
En informática , un ataque de denegación de servicio ( ataque DoS / d ɒ s / doss [ 1 ] ) es un ciberataque en el que el perpetrador busca dejar una máquina o recurso de red inaccesible para sus usuarios previstos , interrumpiendo temporal o indefinidamente los servicios de un host conectado a una red . La denegación de servicio se suele lograr inundando la máquina o el recurso objetivo con solicitudes superfluas en un intento de sobrecargar los sistemas e impedir que se atiendan algunas o todas las solicitudes legítimas. [ 2 ] El abanico de ataques es muy amplio, desde inundar un servidor con millones de solicitudes para ralentizar su rendimiento, abrumar un servidor con una cantidad sustancial de datos no válidos, hasta enviar solicitudes con una dirección IP ilegítima . [ 3 ]
En un ataque de denegación de servicio distribuido ( ataque DDoS / ˈ d iː . d ɒ s / DEE -doss [ 4 ] ), el tráfico entrante que inunda a la víctima proviene de muchas fuentes diferentes. Se requieren estrategias más sofisticadas para mitigar este tipo de ataque; simplemente intentar bloquear una sola fuente es insuficiente. [ 5 ] [ 6 ] Un ataque DDoS es análogo a un grupo de personas que se agolpan en la puerta de entrada de una tienda, dificultando la entrada de los clientes legítimos, interrumpiendo así el comercio y causando pérdidas económicas al negocio. Los delincuentes que perpetran ataques DDoS suelen dirigirse a sitios o servicios alojados en servidores web de alto perfil , como bancos o pasarelas de pago con tarjeta de crédito . La venganza y el chantaje , [ 7 ] [ 8 ] [ 9 ] así como el hacktivismo , [ 10 ] pueden motivar estos ataques.
Historia
Panix , el tercer proveedor de servicios de Internet (ISP) más antiguo del mundo, fue blanco de lo que se considera el primer ataque DoS. El 6 de septiembre de 1996, Panix sufrió un ataque de inundación SYN que paralizó sus servicios durante varios días mientras los proveedores de hardware, en particular Cisco , desarrollaban una defensa adecuada. [ 11 ] La publicación de código de muestra durante el incidente condujo al ataque en línea contra Sprint , EarthLink , E-Trade y otras grandes corporaciones al año siguiente. [ 12 ]
En febrero de 2020, Amazon Web Services experimentó un ataque con un volumen máximo de2,3 Tb/s . [ 13 ] En julio de 2021, Cloudflare se jactó de proteger a su cliente de un ataque DDoS de una botnet global Mirai que llegó a 17,2 millones de solicitudes por segundo. [ 14 ] El proveedor ruso de prevención de DDoS Yandex dijo que bloqueó un ataque DDoS de canalización HTTP el 5 de septiembre de 2021 que se originó en equipos de red Mikrotik sin parchear . [ 15 ] En la primera mitad de 2022, la invasión rusa de Ucrania influyó significativamente en el panorama de las ciberamenazas, con un aumento en los ciberataques atribuidos tanto a actores patrocinados por el Estado como a actividades de hacktivistas globales. El evento más notable fue un ataque DDoS en febrero, el mayor que Ucrania ha sufrido, que interrumpió los servicios del gobierno y del sector financiero. Esta ola de ciberagresión se extendió a aliados occidentales como el Reino Unido, Estados Unidos y Alemania. En particular, el sector financiero del Reino Unido experimentó un aumento en los ataques DDoS por parte de actores estatales y activistas informáticos, dirigidos a socavar a los aliados de Ucrania. [ 16 ]
En febrero de 2023, Cloudflare sufrió un ataque de 71 millones de solicitudes por segundo, que según afirmaron fue el mayor ataque DDoS HTTP hasta la fecha. [ 17 ] Los ataques DDoS HTTP se miden por solicitudes HTTP por segundo en lugar de paquetes por segundo o bits por segundo. El 10 de julio de 2023, la plataforma de fanfiction Archive of Our Own (AO3) sufrió ataques DDoS que interrumpieron sus servicios. Anonymous Sudan , que atribuyó el ataque a motivos religiosos y políticos, fue visto con escepticismo por AO3 y los expertos. Flashpoint, un proveedor de inteligencia sobre amenazas, señaló las actividades pasadas del grupo, pero dudó de sus motivos declarados. Es poco probable que AO3, respaldada por la organización sin fines de lucro Organization for Transformative Works (OTW) y dependiente de donaciones, pueda pagar el rescate de 30 000 dólares en Bitcoin . [ 18 ] [ 19 ]
En agosto de 2023, el grupo de hacktivistas NoName057 atacó a varias instituciones financieras italianas, mediante la ejecución de ataques DoS lentos . [ 20 ] El 14 de enero de 2024, ejecutaron un ataque DDoS contra sitios web federales suizos, motivado por la asistencia del presidente Zelensky al Foro Económico Mundial de Davos . El Centro Nacional de Ciberseguridad de Suiza mitigó rápidamente el ataque, asegurando que los servicios federales esenciales permanecieran seguros, a pesar de problemas de accesibilidad temporales en algunos sitios web. [ 21 ] En octubre de 2023, la explotación de una nueva vulnerabilidad en el protocolo HTTP/2 resultó en que el récord del mayor ataque DDoS HTTP se rompiera dos veces, una vez con un ataque de 201 millones de solicitudes por segundo observado por Cloudflare, [ 22 ] y otra vez con un ataque de 398 millones de solicitudes por segundo observado por Google . [ 23 ] En agosto de 2024, Global Secure Layer observó e informó sobre un ataque DDoS de paquetes sin precedentes de 3.15 mil millones de paquetes por segundo, que tuvo como objetivo un número no revelado de servidores no oficiales del juego Minecraft . [ 24 ]
En octubre de 2024, Internet Archive sufrió dos graves ataques DDoS que dejaron el sitio completamente fuera de servicio, inmediatamente después de un ataque previo que filtró los registros de más de 31 millones de usuarios del sitio. [ 25 ] [ 26 ] El grupo de hacktivistas SN_Blackmeta reivindicó el ataque DDoS como represalia por la participación estadounidense en la guerra de Gaza , a pesar de que Internet Archive no está afiliado al gobierno de Estados Unidos; sin embargo, su vínculo con la filtración de datos anterior sigue sin estar claro. [ 27 ]
Cloudflare afirma haber registrado y bloqueado de forma autónoma un ataque DDoS de 40 segundos el 23 de septiembre de 2025, que alcanzó un volumen máximo de 22,2 Tbit/s, lo que constituiría el mayor ataque DDoS hasta la fecha. [ 28 ] Cloudflare ha declarado que se utilizaron más de 404.000 direcciones IP de origen para atacar una única dirección IP, y que las direcciones IP de origen no fueron falsificadas . [ 29 ] Según Cloudflare, esto se produjo tras varios otros ataques DDoS a gran escala, cada uno superando consecutivamente el récord anterior, incluyendo un ataque de 7,3 Tbit/s en mayo de 2025 y otro de 11,5 Tbit/s el 1 de septiembre de 2025. [ 30 ]
Tipos
Los ataques de denegación de servicio se caracterizan por un intento explícito de los atacantes de impedir el uso legítimo de un servicio. Existen dos formas generales de ataques DoS: los que provocan la caída de los servicios y los que los saturan. Los ataques más graves son distribuidos. [ 31 ]
Ataque DoS distribuido
Un ataque de denegación de servicio distribuido (DDoS) ocurre cuando múltiples sistemas saturan el ancho de banda o los recursos de un sistema objetivo, generalmente uno o más servidores web. [ 31 ] Un ataque DDoS utiliza más de una dirección IP o máquinas únicas, a menudo de miles de hosts infectados con malware . [ 32 ] [ 33 ] Un ataque de denegación de servicio distribuido generalmente involucra más de 3 a 5 nodos en diferentes redes; menos nodos pueden calificar como un ataque DoS, pero no como un ataque DDoS. [ 34 ] [ 35 ]
La mayoría de las veces, los atacantes operan desde un punto final que no es su objetivo previsto, por ejemplo, utilizando la máquina de otro usuario para atacar un servidor. Si un punto final desprevenido se ve comprometido, pueden pasar a otra estación de trabajo dentro de la red empresarial. [ 36 ] Sin embargo, incluso simulando muchos usuarios y ejecutando un ataque DoS, un solo atacante con pocas computadoras sigue teniendo un alcance muy limitado en la cantidad de tráfico que puede generar. [ 37 ] Si los ataques provienen de múltiples fuentes, puede ser difícil para el host identificarlos y detenerlos. [ 38 ]
La magnitud de los ataques DDoS ha seguido aumentando en los últimos años, superando en 2016 un terabit por segundo . [ 39 ] [ 40 ] Algunos ejemplos comunes de ataques DDoS son la inundación UDP , la inundación SYN y la amplificación DNS . [ 41 ] [ 42 ]
Ataque yo-yo
Un ataque yo-yo es un tipo específico de DoS/DDoS dirigido a aplicaciones alojadas en la nube que utilizan escalado automático . [ 43 ] [ 44 ] [ 45 ] Durante el ataque, un atacante cambia repetidamente entre enviar mucho tráfico (lo que provoca un aumento de escala) y detener la ráfaga (lo que provoca una disminución de escala como resultado). [ 46 ]
ataques de la capa de aplicación
Un ataque DDoS de capa de aplicación (a veces denominado ataque DDoS de capa 7 ) es una forma de ataque DDoS en la que los atacantes se dirigen a los procesos de la capa de aplicación . [ 47 ] [ 34 ] El ataque sobrecarga funciones o características específicas de un sitio web con la intención de deshabilitar dichas funciones o características. Este ataque de capa de aplicación es diferente de un ataque a toda la red y se utiliza a menudo contra instituciones financieras para distraer al personal de TI y seguridad de las brechas de seguridad. [ 48 ] En 2013, los ataques DDoS de capa de aplicación representaron el 20 % de todos los ataques DDoS. [ 49 ] Según una investigación de Akamai Technologies , hubo un "51 % más de ataques de capa de aplicación" desde el cuarto trimestre de 2013 hasta el cuarto trimestre de 2014 y un "16 % más" desde el tercer trimestre de 2014 hasta el cuarto trimestre de 2014. [ 50 ] En noviembre de 2017; Junade Ali, ingeniero de Cloudflare, señaló que, si bien los ataques a nivel de red siguen siendo de alta capacidad, se producen con menos frecuencia. Ali también indicó que, aunque los ataques a nivel de red son menos frecuentes, los datos de Cloudflare demuestran que los ataques a nivel de aplicación no muestran signos de desaceleración. [ 51 ]
Método de ataque
El ataque DoS más simple se basa principalmente en la fuerza bruta, inundando el objetivo con un flujo abrumador de paquetes, sobresaturando su ancho de banda de conexión o agotando los recursos del sistema del objetivo. Las inundaciones que saturan el ancho de banda dependen de la capacidad del atacante para generar dicho flujo abrumador de paquetes. Una forma común de lograr esto hoy en día es mediante la denegación de servicio distribuida, empleando una botnet . Un ataque DDoS de capa de aplicación se realiza principalmente con fines específicos, como la interrupción de transacciones y el acceso a bases de datos. Requiere menos recursos que los ataques de capa de red, pero a menudo los acompaña. [ 52 ] Un ataque puede disfrazarse para parecer tráfico legítimo, excepto que se dirige a paquetes o funciones de aplicación específicos. El ataque en la capa de aplicación puede interrumpir servicios como la recuperación de información o las funciones de búsqueda en un sitio web. [ 49 ]
Denegación de servicio persistente avanzada
Un ataque DDoS persistente avanzado (APDoS) está asociado con una amenaza persistente avanzada y requiere mitigación especializada de DDoS . [ 53 ] Estos ataques pueden persistir durante semanas; el período continuo más largo registrado hasta ahora duró 38 días. Este ataque involucró aproximadamente más de 50 petabits (más de 50 000 terabits) de tráfico malicioso. [ 54 ] En este escenario, los atacantes pueden cambiar tácticamente entre varios objetivos para crear una distracción y evadir las contramedidas defensivas de DDoS, pero al mismo tiempo concentran el ataque principal en una sola víctima. En este escenario, los atacantes con acceso continuo a varios recursos de red muy potentes son capaces de mantener una campaña prolongada que genera enormes niveles de tráfico DDoS sin amplificar. Los ataques APDoS se caracterizan por:
- Reconocimiento avanzado ( inteligencia de fuentes abiertas previa al ataque y escaneo extenso con señuelos diseñado para evadir la detección durante largos períodos).
- Ejecución táctica (ataque con víctimas primarias y secundarias, pero con el foco puesto en las primarias).
- motivación explícita (un objetivo/meta final calculado)
- gran capacidad de procesamiento (acceso a una potencia informática y un ancho de banda de red sustanciales)
- Ataques simultáneos de capas OSI multihilo (herramientas sofisticadas que operan en las capas 3 a 7)
- persistencia durante períodos prolongados (combinando todo lo anterior en un ataque concertado y bien gestionado a través de una variedad de objetivos). [ 55 ]
Denegación de servicio como servicio
Algunos proveedores ofrecen los llamados servicios de booter o stresser , que cuentan con interfaces web sencillas y aceptan pagos por internet. Comercializados y promocionados como herramientas de pruebas de estrés, pueden utilizarse para realizar ataques de denegación de servicio no autorizados y permiten a atacantes técnicamente inexpertos acceder a herramientas de ataque sofisticadas. [ 56 ] Generalmente impulsados por una botnet, el tráfico producido por un stresser para consumidores puede oscilar entre 5 y 50 Gbit/s, lo que, en la mayoría de los casos, puede impedir el acceso a internet al usuario doméstico promedio. [ 57 ]
ataque de denegación de servicio modulado por Markov
Un ataque de denegación de servicio modulado por Markov ocurre cuando el atacante interrumpe los paquetes de control utilizando un modelo oculto de Markov . Un entorno donde los ataques basados en modelos de Markov son frecuentes es el de los videojuegos en línea, ya que la interrupción de los paquetes de control perjudica la jugabilidad y la funcionalidad del sistema. [ 58 ]
Síntomas
El Equipo de Preparación para Emergencias Informáticas de los Estados Unidos (US-CERT) ha identificado síntomas de un ataque de denegación de servicio que incluyen: [ 59 ]
- rendimiento de red inusualmente lento (abrir archivos o acceder a sitios web),
- indisponibilidad de un sitio web en particular, o
- Imposibilidad de acceder a cualquier sitio web.
Técnicas de ataque
Herramientas de ataque
En casos como MyDoom y Slowloris , las herramientas están integradas en el malware y lanzan sus ataques sin el conocimiento del propietario del sistema. Stacheldraht es un ejemplo clásico de una herramienta DDoS. Utiliza una estructura en capas donde el atacante usa un programa cliente para conectarse a manejadores, que son sistemas comprometidos que emiten comandos a los agentes zombi, los cuales a su vez facilitan el ataque DDoS. Los agentes se comprometen a través de los manejadores mediante rutinas automatizadas del atacante para explotar vulnerabilidades en programas que aceptan conexiones remotas que se ejecutan en los hosts remotos objetivo. Cada manejador puede controlar hasta mil agentes. [ 60 ]
En otros casos, una máquina puede formar parte de un ataque DDoS con el consentimiento de su propietario, como en la Operación Payback organizada por el grupo Anonymous . El Cañón de Iones de Órbita Baja se ha utilizado habitualmente de esta manera. Junto con el Cañón de Iones de Órbita Alta, hoy en día existe una amplia variedad de herramientas DDoS, tanto gratuitas como de pago, con diferentes funcionalidades. Existe un mercado negro para estas herramientas en foros y canales de IRC relacionados con la piratería informática.
Ataques en la capa de aplicación
Los ataques a nivel de aplicación emplean exploits que causan DoS y pueden provocar que el software que se ejecuta en el servidor llene el espacio en disco o consuma toda la memoria o el tiempo de CPU disponibles . Los ataques pueden usar tipos de paquetes o solicitudes de conexión específicos para saturar recursos finitos, por ejemplo, ocupando el número máximo de conexiones abiertas o llenando el espacio en disco de la víctima con registros. Un atacante con acceso a nivel de shell a la computadora de la víctima puede ralentizarla hasta que sea inutilizable o bloquearla mediante una bomba fork . Otro tipo de ataque DoS a nivel de aplicación es XDoS (o XML DoS), que puede ser controlado por los firewalls de aplicaciones web (WAF) modernos. Todos los ataques pertenecen a la categoría de explotación de tiempo de espera . [ 61 ]
Los ataques Slow DoS implementan un ataque a la capa de aplicación. Ejemplos de amenazas son Slowloris, que establece conexiones pendientes con la víctima, o SlowDroid , un ataque que se ejecuta en dispositivos móviles. Otro objetivo de los ataques DDoS puede ser generar costos adicionales para el operador de la aplicación, cuando este utiliza recursos basados en computación en la nube . En este caso, normalmente los recursos utilizados por la aplicación están vinculados a un nivel de calidad de servicio (QoS) necesario (por ejemplo, las respuestas deben ser inferiores a 200 ms) y esta regla suele estar vinculada a software automatizado (por ejemplo, Amazon CloudWatch) [ 62 ] para aumentar los recursos virtuales del proveedor y cumplir con los niveles de QoS definidos para el aumento de solicitudes. El principal incentivo detrás de estos ataques puede ser obligar al propietario de la aplicación a aumentar los niveles de elasticidad para manejar el aumento del tráfico de la aplicación, causar pérdidas financieras o forzarlo a ser menos competitivo. Un ataque banana es otro tipo particular de DoS. Implica redirigir los mensajes salientes del cliente de vuelta al cliente, impidiendo el acceso externo, así como inundar al cliente con los paquetes enviados. Un ataque LAND es de este tipo.
ataques de degradación del servicio
Los zombies pulsantes son computadoras comprometidas que se dirigen a lanzar ataques intermitentes y de corta duración contra sitios web de víctimas con la intención de simplemente ralentizarlos en lugar de bloquearlos. Este tipo de ataque, denominado degradación del servicio , puede ser más difícil de detectar y puede interrumpir y dificultar la conexión a los sitios web durante períodos prolongados, lo que potencialmente causa una mayor interrupción general que un ataque de denegación de servicio. [ 63 ] [ 64 ] La exposición de los ataques de degradación del servicio se complica aún más por la cuestión de discernir si el servidor está siendo atacado realmente o si está experimentando cargas de tráfico legítimo superiores a lo normal. [ 65 ]
Ataque DoS distribuido
Si un atacante lanza un ataque desde un único host, se clasificaría como un ataque DoS. Cualquier ataque contra la disponibilidad se clasificaría como un ataque de denegación de servicio. Por otro lado, si un atacante utiliza muchos sistemas para lanzar ataques simultáneamente contra un host remoto, esto se clasificaría como un ataque DDoS. El malware puede contener mecanismos de ataque DDoS; uno de los ejemplos más conocidos fue MyDoom . Su mecanismo DoS se activaba en una fecha y hora específicas. Este tipo de DDoS implicaba codificar la dirección IP objetivo antes de liberar el malware y no era necesaria ninguna otra interacción para lanzar el ataque. Un sistema también puede verse comprometido con un troyano que contiene un agente zombie . Los atacantes también pueden infiltrarse en los sistemas utilizando herramientas automatizadas que explotan vulnerabilidades en programas que escuchan conexiones de hosts remotos. Este escenario afecta principalmente a los sistemas que actúan como servidores web. Stacheldraht es un ejemplo clásico de una herramienta DDoS. Utiliza una estructura en capas donde el atacante usa un programa cliente para conectarse a manejadores, que son sistemas comprometidos que emiten comandos a los agentes zombi, los cuales a su vez facilitan el ataque DDoS. Los agentes son comprometidos a través de los manejadores por el atacante. Cada manejador puede controlar hasta mil agentes. [ 60 ] En algunos casos, una máquina puede formar parte de un ataque DDoS con el consentimiento del propietario, por ejemplo, en la Operación Payback , organizada por el grupo Anonymous . Estos ataques pueden usar diferentes tipos de paquetes de internet como TCP , UDP, ICMP, etc.
Estas colecciones de sistemas comprometidos se conocen como botnets . Las herramientas DDoS como Stacheldraht todavía utilizan métodos clásicos de ataque DoS centrados en la suplantación y amplificación de IP como ataques smurf y ataques fraggle (tipos de ataques de consumo de ancho de banda). También se pueden utilizar inundaciones SYN (un ataque de agotamiento de recursos). Las herramientas más nuevas pueden utilizar servidores DNS para fines DoS. A diferencia del mecanismo DDoS de MyDoom, las botnets se pueden usar contra cualquier dirección IP. Los script kiddies las utilizan para negar la disponibilidad de sitios web conocidos a usuarios legítimos. [ 66 ] Los atacantes más sofisticados utilizan herramientas DDoS con fines de extorsión , incluso contra sus rivales comerciales. [ 67 ] Se ha informado que hay nuevos ataques desde dispositivos de Internet de las cosas (IoT) que han estado involucrados en ataques de denegación de servicio. [ 68 ] Uno de esos ataques alcanzó un pico de alrededor de 20 000 solicitudes por segundo; provino de alrededor de 900 cámaras de CCTV. [ 69 ] El GCHQ del Reino Unido tiene herramientas diseñadas para DDoS, llamadas PREDATORS FACE y ROLLING THUNDER. [ 70 ]
Los ataques simples, como las inundaciones SYN, pueden aparecer con una amplia gama de direcciones IP de origen, dando la apariencia de un ataque DoS distribuido. Estos ataques de inundación no requieren la finalización del protocolo de enlace TCP de tres vías e intentan agotar la cola SYN de destino o el ancho de banda del servidor. Dado que las direcciones IP de origen se pueden falsificar fácilmente, un ataque podría provenir de un conjunto limitado de fuentes, o incluso originarse en un solo host. Las mejoras de la pila, como las cookies SYN, pueden ser una mitigación eficaz contra la inundación de la cola SYN, pero no abordan el agotamiento del ancho de banda. En 2022, los ataques TCP fueron el método principal en los incidentes DDoS, representando el 63 % de toda la actividad DDoS. Esto incluye tácticas como TCP SYN , TCP ACK e inundaciones TCP. Dado que TCP es el protocolo de red más extendido, se espera que sus ataques sigan siendo frecuentes en el panorama de amenazas DDoS. [ 16 ]
Extorsión mediante DDoS
En 2015, las botnets DDoS como DD4BC cobraron mayor prominencia, dirigiendo sus ataques contra instituciones financieras. [ 71 ] Los ciberextorsionadores suelen comenzar con un ataque de bajo nivel y una advertencia de que se llevará a cabo un ataque mayor si no se paga un rescate en bitcoin . [ 72 ] Los expertos en seguridad recomiendan a los sitios web objetivo que no paguen el rescate. Los atacantes tienden a iniciar un esquema de extorsión más extenso una vez que reconocen que la víctima está dispuesta a pagar. [ 73 ]
Ataque DoS de POST lento HTTP
Descubierto por primera vez en 2009, el ataque HTTP Slow POST envía una cabecera HTTP POST completa y legítima , que incluye un campo Content-Length para especificar el tamaño del cuerpo del mensaje. Sin embargo, el atacante procede a enviar el cuerpo del mensaje a una velocidad extremadamente lenta (por ejemplo, 1 byte cada 110 segundos). Dado que el mensaje es correcto y completo, el servidor objetivo intentará respetar el campo Content-Length de la cabecera y esperará a que se transmita todo el cuerpo del mensaje, lo que puede tardar mucho tiempo. El atacante establece cientos o incluso miles de estas conexiones hasta que se agotan todos los recursos para conexiones entrantes en el servidor víctima, lo que imposibilita cualquier conexión adicional hasta que se hayan enviado todos los datos. Cabe destacar que, a diferencia de muchos otros ataques DoS o DDoS, que intentan saturar el servidor sobrecargando su red o CPU, un ataque HTTP Slow POST se dirige a los recursos lógicos de la víctima, lo que significa que esta aún tendría suficiente ancho de banda de red y capacidad de procesamiento para operar. [ 74 ] Sumado al hecho de que el servidor HTTP Apache acepta, por defecto, solicitudes de hasta 2 GB, este ataque puede ser particularmente potente. Los ataques HTTP POST lentos son difíciles de diferenciar de las conexiones legítimas y, por lo tanto, pueden eludir algunos sistemas de protección. OWASP , un proyecto de seguridad de aplicaciones web de código abierto , lanzó una herramienta para probar la seguridad de los servidores frente a este tipo de ataque. [ 75 ]
Ataque Challenge Collapsar (CC)
Un ataque Challenge Collapsar (CC) es un ataque en el que se envían solicitudes HTTP estándar a un servidor web objetivo con frecuencia. Los identificadores uniformes de recursos (URI) en las solicitudes requieren algoritmos complejos que consumen mucho tiempo u operaciones de base de datos que pueden agotar los recursos del servidor web objetivo. [ 76 ] [ 77 ] [ 78 ] En 2004, un hacker chino apodado KiKi inventó una herramienta de hacking para enviar este tipo de solicitudes para atacar un firewall NSFOCUS llamado Collapsar, y por lo tanto la herramienta de hacking se conoció como Challenge Collapsar, o CC para abreviar. En consecuencia, este tipo de ataque recibió el nombre de ataque CC . [ 79 ]
Inundación del Protocolo de Mensajes de Control de Internet (ICMP)
Un ataque Smurf se basa en dispositivos de red mal configurados que permiten el envío de paquetes a todos los equipos de una red específica a través de la dirección de difusión de la red, en lugar de a una máquina concreta. El atacante envía un gran número de paquetes IP con la dirección de origen falsificada para que parezca ser la de la víctima. [ 80 ] La mayoría de los dispositivos de la red responden, por defecto, enviando una respuesta a la dirección IP de origen. Si el número de máquinas de la red que reciben y responden a estos paquetes es muy elevado, el ordenador de la víctima se satura de tráfico. Esto sobrecarga el ordenador de la víctima e incluso puede dejarlo inutilizable durante el ataque. [ 81 ]
El ataque de inundación de ping se basa en enviar a la víctima una cantidad abrumadora de paquetes ping , generalmente mediante el comando ping desde hosts tipo Unix . [ a ] Es muy sencillo de lanzar; el requisito principal es tener acceso a un ancho de banda mayor que el de la víctima. El ataque de ping de la muerte se basa en enviar a la víctima un paquete ping malformado, lo que provocará un fallo del sistema en un sistema vulnerable. El ataque BlackNurse es un ejemplo de un ataque que aprovecha los paquetes ICMP de puerto de destino inalcanzable.
Bomba nuclear
Un ataque de denegación de servicio (Nuke) es un ataque de negación de servicio tradicional contra redes informáticas que consiste en el envío de paquetes ICMP fragmentados o inválidos al objetivo. Esto se logra mediante el uso de una utilidad ping modificada que envía repetidamente estos datos corruptos , ralentizando así el ordenador afectado hasta que se detiene por completo. Un ejemplo específico de un ataque de este tipo que cobró cierta notoriedad es WinNuke , que explotaba una vulnerabilidad en el controlador NetBIOS de Windows 95. Se enviaba una cadena de datos fuera de banda al puerto TCP 139 del equipo de la víctima, lo que provocaba que se bloqueara y mostrara una pantalla azul de la muerte . [ 82 ]
Ataques entre pares
Los atacantes han encontrado una forma de explotar varios errores en los servidores peer-to-peer para iniciar ataques DDoS. El más agresivo de estos ataques DDoS peer-to-peer explota la red de intercambio de archivos DC++ . [ 83 ] Con los ataques peer-to-peer no hay botnet y el atacante no tiene que comunicarse con los clientes que compromete. En cambio, el atacante actúa como un titiritero , instruyendo a los clientes de grandes centros de intercambio de archivos peer-to-peer para que se desconecten de su red peer-to-peer y se conecten al sitio web de la víctima. [ 83 ] [ 84 ] [ 85 ]
ataques de denegación de servicio permanentes
El ataque de denegación de servicio permanente (PDoS), también conocido informalmente como phlashing, [ 86 ] es un ataque que daña un sistema de tal manera que requiere el reemplazo o la reinstalación del hardware. [ 87 ] A diferencia del ataque de denegación de servicio distribuido (DDoS), un ataque PDoS explota fallas de seguridad que permiten la administración remota en las interfaces de administración del hardware de la víctima, como enrutadores , impresoras u otro hardware de red . El atacante utiliza estas vulnerabilidades para reemplazar el firmware de un dispositivo con una imagen de firmware modificada, corrupta o defectuosa, un proceso que, cuando se realiza legítimamente, se conoce como flasheo. La intención es inutilizar el dispositivo, dejándolo inservible para su propósito original hasta que pueda ser reparado o reemplazado. El PDoS es un ataque dirigido exclusivamente al hardware que puede ser mucho más rápido y requiere menos recursos que el uso de una botnet en un ataque DDoS. Debido a estas características, y al potencial y alta probabilidad de exploits de seguridad en dispositivos integrados con capacidad de red, esta técnica ha llamado la atención de numerosas comunidades de hackers. BrickerBot , un malware dirigido a dispositivos IoT, utilizó ataques PDoS para deshabilitar sus objetivos. [ 88 ] PhlashDance es una herramienta creada por Rich Smith (un empleado del Laboratorio de Seguridad de Sistemas de Hewlett-Packard ) utilizada para detectar y demostrar vulnerabilidades PDoS en la Conferencia de Seguridad Aplicada EUSecWest de 2008 en Londres, Reino Unido. [ 89 ]
Ataque reflejado
Un ataque de denegación de servicio distribuido puede implicar el envío de solicitudes falsificadas de algún tipo a un gran número de computadoras que responderán a las solicitudes. Mediante la suplantación de direcciones de protocolo de Internet , la dirección de origen se establece como la de la víctima objetivo, lo que significa que todas las respuestas irán a (y saturarán) el objetivo. Esta forma de ataque reflejado a veces se denomina ataque de denegación de servicio reflejado distribuido (DRDoS). [ 90 ] Los ataques de solicitud de eco ICMP ( ataques Smurf ) pueden considerarse una forma de ataque reflejado, ya que los hosts que inundan envían solicitudes de eco a las direcciones de difusión de redes mal configuradas, incitando así a los hosts a enviar paquetes de respuesta de eco a la víctima. Algunos programas DDoS antiguos implementaron una forma distribuida de este ataque.
Amplificación
Los ataques de amplificación se utilizan para aumentar el ancho de banda que se envía a una víctima. Muchos servicios pueden ser explotados para actuar como reflectores, algunos más difíciles de bloquear que otros. [ 91 ] US-CERT ha observado que diferentes servicios pueden generar diferentes factores de amplificación, como se muestra en la siguiente tabla: [ 92 ]
Los ataques de amplificación de DNS implican que un atacante envíe una solicitud de búsqueda de nombre DNS a uno o más servidores DNS públicos, suplantando la dirección IP de origen de la víctima. El atacante intenta solicitar la mayor cantidad de información posible, amplificando así la respuesta DNS enviada a la víctima. Dado que el tamaño de la solicitud es significativamente menor que la respuesta, el atacante puede aumentar fácilmente la cantidad de tráfico dirigido al objetivo. [ 98 ] [ 99 ]
El Protocolo simple de administración de red (SNMP) y el Protocolo de tiempo de red (NTP) también pueden ser explotados como reflectores en un ataque de amplificación. Un ejemplo de un ataque DDoS amplificado a través del NTP es mediante un comando llamado monlist, que envía los detalles de los últimos 600 hosts que han solicitado la hora al servidor NTP de vuelta al solicitante. Una pequeña solicitud a este servidor de hora puede enviarse utilizando una dirección IP de origen falsificada de alguna víctima, lo que resulta en una respuesta 556,9 veces mayor que el tamaño de la solicitud enviada a la víctima. Esto se amplifica cuando se utilizan botnets que envían todas las solicitudes con la misma IP de origen falsificada, lo que resultará en una cantidad masiva de datos enviados de vuelta a la víctima. [ 100 ] Es muy difícil defenderse de este tipo de ataques porque los datos de respuesta provienen de servidores legítimos. Estas solicitudes de ataque también se envían a través de UDP, que no requiere una conexión con el servidor. Esto significa que la IP de origen no se verifica cuando el servidor recibe una solicitud. Para concienciar sobre estas vulnerabilidades, se han puesto en marcha campañas dedicadas a encontrar vectores de amplificación que han llevado a que la gente repare sus resolutores o a que estos se desactiven por completo.
Botnet Mirai
La botnet Mirai funciona utilizando un gusano informático para infectar cientos de miles de dispositivos IoT en Internet. El gusano se propaga a través de redes y sistemas tomando el control de dispositivos IoT con poca protección, como termostatos, relojes con Wi-Fi y lavadoras. [ 101 ] El propietario o usuario generalmente no tendrá ninguna indicación inmediata de cuándo el dispositivo se infecta. El dispositivo IoT en sí no es el objetivo directo del ataque; se utiliza como parte de un ataque más amplio. [ 102 ] Una vez que el hacker ha esclavizado la cantidad deseada de dispositivos, les ordena que intenten contactar a un ISP. En octubre de 2016, una botnet Mirai atacó a Dyn, que es el ISP de sitios como Twitter , Netflix , etc. [ 101 ] Tan pronto como ocurrió esto, todos estos sitios web fueron inaccesibles durante varias horas.
¿RU-Muerto-Ya? (RUDY)
El ataque RUDY ataca las aplicaciones web mediante el agotamiento de las sesiones disponibles en el servidor web. Al igual que Slowloris, RUDY mantiene las sesiones bloqueadas mediante transmisiones POST interminables y el envío de un valor de encabezado content-length arbitrariamente grande. [ 103 ]
Pánico de SACK
La manipulación del tamaño máximo del segmento y el acuse de recibo selectivo (SACK) puede ser utilizada por un par remoto para causar una denegación de servicio por un desbordamiento de enteros en el kernel de Linux, lo que podría provocar un pánico del kernel . [ 104 ] Jonathan Looney descubrió CVE - 2019-11477 , CVE- 2019-11478 y CVE- 2019-11479 el 17 de junio de 2019. [ 105 ]
Ataque de musaraña
El ataque de la musaraña es un ataque de denegación de servicio contra el Protocolo de Control de Transmisión (TCP) en el que el atacante emplea técnicas de intermediario (man-in-the-middle) . Explota una vulnerabilidad en el mecanismo de tiempo de espera de retransmisión de TCP, utilizando breves ráfagas de tráfico sincronizadas para interrumpir las conexiones TCP en el mismo enlace. [ 106 ]
Ataque de lectura lenta
Un ataque de lectura lenta envía solicitudes legítimas de la capa de aplicación, pero lee las respuestas muy lentamente, manteniendo las conexiones abiertas durante más tiempo con la esperanza de agotar el grupo de conexiones del servidor. La lectura lenta se logra anunciando un número muy pequeño para el tamaño de la ventana de recepción TCP y, al mismo tiempo, vaciando lentamente el búfer de recepción TCP de los clientes, lo que provoca una tasa de flujo de datos muy baja. [ 107 ]
Ataque de denegación de servicio distribuido sofisticado y de bajo ancho de banda
Un ataque DDoS sofisticado de bajo ancho de banda es una forma de DoS que utiliza menos tráfico y aumenta su efectividad al apuntar a un punto débil en el diseño del sistema de la víctima; es decir, el atacante envía tráfico que consiste en solicitudes complejas al sistema. [ 108 ] En esencia, un ataque DDoS sofisticado es más económico debido a que utiliza menos tráfico, es de menor tamaño, lo que dificulta su identificación, y puede dañar sistemas que están protegidos por mecanismos de control de flujo. [ 108 ] [ 109 ]
Inundación SYN
Un ataque de inundación SYN ocurre cuando un host envía una gran cantidad de paquetes TCP/SYN, a menudo con una dirección de remitente falsificada. Cada uno de estos paquetes se maneja como una solicitud de conexión, lo que provoca que el servidor establezca una conexión semiabierta , envíe un paquete TCP/SYN-ACK y espere un paquete de respuesta de la dirección del remitente. Sin embargo, debido a que la dirección del remitente está falsificada, la respuesta nunca llega. Estas conexiones semiabiertas agotan las conexiones disponibles que el servidor puede establecer, impidiendo que responda a solicitudes legítimas hasta que finalice el ataque. [ 110 ]
Ataques de lágrima
Un ataque teardrop implica el envío de fragmentos IP distorsionados con cargas útiles superpuestas y de gran tamaño a la máquina objetivo. Esto puede provocar el fallo de varios sistemas operativos debido a un error en su código de reensamblaje de fragmentación TCP/IP . [ 111 ] Los sistemas operativos Windows 3.1x , Windows 95 y Windows NT , así como las versiones de Linux anteriores a las versiones 2.0.32 y 2.1.63, son vulnerables a este ataque. [ b ] Uno de los campos en una cabecera IP es el campo de desplazamiento de fragmento , que indica la posición inicial, o desplazamiento, de los datos contenidos en un paquete fragmentado en relación con los datos del paquete original. Si la suma del desplazamiento y el tamaño de un paquete fragmentado difiere de la del siguiente paquete fragmentado, los paquetes se superponen. Cuando esto ocurre, un servidor vulnerable a los ataques teardrop no puede reensamblar los paquetes, lo que resulta en una condición de denegación de servicio. [ 114 ]
Denegación de servicio telefónico
La tecnología de voz sobre IP ha hecho que la generación abusiva de un gran número de llamadas telefónicas sea económica y fácilmente automatizable, al tiempo que permite falsificar el origen de las llamadas mediante la suplantación de identidad del llamante . Según el FBI , los ataques de denegación de servicio telefónico (TDoS) han aparecido como parte de diversos esquemas fraudulentos.
- Un estafador contacta al banquero o corredor de bolsa de la víctima, haciéndose pasar por ella para solicitar una transferencia de fondos. El intento del banquero de contactar a la víctima para verificar la transferencia fracasa, ya que las líneas telefónicas de la víctima están saturadas de llamadas fraudulentas, lo que la hace ilocalizable. [ 115 ]
- Un estafador contacta a los consumidores con una falsa reclamación para cobrar un préstamo de día de pago pendiente de miles de dólares. Cuando el consumidor se opone, el estafador toma represalias bombardeando al empleador de la víctima con llamadas automáticas. En algunos casos, se falsifica el identificador de llamadas para suplantar la identidad de la policía o de agencias de seguridad. [ 116 ]
- Estafa de llamada falsa : Un estafador contacta a los consumidores con una falsa demanda de cobro de deudas y amenaza con enviar a la policía. Cuando la víctima se niega, el estafador satura los números de la policía local con llamadas en las que falsifica el identificador de llamadas para mostrar el número de la víctima. La policía llega pronto al domicilio de la víctima para intentar averiguar el origen de las llamadas.
Los ataques TDoS pueden existir incluso sin telefonía por Internet . En el escándalo de interferencia telefónica de las elecciones al Senado de New Hampshire de 2002 , se utilizaron teleoperadores para inundar a los opositores políticos con llamadas falsas y colapsar las líneas telefónicas el día de las elecciones. La publicación masiva de un número también puede saturarlo con tantas llamadas que lo deje inutilizable, como ocurrió accidentalmente en 1981 con varios abonados del prefijo +1- (867-5309) que recibieron cientos de llamadas diarias en respuesta a la canción " 867-5309/Jenny ". Los ataques TDoS se diferencian de otros tipos de acoso telefónico (como las llamadas de broma y las llamadas obscenas ) por la cantidad de llamadas que originan. Al ocupar las líneas continuamente con llamadas automáticas repetidas, se impide a la víctima realizar o recibir llamadas telefónicas, tanto rutinarias como de emergencia. Entre las técnicas relacionadas se incluyen los ataques de inundación de SMS y el fax negro o la transmisión continua de fax mediante un bucle de papel en el remitente.
ataque de expiración TTL
Se requieren más recursos del enrutador para descartar un paquete con un valor TTL de 1 o menos que para reenviar un paquete con un valor TTL mayor. Cuando se descarta un paquete debido a la expiración del TTL, la CPU del enrutador debe generar y enviar una respuesta ICMP de tiempo excedido . Generar muchas de estas respuestas puede sobrecargar la CPU del enrutador. [ 117 ]
Ataque UPnP
Un ataque UPnP aprovecha una vulnerabilidad existente en el protocolo Universal Plug and Play (UPnP) para eludir la seguridad de la red e inundar la red y los servidores del objetivo. El ataque se basa en una técnica de amplificación DNS, pero el mecanismo de ataque consiste en un enrutador UPnP que reenvía solicitudes de una fuente externa a otra. El enrutador UPnP devuelve los datos a través de un puerto UDP inesperado desde una dirección IP falsa, lo que dificulta tomar medidas sencillas para detener la inundación de tráfico. Según los investigadores de Imperva , la forma más eficaz de detener este ataque es que las empresas restrinjan el acceso a sus enrutadores UPnP. [ 118 ] [ 119 ]
ataque de reflexión SSDP
En 2014, se descubrió que el Protocolo Simple de Descubrimiento de Servicios (SSDP) se estaba utilizando en ataques DDoS conocidos como ataques de reflexión SSDP con amplificación . Muchos dispositivos, incluidos algunos enrutadores residenciales, tienen una vulnerabilidad en el software UPnP que permite a un atacante obtener respuestas del puerto UDP 1900 a una dirección de destino de su elección. Con una botnet de miles de dispositivos, los atacantes pueden generar tasas de paquetes suficientes y ocupar ancho de banda para saturar los enlaces, causando la denegación de servicio. [ 120 ] [ 121 ] [ 122 ] Debido a esta debilidad, la empresa de redes Cloudflare ha descrito a SSDP como el "Protocolo DDoS Estúpidamente Simple". [ 122 ]
Suplantación de ARP
La suplantación de ARP es un ataque DoS común que aprovecha una vulnerabilidad en el protocolo ARP. Esta vulnerabilidad permite al atacante asociar su dirección MAC a la dirección IP de otro ordenador o puerta de enlace , lo que provoca que el tráfico destinado a la IP auténtica original se redirija a la del atacante, causando una denegación de servicio.
Técnicas de defensa
Las respuestas defensivas a los ataques de denegación de servicio suelen implicar el uso de una combinación de herramientas de detección de ataques, clasificación de tráfico y respuesta, con el objetivo de bloquear el tráfico que las herramientas identifican como ilegítimo y permitir el tráfico que identifican como legítimo. [ 123 ] Una lista de herramientas de respuesta incluye las siguientes.
Filtrado ascendente
Todo el tráfico destinado a la víctima se desvía para pasar por un centro de limpieza o un centro de filtrado mediante diversos métodos, tales como: cambiar la dirección IP de la víctima en el sistema DNS, métodos de tunelización (GRE/VRF, MPLS, SDN), [ 124 ] proxies, interconexiones digitales o incluso circuitos directos. El centro de limpieza separa el tráfico malicioso (DDoS y otros ataques comunes de Internet) y solo envía tráfico legítimo al servidor de la víctima. [ 125 ] La víctima necesita conectividad central a Internet para utilizar este tipo de servicio, a menos que se encuentre en las mismas instalaciones que el centro de limpieza. Los ataques DDoS pueden saturar cualquier tipo de cortafuegos de hardware, y el paso de tráfico malicioso a través de redes grandes y consolidadas se vuelve cada vez más eficaz y económicamente sostenible contra los DDoS. [ 126 ]
Hardware de interfaz de aplicación
El hardware de interfaz de aplicación es un hardware inteligente que se ubica en la red antes de que el tráfico llegue a los servidores. Se puede utilizar en redes junto con enrutadores y conmutadores , y como parte de la gestión del ancho de banda . Este hardware analiza los paquetes de datos al ingresar a la red, identifica y descarta los flujos peligrosos o sospechosos.
Indicadores clave de finalización a nivel de aplicación
Los enfoques para la detección de ataques DDoS contra aplicaciones basadas en la nube pueden basarse en un análisis de la capa de aplicación, que indica si el tráfico masivo entrante es legítimo. [ 127 ] Estos enfoques se basan principalmente en una ruta de valor identificada dentro de la aplicación y monitorean el progreso de las solicitudes en esta ruta, a través de marcadores llamados indicadores clave de finalización . [ 128 ] En esencia, estas técnicas son métodos estadísticos para evaluar el comportamiento de las solicitudes entrantes para detectar si está ocurriendo algo inusual o anormal. Una analogía es la de una tienda física donde los clientes pasan, en promedio, un porcentaje conocido de su tiempo en diferentes actividades como tomar artículos y examinarlos, devolverlos, llenar una cesta, esperar para pagar, pagar y salir. Si una multitud de clientes llegara a la tienda y pasara todo su tiempo tomando artículos y devolviéndolos, pero nunca realizara ninguna compra, esto podría ser señalado como un comportamiento inusual.
Agujeros negros y sumideros
Con el enrutamiento de agujero negro , todo el tráfico dirigido a la dirección DNS o IP atacada se envía a un agujero negro (interfaz nula o servidor inexistente). Para mayor eficiencia y para evitar afectar la conectividad de la red, puede ser gestionado por el ISP. [ 129 ] Un sumidero DNS enruta el tráfico a una dirección IP válida que analiza el tráfico y rechaza los paquetes maliciosos. El uso de sumideros puede no ser eficiente para ataques severos.
Prevención basada en IPS
Los sistemas de prevención de intrusiones (IPS) son efectivos si los ataques tienen firmas asociadas. Sin embargo, la tendencia actual es que los ataques tengan contenido legítimo pero mala intención. Los sistemas de prevención de intrusiones que funcionan mediante el reconocimiento de contenido no pueden bloquear los ataques DoS basados en el comportamiento. [ 53 ] Un IPS basado en ASIC puede detectar y bloquear ataques de denegación de servicio porque tiene la potencia de procesamiento y la granularidad para analizar los ataques y actuar como un interruptor de circuito de forma automatizada. [ 53 ]
Defensa basada en DDS
Más enfocado en el problema que un IPS, un sistema de defensa contra ataques de denegación de servicio (DDS) puede bloquear ataques DoS basados en la conexión y aquellos con contenido legítimo pero con malas intenciones. Un DDS también puede abordar tanto ataques de protocolo (como teardrop y ping of death) como ataques basados en la tasa (como inundaciones ICMP y SYN). El DDS cuenta con un sistema diseñado específicamente para identificar y bloquear fácilmente los ataques de denegación de servicio a mayor velocidad que un sistema basado en software. [ 130 ]
Cortafuegos
En el caso de un ataque simple, un cortafuegos puede ajustarse para denegar todo el tráfico entrante de los atacantes, basándose en protocolos, puertos o direcciones IP de origen. Sin embargo, los ataques más complejos serán difíciles de bloquear con reglas simples: por ejemplo, si hay un ataque en curso en el puerto 80 (servicio web), no es posible bloquear todo el tráfico entrante en este puerto porque hacerlo impediría que el servidor recibiera y sirviera tráfico legítimo. [ 131 ] Además, los cortafuegos pueden estar demasiado profundos en la jerarquía de la red, afectando negativamente a los enrutadores antes de que el tráfico llegue al cortafuegos. Asimismo, muchas herramientas de seguridad aún no son compatibles con IPv6 o pueden no estar configuradas correctamente, por lo que los cortafuegos pueden ser eludidos durante los ataques. [ 132 ]
Enrutadores
Al igual que los conmutadores, los enrutadores tienen ciertas capacidades de limitación de velocidad y ACL . Estas también se configuran manualmente. La mayoría de los enrutadores pueden verse fácilmente saturados por un ataque DoS. Nokia SR-OS, que utiliza procesadores FP4 o FP5, ofrece protección DDoS. [ 133 ] Nokia SR-OS también utiliza Nokia Deepfield Defender, basado en análisis de big data, para la protección DDoS. [ 134 ] Cisco IOS tiene funciones opcionales que pueden reducir el impacto de las inundaciones. [ 135 ]
Interruptores
La mayoría de los conmutadores tienen alguna capacidad de limitación de velocidad y ACL . Algunos conmutadores proporcionan limitación de velocidad automática o a nivel de sistema , modelado de tráfico , enlace retardado ( empalme TCP ), inspección profunda de paquetes y filtrado bogon (filtrado de IP falsas) para detectar y remediar ataques DoS mediante filtrado de velocidad automático y conmutación por error y balanceo de enlace WAN. Estos esquemas funcionarán siempre que los ataques DoS puedan prevenirse mediante su uso. Por ejemplo, el ataque SYN flood puede prevenirse mediante enlace retardado o empalme TCP. De manera similar, el ataque DoS basado en contenido puede prevenirse mediante inspección profunda de paquetes. Los ataques que utilizan paquetes marcianos pueden prevenirse mediante filtrado bogon. El filtrado de velocidad automático puede funcionar siempre que los umbrales de velocidad establecidos se hayan configurado correctamente. La conmutación por error del enlace WAN funcionará siempre que ambos enlaces tengan un mecanismo de prevención de DoS. [ 53 ]
Bloqueo de puertos vulnerables
Las amenazas pueden estar asociadas con números de puerto TCP o UDP específicos. Bloquear estos puertos en el firewall puede mitigar un ataque. Por ejemplo, en un ataque de reflexión SSDP, la mitigación clave consiste en bloquear el tráfico UDP entrante en el puerto 1900. [ 136 ]
Bloqueo basado en TTL
Bloquear valores específicos de tiempo de vida (TTL) en función de la longitud de la ruta de red puede ser una opción viable para bloquear ataques de suplantación de identidad. [ 137 ]
Denegación de servicio no intencionada
Una denegación de servicio no intencionada puede ocurrir cuando un sistema se ve afectado, no por un ataque deliberado de un individuo o grupo de individuos, sino simplemente por un aumento repentino y enorme de popularidad. Esto puede suceder cuando un sitio web extremadamente popular publica un enlace destacado a un segundo sitio, menos preparado, por ejemplo, como parte de una noticia. El resultado es que una proporción significativa de los usuarios habituales del sitio principal —potencialmente cientos de miles de personas— hacen clic en ese enlace en cuestión de horas, lo que tiene el mismo efecto en el sitio web objetivo que un ataque DDoS. Un VIPDoS es similar, pero específicamente cuando el enlace fue publicado por una celebridad. Cuando Michael Jackson murió en 2009, sitios web como Google y Twitter se ralentizaron o incluso colapsaron. [ 138 ] Los servidores de muchos sitios pensaron que las solicitudes provenían de un virus o software espía que intentaba causar un ataque de denegación de servicio, advirtiendo a los usuarios que sus consultas parecían "solicitudes automatizadas de un virus informático o una aplicación de software espía". [ 139 ]
Los sitios de noticias y los sitios de enlaces —sitios cuya función principal es proporcionar enlaces a contenido interesante en otras partes de Internet— son los que tienen más probabilidades de causar este fenómeno. El ejemplo paradigmático es el efecto Slashdot al recibir tráfico de Slashdot . También se conoce como «el abrazo mortal de Reddit » [ 140 ] y «el efecto Digg » [ 141 ] .
También pueden producirse denegaciones de servicio involuntarias similares a través de otros medios, por ejemplo, cuando se menciona una URL en televisión. En marzo de 2014, tras la desaparición del vuelo 370 de Malaysia Airlines , DigitalGlobe lanzó un servicio de colaboración ciudadana en el que los usuarios podían ayudar a buscar el avión desaparecido en imágenes satelitales. La respuesta saturó los servidores de la empresa. [ 142 ] Una denegación de servicio involuntaria también puede ser consecuencia de un evento programado previamente por el propio sitio web, como ocurrió con el censo en Australia en 2016. [ 143 ]
Se han emprendido acciones legales en al menos un caso de este tipo. En 2006, Universal Tube & Rollform Equipment Corporation demandó a YouTube : un gran número de potenciales usuarios de YouTube.com escribieron por error la URL de la empresa de tubos, utube.com. Como resultado, la empresa de tubos tuvo que gastar grandes sumas de dinero en mejorar su ancho de banda. [ 144 ]
También se sabe que los enrutadores crean ataques DoS no intencionados, ya que tanto los enrutadores D-Link como Netgear [ 145 ] han sobrecargado los servidores NTP inundándolos sin respetar las restricciones de los tipos de clientes o las limitaciones geográficas.
Efectos secundarios de los ataques
Retrodispersión
En seguridad de redes informáticas, la retrodispersión es un efecto secundario de un ataque de denegación de servicio con suplantación de identidad. En este tipo de ataque, el atacante falsifica la dirección IP de origen en los paquetes IP enviados a la víctima. Generalmente, la máquina víctima no puede distinguir entre los paquetes falsificados y los legítimos, por lo que responde a los paquetes falsificados como lo haría normalmente. Estos paquetes de respuesta se conocen como retrodispersión. [ 146 ]
Si el atacante suplanta aleatoriamente las direcciones de origen, los paquetes de respuesta de la víctima se enviarán de vuelta a destinos aleatorios. Este efecto puede ser utilizado por los observadores de redes como evidencia indirecta de dichos ataques. El término análisis de retrodispersión se refiere a la observación de los paquetes de retrodispersión que llegan a una porción estadísticamente significativa del espacio de direcciones IP para determinar las características de los ataques de denegación de servicio (DoS) y de las víctimas.
Legalidad

Muchas jurisdicciones cuentan con leyes que tipifican como ilegales los ataques de denegación de servicio. La UNCTAD destaca que 156 países, es decir, el 80 % a nivel mundial, han promulgado leyes contra el cibercrimen para combatir su impacto generalizado. Las tasas de adopción varían según la región: Europa registra un 91 % y África un 72 %. [ 148 ]
En Estados Unidos, los ataques de denegación de servicio pueden considerarse un delito federal según la Ley de Fraude y Abuso Informático, con penas que incluyen años de prisión. [ 149 ] La Sección de Delitos Informáticos y Propiedad Intelectual del Departamento de Justicia de Estados Unidos se encarga de los casos de DoS y DDoS. Por ejemplo, en julio de 2019, Austin Thompson, alias DerpTrolling , fue condenado a 27 meses de prisión y a pagar 95 000 dólares en concepto de indemnización por un tribunal federal por llevar a cabo múltiples ataques DDoS contra importantes empresas de videojuegos, interrumpiendo sus sistemas durante horas o días. [ 150 ] [ 151 ]
En los países europeos, cometer ataques de denegación de servicio puede conllevar, como mínimo, la detención. [ 152 ] El Reino Unido es un caso atípico, ya que prohibió específicamente los ataques de denegación de servicio y estableció una pena máxima de 10 años de prisión con la Ley de Policía y Justicia de 2006 , que modificó el artículo 3 de la Ley de Uso Indebido de Ordenadores de 1990. [ 153 ]
En enero de 2019, Europol anunció que "se están llevando a cabo acciones en todo el mundo para localizar a los usuarios" de Webstresser.org, un antiguo mercado de DDoS que fue clausurado en abril de 2018 como parte de la Operación PowerOFF . [ 154 ] Europol dijo que la policía del Reino Unido estaba llevando a cabo varias "operaciones en vivo" dirigidas a más de 250 usuarios de Webstresser y otros servicios DDoS. [ 155 ]
El 7 de enero de 2013, Anonymous publicó una petición en el sitio whitehouse.gov solicitando que los ataques DDoS fueran reconocidos como una forma legal de protesta similar al movimiento Occupy , alegando que la similitud en el propósito de ambos es la misma. [ 156 ]
Véase también
- BASHLITE – 2014 malware informático
- Ataque de mil millones de risas : ataque de denegación de servicio a analizadores XML, explotando la expansión de entidades.
- Blaster (gusano informático) – Gusano informático de Windows de 2003
- Ataque de evaluación de canal abierto : ataque de denegación de servicio contra una red Wi-Fi.
- Dendroid (malware) – Malware escrito para Android
- Ataques de denegación de servicio distribuidos a servidores raíz de nombres : tipo de ciberataque.
- Ataque de inundación DNS : ataque de denegación de servicio dirigido a un servidor DNS.
- Ataque DDoS de tipo "hit-and-run" : un tipo de ataque cibernético de denegación de servicio.
- Espionaje industrial : robo de información corporativa.
- Bucle infinito : modismo de programación
- Sistema de detección de intrusiones : dispositivo o software de protección de red.
- Killer poke : método informático para causar daños al hardware de un ordenador.
- Tarjeta de encaje – Tarjeta perforada con todos los agujeros perforados
- Ataque de amenazas mixtas – Categoría de piratería informática
- Sistema de detección de intrusiones en la red : dispositivo o software de protección de red. Páginas que muestran breves descripciones de los objetivos de redirección.
- Ciberataque a Dyn en 2016 : Ciberataque en Europa y Norteamérica en 2016. Páginas que muestran breves descripciones de los objetivos de redireccionamiento.
- Terrorismo de papel : uso de documentos legales falsos como método de acoso.
- Proyecto Shield : servicio contra ataques de denegación de servicio distribuido (anti-DDoS).
- ReDoS – Ataque de denegación de servicio mediante expresiones regulares
- Ataque de agotamiento de recursos : una vulnerabilidad en la seguridad informática.
- Sentada virtual : técnica de desobediencia civil en línea
- Interfaz web : permite el acceso remoto a un servidor web.
- Interferencia de radio : interferencia con las comunicaciones inalámbricas autorizadas.
- Xor DDoS : malware troyano para Linux con capacidades de rootkit.
- Zemra : un bot de denegación de servicio descubierto en 2012.
- Bomba Zip : archivo comprimido malicioso diseñado para interrumpir el programa o sistema que lo está leyendo.
Notas
- ↑ La bandera -t en los sistemas Windows es mucho menos capaz de saturar un objetivo, y la bandera -l (tamaño) no permite que el tamaño del paquete enviado sea mayor a 65500 en Windows.
- ↑ Aunque en septiembre de 2009 se hizo referencia auna vulnerabilidad en Windows Vista como un ataque teardrop , este tenía como objetivo SMB2 , que es una capa superior a los paquetes TCP que utilizaba teardrop. [ 112 ] [ 113 ]
Referencias
- ↑ "DOS | Pronunciación en inglés" . Diccionario Cambridge . Archivado del original el 7 de noviembre de 2025. Consultado el 29 de agosto de 2025 .
- ↑ "Comprender los ataques de denegación de servicio" . US-CERT. 6 de febrero de 2013. Consultado el 26 de mayo de 2016 .
- ↑ Elleithy, Khaled; Blagovic, Drazen; Cheng, Wang; Sideleau, Paul (1 de enero de 2005). "Técnicas de ataque de denegación de servicio: análisis, implementación y comparación" . Publicaciones de la facultad de la Escuela de Ciencias de la Computación e Ingeniería .
- ↑ "DDoS | Pronunciación en inglés" . Diccionario Cambridge . Consultado el 29 de agosto de 2025 .
- ↑ "¿Qué es un ataque DDoS? - Significado de DDoS" . Kaspersky . 13 de enero de 2021. Archivado del original el 5 de septiembre de 2021. Consultado el 5 de septiembre de 2021 .
- ↑ "¿Qué es un ataque DDoS?" . Coudflare . Archivado del original el 4 de diciembre de 2024 . Consultado el 4 de diciembre de 2024 .
- ↑ Prince, Matthew (25 de abril de 2016). "Amenazas DDoS vacías: Conozca al colectivo Armada" . CloudFlare . Archivado del original el 3 de febrero de 2017. Recuperado el 18 de mayo de 2016 .
- ↑ "El presidente de Brand.com, Mike Zammuto, revela intento de chantaje" . 5 de marzo de 2014. Archivado del original el 11 de marzo de 2014.
- ↑ "Mike Zammuto de Brand.com habla sobre la extorsión en Meetup.com" . 5 de marzo de 2014. Archivado del original el 13 de mayo de 2014.
- ↑ Halpin, Harry (17 de diciembre de 2010). "La filosofía del anonimato" . Radicalphilosophy.com. Archivado del original el 24 de septiembre de 2015. Recuperado el 10 de septiembre de 2013 .
- ↑ "Ataques de denegación de servicio distribuidos - The Internet Protocol Journal - Volumen 7, Número 4" . Cisco . Archivado del original el 26 de agosto de 2019. Consultado el 26 de agosto de 2019 .
- ↑ Yongmin, Chen (2021). "Prevención, detección y mitigación de ataques de denegación de servicio distribuidos" (PDF) . Conferencia Internacional sobre Inteligencia de Datos Inteligentes . Recuperado el 20 de junio de 2025 .
- ↑ "Amazon 'frustra el mayor ciberataque DDoS de la historia'"BBC News . 18 de junio de 2020. Archivado del original el 10 de enero de 2023. Consultado el 11 de noviembre de 2020 .
- ↑ "Cloudflare mitigó un ataque DDoS récord de 17,2 millones de solicitudes por segundo" . SecurityWeek . 23 de agosto de 2021.
- ↑ "Yandex atacado por la potente botnet DDoS Meris" . threatpost.com . 10 de septiembre de 2021. Archivado del original el 2 de enero de 2023. Consultado el 23 de diciembre de 2021 .
- 1 2 Equipo de seguridad de red de Azure (21 de febrero de 2023). "Resumen de 2022: tendencias y perspectivas de los ataques DDoS" . Blog de seguridad de Microsoft . Archivado del original el 7 de abril de 2024. Consultado el 7 de abril de 2024 .
- ↑ "Cloudflare mitiga un ataque DDoS récord de 71 millones de solicitudes por segundo" . El blog de Cloudflare . 13 de febrero de 2023. Consultado el 13 de enero de 2024 .
- ↑ Weatherbed, Jess (11 de julio de 2023). "Sitio de fanfiction de AO3 fuera de servicio por ola de ataques DDoS" . The Verge . Recuperado el 9 de abril de 2024 .
- ↑ "Archive of Our Own está caído debido a un ataque DDoS" . Polygon . 10 de julio de 2023.
- ↑ "Settimo giorno di attacchi informatici all'Italia. NoName057(16) torna alle Banche e alle Telecomunicazioni" . 6 de agosto de 2023. Archivado desde el original el 10 de agosto de 2023 . Consultado el 8 de agosto de 2023 .
- ↑ «Suiza sufre un ciberataque tras la visita del presidente de Ucrania» . SWI swissinfo.ch . 17 de enero de 2024. Archivado del original el 8 de abril de 2024. Consultado el 8 de abril de 2024 .
- ↑ "HTTP/2 Rapid Reset: deconstruyendo el ataque que batió récords" . El blog de Cloudflare . 10 de octubre de 2023. Archivado del original el 14 de enero de 2024. Consultado el 13 de enero de 2024 .
- ↑ "Google mitigó el mayor ataque DDoS hasta la fecha, que alcanzó un pico de más de 398 millones de rps" . Blog de Google Cloud . 10 de octubre de 2023. Archivado del original el 14 de enero de 2024. Consultado el 13 de enero de 2024 .
- ↑ "Ataque DDoS sin precedentes con una tasa de paquetes de 3.150 millones de paquetes mitigado por Global Secure Layer" . globalsecurelayer.com . Archivado del original el 28 de agosto de 2024. Consultado el 28 de agosto de 2024 .
- ↑ "Internet Archive hackeado, filtración de datos afecta a 31 millones de usuarios" . www.bleepingcomputer.com . Archivado del original el 10 de octubre de 2024. Consultado el 10 de octubre de 2024 .
- ↑ Davis, Wes (9 de octubre de 2024). "Internet Archive está bajo ataque: una brecha de seguridad revela información de 31 millones de cuentas" . The Verge . Archivado del original el 10 de octubre de 2024. Recuperado el 10 de octubre de 2024 .
- ↑ Boran, Marie (10 de octubre de 2024). "Hackers denuncian un ataque 'catastrófico' contra Internet Archive" . Newsweek . Archivado del original el 18 de octubre de 2024. Consultado el 10 de octubre de 2024 .
- ↑ Jess Kinghorn (24 de septiembre de 2025). "Cloudflare mitiga otro ataque DDoS que batió récords, el cual, con 22,2 Tbps, es casi el doble de grande que el último ataque hipervolumétrico" . PC Gamer . Archivado del original el 11 de octubre de 2025. Consultado el 4 de octubre de 2025 .
- ↑ Kovacs, Eduard (24 de septiembre de 2025). "Ataque DDoS sin precedentes alcanza picos de 22 Tbps y 10 Bpps" . SecurityWeek . Archivado del original el 8 de octubre de 2025. Consultado el 4 de octubre de 2025 .
- ↑ Arghire, Ionut (2 de septiembre de 2025). "Cloudflare bloquea un ataque DDoS récord de 11,5 Tbps" . SecurityWeek . Archivado del original el 9 de octubre de 2025. Consultado el 4 de octubre de 2025 .
- 1 2 Taghavi Zargar, Saman (noviembre de 2013). "Un estudio de los mecanismos de defensa contra los ataques de inundación de denegación de servicio distribuido (DDoS)" (PDF) . IEEE Communications Surveys & Tutorials. págs. 2046–2069 . Archivado (PDF) del original el 7 de marzo de 2014. Recuperado el 7 de marzo de 2014 .
- ↑ Amiri, IS; Soltanian, MRK (2015). Métodos teóricos y experimentales para la defensa contra ataques DDoS . Syngress. ISBN 978-0-12-805399-7.
- ↑ "¿Tu sitio web ha sido atacado por un zombi?" . Cloudbric. 3 de agosto de 2015. Archivado del original el 23 de septiembre de 2015. Consultado el 15 de septiembre de 2015 .
- 1 2 "Ataques DDoS de capa siete". Infosec Institute .
- ↑ Raghavan, SV (2011). Una investigación sobre la detección y mitigación de ataques de denegación de servicio (DoS) . Springer. ISBN 9788132202776.
- ↑ scottcschweitzer (2 de enero de 2018). "2600, Ataque a redes empresariales" . The Technology Evangelist . Consultado el 21 de junio de 2025 .
- ↑ "¿Cómo funcionan realmente los ataques DoS y DDoS? | Baeldung sobre informática" . www.baeldung.com . 25 de abril de 2022. Archivado del original el 20 de agosto de 2025. Consultado el 21 de junio de 2025 .
- ↑ "Todo lo que necesitas saber sobre los ataques de denegación de servicio" . AppViewX . Archivado del original el 18 de mayo de 2025. Consultado el 21 de junio de 2025 .
- ↑ Goodin, Dan (28 de septiembre de 2016). "Según informes, un ataque DDoS sin precedentes fue perpetrado por más de 145 000 cámaras pirateadas" . Ars Technica . Archivado del original el 2 de octubre de 2016.
- ↑ Khandelwal, Swati (26 de septiembre de 2016). «El mayor ataque DDoS del mundo, de 1 Tbps, se lanzó desde 152 000 dispositivos inteligentes pirateados» . The Hacker News. Archivado del original el 30 de septiembre de 2016.
- ↑ Bhattacharyya, Dhruba Kumar; Kalita, Jugal Kumar (27 de abril de 2016). Ataques DDoS : evolución, detección, prevención, reacción y tolerancia . Boca Raton, FL: CRC Press. ISBN 9781498729659OCLC 948286117
- ↑ "Imperva, Panorama global de amenazas DDoS, Informe de 2019" (PDF) . Imperva.com . Imperva . Archivado (PDF) del original el 9 de octubre de 2022. Consultado el 4 de mayo de 2020 .
- ↑ Sides, Mor; Bremler-Barr, Anat ; Rosensweig, Elisha (17 de agosto de 2015). "Yo-Yo Attack: Vulnerability In Auto-scaling Mechanism" . ACM SIGCOMM Computer Communication Review . 45 (4): 103–104 . doi : 10.1145/2829988.2790017 . Archivado del original el 4 de abril de 2023. Recuperado el 10 de mayo de 2021 .
- ↑ Barr, Anat; Ben David, Ronen (2021). "Kubernetes Autoscaling: Vulnerabilidad y mitigación del ataque Yo Yo ". Actas de la 11.ª Conferencia Internacional sobre Computación en la Nube y Ciencia de los Servicios . págs. 34–44 . arXiv : 2105.00542 . doi : 10.5220/0010397900340044 . ISBN 978-989-758-510-4. S2CID 233482002 .
- ^ Xu, Xiaoqiong; Li, Jin; Yu, Hongfang; Luo, largo; Wei, Xuetao; Sol, pandilla (2020). "Hacia la mitigación de los ataques Yo-Yo en el mecanismo de escalado automático de la nube" . Comunicaciones y Redes Digitales . 6 (3): 369– 376. doi : 10.1016/j.dcan.2019.07.002 . S2CID 208093679 .
- ↑ "Ataques DDoS a mecanismos de autoescalado en la nube" . Red Hat Research . Consultado el 21 de junio de 2025 .
- ↑ Lee, Newton (2013). Contraterrorismo y ciberseguridad: Conciencia total de la información . Springer. ISBN 9781461472056.
- ↑ "Gartner afirma que el 25 % de los ataques de denegación de servicio distribuido en 2013 estarán basados en aplicaciones" . Gartner . 21 de febrero de 2013. Archivado del original el 25 de febrero de 2013. Consultado el 28 de enero de 2014 .
- 1 2 Ginovsky, John (27 de enero de 2014). "Lo que debe saber sobre el empeoramiento de los ataques DDoS" . ABA Banking Journal . Archivado del original el 9 de febrero de 2014.
- ↑ "Estado de Internet en el cuarto trimestre de 2014 - Informe de seguridad: cifras - El blog de Akamai" . blogs.akamai.com . Archivado del original el 5 de febrero de 2015.
- ↑ Ali, Junade (23 de noviembre de 2017). "El nuevo panorama de los ataques DDoS" . Blog de Cloudflare . Archivado del original el 13 de agosto de 2023. Recuperado el 7 de diciembre de 2017 .
- ↑ Higgins, Kelly Jackson (17 de octubre de 2013). "Ataque DDoS utilizó un navegador 'sin interfaz gráfica' en un asedio de 150 horas" . Dark Reading . InformationWeek. Archivado del original el 22 de enero de 2014. Recuperado el 28 de enero de 2014 .
- ^ Kiyuna y Conyers (2015 ) . Libro de consulta sobre guerra cibernética . Lulu.com. ISBN 978-1329063945.
- ↑ Ilascu, Ionut (21 de agosto de 2014). "Asedio DDoS de 38 días equivale a más de 50 petabits de tráfico malicioso" . Softpedia News . Consultado el 29 de julio de 2018 .
- ↑ Gold, Steve (21 de agosto de 2014). "Empresa de videojuegos sufre ataque DDoS de 38 días" . SC Magazine UK . Archivado del original el 1 de febrero de 2017. Consultado el 4 de febrero de 2016 .
- ↑ Krebs, Brian (15 de agosto de 2015). "Prueba de estrés de los servicios de Booter, financieramente" . Krebs on Security . Archivado del original el 22 de febrero de 2017. Recuperado el 9 de septiembre de 2016 .
- ↑ Mubarakali, Azath; Srinivasan, Karthik; Mukhalid, Reham; Jaganathan, Subash CB; Marina, Ninoslav (26 de enero de 2020). "Desafíos de seguridad en el Internet de las cosas: detección de ataques de denegación de servicio distribuidos mediante sistemas expertos basados en máquinas de vectores de soporte" . Inteligencia Computacional . 36 (4): 1580– 1592. doi : 10.1111/coin.12293 . ISSN 0824-7935 . S2CID 214114645. Archivado del original el 4 de abril de 2023. Recuperado el 6 de marzo de 2021 .
- ↑ Befekadu, Getachew K.; Gupta, Vijay; Antsaklis, Panos J. (2015). "Control sensible al riesgo bajo estrategias de ataque de denegación de servicio (DoS) moduladas por Markov". IEEE Transactions on Automatic Control . 60 (12): 3299– 3304. Bibcode : 2015ITAC...60.3299B . doi : 10.1109/TAC.2015.2416926 . S2CID 9510043 .
- ↑ McDowell, Mindi (4 de noviembre de 2009). "Consejo de ciberseguridad ST04-015: Comprensión de los ataques de denegación de servicio" . Equipo de respuesta a emergencias informáticas de los Estados Unidos . Archivado del original el 4 de noviembre de 2013. Consultado el 11 de diciembre de 2013 .
- 1 2 Dittrich, David (31 de diciembre de 1999). "La herramienta de ataque de denegación de servicio distribuida "stacheldraht" . Universidad de Washington. Archivado del original el 16 de agosto de 2000. Recuperado el 11 de diciembre de 2013 .
- ↑ Cambiaso, Enrico; Papaleo, Gianluca; Chiola, Giovanni; Aiello, Maurizio (2015). "Diseño y modelado del próximo ataque DoS lento". Conferencia sobre Inteligencia Computacional en Seguridad para Sistemas de Información (CISIS 2015) . 249-259. Springer.
- ↑ "Amazon CloudWatch" . Amazon Web Services, Inc. Archivado del original el 30 de mayo de 2015. Consultado el 30 de mayo de 2015 .
- ↑ Enciclopedia de Tecnologías de la Información . Atlantic Publishers & Distributors. 2007. pág. 397. ISBN 978-81-269-0752-6.
- ↑ Schwabach, Aaron (2006). Internet y la ley . ABC-CLIO. pág. 325. ISBN 978-1-85109-731-9.
- ↑ Lu, Xicheng; Wei Zhao (2005). Redes y Computación Móvil . Birkhäuser. pag. 424.ISBN 978-3-540-28102-3.
- ↑ Boyle, Phillip (2000). "SANS Institute – Preguntas frecuentes sobre detección de intrusiones: Herramientas de ataque de denegación de servicio distribuida: n/a" . SANS Institute. Archivado del original el 15 de mayo de 2008. Recuperado el 2 de mayo de 2008 .
- ↑ Leyden, John (23 de septiembre de 2004). "Empresa estadounidense de tarjetas de crédito combate ataque DDoS" . The Register . Archivado del original el 11 de julio de 2017. Recuperado el 2 de diciembre de 2011 .
- ↑ Swati Khandelwal (23 de octubre de 2015). "Hackeo de cámaras de CCTV para lanzar ataques DDoS" . The Hacker News .
- ↑ Zeifman, Igal; Gayer, Ofer; Wilder, Or (21 de octubre de 2015). "Botnet DDoS de CCTV en nuestro propio patio trasero" . incapsula.com .
- ↑ Glenn Greenwald (15 de julio de 2014). "PIRATERÍA DE ENCUESTAS EN LÍNEA Y OTRAS FORMAS EN QUE LOS ESPÍAS BRITÁNICOS BUSCAN CONTROLAR INTERNET" . The Intercept_ . Archivado del original el 21 de agosto de 2015. Recuperado el 25 de diciembre de 2015 .
- ↑ "¿Quién está detrás de los ataques DDoS y cómo puedes proteger tu sitio web?" . Cloudbric. 10 de septiembre de 2015. Archivado del original el 19 de septiembre de 2015. Consultado el 15 de septiembre de 2015 .
- ↑ Solon, Olivia (9 de septiembre de 2015). «Ciberextorsionadores que atacan al sector financiero exigen rescates en Bitcoin» . Bloomberg. Archivado del original el 30 de septiembre de 2015. Consultado el 15 de septiembre de 2015 .
- ↑ Greenberg, Adam (14 de septiembre de 2015). "Akamai advierte sobre el aumento de actividad de un grupo de extorsión DDoS" . Revista SC. Archivado del original el 16 de septiembre de 2015. Recuperado el 15 de septiembre de 2015 .
- ↑ "OWASP Plan - Strawman - Layer_7_DDOS.pdf" (PDF) . Open Web Application Security Project . 18 de marzo de 2014. Archivado (PDF) del original el 9 de octubre de 2022. Recuperado el 18 de marzo de 2014 .
- ↑ "Herramienta HTTP Post de OWASP" . Archivado del original el 21 de diciembre de 2010.
- ↑ "¿Qué es un ataque CC?" . HUAWEI CLOUD: Crece con inteligencia . Archivado del original el 5 de marzo de 2019 . Consultado el 5 de marzo de 2019 .
- ↑刘鹏; 郭洋. "Método, dispositivo y sistema de defensa contra ataques CC (challenge collapsar)" . Patentes de Google . Archivado del original el 5 de marzo de 2019. Consultado el 5 de marzo de 2018 .
- ↑曾宪力; 史伟; 关志来; 彭国柱. "Método y dispositivo de protección contra ataques CC (Challenge Collapsar)" . Patentes de Google . Archivado desde el original el 5 de marzo de 2019 . Consultado el 5 de marzo de 2018 .
- ^ "史上最臭名昭著的黑客工具 CC的前世今生" . NetEase (en chino simplificado). 驱动中国网(北京). 24 de julio de 2014. Archivado desde el original el 5 de marzo de 2019 . Consultado el 5 de marzo de 2019 .
- ↑ Sun, Fei Xian (2011). "Modelo de evaluación de riesgos basado en la teoría del peligro para ataques de pitufos" . Key Engineering Materials . 467–469 : 515–521 . doi : 10.4028/www.scientific.net/KEM.467-469.515 . ISSN 1662-9795 . S2CID 110045205 .
- ↑ "Tipos de ataques DDoS" . Recursos sobre ataques de denegación de servicio distribuido (DDoS), Laboratorios de Tecnologías Ubicuas de la Universidad de Indiana . Laboratorio de Gestión Avanzada de Redes (ANML). 3 de diciembre de 2009. Archivado del original el 14 de septiembre de 2010. Consultado el 11 de diciembre de 2013 .
- ↑ "¿Qué es una bomba nuclear? | Radware — DDoSPedia" . security.radware.com . Archivado del original el 4 de diciembre de 2020. Consultado el 16 de septiembre de 2019 .
- 1 2 Paul Sop (mayo de 2007). "Alerta de ataque de denegación de servicio distribuido de Prolexic" . Prolexic Technologies Inc. Archivado del original el 3 de agosto de 2007. Recuperado el 22 de agosto de 2007 .
- ↑ Robert Lemos (mayo de 2007). "Redes peer-to-peer utilizadas para ataques DoS" . SecurityFocus. Archivado del original el 24 de septiembre de 2015. Consultado el 22 de agosto de 2007 .
- ↑ Fredrik Ullner (mayo de 2007). "Negando los ataques distribuidos" . DC++: Solo estos tipos, ¿sabes? Archivado del original el 15 de marzo de 2016. Recuperado el 22 de agosto de 2007 .
- ↑ Leyden, John (21 de mayo de 2008). "Ataque de phlashing devasta sistemas embebidos" . The Register . Archivado del original el 27 de diciembre de 2019. Recuperado el 7 de marzo de 2009 .
- ↑ Jackson Higgins, Kelly (19 de mayo de 2008). "Ataque de denegación de servicio permanente sabotea el hardware" . Dark Reading. Archivado del original el 8 de diciembre de 2008.
- ↑ ""BrickerBot" provoca un ataque PDoS . Radware . 4 de mayo de 2017. Archivado del original el 7 de febrero de 2024. Consultado el 22 de enero de 2019 .
- ↑ "Conferencia de Seguridad Aplicada EUSecWest: Londres, Reino Unido" EUSecWest. 2008. Archivado del original el 1 de febrero de 2009.
- ↑ Rossow, Christian (febrero de 2014). "Amplification Hell: Revisiting Network Protocols for DDoS Abuse" (PDF) . Internet Society. Archivado del original (PDF) el 4 de marzo de 2016. Recuperado el 4 de febrero de 2016 .
- ↑ Paxson, Vern (2001). "Análisis del uso de reflectores para ataques de denegación de servicio distribuidos" . ICIR.org. Archivado del original el 24 de septiembre de 2015. Recuperado el 13 de abril de 2006 .
- ↑ "Alerta (TA14-017A) Ataques de amplificación basados en UDP" . US-CERT. 8 de julio de 2014. Archivado del original el 26 de abril de 2017. Consultado el 8 de julio de 2014 .
- ↑ "CVE-2022-26143: Una vulnerabilidad de día cero para lanzar ataques DDoS de amplificación UDP" . Blog de Cloudflare . 8 de marzo de 2022. Archivado del original el 16 de marzo de 2022. Consultado el 16 de marzo de 2022 .
- ↑ "Notas de la versión 1.5.6 de Memcached" . GitHub . 27 de febrero de 2018. Archivado del original el 3 de marzo de 2018. Consultado el 3 de marzo de 2018 .
- ↑ "DRDoS / Ataque de amplificación mediante el comando ntpdc monlist" . support.ntp.org. 24 de abril de 2010. Archivado del original el 19 de febrero de 2014. Consultado el 13 de abril de 2014 .
- ↑ van Rijswijk-Deij, Roland (2014). «DNSSEC y su potencial para ataques DDoS: Un estudio de medición exhaustivo». Actas de la Conferencia de Medición de Internet de 2014. ACM Press. págs. 449–460 . doi : 10.1145/2663716.2663731 . ISBN 9781450332132. S2CID 2094604 .
- ↑ Adamsky, Florian (2015). "Intercambio de archivos P2P en el infierno: Explotación de vulnerabilidades de BitTorrent para lanzar ataques DoS reflectivos distribuidos" . Archivado del original el 1 de octubre de 2015. Recuperado el 21 de agosto de 2015 .
- ↑ Vaughn, Randal; Evron, Gadi (2006). "Ataques de amplificación de DNS" (PDF) . ISOTF. Archivado del original (PDF) el 14 de diciembre de 2010.
- ↑ "Alerta (TA13-088A) Ataques de amplificación de DNS" . US-CERT. 8 de julio de 2013. Archivado del original el 27 de abril de 2017. Consultado el 17 de julio de 2013 .
- ↑ Gondim, João JC; de Oliveira Albuquerque, Robson; Sandoval Orozco, Ana Lucila (julio de 2020). "Saturación de espejo en la denegación de servicio distribuida por reflexión amplificada: un estudio de caso utilizando los protocolos SNMP, SSDP, NTP y DNS" . Future Generation Computer Systems . 108 : 68–81 . doi : 10.1016/j.future.2020.01.024 .
- 1 2 Kolias, Constantinos; Kambourakis, Georgios; Stavrou, Angelos; Voas, Jeffrey (2017). "DDoS en el IoT: Mirai y otras botnets". Computer . 50 (7): 80– 84. Bibcode : 2017Compr..50g..80K . doi : 10.1109/MC.2017.201 . S2CID 35958086 .
- ↑ Kuzmanovic, Aleksandar; Knightly, Edward W. (25 de agosto de 2003). «Ataques de denegación de servicio dirigidos a TCP de baja tasa: La musaraña contra los ratones y los elefantes». Actas de la conferencia de 2003 sobre aplicaciones, tecnologías, arquitecturas y protocolos para comunicaciones informáticas . ACM. págs. 75–86 . CiteSeerX 10.1.1.307.4107 . doi : 10.1145/863955.863966 . ISBN 978-1581137354. S2CID 173992197 .
- ↑ "Ru-muerto-todavía" . 8 de septiembre de 2016. Archivado del original el 16 de diciembre de 2018. Consultado el 12 de marzo de 2016 .
- ↑ "SACK Panic y otros problemas de denegación de servicio TCP" . Wiki de Ubuntu . 17 de junio de 2019. Archivado del original el 19 de junio de 2019. Consultado el 21 de junio de 2019 .
- ↑ "CVE-2019-11479" . CVE . Archivado del original el 21 de junio de 2019. Consultado el 21 de junio de 2019 .
- ↑ Yu Chen; Kai Hwang; Yu-Kwong Kwok (2005). "Filtrado de ataques DDoS de tipo musaraña en el dominio de la frecuencia". Conferencia IEEE sobre Redes de Computadoras Locales, 30.º Aniversario (LCN'05) . pp. 8. doi : 10.1109/LCN.2005.70 . hdl : 10722/45910 . ISBN 978-0-7695-2421-4. S2CID 406686 .
- ↑ "¿Qué es un ataque DDoS de lectura lenta?" . NetScout Systems .
- 1 2 Ben-Porat, U.; Bremler-Barr, A.; Levy, H. (1 de mayo de 2013). "Vulnerabilidad de los mecanismos de red a ataques DDoS sofisticados". IEEE Transactions on Computers . 62 (5): 1031– 1043. Bibcode : 2013ITCmp..62.1031B . doi : 10.1109/TC.2012.49 . ISSN 0018-9340 . S2CID 26395831 .
- ↑ orbitalsatelite (8 de septiembre de 2016). "Prueba HTTP lenta" . SourceForge . Archivado del original el 12 de septiembre de 2016. Recuperado el 5 de abril de 2016 .
- ↑ W. Eddy (agosto de 2007). Ataques de inundación TCP SYN y mitigaciones comunes . Grupo de trabajo de redes. doi : 10.17487/RFC4987 . RFC 4987 .Informativo.
- ↑ "Aviso CERT CA-1997-28 Ataques de denegación de servicio IP" . CERT. 1998. Archivado del original el 21 de mayo de 2023. Recuperado el 18 de julio de 2014 .
- ↑ "Windows 7 y Vista expuestos al 'ataque de la lágrima'"" . ZDNet . 8 de septiembre de 2009. Archivado del original el 6 de noviembre de 2010 . Consultado el 11 de diciembre de 2013 .
- ↑ "Aviso de seguridad de Microsoft (975497): Vulnerabilidades en SMB podrían permitir la ejecución remota de código" . Microsoft.com. 8 de septiembre de 2009. Archivado del original el 3 de septiembre de 2011. Consultado el 2 de diciembre de 2011 .
- ↑ Bhardwaj, Akashdeep (12 de junio de 2023). «Soluciones para ataques DDoS en entornos de nube» . Mitigación de amenazas cibernéticas de nueva generación para redes de computación en la nube . BENTHAM SCIENCE PUBLISHERS. págs. 42–55 . doi : 10.2174/9789815136111123010006 . ISBN 978-981-5136-11-1. Consultado el 9 de febrero de 2024 .
- ↑ "FBI — Las llamadas telefónicas falsas distraen a los consumidores de los robos reales" . FBI.gov. 11 de mayo de 2010. Archivado del original el 29 de mayo de 2016. Consultado el 10 de septiembre de 2013 .
- ↑ "Alertas de estafas del Centro de Denuncias de Delitos en Internet (IC3) - 7 de enero de 2013" . IC3.gov . 7 de enero de 2013. Archivado del original el 10 de enero de 2013. Consultado el 10 de septiembre de 2013 .
- ↑ "Identificación y mitigación de ataques de expiración de TTL" . Cisco Systems . Archivado del original el 1 de agosto de 2019. Consultado el 24 de mayo de 2019 .
- ↑ "Nuevo método de ataque DDoS aprovecha UPnP" . Dark Reading . Archivado del original el 30 de mayo de 2018. Consultado el 29 de mayo de 2018 .
- ↑ "Nuevo método de ataque DDoS exige un nuevo enfoque para la mitigación de ataques de amplificación – Blog | Imperva" . Blog | Imperva . 14 de mayo de 2018. Consultado el 29 de mayo de 2018 .
- ↑ "Centro Multiestatal de Intercambio y Análisis de Información" . CIS . Archivado del original el 4 de enero de 2017. Consultado el 22 de febrero de 2023 .
- ↑ "Ataques de amplificación basados en UDP" . 18 de diciembre de 2019. Archivado del original el 13 de agosto de 2018. Consultado el 23 de diciembre de 2020 .
- 1 2 Majkowski, Marek (28 de junio de 2017). "El protocolo DDoS estúpidamente simple (SSDP) genera un DDoS de 100 Gbps" . El blog de Cloudflare . Archivado del original el 13 de agosto de 2018. Recuperado el 20 de noviembre de 2024 .
- ↑ Loukas, G.; Oke, G. (septiembre de 2010). "Protección contra ataques de denegación de servicio: una revisión" (PDF) . Comput. J. 53 (7): 1020–1037 . doi : 10.1093/comjnl/bxp078 . Archivado del original (PDF) el 24 de marzo de 2012. Recuperado el 2 de diciembre de 2015 .
- ↑ "MPLS-Based Synchronous Traffic Shunt (NANOG28)" . Riverhead Networks, Cisco, Colt Telecom . NANOG28. 3 de enero de 2003. Archivado del original el 15 de mayo de 2021. Consultado el 10 de enero de 2003 .
- ↑ "Técnicas de desviación y filtrado para derrotar ataques DDoS" . Cisco, Riverhead Networks . NANOG23. 23 de octubre de 2001. Archivado del original el 15 de mayo de 2021. Consultado el 30 de octubre de 2001 .
- ↑ "Mitigación de DDoS mediante centros de limpieza regionales (enero de 2004)" (PDF) . SprintLabs.com . Sprint ATL Research. Archivado del original (PDF) el 21 de septiembre de 2008. Consultado el 2 de diciembre de 2011 .
- ↑ Alqahtani, S.; Gamble, RF (1 de enero de 2015). «Ataques DDoS en nubes de servicios». 48.ª Conferencia Internacional de Hawái sobre Ciencias de Sistemas de 2015. págs. 5331–5340 . doi : 10.1109/HICSS.2015.627 . ISBN 978-1-4799-7367-5. S2CID 32238160 .
- ↑ Kousiouris, George (2014). "INDICADORES CLAVE DE FINALIZACIÓN: minimizando el efecto de los ataques DoS en aplicaciones elásticas basadas en la nube mediante puntos de control de cadena de Markov a nivel de aplicación". Conferencia CLOSER . págs. 622–628 . doi : 10.5220/0004963006220628 . ISBN 978-989-758-019-2.
- ^ Patrikakis, C.; Masikos, M.; Zouraraki, O. (diciembre de 2004). "Ataques distribuidos de denegación de servicio" . La revista del protocolo de Internet . 7 (4): 13– 35. Archivado desde el original el 27 de diciembre de 2015 . Consultado el 13 de enero de 2010 .
- ↑ Popeskic, Valter (16 de octubre de 2012). "¿Cómo prevenir o detener los ataques DoS?" . Cómo funciona Internet . Archivado del original el 5 de abril de 2023. Recuperado el 11 de octubre de 2020 .
- ↑ Froutan, Paul (24 de junio de 2004). "Cómo defenderse de los ataques DDoS" . Computerworld . Archivado del original el 2 de julio de 2014. Recuperado el 15 de mayo de 2010 .
- ↑ "Se disparan las preocupaciones sobre las vulnerabilidades de la ciberseguridad" . ComputerWeekly.com . Archivado del original el 9 de julio de 2023. Consultado el 13 de agosto de 2018 .
- ↑ "Tecnología de procesador de red FP" . Archivado del original el 15 de junio de 2024. Consultado el 15 de junio de 2024 .
- ↑ "Nokia Deepfield Defender" . Archivado del original el 20 de mayo de 2022. Consultado el 20 de mayo de 2022 .
- ↑ Suzen, Mehmet. "Algunos consejos de IoS para proveedores de servicios de Internet" (PDF) . Archivado del original (PDF) el 10 de septiembre de 2008.
- ↑ "Ataque DDoS SSDP | Cloudflare" . Archivado del original el 4 de abril de 2023. Consultado el 23 de diciembre de 2020 .
- ↑ Behte, Stefan (2025). DDoS: Comprensión de los ataques en la vida real y estrategias de mitigación . págs. 175–178 . ISBN 9783819226212.
- ↑ Shiels, Maggie (26 de junio de 2009). "La web se ralentiza tras la muerte de Jackson" . BBC News . Archivado del original el 22 de agosto de 2025. Consultado el 15 de septiembre de 2025 .
- ↑ "Resultados de búsqueda inesperados" . Foros de productos de Google › Foro de búsqueda de Google . 20 de octubre de 2009. Archivado del original el 13 de enero de 2021. Consultado el 11 de febrero de 2012 .
- ↑ Jobert, Thibaud (16 de noviembre de 2017). "Historia de un abrazo mortal en Reddit y lecciones aprendidas" . Medium . Archivado del original el 24 de septiembre de 2024. Recuperado el 24 de septiembre de 2024 .
- ↑ Plocek, Keith. "The Digg Effect v4" . Social Keith. Archivado del original el 22 de octubre de 2010. Recuperado el 20 de octubre de 2010 .
- ↑ Bill Chappell (12 de marzo de 2014). "La gente satura el sitio web con la esperanza de ayudar en la búsqueda del avión desaparecido" . NPR. Archivado del original el 4 de marzo de 2016. Recuperado el 4 de febrero de 2016 .
- ↑ Palmer, Daniel (19 de agosto de 2016). "Los expertos ponen en duda las afirmaciones sobre ataques DDoS al censo" . Delimiter . Consultado el 31 de enero de 2018 .
- ↑ "YouTube demandado por sitio web que imita sonidos" . BBC News . 2 de noviembre de 2006. Archivado del original el 21 de agosto de 2025. Consultado el 15 de septiembre de 2025 .
- ↑ "Enrutadores defectuosos saturan el servidor de hora de Internet de la Universidad de Wisconsin" . pages.cs.wisc.edu . Archivado del original el 2 de mayo de 2026. Consultado el 10 de mayo de 2026 .
- ↑ "Análisis de retrodispersión (2001)" . Animaciones (vídeo). Asociación Cooperativa para el Análisis de Datos de Internet . Archivado del original el 1 de noviembre de 2016. Consultado el 11 de diciembre de 2013 .
- ↑ "El FBI incauta 15 sitios web de ataques DDoS por encargo" . Kotaku . 6 de enero de 2019. Archivado del original el 4 de mayo de 2023. Consultado el 5 de enero de 2019 .
- ↑ "Legislación sobre ciberdelincuencia en todo el mundo | UNCTAD" . unctad.org . Archivado del original el 8 de abril de 2024. Consultado el 8 de abril de 2024 .
- ↑ "Código de los Estados Unidos: Título 18,1030. Fraude y actividades relacionadas con computadoras | Oficina de Imprenta del Gobierno" . gpo.gov. 25 de octubre de 2002. Archivado del original el 13 de agosto de 2015. Consultado el 15 de enero de 2014 .
- ↑ "Hombre de Utah condenado por delito de piratería informática" . 2 de julio de 2019. Archivado del original el 10 de julio de 2019.
- ↑ Smolaks, Max (4 de julio de 2019). "Get rekt: Dos años en prisión para el mocoso DDoS que destruyó juegos DerpTrolling" . The Register . Archivado del original el 24 de diciembre de 2019. Recuperado el 27 de septiembre de 2019.
Austin Thompson, alias DerpTrolling, que saltó a la fama en 2013 por lanzar ataques de denegación de servicio distribuido (DDoS) contra importantes compañías de videojuegos, ha sido condenado a 27 meses de prisión por un tribunal federal. Thompson, residente de Utah, también tendrá que pagar 95.000 dólares a Daybreak Games, que era propiedad de Sony cuando sufrió los ataques de DerpTrolling. Entre diciembre de 2013 y enero de 2014, Thompson también derribó Steam de Valve, la mayor plataforma de distribución digital para juegos de PC, así como el servicio Origin de Electronic Arts y BattleNet de Blizzard. La interrupción duró desde horas hasta días.
- ↑ "Acción internacional contra el grupo ciberdelincuente DD4BC" . EUROPOL . 12 de enero de 2016. Archivado del original el 9 de septiembre de 2016. Consultado el 12 de enero de 2016 .
- ↑ "Ley de uso indebido de computadoras de 1990" . legislation.gov.uk — Archivos Nacionales del Reino Unido . 10 de enero de 2008. Archivado del original el 26 de septiembre de 2010. Consultado el 19 de noviembre de 2015 .
- ↑ "Sala de prensa" . Europol . Archivado del original el 25 de abril de 2018. Consultado el 29 de enero de 2019 .
- ↑ "Autoridades de todo el mundo persiguen a los usuarios del mayor sitio web de ataques DDoS por encargo" . Europol . Archivado del original el 19 de noviembre de 2021. Consultado el 29 de enero de 2019 .
- ↑ "Petición anónima sobre DDoS: Grupo pide a la Casa Blanca que reconozca el ataque de denegación de servicio distribuido como protesta" . HuffingtonPost.com. 12 de enero de 2013. Archivado del original el 19 de octubre de 2017. Consultado el 12 de diciembre de 2019 .
Lecturas adicionales
- Ethan Zuckerman; Hal Roberts; Ryan McGrady; Jillian York; John Palfrey (diciembre de 2011). "Ataques de denegación de servicio distribuidos contra medios de comunicación independientes y sitios web de derechos humanos" (PDF) . Centro Berkman para Internet y la Sociedad de la Universidad de Harvard. Archivado del original (PDF) el 26 de febrero de 2011. Consultado el 2 de marzo de 2011 .
- PC World - Los ataques DDoS a la capa de aplicación son cada vez más sofisticados.
Enlaces externos
- RFC 4732 Consideraciones sobre ataques de denegación de servicio en Internet
- W3C Preguntas frecuentes sobre seguridad en la World Wide Web: Cómo protegerse contra ataques de denegación de servicio.
- Guía de CERT sobre ataques DoS en Wayback Machine (archivada el 9 de noviembre de 2008) (documento histórico)
- ataques de denegación de servicio
- guerra cibernética
- Tipos de ciberataques
- Interrupciones de Internet