Articulo de referencia

Ataque DoS lento

El término ataque DoS lento ( SDA ) se introdujo en 2013, [ 1 ] para definir claramente una categoría específica de ataques de denegación de servicio que utilizan una baja veloc...

El término ataque DoS lento ( SDA ) se introdujo en 2013, [ 1 ] para definir claramente una categoría específica de ataques de denegación de servicio que utilizan una baja velocidad de ancho de banda para lograr su propósito. Se pueden encontrar términos similares en la literatura, tales como:

  • Ataque DoS de capa de aplicación , [ 2 ] centrándose en ataques dirigidos únicamente a la capa de aplicación, mientras que un ataque DoS lento puede explotar capas inferiores de la pila ISO/OSI.
  • DoS de baja tasa, [ 3 ] centrándose en las características de usar una cantidad limitada de ancho de banda de ataque, por lo tanto, por ejemplo, incluyendo también amenazas basadas en exploits.

En particular, para reducir el ancho de banda, un ataque DoS lento suele actuar en la capa de aplicación de la pila ISO/OSI (por ejemplo, en caso de amenazas de explotación de tiempo de espera [ 4 ] ), aunque esto no es un requisito. [ 5 ] Sin embargo, esta capa es más fácil de explotar para atacar con éxito a una víctima incluso enviándole unos pocos bytes de solicitudes maliciosas.

El objetivo de un ataque DoS lento es (a menudo, pero no siempre [ 4 ] ) provocar la indisponibilidad de un servicio de red , al acaparar todas las conexiones que el demonio puede gestionar simultáneamente en la capa de aplicación. En tales condiciones, el demonio no aceptará ninguna conexión nueva, incluso de clientes potencialmente legítimos, lo que conlleva una denegación de servicio. Además, una vez que el atacante establece o dimensiona una conexión, la mantiene activa el mayor tiempo posible (evitando así el cierre de conexiones, lo que podría liberar recursos para clientes legítimos).

Parámetros explotados

Según Cambiaso et al., [ 1 ] los ataques DoS lentos explotan uno o más parámetros característicos de las conexiones basadas en TCP . (Técnicamente, cualquier protocolo con estado que tenga un límite de conexiones funcionará, pero TCP es el más común). Dichos parámetros se explotan para mantener las conexiones activas más tiempo del esperado, preservando el ancho de banda del ataque y, por lo tanto, apropiándose de los recursos del servidor durante largos períodos, al tiempo que se reducen los recursos del ataque.

Se acabó el tiempo

Muchos protocolos incluyen un sistema de tiempo de espera para decidir cuándo cerrar una conexión. Esta puede ser una característica fundamental del diseño del protocolo (por ejemplo, SSH utiliza una única conexión abierta para interactuar) o una característica añadida (por ejemplo, la conexión persistente HTTP permite reutilizar una conexión, ahorrando recursos). Sin embargo, dado que el servidor se compromete a mantener una conexión abierta durante un tiempo determinado, un cliente malicioso puede simplemente abrir muchas conexiones, cada una solicitando un tiempo de espera prolongado para mantener la conexión activa; este tiempo de espera prolongado permite al atacante mantener las conexiones abiertas con un bajo coste de recursos. [ 6 ]

Para mantener las conexiones activas, reduciendo al mismo tiempo el ancho de banda del ataque, considerando una sola conexión, los datos se envían al servicio objetivo solo en momentos específicos, explotando el parámetro denominado Wait Timeout , [ 1 ] programando una actividad periódica de envío de datos (en la capa de aplicación): una vez que expira el tiempo de espera, se envía una carga útil específica (dependiendo del tipo de ataque y el enfoque utilizado por el usuario malicioso) al demonio objetivo. Mientras que en las capas inferiores de la pila ISO/OSI, los tiempos de espera pueden ser relativamente cortos, en este caso, pueden asumir valores particularmente largos, del orden de minutos.

Medidas de mitigación

Un servidor puede contar y limitar el número de conexiones realizadas por cada cliente (generalmente identificado por la dirección IP ). [ 7 ]

Un servidor puede reducir el tiempo de espera máximo utilizado. [ 7 ]

Un servidor puede modificar su algoritmo de tiempo de espera para requerir que se transfiera una cantidad de datos más sustancial en un período de tiempo determinado antes de considerar que la conexión sigue activa. En otras palabras, las conexiones demasiado lentas se consideran inactivas. [ 7 ]

Véase también

Referencias

  1. 1 2 3 Cambiaso, Enrico; Papaleo, Gianluca; Chiola, Giovanni; Aiello, Mauricio (2013). "Ataques DoS lentos: definición y categorización". Revista Internacional de Gestión de Confianza en Informática y Comunicaciones . 1 (3/4): 300– 319. doi : 10.1504/IJTMCC.2013.056440 . hdl : 11567/571723 .
  2. Mantas, Georgios; Stakhanova, Natalia; Gonzales, Hugo; Hadian Jazi, Hossein; Ghorbani, Ali A. (2015). "Ataques de denegación de servicio en la capa de aplicación: taxonomía y revisión" (PDF) . International Journal of Information and Computer Security . 7 ( 2–4 ): 216–239 . doi : 10.1504/IJICS.2015.073028 . S2CID 3384390 . 
  3. Wu, Zhijun; Zhang, Liyuan; Yue, Meng (2015). "Detección de ataques DoS de baja tasa basada en multifractal de red". IEEE Transactions on Dependable and Secure Computing . 13 (5): 559– 567. doi : 10.1109/TDSC.2015.2443807 . S2CID 14728946 . 
  4. 1 2 Cambiaso, Enrico; Papaleo, Gianluca; Chiola, Giovanni; Aiello, Maurizio (2015). "Diseño y modelado del próximo ataque DoS lento". Conferencia sobre Inteligencia Computacional en Seguridad para Sistemas de Información (CISIS 2015) . 249-259. Springer.
  5. Cambiaso, Enrico; Chiola, Giovanni; Aiello, Maurizio (2019). "Presentación del ataque SlowDrop" . Redes de Computadoras . 150 : 234– 249. doi : 10.1016/j.comnet.2019.01.007 . hdl : 11567/942438 . S2CID 60442737 . 
  6. Vaccari, I., Aiello, M., Cambiaso, E. (2020). SlowITe, un nuevo ataque de denegación de servicio que afecta a MQTT. Sensors, 20(10), 2932. doi : 10.3390/s20102932 .
  7. 1 2 3 https://www.cloudflare.com/en-ca/learning/ddos/ddos-attack-tools/slowloris/ "Técnicas como limitar el número máximo de conexiones que una sola dirección IP puede realizar, restringir las velocidades de transferencia lentas y limitar el tiempo máximo que un cliente puede permanecer conectado son todos enfoques para limitar la efectividad de los ataques lentos y de baja velocidad."