Muchas veces la seguridad de un sistema hace que un atacante inexperto tenga un sentimiento de frustración. Algunos de estos atacantes, sintiéndose inútiles e incapaces, lanzan un ataque DoS como último recurso. Unas veces es simplemente por motivos personales o políticos. Otras veces los atacantes realizan un ataque DoS porque les es necesario a fin de vulnerar un sistema: puede ser que los atacantes necesiten que un sistema caiga para que un administrador de él lo reinicie. Es muy fácil vulnerar un sistema justo durante el reinicio, antes de que todos los servicios estén totalmente operativos.
La acción de una caída inexplicable de un sistema conectado a Internet debería atraer la atención del administrador sobre la posibilidad de estar sufriendo un ataque, pero, por desgracia, la mayoría de los administradores no le dan importancia y reinician el sistema sin pensarlo mucho.
Aunque es imposible analizar todos los posibles motivos de un ataque, no debemos olvidar que Internet no es muy diferente a la vida real. No todas las personas son normales: hay quien disfruta haciendo maldades y cualquier ataque o posible conquista le da sensación de poder. Y recordemos también, que es mucho mas idéntico a la vida real de lo que parece: nadie regala nada por nada y por tanto, nadie nos va a regalar nada en la vida real... ni en Internet. Todo lo que aparentemente es gratis o de fácil adquisición, llevará "regalo" incorporado. Los usuarios finales deben ser muy precavidos con el riesgo actual que conllevan las redes P2P: nada es gratis.
Un ejemplo muy fácil de entender para los menos expertos:
Imagínate que en una pizzería atienden las llamadas por teléfono. Normalmente cada cinco minutos llama alguien, así que no se suelen solapar las llamadas. De repente un cliente malhumorado de la pizzería decide fastidiar el servicio durante un rato de la siguiente manera: entre varios llamaran a la pizzería durante un par de horas sin parar. ¿Qué pasara? Que cuando los clientes reales quieran llamar a la pizzería no podrán hacer su pedido, ya que el teléfono estará ocupado.
La mayoría de estos ataques se llevan acabo gracias a miles o cientos de miles de usuarios comunes y corrientes, que sin darse cuenta, han convertido su PC en una especie de zombie (probablemente a través de algún virus, spyware, troyano, etc.) que el atacante tiene en su poder. Así, para realizar el ataque de denegación de servicio, el atacante le indica a estos cientos de miles de zombies que realicen una petición (request) a cierto website, y este al verse desbordado por tantas peticiones no tiene más remedio que colapsar.
Por eso es muy importante tomar algunas medidas mínimas, como instalar un firewall/antivirus en nuestro ordenador y así evitar colaborar con estos ataques que al fin y al cabo nos afectan a todos.
Variantes de ataques DoS
consumo de ancho de banda :
Consisten simplemente en consumir todo el ancho de banda, es relativamente sencillo:
* por ejemplo un servidor de Internet pequeño, un ADSL típico, con una entrada de 512 Kb. Desde un equipo malintencionado con un ancho de banda de 2 Mb se realiza el ataque. Equivale al choque frontal de un tren con un triciclo.
* o bien, y es lo más normal, uniendo multitud de pequeñas máquinas para saturar la conexión de red de la víctima. Con simples modems de 56 Kb se pueden saturar líneas de 60 Mb de una manera sencilla: puede basarse por ejemplo, en que el atacante convenza a los sistemas amplificadores para enviar tráfico de red a la víctima consiguiendo de esa manera con un simple módem el enviar a la víctima flujos de información de hasta 100 Mb (megas!!). No es difícil usar estas técnicas de amplificación. O bien basarse en sistemas "zombies", miles, capturados previamente y en espera de ser despertados para organizar un ataque conjunto. En Internet se venden listas de miles de equipos conquistados y lo que es peor: alguien las compra, o puede comprarlas, cuando desea realizar uno de estos ataques.
Cualquier estudiante de redes sabe que el tráfico ICMP es peligroso. Es necesario para realizar muchos diagnósticos pero, por desgracia, es la bala que se utiliza en los ataques de consumo de ancho de banda. Es relativamente sencillo además falsificar la dirección origen con lo que es sumamente difícil identificar al culpable.
inanición de recursos :
Esta enfocado, en vez de a agotar el ancho de banda del sistema atacado, al consumo de los recursos del sistema, a la saturación de la CPU, memoria, lo que sea, hasta que la máquina se cae. Este tipo de ataque, generalmente provoca un fallo general del sistema, o que se llene un disco de log, o procesos que se cuelgan porque necesitan CPU que el sistema no le está proporcionando o se lo proporciona escasamente: y alguno de estos procesos puede ser crítico para el sistema.
errores de programación :
Envío de datos "anormales", que no cumplen las RFC (normas de definición del protocolo) al sistema objetivo: si la pila TCP/IP no es capaz de manejar estas excepciones y los programadores no han supuesto estos casos, terminará con la caída del sistema al ser en la capa de drivers que se ejecuta en RING 0 o RING 1 de la máquina. A veces no son defectos de programación: son defectos del hardware, defectos de algún chip, o defectos de la propia CPU. No está de más recordar el famoso defecto existente en algún Pentium (no voy a citar modelos presentes o pasados) por el cual un proceso, incluso en modo usuario sin privilegios, podía colgar a la CPU con algo tan simple como enviarle la instrucción 0xf00fc7c8 a la CPU.
Recordemos, y no sólo los administradores sino también los usuarios finales, que la existencia de programas, sistemas operativos o incluso hardware y CPU libres de errores... es una quimera.
ataques DNS y de enrutamiento :
La mayoría de los protocolos de enrutamiento como RIP (Routing Information Protocol) o BGP (Border Gateway Protocol) carecen de autenticación, o tienen una muy sencilla. Se trata por tanto de un escenario perfecto para que cualquier atacante pueda alterar las rutas correctas y, falsificando su IP origen, crear una condición DoS. Las víctimas de estos ataques verán como su tráfico se dirige por ejemplo hacia un agujero negro: a una red que no existe.
Los ataques DoS sobre servidores de nombres de dominios (DNS) son tan problemáticos como los anteriores. Estos ataques intentan convencer al servidor DNS, por ejemplo, para almacenar direcciones falsas: cuando un servidor DNS realiza una búsqueda el atacante puede redireccionar a su propio servidor o bien a un "agujero negro". En los últimos años se han sufrido varias veces ataques a alguno de los servidores "root" DNS de Internet colapsando media red y con tiempos de normalización superiores a las 48 horas.
Tend Micro alerta de las consecuencias reales que está provocando un troyano bancario de última generación conocido como Bebloh URLZone.
