iniciada por una persona o no, que incapacita tu el hardware de tu host, el software, o ambos haciendo tu sistema inalcanzable y por consiguiente denegando el servicio a usuarios legítimos (o ilegítimos) . El fin último de un ataque DoS es dejar inutilizado tu host en la red.

1.2 ¿Porqué los ataques de negación de servicio son un problema persistente.

Primero porque los ataques DoS son rápidos, fáciles y generan un resultado significativo inmediatamente. Estos ataques son populares entre cackers principiantes o incluso entre adolescentes con un poco de tiempo libre.

Pero hay otra razón todavía más importante y es que esos ataques revelan en la mayoría de las veces errores, limitaciones o inconsistencias en las implementaciones del TCP/IP que los fabricantes han realizado, y todos estos hosts permanecen vulnerables hasta que el problema es resuelto.

1.3 Riesgos que conllevan los ataques de negación de servicio.

Hubo un tiempo en que los ataques DoS eran considerados simplemente como tonterías, había problemas que solucionar, pero no eran considerados problemas críticos. Algunas personas todavía hoy mantienen ese punto de vista, argumentando que la mayoría de los ataques DoS afectan solamente a servicios que son fácilmente reiniciables. Pero este no es el punto de vista dominante. Por el contrario los ataques DoS hoy en día están considerados como desastrosos, básicamente porque los hábitos de uso del ordenador han cambiado radicalmente. Hoy en día los servidores son elementos esenciales en el comercio electrónico así como en otros servicios críticos. Es en este nuevo entorno, donde los ataques DoS pueden suponer perdidas de importantes cantidades de dinero, donde se empieza a tener en cuenta este problema. De todas maneras son muy pocas las empresas que pueden hacer frente a un ataque DoS.

1.4 Ataques de consumo de ancho de banda

Cada red puede soportar solamente una cantidad finita de tráfico a la vez, y esta cantidad depende de varios factores: velocidad de la red, tipos de equipamiento, y su funcionamiento. Enlaces comunes entre un ISP y las empresas son: ISDL, DSL, Banda Ancha (Usando cable módems), T1, y T3. Estas conexiones tienen distintas capacidades de ancho de banda. Negación de servicio por consumo de ancho de banda tiene lugar cuando toda la capacidad de la red esta siendo utilizada.

Cuando se alcanza la totalidad del ancho de banda, no pueden introducirse en la red nuevos datos, es decir la red está inutilizada y no se puede transmitir nada a través de ella, por lo que nuevas conexiones a Internet, servidores de ficheros, servidores de Web, servidores de correo o cualquier otra función que requiera de la red estarán fuera de servicio. Las conexiones que hasta el momento hubiera abiertas se ralentizarán, se quedarán “colgadas” o serán desconectadas. Los ataques de consumo de ancho de banda se pueden generar a través de programas especializados y una mala configuración de los equipos de red. La mala configuración de la red incluye cualquier dispositivo que se conecta a la red, como PCs, routers, switches, y otros dispositivos. Los ataques de ancho de banda son activos, el ataque perdura solamente mientras todo el acho de banda esta siendo utilizado. Tan pronto como el programa que genera el ataque deje de enviar datos o los dispositivos configurados correctamente, entonces el ancho de banda comienza a estar disponible. Muchas de las funcionalidades de la red vuelven a la normalidad cuando esto ocurre, excepto unas pocas que deben ser reiniciadas. Ataques comunes incluyen “exploits” basados en los protocolos de red que consumen recursos enviando datos de red

“trucados”, con una estructura particular. El dispositivo de acceso, por ejemplo un router, puede fallar si se ve inundado con más tráfico del que puede procesar. Otros ataques de ancho de banda están basados en las acciones que realiza un dispositivo a unos datos concretos. Muchas, o todas las maquinas de la red objetivo pueden ser forzadas a responder

simultáneamente a tráfico de red como puede ser mensajes IP de broadcast, consumiendo todo el ancho de red disponible.

1.5 Ataques de Saturación de Recursos

Al igual que una red, cada sistema tiene una serie de recursos que son finitos, incluyendo memoria, almacenamiento y capacidades del procesador. Saturación de recursos significa utilizar toda la capacidad de uno o varios recursos dejando al resto de aplicaciones sin recursos para poder ejecutarse. El ataque “SYN flood” (inundación de paquetes SYN) es un ejemplo muy popular de un ataque que utiliza todos los recursos de red de un sistema. Cada sistema operativo que soporta conectividad con redes TCP/IP tiene un límite de número de conexiones que puede mantener a la vez. “SYN flood” consigue éxito creando multitud

de conexiones “medio-abiertas” en el puerto del servidor objetivo. Normalmente estas conexiones son cerradas bien porque vence el time-out o porque el protocolo de conexión a tres bandas cierra la conexión. Cada puerto solamente puede soportar un número finito de conexiones “medio-abiertas” y cuando este número es excedido, no se puede realizar ninguna otra conexión. Enviando solamente el primer paquete de una conexión a tres bandas TCP con una dirección IP fuente inválida, el servidor responde a ese paquete SYN con un reconocimiento de la conexión, pero como la dirección no es la correcta, es una dirección falsa, se queda a la espera de un reconocimiento que nunca llegará y así por cada uno de los paquetes SYN que sean enviados consiguiendo que no se puedan realizar más conexiones en esa máquina. Los servidores de Web son normalmente los objetivos de este tipo de ataques DoS, pero cualquier máquina que se conecte mediante TCP es susceptible de ser atacada. Para entender este tipo de ataques en servidores Web primero hemos de entender como funciona un servidor ante una petición http. Una petición y una conexión simple se realizan cuando el navegador se conecta al servidor. Esta petición se hace para un fichero concreto; el servidor envía el fichero y cierra la conexión. Bajo estas circunstancias

un servidor puede atender un gran número de peticiones porque estas consultas se realizan muy rápidamente. Para que un servidor Web deje de funcionar debido a este tipo de ataque quien genera el ataque debe incrementar el tiempo para manejar esas peticiones o incrementar la cantidad de potencia de procesamiento necesario para cada petición. “SYN flood” hace al servidor incapaz de atender nuevas peticiones de conexión porque se supera el número de conexiones que el puerto puede atender. Muy similares a este ataque son los ataques “ICMP flood” y “UDP flood”, donde la única diferencia reside en el

protocolo utilizado para conseguir el mismo fin. Es muy difícil defenderse de este tipo de ataques. Otro ejemplo se saturación de recursos puede ocurrir debido al uso de programas externos como puede ser “Common Gateway Interface” (CGI) por parte del servidor de Web. Programas que almacenan datos en los servidores pueden ser “trucados” para que llenen los discos duros del servidor causando el mal funcionamiento del sistema. Del mismo modo las aplicaciones que requieren mucha asignación de memoria o mucha potencia de procesamiento para cálculos computacionales complejos pueden ser “trucadas” para que utilicen todos los recursos y bloquear el sistema. Estos ataques no solo se pueden hacer vía la red, sino que cualquier acceso al sistema puede permitir que ocurra un ataque. Otro ejemplo de ataques de saturación de recursos es

el ataque “e-mail Bomb”. Un ataque de este tipo no es más que una serie de mensajes (quizá miles) que saturan un buzón de correo en el servidor o el disco duro del servidor o tu disco duro. Si lo que se satura es el buzón no se podrá recibir nuevos mensajes en ese buzón hasta que se borren los mensajes. Si lo que se llena es el disco del servidor ningún usuario podrá recibir mensajes hasta que se borren mensajes y se haya espacio libre en el sistema. Los ataques e-mail bombs van destinados a la perdida de datos importantes y ocupan un gran ancho de banda del canal por lo que además el resto de servicios se ralentiza. Una variante de los ataques “e-mail bomb” son los llamados “list linking” aunque su apariencia no sea maligna a simple vista, ya que estar suscrito a una lista de correo no parece que pueda afectar mucho a tu sistema,

pero si lo que ocurre es que sin tu conocimiento te suscriben a decenas de listas de distribución de correo, entonces lo que ocurre es que pueden llenar tu buzón y posiblemente el servidor con correos provenientes de estas listas, ya que muchas de estas listas pueden llegar a generar hasta 50 mensajes por día, y muchos de esos mensajes tienes datos adjuntos

con lo que si el objetivo del ataque ha sido incluido por ejemplo en 100 de estas listas puede llegar a recibir 5000 mensajes por día. Además este tipo de ataques tiene difícil solución, porque los filtros de correo no resuelven el problema, sino que lo ocultan, el problema se resuelve cuando dejas de estar suscrito a esas listas de distribución, y hacerlo manualmente de todas las listas a las que estas suscrito puede convertirse en una tarea muy costosa, por lo que ese ataque generalmente tiene una duración aproximada de unos 6 meses que suele ser la periodicidad con la que ese tipo de listas normalmente

...