2 Amenazas a la seguridad de la red
2.5 Ataques de denegación de servicio (DoS) y DoS distribuida (DDoS)

Como se detalla en [8] , “los ataques de denegación de servicio son una de las opciones más populares que usan los atacantes en Internet que quieren perturbar las operaciones de una red. A pesar de que no destruyen o roban datos como hacen otros tipos de ataques, el objetivo del atacante DOS es desmantelar la red denegando el servicio a sus usuarios legítimos. Los ataques DoS son fáciles de iniciar ya que hay software fácilmente disponible en sitios web de hackers que permiten que cualquiera pueda lanzar un ataque DOS aunque tenga poca o ninguna experiencia técnica”

En este tipo de ataques, el sistema recibe un número considerable de peticiones de comunicación y no es capaz de establecer la comunicación con todos los solicitantes. Entonces, el sistema consume recursos para completar el establecimiento de conexión. Con el tiempo, el sistema no puede responder a más peticiones de representación sin servicio.

Los ataques de denegación de servicio distribuidos (DDoS) utilizan ordenadores intermedios llamados agentes (que son equipos que tienen una vulnerabilidad y han sido comprometidos), que a menudo están infectadas con un Troyano. Estos sistemas constituyen una botnet y se utilizan para dirigirse a un único sistema provocando un ataque DoS .

La diferencia con un ataque DoS clásico se debe al uso de botnet en DDoS con muchos equipos (pueden ser cientos o incluso miles) y muchas conexiones a Internet, a menudo distribuidos globalmente en DDoS .

image
Figure 2.3. Esquema de un ataque DDoS

El atacante activa de forma remota estos programas troyanos, haciendo que los ordenadores intermedios ejecuten al mismo tiempo el ataque. Esto hace que sea imposible detener el ataque bloqueando una única dirección IP o unas cuantas, ya que el ataque procede de ordenadores que pueden estar en cualquier lugar del mundo. Por otra parte y por la misma razón, distribución entre muchísimos terminales ubicados en cualquier lugar, es muy difícil distinguir el tráfico de usuarios legítimos del tráfico de los terminales que realizan el ataque.

Es importante tener en cuenta que los ataques DDoS representan una amenaza a dos niveles. No sólo la red puede ser el blanco de un ataque DOS (ya que se lanzan ataques contra los servidores e impide la entrada y salida de tráfico de la red), sino también a sus ordenadores, ya que podrían ser utilizados como "equipos intermedios de la botnet" para lanzar un ataque DoS contra la otra red o sitio.

Los ataques DDoS se pueden dividir en los ataques basados en volumen, ataques a protocolos y ataques a nivel de aplicación, de acuerdo con el objetivo del ataque. En el primer caso, el objetivo es saturar el ancho de banda de la red, en el segundo recursos de equipos de comunicación intermedio, y en el tercer caso de accidente el servidor de aplicaciones.