19/02/13

Ataque de denegacin de servicio - Wikipedia, la enciclopedia libre

Ataque de denegacin de servicio

De Wikipedia, la enciclopedia libre
En seguridad informtica, un Ataque de denegacin de servicios, tambin
llamado ataque DoS (de las siglas en ingls Denial of Service), es un
ataque a un sistema de computadoras o red que causa que un servicio o
recurso sea inaccesible a los usuarios legtimos. Normalmente provoca la
prdida de la conectividad de la red por el consumo del ancho de banda de
la red de la vctima o sobrecarga de los recursos computacionales del
sistema de la vctima.
Se genera mediante la saturacin de los puertos con flujo de informacin,
haciendo que el servidor se sobrecargue y no pueda seguir prestando
servicios, por eso se le denomina "denegacin", pues hace que el servidor
no d abasto a la cantidad de solicitudes. Esta tcnica es usada por los
llamados crackers para dejar fuera de servicio a servidores objetivo.
Una ampliacin del ataque DoS es el llamado ataque distribuido de
denegacin de servicio, tambin llamado ataque DDoS (de las siglas en
ingls Distributed Denial of Service) el cual lleva a cabo generando un
gran flujo de informacin desde varios puntos de conexin.

Diagrama de un ataque DDoS

usando el software Stacheldraht

La forma ms comn de realizar un DDoS es a travs de una botnet, siendo

esta tcnica el ciberataque ms usual y eficaz por su sencillez tecnolgica.
En ocasiones, esta herramienta ha sido utilizada como un buen mtodo para comprobar la capacidad de trfico que
un ordenador puede soportar sin volverse inestable y afectar a los servicios que presta. Un administrador de redes
puede as conocer la capacidad real de cada mquina.

ndice
1 Mtodos de ataque
1.1 Inundacin SYN (SYN Flood)
1.2 Inundacin ICMP (ICMP Flood)
1.3 SMURF
1.4 Inundacin UDP (UDP Flood)
2 Vase tambin
3 Enlaces externos

Mtodos de ataque
Un ataque de "Denegacin de servicio" impide el uso legtimo de los usuarios al usar un servicio de red. El ataque
se puede dar de muchas formas. Pero todas tienen algo en comn: utilizan la familia de protocolos TCP/IP para
conseguir su propsito.
es.wikipedia.org/wiki/Ataque_de_denegacin_de_servicio

1/4

19/02/13

Ataque de denegacin de servicio - Wikipedia, la enciclopedia libre

Un ataque DoS puede ser perpetrado de varias formas. Aunque bsicamente consisten en :
Consumo de recursos computacionales, tales como ancho de banda, espacio de disco, o tiempo de
procesador.
Alteracin de informacin de configuracin, tales como informacin de rutas de encaminamiento.
Alteracin de informacin de estado, tales como interrupcin de sesiones TCP (TCP reset).
Interrupcin de componentes fsicos de red.
Obstruccin de medios de comunicacin entre usuarios de un servicio y la vctima, de manera que ya no
puedan comunicarse adecuadamente.

Inundacin SYN (SYN Flood)

Principios de TCP/IP
Cuando una mquina se comunica mediante TCP/IP con otra, enva una serie de datos junto a la peticin real.
Estos datos forman la cabecera de la solicitud. Dentro de la cabecera se encuentran unas sealizaciones llamadas
Flags (banderas). Estas sealizaciones (banderas) permiten iniciar una conexin, cerrarla, indicar que una solicitud
es urgente, reiniciar una conexin, etc. Las banderas se incluyen tanto en la solicitud (cliente), como en la respuesta
(servidor).
Para aclararlo, veamos cmo es un intercambio estndar TCP/IP:
1 Establecer Conexin: El cliente enva una Flag SYN, si el servidor acepta la conexin, ste, debera
responderle con un SYN/ACK luego el cliente debera responder con una Flag ACK.
1-Cliente --------SYN-----> 2 Servidor
4-Cliente <-----SYN/ACK---- 3 Servidor
5-Cliente --------ACK-----> 6 Servidor

2 Resetear Conexin: Al haber algn error o perdida de paquetes de envo se establece envo de Flags RST:
1-Cliente -------Reset-----> 2-servidor
4-Cliente <----Reset/ACK---- 3-Servidor
5-Cliente --------ACK------> 6-Servidor

La inundacin SYN enva un flujo de paquetes TCP/SYN (varias peticiones con Flags SYN en la cabecera),
muchas veces con la direccin de origen falsificada. Cada uno de los paquetes recibidos es tratado por el destino
como una peticin de conexin, causando que el servidor intente establecer una conexin al responder con un
paquete TCP/SYN-ACK y esperando el paquete de respuesta TCP/ACK (Parte del proceso de establecimiento
de conexin TCP de 3 vas). Sin embargo, debido a que la direccin de origen es falsa o la direccin IP real no ha
solicitado la conexin, nunca llega la respuesta.
Estos intentos de conexin consumen recursos en el servidor y copan el nmero de conexiones que se pueden
establecer, reduciendo la disponibilidad del servidor para responder peticiones legtimas de conexin.
SYN cookies provee un mecanismo de proteccin contra Inundacin SYN, eliminando la reserva de recursos en el
es.wikipedia.org/wiki/Ataque_de_denegacin_de_servicio

2/4

19/02/13

Ataque de denegacin de servicio - Wikipedia, la enciclopedia libre

host destino, para una conexin en momento de su gestin inicial.

Inundacin ICMP (ICMP Flood)

Es una tcnica DoS que pretende agotar el ancho de banda de la vctima. Consiste en enviar de forma continuada
un nmero elevado de paquetes ICMP Echo request (ping) de tamao considerable a la vctima, de forma que
esta ha de responder con paquetes ICMP Echo reply (pong) lo que supone una sobrecarga tanto en la red como
en el sistema de la vctima.
Dependiendo de la relacin entre capacidad de procesamiento de la vctima y el atacante, el grado de sobrecarga
vara, es decir, si un atacante tiene una capacidad mucho mayor, la vctima no puede manejar el trfico generado.

SMURF
Existe una variante a ICMP Flood denominado Ataque Smurf que amplifica considerablemente los efectos de un
ataque ICMP.
Existen tres partes en un Ataque Smurf: El atacante, el intermediario y la vctima (comprobaremos que el
intermediario tambin puede ser vctima).
En el ataque Smurf, el atacante dirige paquetes ICMP tipo "echo request" (ping) a una direccin IP de broadcast,
usando como direccin IP origen, la direccin de la vctima (Spoofing). Se espera que los equipos conectados
respondan a la peticin, usando Echo reply, a la mquina origen (vctima).
Se dice que el efecto es amplificado, debido a que la cantidad de respuestas obtenidas, corresponde a la cantidad
de equipos en la red que puedan responder. Todas estas respuestas son dirigidas a la vctima intentando colapsar
sus recursos de red.
Como se dijo anteriormente, los intermediarios tambin sufren los mismos problemas que las propias vctimas.

Inundacin UDP (UDP Flood)

Bsicamente este ataque consiste en generar grandes cantidades de paquetes UDP contra la vctima elegida.
Debido a la naturaleza sin conexin del protocolo UDP, este tipo de ataques suele venir acompaado de IP
spoofing.
Es usual dirigir este ataque contra mquinas que ejecutan el servicio Echo, de forma que se generan mensajes Echo
de un elevado tamao.

Vase tambin
Ping de la muerte
Anonymous
Nuke
Flags
Ataque Smurf

es.wikipedia.org/wiki/Ataque_de_denegacin_de_servicio

3/4

19/02/13

Ataque de denegacin de servicio - Wikipedia, la enciclopedia libre

Enlaces externos
Syn Flood, que es y como mitigarlo (http://foro.hackhispano.com/showthread.php?t=36604)
Intentando
detener
un
(http://foro.elhacker.net/tutoriales_documentacion/intentando_detener_un_ddos-t137442.0.html)

DDoS

Obtenido de http://es.wikipedia.org/w/index.php?title=Ataque_de_denegacin_de_servicio&oldid=61112247
Categoras:
Ataques de denegacin de servicio Problemas de seguridad informtica Redes informticas
Hacking
Esta pgina fue modificada por ltima vez el 4 nov 2012, a las 23:45.
El texto est disponible bajo la Licencia Creative Commons Atribucin Compartir Igual 3.0; podran ser
aplicables clusulas adicionales. Lanse los trminos de uso para ms informacin.
Wikipedia es una marca registrada de la Fundacin Wikimedia, Inc., una organizacin sin nimo de lucro.

es.wikipedia.org/wiki/Ataque_de_denegacin_de_servicio

4/4