¿qué es un estresor de IP?
un estresador IP es una herramienta diseñada para probar la robustez de una red o servidor. El administrador puede ejecutar una prueba de estrés para determinar si los recursos existentes (ancho de banda, CPU, etc.) son suficientes para manejar carga adicional.
probar la propia red o servidor es un uso legítimo de un estresor. Ejecutarlo contra la red o el servidor de otra persona, lo que resulta en la denegación de servicio a sus usuarios legítimos, es ilegal en la mayoría de los países.
¿qué son los servicios de arranque?,
Los Booters, también conocidos como servicios de booter, son servicios de ataque DDoS (denegación de servicio distribuido) bajo demanda ofrecidos por delincuentes emprendedores con el fin de derribar sitios web y redes. En otras palabras, los booters son el uso ilegítimo de los estresores de PI.
los estresores de IP ilegales a menudo ocultan la identidad del servidor atacante mediante el uso de servidores proxy. El proxy redirige la conexión del atacante mientras oculta la dirección IP del atacante.
Los Booters se empaquetan como SaaS (Software-as-a-Service), a menudo con soporte por correo electrónico y tutoriales de YouTube., Los paquetes pueden ofrecer un servicio de una sola vez, múltiples ataques dentro de un período definido, o incluso acceso «de por vida». Un paquete básico de un mes puede costar tan poco como $19.99. Las opciones de pago pueden incluir tarjetas de crédito, Skrill, PayPal o Bitcoin (aunque PayPal cancelará las cuentas si se puede probar la intención maliciosa).
¿en qué se diferencian los arrancadores IP de las botnets?
una botnet es una red de computadoras cuyos propietarios no saben que sus computadoras han sido infectadas con malware y están siendo utilizadas en ataques de Internet. Los Booters son servicios de DDoS de alquiler.,
Los Booters tradicionalmente usaban botnets para lanzar ataques, pero a medida que se vuelven más sofisticados, se jactan de servidores más potentes para, como dicen algunos servicios de booter, «ayudarte a lanzar tu ataque».
¿Cuáles son las motivaciones detrás de los ataques de denegación de servicio?
Las motivaciones detrás de los ataques de denegación de servicio son muchas: skiddies* desarrollando sus habilidades de hacking, rivalidades comerciales, conflictos ideológicos, terrorismo patrocinado por el gobierno o extorsión. PayPal y tarjetas de crédito son los métodos de pago preferidos para los ataques de extorsión., Bitcoin también está en uso porque ofrece la capacidad de disfrazar la identidad. Una desventaja de Bitcoin, desde el punto de vista de los atacantes, es que menos personas usan bitcoins en comparación con otras formas de pago.
*Script kiddie, o skiddie, es un término despectivo para vándalos de Internet relativamente poco calificados que emplean scripts o programas escritos por otros para lanzar ataques a redes o sitios web. Persiguen vulnerabilidades de seguridad relativamente conocidas y fáciles de explotar, a menudo sin tener en cuenta las consecuencias.
¿qué son los ataques de amplificación y reflexión?,
Los ataques de reflexión y amplificación hacen uso del tráfico legítimo para abrumar la red o el servidor a los que se dirigen.
Cuando un atacante forja la dirección IP de la víctima y envía un mensaje a un tercero mientras pretende ser la víctima, se conoce como suplantación de dirección IP. El tercero no tiene forma de distinguir la dirección IP de la víctima de la del atacante. Responde directamente a la víctima. La dirección IP del atacante está oculta tanto a la víctima como al servidor de terceros. Este proceso se llama reflexión.,
esto es similar a que el atacante ordena pizzas a la casa de la víctima mientras finge ser la víctima. Ahora la víctima termina debiendo dinero a la pizzería por una pizza que no pidieron.
la amplificación del tráfico ocurre cuando el atacante obliga al servidor de terceros a enviar respuestas a la víctima con la mayor cantidad de datos posible. La relación entre los tamaños de respuesta y solicitud se conoce como factor de amplificación. Cuanto mayor sea esta amplificación, mayor será la interrupción potencial de la víctima., El servidor de terceros también se interrumpe debido al volumen de solicitudes falsificadas que tiene que procesar. La amplificación NTP es un ejemplo de tal ataque.
los tipos más efectivos de ataques de arranque utilizan tanto la amplificación como la reflexión. Primero, el atacante falsifica la dirección del objetivo y envía un mensaje a un tercero. Cuando el tercero responde, el mensaje va a la dirección falsa del objetivo. La respuesta es mucho más grande que el mensaje original, lo que amplifica el tamaño del ataque.,
el papel de un único bot en un ataque de este tipo es similar al de un adolescente malicioso que llama a un restaurante y ordena todo el menú, luego solicita una devolución de llamada que confirma cada elemento del menú. Excepto que el número de devolución de llamada es el de la víctima, lo que hace que la víctima reciba una llamada del restaurante con una gran cantidad de información que no solicitó.
¿cuáles son las categorías de ataques de denegación de servicio?
Los ataques de capa de aplicaciones van tras las aplicaciones web, y a menudo utilizan la mayor sofisticación., Estos ataques explotan una debilidad en la pila de protocolos de capa 7 al establecer primero una conexión con el objetivo, y luego agotar los recursos del servidor monopolizando procesos y transacciones. Estos son difíciles de identificar y mitigar. Un ejemplo común es un ataque de inundación HTTP.
Los ataques basados en protocolos se centran en explotar una debilidad en las capas 3 o 4 de la pila de protocolos. Estos ataques consumen toda la capacidad de procesamiento de la víctima u otros recursos críticos (un firewall, por ejemplo), lo que resulta en una interrupción del servicio. SYN Flood y Ping of Death son algunos ejemplos.,
Los ataques volumétricos envían grandes volúmenes de tráfico en un esfuerzo por saturar el ancho de banda de una víctima. Los ataques volumétricos son fáciles de generar mediante el empleo de técnicas de amplificación simples, por lo que estas son las formas más comunes de ataque. UDP Flood, TCP Flood, amplificación NTP y amplificación DNS son algunos ejemplos.
¿qué son los ataques comunes de denegación de servicio?,
el objetivo de los ataques DoS o DDoS es consumir suficientes recursos de servidor o red para que el sistema deje de responder a las solicitudes legítimas:
- inundación SYN: una sucesión de solicitudes SYN se dirige al sistema del objetivo en un intento de abrumarlo. Este ataque explota las debilidades en la secuencia de conexión TCP, conocido como un apretón de manos de tres vías.
- HTTP Flood: un tipo de ataque en el que las solicitudes HTTP GET o POST se utilizan para atacar el servidor web.,
- inundación UDP: un tipo de ataque en el que los puertos aleatorios en el objetivo son abrumados por paquetes IP que contienen datagramas UDP.
- Ping of Death: los ataques implican el envío deliberado de paquetes IP más grandes que los permitidos por el protocolo IP. La fragmentación TCP / IP se ocupa de paquetes grandes descomponiéndolos en paquetes IP más pequeños. Si los paquetes, cuando se juntan, son más grandes que los 65.536 bytes permitidos, los servidores heredados a menudo se bloquean. Esto se ha solucionado en gran medida en los sistemas más nuevos. Ping flood es la encarnación actual de este ataque.,
- ataques de protocolo ICMP: los ataques al protocolo ICMP aprovechan el hecho de que cada solicitud requiere un procesamiento por parte del servidor antes de que se envíe una respuesta. Smurf attack, ICMP flood y ping flood aprovechan esto inundando el servidor con solicitudes ICMP sin esperar la respuesta.
- Slowloris: inventado por Robert ‘Rsnake’ Hansen, este ataque intenta mantener múltiples conexiones al servidor Web objetivo abiertas, y durante el mayor tiempo posible. Eventualmente, los intentos de conexión adicionales de los clientes serán negados.,
- inundación de DNS: el atacante inunda los servidores DNS de un dominio en particular en un intento de interrumpir la resolución de DNS para ese dominio
- ataque de lágrima: el ataque que implica enviar paquetes fragmentados al dispositivo objetivo. Un error en el protocolo TCP/IP evita que el servidor vuelva a ensamblar dichos paquetes, causando que los paquetes se superpongan. El dispositivo objetivo se bloquea.
- amplificación DNS: este ataque basado en la reflexión convierte las solicitudes legítimas a servidores DNS (domain name system) en mucho más grandes, en el proceso consumiendo recursos del servidor.,
- amplificación NTP: un ataque DDoS volumétrico basado en reflexión en el que un atacante explota una funcionalidad de servidor de Protocolo de tiempo de red (NTP) para abrumar una red o servidor objetivo con una cantidad amplificada de tráfico UDP.
- reflexión SNMP: el atacante forja la dirección IP de la víctima y envía múltiples solicitudes de protocolo de administración de red Simple (SNMP) a los dispositivos. El volumen de respuestas puede abrumar a la víctima.,
- SSDP: un ataque SSDP (Simple Service Discovery Protocol) es un ataque DDoS basado en reflexión que explota los protocolos de red Universal Plug and Play (UPnP) para enviar una cantidad amplificada de tráfico a una víctima objetivo.
- ataque Pitufo: este ataque utiliza un programa malicioso llamado Pitufo. Un gran número de paquetes de protocolo de mensajes de control de Internet (ICMP) con la dirección IP falsificada de la víctima se transmiten a una red informática utilizando una dirección de difusión IP.
- ataque Fraggle: un ataque similar a Pitufo, excepto que usa UDP en lugar de ICMP.,
¿qué se debe hacer en caso de un ataque de extorsión DDoS?
- El Centro de datos y el ISP deben ser informados de inmediato
- El pago de un rescate nunca debe ser una opción, un pago a menudo conduce a una escalada de las demandas de rescate
- Las agencias policiales deben ser notificadas
- El tráfico de red debe ser monitoreado
- comuníquese con los planes de Protección DDoS, como el plan gratuito de Cloudflare
¿cómo se pueden mitigar los ataques de botnet?,
- los Firewalls deben instalarse en el servidor
- Los parches de seguridad deben estar actualizados
- El software Antivirus debe ejecutarse según lo programado
- Los registros del sistema deben monitorizarse regularmente
- No se debe permitir que los servidores de correo electrónico desconocidos distribuyan tráfico SMTP
¿por qué es difícil rastrear los servicios de arranque?
la persona que compra estos servicios criminales utiliza un sitio web frontend para el pago, y las instrucciones relacionadas con el ataque. Muy a menudo no hay una conexión identificable con el backend que inicia el ataque real., Por lo tanto, la intención criminal puede ser difícil de probar. Seguir el rastro de pago es una forma de rastrear entidades criminales.