Estoy usando Snort para estudiar la detección, y quería simular un ataque DoS desde adentro a otra computadora en mi red doméstica, pero tengo una pregunta.
Si comienzo a inundar la computadora de destino con solicitudes de red, ¿eso solo afectaría a la computadora de destino o también podría bloquear toda la red si envío demasiados paquetes?
Un poco de fondo primero. Como saben, cuando se comunican a través de una red, los programas dividen los datos sin procesar en "paquetes", que además de estos datos sin procesar también contienen información adicional:
Los enrutadores son los dispositivos físicos que mueven paquetes, utilizando la información adicional anterior. Según las especificaciones, se espera que los sistemas de enrutamiento sean responsables de dos cosas:
Ese segundo punto es el importante para tu pregunta. Significa que, con la excepción de los paquetes de multidifusión , un enrutador solo reenvía un paquete en la ruta que debe recorrer para obtener al destino. Otras rutas ni siquiera deberían saber acerca de la existencia del paquete.
En teoría, si coloca un enrutador dedicado entre el atacante y el objetivo , los únicos dispositivos que notarán la carga son
Y eso resuelve tu problema. Ahora, no estoy diciendo que todos los enrutadores respetarán esto, pero debería ser así como funciona.
Como mencionó la red doméstica, voy a mencionar un par de puntos que pueden ser únicos para ellos.
Primero, está el uso de interruptores tontos. Con bastante frecuencia, el equipo de las instalaciones del cliente doméstico utilizará conmutadores no administrados sin soporte para el árbol de expansión. Internamente, esto podría ser un chip de conmutador separado o podría integrarse en el sistema principal en un chip. Estos conmutadores pueden estar sobrecargados por grandes cantidades de paquetes. Mientras que los enrutadores hacen enrutamiento en la capa de red, los conmutadores hacen su propio reenvío en la capa de enlace de datos. También necesitan leer el marco, obtener las direcciones MAC y luego hacer el reenvío. Si la carga es demasiado alta, el interruptor puede dejar de responder. Si el interruptor no es un chip separado, puede reducir el CPE completo. Una forma sencilla de ver cómo se ve es tomar un enrutador doméstico promedio, un cable de red y conectar el cable a dos puertos de switch en el enrutador. Deje el cable conectado durante aproximadamente un minuto y observe lo que sucede.
El siguiente problema quizás no sea tan obvio si una (o, peor, ambas) de las computadoras está conectada a través de WiFi. WiFi es un medio compartido y tiene un concepto muy importante de tiempo en el aire, que es el tiempo necesario para transmitir un cuadro. Este tiempo depende mucho de la velocidad de datos utilizada por la red.
Básicamente, solo un transmisor puede funcionar con WiFi a la vez en el mismo canal, incluso si están en redes diferentes. Ese transmisor tomará el control del canal mientras transmite su trama y otros deben permanecer en silencio y esperar a que termine. Si tiene un escenario con dos computadoras en WiFi y un punto de acceso, entonces una computadora tendrá que transmitir a AP, luego AP tendrá que transmitir a la segunda computadora, luego de nuevo para la confirmación de recepción.
Si está utilizando WiFi para la experimentación, entonces podría potencialmente, dependiendo del punto de acceso utilizado, privar a otros usuarios de su tiempo en el aire si envía una gran cantidad de paquetes pequeños, especialmente si su computadora está usando un nivel bajo. velocidad de datos. Este es un problema especialmente grande si intentas combinar WiFi y multidifusión. Dado que en tal escenario no hay confirmación de recepción de paquetes de multidifusión, muchos puntos de acceso predeterminarán a la velocidad de datos más baja que admiten, con el fin de maximizar el número de posibles receptores. En muchas unidades, esto puede ir tan bajo como las velocidades de IEEE 802.11 (sin letras), lo que significa 1 Mb / s o 2 Mb / s. Esto interrumpirá seriamente cualquier operación de cualquier red WiFi en ese canal, ya que consumirá tiempo de transmisión.
Seguramente afectará a la red completa, ya que el envío de demasiados paquetes provocaría una falta de ancho de banda en la red local. ¡También el enrutador a través del cual está conectado podría comenzar a eliminar paquetes si no es capaz de manejarlos todos!
Prefiero sugerirle que pruebe la DDoS en un entorno virtual.
Si comienza a enviar muchos paquetes, probablemente se crearía un cuello de botella en la red. Pero puede intentar enviar solo unos pocos paquetes solo para fines de prueba.
Lea otras preguntas en las etiquetas denial-of-service ids snort