Introducción: ataques de denegación de servicio
Un ataque de denegación de servicio (DoS, por sus siglas en inglés) es un intento deliberado de hacer que un sitio web o una aplicación no estén disponibles para los usuarios, por ejemplo, inundándolo de tráfico de red. Los atacantes utilizan una variedad de técnicas que consumen grandes cantidades de ancho de banda de red o bloquean otros recursos del sistema, lo que interrumpe el acceso de los usuarios legítimos. En su forma más simple, un único atacante utiliza una sola fuente para llevar a cabo un ataque DoS contra un objetivo, tal como se muestra en la siguiente imagen.
Tabla 1: Diagrama del ataque DoS
En un ataque DDoS, un atacante utiliza varios orígenes para orquestar un ataque contra un objetivo. Estos orígenes pueden incluir grupos distribuidos de equipos, enrutadores, dispositivos de IoT y otros puntos de conexión infectados con malware. En el siguiente diagrama se muestra una red de hosts comprometidos que participa en el ataque, lo que genera una inundación de paquetes o solicitudes para abrumar al objetivo.
Diagrama del ataque DDoS
Hay siete capas en el modelo de interconexión de sistemas abiertos (OSI, por sus siglas en inglés) que se describen en la tabla Modelo de interconexión de sistemas abiertos (OSI). Los ataques DDoS son más comunes en las capas tres, cuatro, seis y siete. Los ataques de las capas tres y cuatro corresponden a las capas de red y transporte del modelo OSI. En este documento, AWS hace referencia a ellos colectivamente como ataques a la capa de infraestructura. Los ataques de las capas seis y siete corresponden a las capas de presentación y aplicación del modelo OSI. AWS designa a estos ataques conjuntamente como ataques a la capa de aplicación. En las siguientes secciones se analizan ejemplos de estos tipos de ataques.
Modelo de interconexión de sistemas abiertos (OSI)
| Número | Capa | Unidad | Descripción | Ejemplos de vector |
|---|---|---|---|---|
| 7 | Aplicación | Datos |
Procesamiento de red para la aplicación |
Inundaciones de HTTP, inundaciones de consultas de DNS |
| 6 | Presentación | Datos |
Representación de datos y cifrado |
Abuso de TLS |
| 5 | Sesión | Datos |
Comunicación entre hosts |
N/A |
| 4 | Transporte | Segmentos |
Conexiones de extremo a extremo y fiabilidad |
Inundaciones de SYN |
| 3 | Red | Paquetes |
Determinación de la ruta y direccionamiento lógico |
Ataques de reflexión UDP |
| 2 | Enlace de datos | Fotogramas |
Direccionamiento físico |
N/A |
| 1 | Física | Bits |
Transmisión multimedia, de señal y binaria |
N/A |
