jueves, 29 de mayo de 2014

DDoS o prueba de estrés

 Cuando en un proceso de Ethical Hacking se acuerda llevar a cabo este tipo de pruebas es algo realmente interesante, y un reto para el equipo. Pensar en como llevar a cabo este proceso es algo que puede ser más costoso de lo normal, y para lo que necesitaremos preparación y conocimiento del entorno empresarial al que nos enfrentamos.
Es importante entender bien el entorno que rodea a la organización para poder llevar a cabo la prueba con la máxima eficiencia. El paradigma cloud computing y las botnets aparecen en muchas ocasiones como vías hacia la denegación de servicio. Las pruebas que se realicen sobre una organización deben estar siempre bajo el control del equipo de auditoría y sin llegar a realizar alguna acción no legal. Por esta razón, las botnets deben ser descartadas.
A continuación se enumeran las pruebas que pueden realizarse, de manera general, en un proceso de estrés contra una organización:

  • UDP flood. Se realiza la técnica DNS Amplification y otros basados en inundación de datagramas UDP. 
  • TCP flood. Inundación y sobrecarga de sistemas mediante conexiones TCP. Se utilizan herramientas que automatizan el proceso, por ejemplo LOIC, Low Orbin Ion Cannon. 
  • HTTP flood. Inundación de peticiones HTTP. El objetivo es realizar una gran cantidad de peticiones a ciertos recursos web con el objetivo de alcanzar la saturación del recurso o servidor web. Si se tiene éxito se reportará mediante una imagen de una petición al recurso y el servidor no pudiendo ofrecerlo. 

Aunque esto es una generalización, se pueden desglosar un poco más los ataques, como podemos ver en el siguiente cuadro. Es un mundo realmente interesante.


Fuente: http://www.flu-project.com/2014/02/ddos-o-prueba-de-estres-llamalo-como-te.html

No hay comentarios:

Publicar un comentario