orígenes de las amenazas de denegación de servicio
en los ataques convencionales de denegación de servicio, el hacker transmite múltiples solicitudes a la máquina o servicio de destino con direcciones ficticias del Protocolo de retorno de Internet (IP). Cuando el servidor intenta autenticar estas direcciones, se encuentra con una ola de respuestas de código de error, lo que desencadena una cadena recurrente de tráfico SMTP que puede saturar rápidamente el servidor., Del mismo modo, con un ataque Pitufo, el hacker transmitiría paquetes a múltiples hosts con una dirección IP falsa perteneciente a esas máquinas objetivo. Cuando las máquinas host receptoras responden, se inundan efectivamente con el tráfico de paquetes que responden.
en una inundación SYN, un atacante aprovecha el proceso TCP 3-Way Handshake (SYN, SYN-ACK, ACK) para desconectar un servicio. En el Handshake de 3 vías, el servidor a iniciaría un mensaje TCP SYNchronize request al servidor B. Al recibir la solicitud, el host B (La máquina de destino) envía un paquete SYNchronize-ACKnowledgement al servidor A., Es en este punto que se produce el ataque de denegación de servicio. En un intercambio legítimo para establecer una conexión de socket TCP, el siguiente paso sería que el host a envíe un mensaje de confirmación al host B, pero cuando el hacker que controla el host a evita que esto suceda, el apretón de manos no se puede completar. El resultado es que el host B tiene un puerto conectado que no está disponible para solicitudes adicionales. Cuando el atacante envía solicitudes repetidas de esta naturaleza, todos los puertos disponibles en el host B pueden colgarse rápidamente y no estar disponibles.,
las amenazas cambiantes de denegación de servicio
las inundaciones SYN, los ataques banana y otros tipos de hacks DoS convencionales siguen en uso hoy en día, y por supuesto, los ataques DDoS impulsados por botnet siguen siendo una amenaza constante. Pero los hackers malintencionados han ampliado en los últimos años el número de máquinas y servicios a los que se dirigen, y han ampliado considerablemente la superficie de amenaza. Cada vez más, las organizaciones están siendo atacadas por ataques de «degradación del servicio» de menor intensidad que infligen costosas ralentizaciones del servicio sin tener que desconectar completamente los recursos., Este método de ataque se ha vuelto cada vez más común a medida que más y más organizaciones han llegado a confiar en Amazon Web Services (AWS) y ofertas similares en la nube para impulsar sus operaciones web.
Cuando un gran minorista, proveedor de servicios financieros, marca de consumo o empresa comercial similar aloja su sitio web en AWS, Microsoft Azure u otro operador en la nube, el acuerdo se regirá por un Acuerdo de nivel de servicio., En efecto, el operador de la nube, por un precio determinado, promete poner a disposición los recursos de procesamiento, El ancho de banda y la infraestructura de soporte necesarios para que ese sitio web admita X cantidades de tráfico web, donde X se mediría como gigabytes de datos, número de transacciones minoristas, horas de tiempo de actividad y métricas relacionadas. Si las cargas de tráfico exceden los niveles acordados, lo que sería positivo si el tráfico es legítimo, el propietario del sitio web se cobraría a una tarifa más alta., Este proceso a menudo está completamente automatizado, como con Amazon CloudWatch, que tiene funciones de escalado automático para aumentar o disminuir dinámicamente los recursos de procesamiento según sea necesario.
denigración costosa del servicio
como uno podría imaginar, los malos actores pueden inyectarse en estas relaciones dirigiendo tráfico ilegítimo a un sitio web objetivo, y aumentar fácilmente el costo de hacer negocios para una organización objetivo. Los servidores «zombis» pulsantes que envían ráfagas de tráfico intermitentes se utilizan con frecuencia en este tipo de ataque., Dado que las cargas de tráfico en cuestión son ocasionales y obviamente no provienen de una fuente maliciosa, se parecen mucho al tráfico legítimo, lo que significa que puede ser extremadamente difícil para el personal de seguridad cibernética descubrirlas y detenerlas.
otro conjunto de herramientas utilizadas en este tipo de incidentes de denegación de servicio o degradación del servicio son las llamadas aplicaciones «estresantes» que fueron diseñadas originalmente para ayudar a los propietarios de sitios web a identificar puntos débiles en su infraestructura web., Fáciles de obtener y fáciles de usar, estas aplicaciones, incluido WebHive, se pueden instalar en múltiples instancias en la nube para crear capacidades DDoS formidables. Coordinados juntos de esta manera, estas herramientas de ataque pueden tener grandes sitios web comerciales fuera de línea durante períodos prolongados.
claves de denegación de servicio
Los ataques de denegación de servicio han cambiado y cambiado a lo largo de los años, pero el daño causado continúa aumentando., Una encuesta del Instituto Ponemon de grandes empresas en una amplia gama de sectores de la industria encontró que la compañía típica sufre cuatro incidentes de denegación de servicio al año, y que el costo total promedio por año para tratar con DoS es de aproximadamente $1.5 millones. Poner en marcha una arquitectura de seguridad que le permita detectar, prevenir y responder a los ataques DoS es un paso crítico en cualquier programa de seguridad cibernética eficaz.