Underc0de - Hacking y seguridad informática

[In]Seguridad Informática => Seguridad web y en servidores => Mensaje iniciado por: ANTRAX en Octubre 02, 2014, 12:54:12 pm

Título: Diferencias entre DoS y DDoS
Publicado por: ANTRAX en Octubre 02, 2014, 12:54:12 pm
¿Qué diferencia hay entre un DoS y un DDos?

DoS: Denial of Service (Denegación de servicio).

Un servidor web está preparado para soportar una cierta cantidad de peticiones o conexiones simultáneas. Si supera ese límite de conexiones, pueden pasar dos cosas:

1) La respuesta de las peticiones de los usuarios pueden ser lentas o nulas
2) El Servidor se desconecta de la red y queda sin conexión.

(https://lh3.googleusercontent.com/ytzsXprXHBfNnzNfO7eGI4_dOVvX9F4qixVC4FI_SI4=s436-no)

Satura el servidor por medio de muchas peticiones de una misma pc que poco a poco va consumiendo recursos hasta que comience a rechazar las peticiones y comenzara a denegar el servicio (DoS)
Como ventaja tiene que el administrador puede ver de dónde vienen todos esos ataques, banea la IP y el ataque cesa…

Este tipo de ataque se realiza con programas de estilo escritorio como este que se puede apreciar en la imagen:

(https://lh6.googleusercontent.com/-llhJd6NOvvg/VC1yf5phXXI/AAAAAAAACIU/spdxJw4gQ4g/w391-h365-no/2.png)

En el cual se coloca una IP y la potencia del ataque y listo.
El uso de este tipo de programas en el hacking es muy mal visto, ya que solo le dan mal uso, es decir, lo utilizan para tirar sitios web.

Así como este, existen varios programas más y son pocos los que les dan buen uso a los programas de este tipo. Un buen uso seria realizar un test de carga o estrés, para saber cuánto trafico podría soportar un sitio web.

DDoS: Distributed Denial of service (Denegacion de servicio distribuida)

Esto es algo similar al ataque DoS, ya que este tipo de ataque también consiste en tirar el servidor. La diferencia está en que este ataque es distribuido. Esto quiere decir que no se ataca desde una sola PC como en el DoS, sino que son muchas PCs, haciendo peticiones al mismo servidor. El administrador de la web no podrá saber de dónde viene el ataque, por lo tanto cuesta más detenerlo. A esto se lo llama Denegación de Servicio Distribuida (DDoS)

(https://lh6.googleusercontent.com/-KYCUAEzguH8/VC1ygQMOOrI/AAAAAAAACIg/9xEyRiRH7Wg/s436-no/3.png)

Este tipo de ataque (DDoS) Se hace con una red Zombie. En otras palabras, se hace con una Botnet.
En ambos casos lo que se busca es consumir el ancho de banda del servidor para tirar la web.
Obviamente es mucho más potente un ataque con una Botnet ya que son varias PCs las que atacan a un solo sitio.

Este tipo de ataque se realiza con software de escritorio muy similares a los troyanos (tanto el cliente como el servidor son ejecutables), también están los de panel web y finalmente por IRC.
A continuación, algunas capturas de paneles de botnets:

IRC
(https://lh4.googleusercontent.com/-or2thk0ta0I/VC1yixSZjKI/AAAAAAAACI4/JRVYqzt-NLI/w647-h365-no/4.png)

Web:
(https://lh5.googleusercontent.com/-OFcLElUuk5E/VC1yi0TBEkI/AAAAAAAACI0/PzAeKcVYyL8/w565-h479-no/5.png)

En todos los casos, los métodos de propagación son iguales. Un caso muy visto, son los videos llamativos de facebook

(https://lh5.googleusercontent.com/-_Jkb31W4B-I/VC1yi9T7FoI/AAAAAAAACIw/ko5inETdpI0/w472-h131-no/6.png)

Al ser infectados, luego nosotros infectaremos a nuestros contactos y asi sucesivamente hasta formar una cadena con una gran cantidad de infectados

(https://lh4.googleusercontent.com/-MPlAl-GlYBA/VC1yjrLUh2I/AAAAAAAACJE/TyQXo67xyVA/w400-h250-no/7.png)

Existen más formas de infección, como la web:

(https://lh5.googleusercontent.com/-AQjGjQ5EgHY/VC1ykLvrRMI/AAAAAAAACJI/Efkj9zINbcM/w519-h332-no/8.png)

Al abrir o ejecutar cualquiera de estos, es muy probable que acabemos infectados por una botnet y nuestra conexión sería utilizada para atacar sitios.

¿Cómo prevenir ataques?

Como webmasters podemos instalar en nuestro servidor el famoso mod_evasive

Básicamente lo que hace es mantener una tabla dinámica con las URIs accedidas por las distintas IPs de los clientes del Apache, y permite ejecutar algunas acciones cuando una misma IP solicita un mismo recurso (una misma URI o elementos de un mismo sitio) más de n veces en m segundos. La acción por default que ejecuta el mod_evasive es, una vez superado el máximo de requests por segundo permitidos, bloquear durante una cantidad de segundos al cliente (la IP) devolviendo un error 403 (Forbidden) a la petición HTTP. Pero lo interesante es que también permite ejecutar un comando de sistema al registrarse un intento de ataque, con lo cual se puede agregar una regla al iptables para bloquear la IP del cliente.

Otra forma es utilizando Cloudflare que es un sistema gratuito que actua como un servidor "proxy" entre sus visitantes y nuestro servidor. Al actuar como un "proxy", CloudFlare cachea (almacena en memoría) el contenido estático de su web, lo que disminuye el número de peticiones a nuestros servidores, pero todavía permite a sus visitantes el acceso a su web. Existen varias ventajas del sistema CloudFlare.

Mejora del Rendimiento de la Web: CloudFlare tiene servidores "proxy" situados en todo el mundo. Los servidores "proxy" están situados cerca de sus visitantes, lo que significa que noten mejoras en el tiempo de carga de una página, ya que el contenido "cacheado" se entrega desde servidor "caché" más cercano en vez de directamente desde nuestro servidor. Muchos estudios demuestran que cuanto más rápida es una web más tiempo los visitantes permanecen en ella.

Protección contra Comentarios no Deseados (Spam): CloudFlare aprovecha datos de los recursos de terceros para reducir el número de comentarios "spam" en su web.

Alerta a los Visitantes de Ordenadores Infectados: CloudFlare alerta a los visitantes humanos de que tienen un ordenador infestado y que necesitan tomar las acciones apropiadas para limpiar el "malware" o los virus de su ordenador. Los visitantes deberan introducir un CAPTCHA (conjunto visual de números y letras) para acceder a su web.

Modo de Navegación Offline: El el caso de que nuestro servidor esté no disponible, los visitantes podrán aún acceder a su web ya que CloudFlare servirá a los visitantes las páginas desde su memoría caché. Entre otras ventajas más.

Espero que les haya gustado!

Saludos!
ANTRAX
Título: Re:Diferencias entre DoS y DDoS
Publicado por: WhiZ en Octubre 02, 2014, 01:09:47 pm
Buenísimo ántrax! Completo y muy bien explicado!

Gracias por compartir!

Saludos!
WhiZ
Título: Re:Diferencias entre DoS y DDoS
Publicado por: 8-Matrix-8 en Octubre 02, 2014, 11:30:04 pm
Muy bueno! No sabía lo de Cloudflare, tendré encuenta.
Salute!

8-matrix-8
Título: Re:Diferencias entre DoS y DDoS
Publicado por: Gabriela en Octubre 03, 2014, 03:21:51 am


!Excelente detalle y explicación.!

Muy interesante lo de Cloudflare, ingresa a mis conocimientos ya mismo!

Gracias.  :-*
Título: Re:Diferencias entre DoS y DDoS
Publicado por: hum4n3xpl01t en Octubre 03, 2014, 07:27:45 pm
Excelente explicación, buen manejo de la materia.

Interesante las funciones de Cloudflare..

Best regards.,

Atte

hum4n3xpl01t  8)
Título: Re:Diferencias entre DoS y DDoS
Publicado por: tokyodesu en Octubre 03, 2014, 08:18:52 pm
Bueno en los grupos de irc se reunen muchos buscando tumbar sitios, pero sin una excelente botnet esta como dificil. El proframa esta bueno. Pero desde un sólo pc no se ven resultados que método habrá para crear tuna excelente bot Net
Título: Re:Diferencias entre DoS y DDoS
Publicado por: facufangio en Octubre 03, 2014, 08:50:39 pm
Muy buen material, me viene de 10 para un curso que estoy iniciando con unos alumnos sobre el tema de Seguridad Informática.

Muchas gracias por compartir tus conocimiento y nosotros compartir lo tuyo!!!


Saludos
Título: Re:Diferencias entre DoS y DDoS
Publicado por: Baku en Octubre 06, 2014, 01:26:47 am
Creo que si una web tiene transferencia ilimitada no se caerá con ataque proxy.Aunque no me parece una buena opcion utilizar Cloudflare, hay muchos resolvers que pueden llegar a bypassear esa "seguridad" para proteger dicho sitio web.
Muy lindo aporte sin dudas,a la mayoría que recién se inician en este mundo de seguro les va a servir mucho.
Gracias Antrax.
Título: Re:Diferencias entre DoS y DDoS
Publicado por: #🍊 en Noviembre 23, 2014, 03:12:27 pm
Interesante aclaración.
Título: Re:Diferencias entre DoS y DDoS
Publicado por: GangsteR en Enero 15, 2015, 09:12:46 am
Excelente, cada día voy leyendo cada post y voy aprendiendo cada vez mas :D
Título: Re:Diferencias entre DoS y DDoS
Publicado por: DeBobiPro en Enero 15, 2015, 09:32:12 am
Buena ANTRAX, siempre iluminando nuestro conocimiento !

Agradecido!
Título: Re:Diferencias entre DoS y DDoS
Publicado por: COCO+ en Enero 16, 2015, 05:21:04 am
 BALANCEO DE IP una gran opcion

(http://kb.mayatelcom.com/wp-content/uploads/2014/12/11.png)
Título: Re:Diferencias entre DoS y DDoS
Publicado por: Payasako en Abril 01, 2015, 09:31:37 am
Muy bueno antrax, lo malo es que el CloudFlare es bypasseable, me he estado informando sobre mod_evasive y no quedaría nada mal en mi web jajaja.

Un saludo, Payasako.
Título: Re:Diferencias entre DoS y DDoS
Publicado por: Decode en Julio 09, 2015, 03:09:01 pm
Bien explicado.

Saludos.