Cuando en un proceso de Ethical Hacking se acuerda llevar a cabo
este tipo de pruebas es algo realmente interesante, y un reto para el
equipo. Pensar en como llevar a cabo este proceso es algo que puede ser
más costoso de lo normal, y para lo que necesitaremos preparación y
conocimiento del entorno empresarial al que nos enfrentamos.
Es importante entender bien el entorno que rodea a la organización para
poder llevar a cabo la prueba con la máxima eficiencia. El paradigma cloud computing y las botnets
aparecen en muchas ocasiones como vías hacia la denegación de servicio.
Las pruebas que se realicen sobre una organización deben estar siempre
bajo el control del equipo de auditoría y sin llegar a realizar alguna
acción no legal. Por esta razón, las botnets deben ser descartadas.
A continuación se enumeran las pruebas que pueden realizarse, de manera
general, en un proceso de estrés contra una organización:
- UDP flood. Se realiza la técnica DNS Amplification y otros basados en inundación de datagramas UDP.
- TCP flood. Inundación y sobrecarga de sistemas mediante conexiones TCP. Se utilizan herramientas que automatizan el proceso, por ejemplo LOIC, Low Orbin Ion Cannon.
- HTTP flood. Inundación de peticiones HTTP. El objetivo es realizar una gran cantidad de peticiones a ciertos recursos web con el objetivo de alcanzar la saturación del recurso o servidor web. Si se tiene éxito se reportará mediante una imagen de una petición al recurso y el servidor no pudiendo ofrecerlo.
Aunque esto es una generalización, se pueden desglosar un poco más los
ataques, como podemos ver en el siguiente cuadro. Es un mundo realmente
interesante.
Fuente: http://www.flu-project.com/2014/02/ddos-o-prueba-de-estres-llamalo-como-te.html
