Detectar ataque DOS en nuestro servidor web

Publicado: 19 abril, 2013 de nexus2036 en Internet, Linux, Tecnologia, Windows
Etiquetas:,

¿Tu servidor web está sobrecargado y no sabes por qué?

¿Crees estar bajo un ataque de denegación de servicio?

Si estas son tus sospechas aquí tienes un útil comando que te muestra el número de conexiones concurrentes por IP que se están llevando a cabo en tu servidor web:

netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1
¿Qué es un ataque DoS?

Un servidor (ordenador que aloja una página web o blog) está preparado para soportar un número máximo de conexiones simultaneas. Superado ese número de conexiones pueden pasar dos cosas, que el servidor no responda a más peticiones entrantes o que se desconecte de la red y por tanto quede sin conexión (off line).

De esta forma si un ordenador mal intencionado solicita un número suficiente de peticiones simultaneas puede llegar a saturar los puertos del servidor y provocar que éste deje de funcionar correctamente. Éste es el ataque DoS (Denial of Service) que se traduce como Denegación de Servicio ya que consigue que el servidor deje de prestar servicio a las nuevas peticiones, sean legítimas o no.

ataque dos Ataque DoS y DDoS. ¿Que le pasó a Genbeta?

Como se puede ver en la imagen el ordenador atacante satura al ordenador atacado (servidor) consumiendo sus recursos (ancho de banda, memoria RAM, etc.). De esta forma el atacante consigue que el servidor rechace las nuevas conexiones, es decir que los siguientes usuarios que intenten acceder, sean atacantes o no, serán rechazados y se les denegará el servicio (DoS).

También puede pasar que el consumo de recursos sea tan excesivo que el administrador del servidor desconecte el servidor de La Red hasta que termine el ataque o encuentre una forma de repelerlo.

dos desconexion Ataque DoS y DDoS. ¿Que le pasó a Genbeta?

De esta forma el servidor queda sin conexión (off line) y ninguna conexión es posible. Ahora es el momento de localizar la IP del ordenador atacante para impedirle el acceso al sistema e impedir el ataque DoS. Pero ¿que pasa cuando el ataque se realiza desde IP distintas y de forma sincronizada?

El ataque DDoS

Cuando el ataque es recibido desde un solo ordenador la defensa en principio es sencilla, consistiría en detectar la IP atacante y bloquear su acceso al servidor. Pero existe una variante del ataque DoS en la que el ataque es realizado desde distintos ordenadores que están localizados (distribuidos) en diferentes puntos. Éste es ataque DDoS (Distributed Denial of Service) que es una ampliación del ataque DoS y que se traduce como Denegación de Servicio Distribuida debido a que el ataque proviene de distintos puntos.

En este tipo de ataques suelen emplearse ordenadores zombies que son ordenadores infectados por un software que permite a un usuario remoto controlarlos. De esta forma es posible coordinar un ataque desde cientos o miles de ordenadores zombies de forma simultanea.

ataque ddos zombie Ataque DoS y DDoS. ¿Que le pasó a Genbeta?

El problema es el mismo que el anterior pero con el agravante de que el ataque suele ser mucho más fuerte y al ser distribuido la defensa es más compleja.

Como defendernos ante un ataque DDoS

Si recibes un ataque DDoS y tienes un alojamiento (hosting) compartido será tu proveedor quién tenga que hacer frente al ataque ya que tu no tendrás acceso al servidor atacado. En cambio si usas un servidor dedicado (y puede que también en uno virtual) tendrás que hacer uso de diversas herramientas de distinta complejidad pero todas ellas no aptas para el usuario medio. En elhacker.net tienes una lista de posibles defensas ante un ataque de este tipo, desconozco si son válidas pues jamás las implementé y espero no tener que hacerlo.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s