Explicacion de un Ataque DDOS

ATTAQUE DDOS: Es una denegación de servicio distribuida, dejando a un lado las palabras técnicas, podría resumirse como el echo de saturar un sistema usando para ello, muchísimos clientes.

En los servidores web, algunos delincuentes informáticos, controlan cientos o miles de máquinas infectadas por malware, que controlan a su antojo, y pueden ordenarles hacer visitas sin parar a una web determinada, de forma que el apache se satura, y no puede atender a los visitantes legítimos.

ddos.JPG

Además de estos ataques básicos, pueden usarse estas máquinas “zombie” para saturar cualquier en la máquina, e incluso, pueden usarse para saturar la red entera en la que la máquina está hospedada, enviando información sin parar mediante el protocolo UDP (que no requiere conexión) hasta saturar el ancho de banda de la red objetivo.

Técnicamente hablando estos ataques se conocen como “syn flood” “http flood” “sockets exhaustion” y “udp flood” (aunque existen otros ataque mas raros, estos son lo mas comunes, algunos ni siquiera están documentados)

Algunas de las técnicas que se pueden utilizar para detener este tipo de ataques es utilizar apache basado en threads en lugar de apache basado en forks, de forma que cada petición no nos genera un nuevo proceso, sino un nuevo hilo, además, deberíamos de instalar reglas anti syn-flood en nuestro iptables, además de eliminar la limitación de 1024 sockets por proceso en Linux.

Aparte de estas medidas preventivas (y que están pensadas por los ataques mas típicos, no siempre son efectivas) existen medidas si ya estás bajo ataque, la primera es analizar los logs de los distintos servicios para ver si están realizando un ataque a un software concreto, como apache, o si están usando ataques en la capa tcp, como syn flood.

Si los ataques son peticiones intentando consumir memoria usando los scripts de la página, algo muy común, bastaría con detectar el refer que utilizan o ver si existen un useragent especifico en los zombies, y bloquearlos. Si el ataque es en la capa tcp, debería estudiarse el uso de reglas especificas para mitigar ese ataque en iptables o en el firewall coporativo.

Finalmente, puede que nos quede la pregunta de como reúnen los delincuentes estas máquinas zombie: lo hacen utilizando bugs muy conocidos y con parches disponibles que los solventan y convirtiendo a cada sistema que capturan en un nuevo scaner que continua buscando otros sistemas sin parar, por lo que cuantas mas máquinas controlan, más máquinas infectan al día.

Los programas con los que realizan estas actividades, son públicos y de código libre, lo cual es mas preocupante aun, existen algunos muy extendidos, como rxbot y otros muy similares, existen infinidad de sitios con documentación acerca de como utilizar estos programas, que existen con total impunidad y sirven como escuelas para delincuentes informáticos.

Artículos que te podrían interesar:

Subir