Imagen del Artículo

ATAQUES DOS MENOS CONOCIDOS Y CÓMO PROTEGERSE.

A lo largo de mi carrera en ciberseguridad, he tenido la oportunidad de enfrentarme a distintos tipos de ataques, y uno de los más complejos y a menudo subestimados son los ataques de Denegación de Servicio (DoS). Si bien los ataques DoS tradicionales, como los de volumen masivo, son ampliamente conocidos, existen técnicas menos evidentes y sofisticadas que pueden causar igual o mayor daño.

Me gustaría compartir algunos de estos ataques DoS menos conocidos, basándome en situaciones reales que he tenido que enfrentarme:

Ataques 'Low and Slow'

Los ataques de tipo "low and slow" en lugar de abrumar el sistema con un volumen masivo de tráfico, estos ataques utilizan conexiones aparentemente legítimas, pero extremadamente lentas, para mantener los recursos del servidor ocupados. En mi experiencia, los ataques como Slowloris y R.U.D.Y. son especialmente difíciles de detectar porque no generan el volumen anormal de tráfico que tradicionalmente asociamos con un ataque DoS.

Slowloris

Este ataque se centra en enviar múltiples solicitudes HTTP parciales, sin completarlas. El servidor, al recibir estas solicitudes incompletas, mantiene las conexiones abiertas y asigna recursos (como hilos y memoria) esperando que las solicitudes se completen. Slowloris repite este proceso continuamente, lo que eventualmente consume todos los recursos del servidor, bloqueando nuevas conexiones legítimas. Este ataque es eficiente porque utiliza muy poco ancho de banda y puede mantener un servidor inoperativo con muy pocas solicitudes. Su éxito radica en la falta de mecanismos en algunos servidores para gestionar correctamente las conexiones incompletas.

R.U.D.Y. (R U Dead Yet?)

Este ataque se dirige a los formularios web y utiliza el método HTTP POST. El atacante envía una solicitud HTTP POST con un campo de "Content-Length" grande, pero transmite el contenido de forma extremadamente lenta, enviando un byte a la vez. Esto obliga al servidor a mantener la conexión abierta durante un largo periodo de tiempo mientras espera que el cliente envíe el resto del cuerpo de la solicitud. Al igual que Slowloris, R.U.D.Y. utiliza pocos recursos del atacante mientras agota los recursos del servidor, bloqueando nuevas solicitudes legítimas.

Mitigación

Ambos ataques pueden mitigarse configurando tiempos de espera más estrictos en los servidores para conexiones incompletas o lentas. Además, implementar un balanceo de carga o protección a nivel de aplicación puede ayudar a detectar y bloquear estos patrones de comportamiento antes de que saturen el servidor.

Estos ataques son ejemplos de cómo un uso astuto de las debilidades en la gestión de conexiones del servidor puede causar una denegación de servicio sin recurrir a grandes volúmenes de tráfico.

Publicado por isra | Votos: 0

Volver