A Denegación de Servicio Distribuida (DDoS) es un ataque a una red que está diseñado para llevarlo a su fin. Esto se realiza mediante el envío de tráfico inútil para un servicio específico / puerto en el servidor. La cantidad de tráfico enviado abrumaría el servicio, por lo que el tráfico legítimo se cae o ignorado.
Los ataques DDoS han desarrollado a partir de los básicos de ataques DoS que se encontraban en estado salvaje en 1997. Estos ataques se originan de una fuente y puede surgir a partir del 100 de ubicaciones en todo el mundo. Los ataques más visibles eran los de febrero de 2000, donde los sitios de alto tráfico (eBay / Amazonas / Yahoo / CNN / Buy.Com / Datek / ZDNet) se enfrentan a la tarea de manejar grandes cantidades de tráfico falso. En los últimos días, se han producido ataques a Cisco que se tradujo en el tiempo de inactividad considerable. Algunos lista negra pública también han sido blanco de los spammers y llevado a la quiebra.
Los siguientes son los diferentes tipos de ataques.
Smurfing: El culpable envía una gran cantidad de tráfico de eco ICMP a direcciones IP de difusión, todo ello con una dirección de origen falsa de una víctima. Esto multiplica el tráfico por el número de los ejércitos.
Fraggle: Este es el primo del ataque smurf. Este ataque utiliza UDP paquetes de eco de la misma era como el tráfico de eco ICMP.
Flood Ping: El culpable intenta interrumpir el servicio mediante el envío de solicitud de ping directamente a la víctima.
SYN Flood: La explotación de la falla en el TCP de tres vías, el culpable será crear peticiones de conexión dirigidas a la víctima. Estas solicitudes se hacen con los paquetes de direcciones de origen inalcanzables. El servidor / dispositivo no es capaz de completar la conexión, y como resultado el servidor termina utilizando la mayoría de sus recursos de red intentan reconocer cada SYN.
Terreno: El culpable envía un paquete forjado con el mismo origen y la dirección IP de destino. El sistema de las víctimas se confunden y se estrellan o reiniciar el sistema.
Teardrop: El culpable envía dos fragmentos que no pueden volverse a montar correctamente mediante la manipulación del valor de desplazamiento de la bolsa y causar un reinicio o cese de sistema de la víctima.
Bonk: Este ataque suele afectar a equipos con Windows OS. El culpable envía paquetes UDP corruptos a DNS puerto 53. El sistema se confunde y se bloquea.
Boink: Esto es similar al ataque de Bonk; aceptar que se dirige a varios puertos en lugar de sólo 53.
Antiparasitario: El gusano envía una gran cantidad de datos a servidores remotos. A continuación, comprueba que hay una conexión activa al intentar ponerse en contacto con un sitio web fuera de la red. Si tiene éxito, el ataque se inicia. Esto sería en conjunción con un correo masivo de algún tipo.
Con el actual TCP / IP ejecución, es muy poco lo que pueden hacer las empresas para evitar que su red sea DDoSed. Algunas compañías pueden ser proactivo y asegúrese de que todos sus sistemas están parcheados y sólo se ejecuta servicios que necesitan. También de aplicación, egreso / ingreso de filtrado y habilitar el registro en todos los routers se desactivará algunos ataques DDoS.
"Filtrado de salida es el proceso de examinar todas las cabeceras de los paquetes que salen de una subred para la validez de la dirección. Si la dirección de origen del paquete IP se origina dentro de la subred que el router sirve, entonces el paquete es reenviado. Si el paquete tiene una dirección de origen ilegal, entonces el paquete simplemente es eliminado. Hay muy poca sobrecarga implicada, por lo tanto, no hay degradación de rendimiento de la red. "
- Cisco Web
A continuación encontrará un simple ataque SYN script de detección que podría ser configurado para ejecutarse cada 5 minutos a través de una tarea programada. En caso de un ataque que recibiría un email con la información de IP, recuerda la información de IP se suele falsa.
#! / Usr / bin / perl-w
Script # Fácil de controlar ataques SYN.
Syn_alert $ = 15;
$ Hostname = `hostname`;
chomp ($ hostname);
Num_of_syn $ = `netstat-an | grep-c` SYN;
if ($ num_of_syn> $ syn_alert)
{
`Netstat-an | grep SYN | mail-s" ataque SYN DETECTADO EN $ hostname " admin@yourcompany.com `;
}
else {
}
salida;
Conclusión: Los ataques DDoS son muy difíciles de rastrear y detener. Nuevos dispositivos de hardware están siendo fabricados específicamente para este tipo de ataques. Muchos proveedores de servidores dedicados simplemente desconecte el servidor que está siendo atacado hasta que el ataque se ha detenido. Esto no es una solución de esto es un arreglo descuidado y temporal. El culpable seguirá existiendo y no ha tenido que rendir cuentas por sus acciones. Una vez que se detecta un ataque inmediato anfitriones deben comprometer a sus proveedores de aguas arriba.
