DoS ( abreviado Inglés Denial of Service "denegación de servicio"): un ataque de piratas informáticos en un sistema informático para que falle, es decir, la creación de tales condiciones bajo las cuales los usuarios conscientes del sistema no podrán acceder a los recursos del sistema proporcionados (servidores) o este acceso será difícil. La falla del sistema "enemigo" también puede ser un paso hacia el dominio del sistema (si en una emergencia el software proporciona información crítica, por ejemplo, versión, parte del código del programa, etc.). Pero más a menudo es una medida de presión económica: la pérdida de un servicio simple que genera ingresos, facturas del proveedor y medidas para evitar el ataque golpean significativamente el bolsillo del objetivo. [1] Actualmente, los ataques DoS y DDoS son los más populares, ya que pueden hacer fallar casi cualquier sistema mal escrito sin dejar evidencia legalmente significativa.
Si se realiza un ataque simultáneamente desde una gran cantidad de equipos, se habla de un ataque DDoS [2] (del inglés Distributed Denial of Service , un ataque de denegación de servicio distribuido ). Tal ataque se lleva a cabo si es necesario para causar una denegación de servicio a una gran empresa u organización gubernamental bien protegida.
En primer lugar, el atacante escanea una red grande utilizando scripts especialmente preparados que identifican nodos potencialmente débiles. Los hosts seleccionados son atacados y el atacante obtiene derechos administrativos sobre ellos. Los troyanos se instalan en los hosts capturados y se ejecutan en segundo plano . [3] Ahora estas computadoras se llaman computadoras zombies , sus usuarios ni siquiera sospechan que son participantes potenciales en un ataque DDoS. Luego, el atacante envía ciertos comandos a las computadoras capturadas y, a su vez, realizan un ataque DoS colectivo en la computadora objetivo.
También existen programas de participación voluntaria en ataques DDoS.
En algunos casos, una acción no intencionada conduce a un ataque DDoS real, por ejemplo, colocar un enlace en un recurso popular de Internet a un sitio alojado en un servidor no muy productivo ( efecto de barra oblicua ). Una gran afluencia de usuarios lleva a que se exceda la carga permitida en el servidor y, en consecuencia, a una denegación de servicio para algunos de ellos.
Para protegerse contra los ataques a la red, se utilizan una serie de filtros conectados al canal de Internet con un gran ancho de banda. Los filtros funcionan de tal manera que analizan secuencialmente el tráfico que pasa , revelando errores y actividad de red no estándar. Los patrones analizados de tráfico no estándar incluyen todos los métodos de ataque conocidos actualmente, incluidos los implementados mediante botnets distribuidos. Los filtros se pueden implementar tanto a nivel de enrutadores , conmutadores administrados y hardware especializado.
Los expertos en seguridad de la información identifican varias razones para usar ataques DDoS. [cuatro]
Esta razón muchas veces sirve como pretexto para ataques a grandes organizaciones y empresas comerciales y gubernamentales. Entonces, en 1999, los sitios web del FBI fueron atacados, y posteriormente quedaron inaccesibles durante varias semanas. El motivo fue una reciente redada del FBI contra piratas informáticos. [5]
Hoy en día, cada vez más personas están interesadas en los ataques DoS, y todos quieren probar suerte en este negocio. Por lo tanto, muchos atacantes novatos realizan ataques DoS por diversión. Después de un ataque exitoso, observan el alcance de su destrucción. [6]
Los ataques DDoS más famosos dirigidos a la protesta política fueron acciones en apoyo del Monumento al Soldado Libertador en Estonia (2007) [7] , Osetia del Sur (2008), Wikileaks (2011), Megaupload (2012) y EX.UA (2012 ). ) y también contra la invasión rusa de Ucrania [8] .
Los ataques DDoS pueden llevarse a cabo por orden de un competidor sin escrúpulos .
Los ataques DDoS pueden llevarse a cabo con fines de extorsión o chantaje , en cuyo caso el atacante primero se pone en contacto con el propietario del sitio.
Es mucho más fácil para los piratas informáticos llevar a cabo un ataque DoS en un sistema que obtener acceso completo a él. Hay varias razones por las que puede ocurrir una condición DoS, es decir, una situación en la que los usuarios no pueden acceder a los recursos que proporciona el servidor, o el acceso a ellos es significativamente difícil: [9]
Actualmente, casi todas las computadoras están conectadas a Internet oa una red de área local. Esta es una excelente oportunidad para realizar un ataque DoS desbordando el ancho de banda. Por lo general, los atacantes usan una inundación ( ing. inundación - "inundación", "desbordamiento"): un ataque asociado con una gran cantidad de solicitudes generalmente sin sentido o con formato incorrecto a un sistema informático o equipo de red, que tiene como objetivo o condujo a una falla del sistema de - por el agotamiento de los recursos del sistema - procesador, memoria o canales de comunicación. Hay varias variedades de inundación. [diez]
Inundación HTTP y inundación de pingEste es el tipo más primitivo de ataque DoS. La saturación del ancho de banda solo se puede hacer con pings regulares si el canal del atacante es mucho más ancho que el canal de la computadora víctima. Pero tal ataque es inútil contra el servidor, ya que este último, a su vez, tiene un ancho de banda bastante amplio. Una inundación HTTP generalmente se usa para atacar un servidor. El atacante envía un pequeño paquete HTTP, pero el servidor responde con un paquete cientos de veces más grande. Incluso si el canal del servidor es diez veces más ancho que el del atacante, aún existe una buena posibilidad de saturar el ancho de banda de la víctima. Y para evitar que los paquetes HTTP de respuesta provoquen una denegación de servicio por parte de un atacante, cada vez que reemplaza su dirección IP con las direcciones IP de los nodos en la red. [once]
Ataque pitufo (inundación ICMP)El ataque Smurf o inundación ICMP es uno de los tipos de ataques DoS más peligrosos, ya que la computadora víctima experimentará una denegación de servicio después de dicho ataque con casi un 100% de garantía. Un atacante utiliza una transmisión para comprobar si hay hosts activos en el sistema mediante el envío de una solicitud de ping . Obviamente, el atacante por sí solo no podrá desactivar la computadora de la víctima, por lo que se requiere un participante más: esta es una red de amplificación. En él, el atacante envía un paquete ICMP falso a la dirección de difusión . Luego, la dirección del atacante se cambia a la dirección de la víctima. Todos los nodos le enviarán una respuesta a la solicitud de ping. Por lo tanto, un paquete ICMP enviado por un atacante a través de una red amplificadora que contiene 200 nodos será amplificado por un factor de 200. Para tal ataque, generalmente se elige una red grande para que la computadora víctima no tenga ninguna posibilidad. [12]
Ataque Fraggle (inundación UDP)El ataque Fraggle (granada de fragmentación) (del inglés. Fraggle attack ) es un análogo completo del ataque Smurf, donde se utilizan paquetes UDP en lugar de paquetes ICMP , por lo que también se denomina inundación UDP. El principio de funcionamiento de este ataque es simple: los comandos de eco se envían al séptimo puerto de la víctima en una solicitud de transmisión. Luego, la dirección IP del atacante se reemplaza con la dirección IP de la víctima, que pronto recibe una gran cantidad de mensajes de respuesta. Su número depende del número de nodos en la red. Este ataque da como resultado la saturación del ancho de banda y una completa denegación de servicio a la víctima. En este caso, si el servicio de eco está deshabilitado, se generarán mensajes ICMP, lo que también conducirá a la saturación del ancho de banda. [12]
Ataque de inundación de paquetes SYN (inundación SYN)Antes de la llegada del ataque Smurf, un ataque de inundación SYN, también conocido como inundación SYN , estaba muy extendido . [13] Para describir su funcionamiento, podemos detenernos en la consideración de dos sistemas A y B, que quieren establecer una conexión TCP entre ellos , tras lo cual pueden intercambiar datos entre sí. Se asigna una cierta cantidad de recursos para establecer una conexión, y los ataques DoS utilizan esto. Al enviar varias solicitudes falsas, puede agotar todos los recursos del sistema asignados para establecer una conexión. [14] Echemos un vistazo más de cerca a cómo sucede esto. Un hacker del sistema A envía un paquete SYN al sistema B, pero después de cambiar su dirección IP a una inexistente. Luego, sin saberlo, la computadora B envía una respuesta SYN/ACK a una dirección IP inexistente y entra en el estado SYN-RECEIVED. Dado que el mensaje SYN/ACK no llega al sistema A, la computadora B nunca recibirá un paquete con el indicador ACK. [15] [16] Esta posible conexión se pondrá en cola. Saldrá de la cola solo después de 75 segundos. [17] Los atacantes usan esto para enviar varios paquetes SYN a la computadora de la víctima a la vez con un intervalo de 10 segundos para agotar completamente los recursos del sistema. Determinar el origen de un ataque es muy difícil, ya que el atacante cambia constantemente la dirección IP de origen. [Dieciocho]
Los atacantes utilizan este tipo de ataque DoS para capturar recursos del sistema, como RAM y memoria física, tiempo de procesador y otros. Por lo general, estos ataques se llevan a cabo teniendo en cuenta el hecho de que el pirata informático ya tiene una cierta cantidad de recursos del sistema. El propósito del ataque es capturar recursos adicionales. Para ello no es necesario saturar el ancho de banda, sino simplemente sobrecargar el procesador de la víctima, es decir, tomar todo el tiempo de procesador permitido. [19]
Envío de solicitudes "pesadas"El atacante envía paquetes al servidor que no saturan el ancho de banda (el canal suele ser bastante ancho), pero desperdician todo su tiempo de CPU. El procesador del servidor, cuando los procesa, puede no ser capaz de hacer frente a cálculos complejos. Debido a esto, se producirá un error y los usuarios no podrán acceder a los recursos necesarios.
Servidor lleno de archivos de registroLos archivos de registro del servidor son archivos que registran las acciones de los usuarios de la red o del programa. Un administrador no calificado puede configurar incorrectamente el sistema en su servidor sin establecer un límite determinado. El hacker aprovechará este error y enviará grandes paquetes que pronto ocuparán todo el espacio libre en el disco duro del servidor. Pero este ataque funcionará solo en el caso de un administrador sin experiencia, los calificados almacenan archivos de registro en una unidad de sistema separada. [once]
Mal sistema de cuotasAlgunos servidores tienen un llamado programa CGI que vincula un programa externo al servidor web. Si un hacker obtiene acceso a CGI, puede escribir un script ( ing. lenguaje de scripting ), que utiliza una gran cantidad de recursos del servidor, como RAM y tiempo de procesador. Por ejemplo, una secuencia de comandos CGI puede implicar la creación de matrices grandes o el cálculo de fórmulas matemáticas complejas. En este caso, el procesador central puede acceder a dicho script varios miles de veces. De ahí la conclusión: si el sistema de cuotas está configurado incorrectamente, dicho script quitará todos los recursos del sistema del servidor en poco tiempo. Por supuesto, la salida de esta situación es obvia: establecer un cierto límite en el acceso a la memoria, pero en este caso, el proceso del script, habiendo alcanzado este límite, esperará hasta que descargue todos los datos antiguos de la memoria. Por lo tanto, los usuarios experimentarán una falta de recursos del sistema. [veinte]
Validación insuficiente de los datos del usuarioLa validación insuficiente de los datos del usuario también conduce a un ciclo infinito o largo o un mayor consumo a largo plazo de los recursos del procesador (hasta el agotamiento de los recursos del procesador) o la asignación de una gran cantidad de RAM (hasta el agotamiento de la memoria disponible). [catorce]
Ataque de segundo tipoEste es un ataque que busca activar falsamente un sistema de seguridad y, por lo tanto, hacer que un recurso no esté disponible.
Los atacantes DoS profesionales no utilizan un método de ataque tan primitivo como la saturación del ancho de banda. Habiendo entendido completamente la estructura del sistema de la víctima, escriben programas ( exploits ) que ayudan a atacar los sistemas complejos de empresas u organizaciones comerciales. En la mayoría de los casos, estos son errores en el código del programa , que conducen al acceso a un fragmento no utilizado del espacio de direcciones, la ejecución de una instrucción no válida u otra excepción no controlada cuando el programa del servidor falla: el programa del servidor. Un ejemplo clásico es dirigirse a la dirección cero ( eng. null ). [21]
Debilidades en el código del programaEl manejo de excepciones siempre ha sido un dolor de cabeza para los desarrolladores de sistemas operativos. Los atacantes buscan errores en el código de programa de un programa o sistema operativo, obligándolo a manejar excepciones que no puede manejar. Esto da como resultado errores. Un ejemplo simple es la transmisión frecuente de paquetes, que no respeta las especificaciones y estándares de los documentos RFC . [22] Los atacantes observan si la pila de red puede manejar excepciones. De lo contrario, la transmisión de dichos paquetes conducirá a un kernel panic (pánico del kernel ) o incluso al colapso de todo el sistema en su conjunto. [23]
Esta clase incluye el error Ping of death , común en la década de 1990. RFC 791 IPv4 La longitud del paquete IPv4 no puede exceder los 65 535 bytes; se envía un paquete ICMP más grande a la computadora de la víctima , previamente dividido en partes; la víctima tiene un desbordamiento de búfer de dicho paquete . Otro error de esos tiempos es WinNuke ( Windows 95 no manejaba correctamente el raro bit del paquete URG TCP).
Desbordamiento de búferUn desbordamiento de búfer ocurre cuando un programa escribe datos fuera del búfer debido a un error del programador. Digamos que un programador ha escrito una aplicación para intercambiar datos a través de una red que funciona con algún protocolo. Este protocolo establece estrictamente que un determinado campo de un paquete puede contener un máximo de 65536 bytes de datos. Pero después de probar la aplicación, resultó que en su parte del cliente no hay necesidad de poner datos en este campo que superen los 255 bytes. Por lo tanto, la parte del servidor no aceptará más de 255 bytes. Luego, el atacante cambia el código de la aplicación para que ahora la parte del cliente envíe todos los 65536 bytes permitidos por el protocolo, pero el servidor no está listo para recibirlos. Esto provoca un desbordamiento del búfer y evita que los usuarios accedan a la aplicación. [once]
Todos los ataques a los servidores DNS se pueden dividir en dos tipos: [24]
Ataques DoS a vulnerabilidades de software en servidores DNSTambién se denominan ataques de caché. Durante este ataque, el atacante reemplaza la dirección IP del servidor DNS del dominio de la víctima. Después de eso, al solicitar una página HTML, la persona atacada cae en un "agujero negro" (si la dirección IP fue reemplazada por una inexistente), o va directamente al servidor del atacante. El segundo caso es más lamentable, ya que un atacante puede acceder fácilmente a los datos personales de una víctima desprevenida. Veamos un ejemplo de cómo sucede esto. Supongamos que un cliente quiere ir al sitio web Microsoft.com. Pero utilizando una vulnerabilidad en el servidor DNS de la empresa, el atacante cambió la dirección IP del host de microsoft.com por la suya. Ahora la víctima es redirigida automáticamente al nodo del atacante.
Ataques DDoS en servidores DNSAdemás, hablaremos de los ataques DDoS, ya que la participación de servidores DNS siempre implica la presencia de una gran cantidad de equipos. Los ataques a los servidores DNS son los ataques más comunes y conducen a una denegación de servicio para un servidor DNS, tanto al saturar el ancho de banda como al apropiarse de los recursos del sistema. Pero tal ataque requiere una gran cantidad de computadoras zombies . Después de su implementación exitosa, los usuarios no pueden acceder a la página que necesitan en Internet, porque el servidor DNS no puede resolver el nombre de dominio en la dirección IP del sitio. Pero en la actualidad, los ataques a los servidores DNS que utilizan una gran cantidad de computadoras zombies (este sistema se denomina " botnet ") son menos relevantes, ya que los ISP notan fácilmente una gran cantidad de tráfico saliente y lo bloquean. Los malhechores ahora se las arreglan con pequeñas botnets, o no las usan en absoluto. La idea principal es que los piratas informáticos están utilizando servidores DNS [26] basados en tecnología DNSSEC . [27] El poder de ataque aumenta debido al aumento de los reflejos de consulta de DNS. Idealmente, los servidores DNS de un proveedor en particular solo deberían procesar las solicitudes que les llegan de los usuarios de este proveedor, pero esto está lejos de la realidad. Hay muchos servidores mal configurados en todo el mundo que pueden aceptar una solicitud de cualquier usuario en Internet. Los empleados de CloudFlare afirman que actualmente hay más de 68 mil servidores DNS configurados incorrectamente en Internet, más de 800 de ellos están en Rusia. [28] Estos servidores DNS se utilizan para ataques DDoS. La idea básica es que casi todas las consultas de DNS se envían a través de UDP, donde es relativamente fácil cambiar la dirección de retorno a la dirección de la víctima. Por lo tanto, a través de servidores DNS configurados incorrectamente, el atacante envía dicha solicitud para que la respuesta sea lo más grande posible en volumen (por ejemplo, puede ser una lista de todas las entradas en la tabla DNS), en la que la IP inversa dirección se reemplaza con la dirección IP de la víctima. Como regla general, los servidores de los proveedores tienen un ancho de banda bastante grande, por lo que no es difícil crear un ataque de varias decenas de Gb / s. [29]
Lista de sistemas autónomos con el mayor número de servidores DNS mal configurados al 10/11/2013. [28]
Número de servidores DNS | Nombre del sistema autónomo | Ubicación |
---|---|---|
2108 | BELPAK-AS Empresa Unitaria Republicana de Telecomunicaciones Be | Bielorrusia |
1668 | Grupo empresarial de comunicación de datos HINET | |
1596 | Corporación de comunicaciones OCN NTT | |
1455 | TELEFÓNICA CHILE SA | Chile |
1402 | KIXS-AS-KR Telecomunicaciones de Corea | Corea |
965 | Telefónica Argentina | Argentina |
894 | ERX-TANET-ASN1 Información de la red académica de Tiawan (TANet) C | Taiwán |
827 | CORPORACIÓN KDDI KDDI | |
770 | Compa Dominicana de Telefonos, C. por A. — CODETEL | |
723 | CHINANET-BACKBONE No.31, calle Jin-rong | Porcelana |
647 | LGDACOM Corporación LG DACOM | |
606 | UUNET - Servicios de comunicaciones de MCI, Inc. d/b/a Verizon Busi | |
604 | TELKOMNET-AS2-AP PT Telekomunikasi Indonesia | Indonesia |
601 | COLOMBIA TELECOMUNICACIONES SA ESP | Colombia |
Existe la opinión de que no se requieren herramientas especiales para detectar ataques DoS, ya que no se puede pasar por alto el hecho de un ataque DoS. En muchos casos esto es cierto. Sin embargo, se observaron ataques DoS exitosos con bastante frecuencia, que las víctimas notaron solo después de 2-3 días. Ocurrió que las consecuencias negativas de un ataque ( ataque de inundación ) resultaron en costos excesivos para pagar el exceso de tráfico de Internet, que se hizo evidente solo al recibir una factura de un proveedor de Internet. Además, muchos métodos de detección de intrusos son ineficaces cerca del objetivo del ataque, pero son efectivos en las redes troncales de la red. En este caso, es recomendable instalar los sistemas de detección allí mismo, y no esperar a que el propio usuario atacado se dé cuenta y busque ayuda. Además, para contrarrestar eficazmente los ataques DoS, es necesario conocer el tipo, la naturaleza y otras características de los ataques DoS, y son los servicios de seguridad los que le permiten obtener esta información rápidamente. Ayudan a realizar algunos ajustes del sistema. Pero no pueden determinar si este ataque fue realizado por un atacante o si la denegación de servicio fue el resultado de un evento anormal. De acuerdo con las reglas de la política de seguridad, si se detecta un ataque DoS o DDoS, deberá registrarse para una auditoría adicional. Una vez que se ha detectado un ataque, es posible que se requiera que los servicios de seguridad realicen algunos ajustes en el sistema y lo devuelvan a su nivel de funcionamiento anterior. Además, los servicios que no están relacionados con la seguridad pueden usarse para detectar un ataque DDoS, por ejemplo, redirigir el tráfico a través de otros canales de comunicación, encender servidores de respaldo para copiar información. Por lo tanto, los medios para detectar y prevenir ataques DDoS pueden variar mucho según el tipo de sistema que se esté protegiendo. [treinta]
Los métodos de detección de ataques DoS se pueden dividir en varios grupos grandes:
Por ejemplo, en 2012 hubo varios ataques DDoS a gran escala en servidores DNS. El primero de ellos estaba previsto para el 31 de marzo, pero nunca se llevó a cabo. El objetivo de los atacantes del grupo Anonymous [32] era llevar al fracaso toda la red global de Internet. Querían hacer esto con un ataque DDoS en 13 servidores DNS raíz [33] . Los atacantes lanzaron una utilidad Ramp especial , que estaba destinada a combinar servidores DNS más pequeños y proveedores de Internet . Con la ayuda de ellos, se planeó desactivar la red global.
Exactamente el mismo ataque se llevó a cabo en noviembre de 2002. Todavía se considera el ataque DDoS más global en servidores DNS, ya que como resultado, los atacantes pudieron desactivar 7 servidores raíz. El siguiente ataque tuvo lugar en agosto contra AT&T , la mayor empresa de telecomunicaciones estadounidense. Como resultado, después del ataque, que duró 8 horas, los servidores DNS de la empresa fallaron. Durante algún tiempo, los usuarios no podían acceder no solo al sitio web de AT&T, sino también a sitios comerciales en su red.
Otro ataque tuvo lugar el 10 de noviembre de 2012 contra Go Daddy , que es el proveedor de hosting más grande del mundo. Las consecuencias del ataque fueron devastadoras: no solo se vio afectado el propio dominio www.godaddy.com, sino también más de 33 millones de dominios de Internet que tenía registrados la empresa. [34]
Mucho antes, el 22 de agosto de 2003, los ciberdelincuentes utilizaron el virus Mydoom para desactivar el sitio web de SCO , una empresa de software de sistemas. Durante 3 días completos, los usuarios no pudieron acceder al sitio web de la empresa. [35]
El 15 de septiembre de 2012, un ataque DDoS masivo de 65 Gbps golpeó a CloudFlare , una red de entrega de contenido dedicada al alojamiento compartido. Los servidores de esta empresa están ubicados en todo el mundo. [29] Esto ayuda al usuario a cargar una página en Internet desde el servidor CloudFlare más cercano (geográficamente hablando) mucho más rápido. Anteriormente, esta empresa resistió ataques DDoS con una capacidad de varias decenas de Gb/s, pero no pudo hacer frente a un ataque de 65 Gb/s. Este pico se produjo el sábado 15 de septiembre a las 13:00 horas. Los empleados que trabajaban en CloudFlare en ese momento eran ex piratas informáticos que estaban interesados en descubrir exactamente qué método se llevó a cabo este ataque DDoS y cómo los atacantes pudieron llevarlo a cabo con tal poder. Resultó que tal ataque requeriría 65 000 bots que crearan un tráfico de 1 Mbps cada uno. Pero esto no es posible, ya que los ISP pueden detectar y bloquear fácilmente una gran cantidad de tráfico. Al mismo tiempo, alquilar una botnet grande es muy costoso. Por lo tanto, resultó que para tal ataque, se utilizó el método de multiplicación de consultas DNS a través de servidores DNS abiertos.
Aproximadamente seis meses después, el 18 de marzo, según The New York Times , comenzó el ataque DDoS más grande de la historia, cuya víctima fue Spamhaus , una empresa involucrada en la creación de listas negras de fuentes de spam . [36] El motivo del ataque fue el hecho de que Spamhaus incluyó en la lista negra al proveedor de alojamiento holandés CyberBunker por enviar spam . El segundo expresó su descontento con la ayuda de un ataque DDoS con una potencia máxima de 300 Gb/s a través de servidores DNS abiertos. El 19 de marzo la potencia alcanzó los 90 Gb/s, cambiando su valor desde los 30 Gb/s. [37] Después de eso, hubo una pausa, pero no duró mucho y el ataque se reanudó con renovado vigor y el 22 de marzo su capacidad alcanzó los 120 Gb/s. Para repeler el ataque, CloudFlare distribuyó el tráfico entre sus centros de datos , luego de lo cual Cyberbunker se dio cuenta de que no podía “apagar” a CloudFlare y comenzó una nueva ola de ataques contra sus pares ascendentes . Algunos de los paquetes fueron filtrados a nivel Tier2, el resto del tráfico llegó a nivel Tier1, donde la potencia alcanzó su máximo de 300 Gb/s. En ese momento, millones de usuarios de Internet sintieron todo el poder de este ataque, algunos sitios fueron ralentizados por ellos. Al final, los proveedores resistieron este ataque, pero en Europa hubo un ligero aumento en el ping al acceder a varios sitios. Por ejemplo, en el centro de intercambio de tráfico LINX de Londres el 23 de marzo, debido a un ataque, la tasa de intercambio de datos se redujo en más de la mitad. La velocidad promedio de 1,2 Tbps se redujo a 0,40 Tbps. [38]
Solo los ataques de aficionados apuntan a los coches. Los ataques profesionales tienen como objetivo a las personas.
B. Schneier [39]Actualmente es imposible protegerse completamente de los ataques DDoS, ya que no existen sistemas absolutamente fiables. El factor humano también juega un papel importante aquí, porque cualquier error de un administrador del sistema que configuró incorrectamente el enrutador puede tener consecuencias muy desastrosas. Sin embargo, a pesar de todo esto, en este momento hay una gran cantidad de herramientas de protección tanto de hardware como de software y métodos organizativos de confrontación.
Las medidas para contrarrestar los ataques DDoS se pueden dividir en pasivas y activas, así como preventivas y reactivas. A continuación se muestra una breve lista de los principales métodos.
Google también está listo para proporcionar sus recursos para mostrar el contenido de su sitio si el sitio está bajo un ataque DDoS. Por el momento, el servicio Project Shield se encuentra en etapa de prueba, pero es posible que se acepten algunos sitios allí [41] . El propósito del proyecto es proteger la libertad de expresión.
Los expertos de Kaspersky Lab realizaron un estudio y descubrieron que, en 2015, una de cada seis empresas rusas fue objeto de un ataque DDoS. Según los expertos, durante el año hubo unos 120.000 ataques que fueron dirigidos a 68.000 recursos en todo el mundo. En Rusia, los ciberdelincuentes eligieron con mayor frecuencia a las grandes empresas como objetivo: el 20 % de los casos, las medianas y pequeñas empresas: el 17 %. Los ataques DDoS tenían como objetivo crear problemas en el funcionamiento de la página principal del sitio web de la empresa (55% de los ataques), deshabilitar los servicios de comunicación y correo (34%), funciones que permiten al usuario iniciar sesión en el sistema (23%). . Los expertos también encontraron que el 18% de los ataques DDoS se registraron en servidores de archivos y el 12% en servicios de transacciones financieras. Rusia ocupa el quinto lugar en el mundo en términos de número de ataques DDoS en sus sitios web. La mayoría de los delitos cibernéticos se cometen en China, Estados Unidos, Corea y Canadá. Sin embargo, los ataques suelen ser realizados por piratas informáticos chinos y rusos [42] .