La denegación de servicio: cómo se hace y cuánto cuesta (I)

17 noviembre, 2014

[Versió en català]

Los pasados días 8 y 9 de noviembre la Generalidad de Catalunya sufrió un ataque informático que puso en riesgo algunos servicios como la página web de la Generalitat. A raíz de estos ataques, explicaremos en detalle cómo se realizan y cómo se pueden mitigar.

La denegación de un servicio en Internet (por ejemplo, una página web, un servidor de correo, de noticias, etc.) consiste en bloquearlo con múltiples peticiones continuadas. Puede ser tan sencillo como pedir una página web en concreto miles de veces por segundo desde un ordenador. En la medida que el servidor atacado tenga un ancho de banda muy pequeño, una tarjeta de red antigua y lenta, o tenga que hacer operaciones lentas antes de responder a las peticiones recibidas, éste se colapsará rápidamente y quedará inutilizado.

img1_cast

Para hacer aún mayor el ataque y por tanto con más intensidad, lo que se hizo fue atacar desde diferentes puntos hacia el mismo servidor, es decir, que ahora ya no sólo un único sistema envía peticiones al servidor, sino que en son muchos a la vez. A estos ataques se les conoce como denegación de servicio distribuido o DDoS (Distributed Denial-of-Service, en inglés). ¿Pero cómo se consigue esto? Utilizando las redes «zombies» o redes de sistemas troyanizados, que controla un mismo ciberdelincuente. Fijémonos que llamamos «sistema» en vez de «ordenador», ya que en este caso los teléfonos móviles también pueden formar parte de esta red de zombis. Una persona podría enviar correos electrónicos con archivos adjuntos con un troyano que controla remotamente y que en un determinado momento envía la orden a través de la red de atacar una máquina o servidor en concreto.

img2_castCon esta técnica se consiguen dos cosas muy importantes, la primera, elevar la intensidad del ataque y con ello, el daño que se hace sobre el sistema atacado. Así, la caída del servicio está casi garantizada. Al haber muchos más sistemas intentando interactuar contra un mismo servicio, el ancho de banda se bloquea antes y con más efectividad. Y la segunda, que no quede rastro de la persona que ha ordenado el ataque.

Pero aun así, ¿se puede agravar aún más el ataque? Pues sí, además de la red de troyanos se pueden utilizar los servidores de nombres (DNS) que hay distribuidos por Internet. Estos servidores traducen los nombres a los que estamos acostumbrados a los números que entienden las máquinas, los routers de la red Internet. Por ejemplo nos traducen www.uoc.edu por 213.73.40.242, la dirección IP, que tiene más sentido para las máquinas que encaminan las peticiones por la red que no los nombres de los servidores de dichas páginas.

Pero, ¿cómo se pueden usar? Manipulando las peticiones a estos servidores de nombre. Normalmente los proveedores de servicios de Internet (ISP) tienen sus propios DNS, pero existen algunos libres a los que se pueden enviar peticiones de resolución de nombres.

En el momento en que desde mi teléfono pongo en el navegador web http://www.uoc.edu, éste se conecta al DNS que tengamos configurado y pedirá que le devuelva la numeración (IP) para luego enviar la petición hacia la dirección correcta. Si un DNS no pueden hacer la conversión porque desconoce la dirección IP reenvía la petición a otros servidores DNS para buscarlo, devolviendo todos la respuesta correcta en el momento de encontrarla.

Pero si lo que se envía hacia el DNS es una petición con una dirección muy larga (mucho), y la dirección de retorno a la que ha de enviar la dirección IP la manipulamos para que no sea nuestra máquina, sino que sea la dirección de la máquina que se quiere atacar, lo que obtenemos es que todos los DNS contestarán a la vez hacia la máquina atacada, amplificando aún más el ataque que ya estaba sufriendo.

img3_castEsto es lo que pasó durante el día 8 de noviembre, en el que, a pesar de no saberse aún la intensidad del ataque, éste podría estar sobre los 200 o 400 Gbps (Giga bits por segundo). Es decir, que cada segundo la red de la Generalitat recibía un equivalente a 50 Gbytes que evidentemente hace que quede inmediatamente colapsada.

Pero, ¿es tan fácil de realizar? Y ¿se puede evitar o solucionar un ataque de este tipo?

Lo veremos en la próxima entrega.

Jordi Serra es profesor de los Estudios de Informática, Multimedia y Telecomunicación de la UOC y el director del Máster Interuniversitario en Seguridad de las TIC (UOC-UAB-URV).


Els passats dies 8 i 9 de novembre la Generalitat de Catalunya va patir un atac informàtic que va posar en risc alguns serveis com ara la pàgina web de la Generalitat. Arrel d’aquests atacs, explicarem en detall com es realitzen i com es poden mitigar.

La denegació d’un servei a Internet (per exemple, una pàgina web, un servidor de correu, de notícies, etc.) consisteix en bloquejar-lo amb múltiples peticions continuades. Pot ser tan senzill com demanar des d’un ordinador milers de vegades per segon una pàgina web en concret. En la mesura que el servidor atacat tingui un ample de banda molt petit, una tarja de xarxa antiga i lenta, o hagi de fer operacions lentes abans de respondre a les peticions rebudes, aquest es col·lapsarà ràpidament i quedarà inutilitzat.

img1_CATPer fer encara més gran l’atac i per tant amb més intensitat, el que es va fer va ser atacar des de diferents punts cap al mateix servidor, es a dir, que ara ja no només un únic sistema envia peticions cap al servidor, sinó que en son molts a la mateixa vegada. A aquests atacs se’ls coneix com denegació de servei distribuït o DDoS (Distributed Denial-of-Service, en anglès). Però com s’aconsegueix això? Doncs fent servir les xarxes “zombis” o xarxes de sistemes troianitzats que te pertanyen a una mateixa xarxa delinqüent. Fixem-nos que diem “sistema” en comptes de “ordinador”, ja que en aquest cas els telèfon mòbils també poden formar part d’aquesta xarxa de zombis. Una persona podria enviar molts correus electrònics amb fitxers adjunts en el que hi ha un troià que controla remotament i que en un determinat moment envia l’ordre a través de la xarxa d’atacar una màquina o servidor en concret.

img2_CATAmb aquesta tècnica s’aconsegueix dues coses molt importants, la primera aconseguir que la intensitat de l’atac sigui molt més elevada, i per tant el mal que es fa sobre el sistema sigui molt més elevat i per tant la caiguda del servei està més garantida. Al haver molts més sistemes intentant interactuar contra un mateix servei l’ample de banda es bloqueja abans i amb més efectivitat, i la segona, que no queda rastre de la persona que ha ordenat l’atac.

Però tot i això, es pot agreujar encara més l’atac? Doncs sí, a més de la xarxa de troians es poden fer servir els servidors de noms (DNS) que hi ha distribuïts per Internet. Aquests servidors tradueixen els noms als que estem acostumats als números que entenen les màquines, els encaminadors de la xarxa internet. Per exemple ens tradueixen www.uoc.edu per 213.73.40.242, l’adreça IP, que té més sentit per les màquines que no pas els noms.

Però com es poden fer servir? Doncs manipulant les peticions a aquests servidors. En el moment en que des del meu telèfon poso al navegador web http://www.uoc.edu, aquest es connecta al DNS que tinguem configurat del nostre proveïdor d’internet  (ISP) demanarà que li retorni la numeració per després enviar la petició cap a l’adreça correcta. A més, tal i com funcionen els DNS, si no poden fer la conversió perquè desconeixen l’adreça IP ho reenvien a altres servidors DNS per a buscar-lo, retornant tots la resposta correcta en el moment de trobar-la.

Però si el que s’envia cap al DNS és una petició amb una adreça molt llarga (molt), i l’adreça de retorn la manipulem per a que no sigui la nostre màquina, sinó que sigui l’adreça de la màquina que es vol atacar, el que tenim és que tots els DNS contestaran a la vegada cap a la màquina atacada, amplificant encara més l’atac que ja estava patint.

img3_CATAixò és el que va passar durant el dia 8 de novembre, en el que, tot i no saber-se encara la intensitat de l’atac podria estar sobre els 200 o 400 Gbps (Giga bits per segon). És a dir, que cada segon la xarxa de la Generalitat rebia un equivalent a 50 Gbytes que evidentment fa que en un inici quedi completament col·lapsada.

Però és tant fàcil de realitzar? I es pot evitar o solucionar un atac d’aquest tipus?

Ho veurem a la propera entrega.

Jordi Serra és professor dels Estudis d’Informàtica, Multimèdia i Telecomunicació de la UOC i el director del Màster Interuniversitari en Seguretat de les TIC (UOC-UAB-URV).

(Visited 74 times, 1 visits today)
Autor / Autora
Comentarios
Deja un comentario