Entiendo cómo funcionan los ataques DoS / DDoS en los servidores. Si no me han engañado, es posible hacer un sistema DoS / DDoS que no funciona como servidor, pero que todavía está conectado a Internet. ¿Cómo es esto posible, ya que las computadoras normales no aceptan solicitudes de datos?
Puede saturar la conexión de red entrante de una computadora simplemente inundándola con paquetes. Incluso si cada paquete entrante rebota en el firewall o en un puerto cerrado (no se escucha el proceso en ese protocolo + puerto en esa interfaz), los bits aún se están enviando; El tráfico legítimo tendrá que competir por tiempo en el cable. Incluso si realmente no puede causar un bloqueo o consumir recursos excesivos en la puerta de enlace, la NIC o el controlador de red de la computadora y los componentes relacionados del kernel, puede retardar las descargas de esa máquina a un rastreo si realiza una explosión de paquetes suficientes. No es necesario que la PC responda (lo que sería necesario para completar un protocolo de enlace TCP); puedes enviar un paquete a cualquiera.
Sin embargo, este es un enfoque de fuerza bruta. Un equivalente en el mundo real podría ser evitar que las personas vayan a una tienda contratando a un grupo de personas para que formen una larga fila en la puerta, cada una alejándose y volviendo a la fila al llegar a la puerta. Algunos compradores legítimos también pueden llegar a la puerta, pero la mayoría no lo hará ... o al menos, la mayoría de ellos tardarían demasiado en esperar tanto tiempo. Dado que las conexiones en el hogar generalmente son capaces de descargas mucho más rápidas que las subidas, se necesita mucha gente que trabaje en conjunto para saturar la conexión de descarga si el ataque proviene de personas en Internet en casa.
También puede encontrar que incluso las computadoras supuestamente solo para clientes a menudo escuchan algo de tráfico de Internet. Las solicitudes entrantes generalmente serán bloqueadas por la traducción de direcciones de red, pero las máquinas conectadas a Internet directamente (o en la DMZ de la puerta de enlace) serán accesibles. El propio gateway también puede escuchar conexiones remotas. En Windows, marque Monitor de recursos ( resmon.exe ), pestaña "Red", vista "Puertos de escucha". Es posible que veas bastantes procesos que escuchan en interfaces externas (es decir, sin bucle invertido) y también se permiten a través del firewall.
Lo interesante es que (D) los ataques DoS simplemente significan ataques de Denegación de Servicio (Distribuidos). Se refieren al efecto, no a la causa. Lo que está haciendo es evitar que un dispositivo funcione de la manera prevista.
Para los servidores, esto se suele hacer atando los recursos hasta el punto en que otras cosas no se pueden ejecutar o la disponibilidad es increíblemente baja. En otro dispositivo, podría ser, como se indicó anteriormente, atando las rutas en uso por el dispositivo, pero cualquier otra cosa que se pueda hacer para evitar que su máquina haga lo que se supone debe hacer también sería un (D) DoS.
Lea otras preguntas en las etiquetas ddos