¿Pueden los atacantes obtener algo con los ataques DoS, excepto que el servicio se bloquee?

En general, un ataque de Denegación de Servicio (Distribuido) no le proporcionará mucha información directamente. Sin embargo, hay algunos escenarios donde la información podría ser obtenida como resultado de un DoS. Los siguientes son algunos ejemplos, pero esto no es del todo exhaustivo:

• Un equilibrador de carga puede divulgar información de subred interna o filtrar nombres de máquinas internas en situaciones donde los sistemas de respaldo están fuera de línea.
• Un DoS que cierre la base de datos primero puede hacer que una aplicación revele el tipo de motor de la base de datos, el nombre de usuario de la conexión o la dirección IP interna a través de un mensaje de error.
• Una API mal implementada podría dar lugar a un escenario de "falla de apertura": hacer que un servidor de inicio de sesión único le brinde a un atacante la posibilidad de iniciar sesión sin autenticarse o con credenciales locales.
• En los escenarios de amenazas persistentes avanzadas, la infraestructura de detección DoS puede permitir que un atacante permanezca sin ser detectado durante otras etapas de recopilación de información.
• De manera similar, la interfaz de administrador de un firewall podría dificultar los esfuerzos de respuesta a incidentes de la administración de la red.
• En un caso extremo, el DoS en contra de un servicio de revocación de claves podría permitir que un atacante continúe usando credenciales revocadas o comprometidas.

Otros motivos para un ataque de denegación de servicio se hacen evidentes si considera a los usuarios de un sistema como objetivos además del propio sistema: un ataque de denegación de servicio contra un sitio web que vende entradas para conciertos puede permitir que un atacante compre entradas para un evento que de lo contrario se habría agotado en minutos. Un DoS contra un sistema de control de versiones podría evitar que una compañía de desarrollo entregue el software a tiempo. Un DoS contra un sitio de redes sociales podría hacer que la coordinación de las protestas políticas sea más difícil, o un evento imposible.

En general, los ataques DoS solo están diseñados para causar (como su nombre sugiere) una denegación de servicio, es decir, un compromiso de la disponibilidad del servicio.

Otras formas de DoS, por ejemplo, desencadenando una falta de referencia de puntero nulo, se puede usar para comprometer la integridad al bloquear un servicio sin que tenga tiempo para cerrar archivos de forma limpia, lo que lleva a la corrupción de datos (pérdida de integridad). Las bases de datos son un objetivo obvio para ese tipo de cosas.

Los cortafuegos y otros servicios de seguridad deberían cerrarse en caso de fallar. No tengo conocimiento de ningún caso en el que algo así no se abra. Sin embargo, podría prever un escenario en el que un servidor detrás de un equilibrador de carga caiga en un ataque DoS, por lo que el equilibrador de carga cambia a un sistema secundario, que está configurado de una manera más débil, revelando así esa vulnerabilidad externamente.

Fuera de la tríada de la CIA, es posible que los ataques DoS se utilicen para desviar la atención y los recursos del personal de un ataque más sutil.

Sí, el ataque DoS puede ser útil para un atacante.

(Por cierto, no es un ataque solo contra servicios web. Puede dirigirse contra cualquier dispositivo de red).

El punto de DoSing de un dispositivo en tales casos es hacer que responda más lento o más tarde de lo que normalmente haría. Desde lo alto de mi cabeza, veo:

• Intoxicación de la memoria caché del DNS (ataque de Kaminsky): depende de la capacidad del atacante para entregar una respuesta del DNS antes que el servidor DNS autorizado, lo que podría lograrse haciendo que el servidor autoritario sea DoSing.
• El ataque de inserción Quantum de la NSA se basa en responder antes que el servidor legítimo
• La suplantación de direcciones TCP / IP también se ayuda al disminuir la respuesta legítima
• Los servidores de OCSP (estado del certificado) son tan poco confiables y están sobrecargados, que algunos navegadores web no los verifican de forma predeterminada, lo que abre un camino para falsos ataques de certificados

En una nota diferente, los servidores ClearS DoSing (por ejemplo, mediante una dosificación clásica, o simplemente mediante el acceso a la red) podrían usarse para verificar la identidad de servicio oculta de Tor, por ejemplo. podría haberse utilizado para localizar el servidor de Silk Road.

En la misma línea, los nazis durante la Segunda Guerra Mundial usaron un tipo de DoS (apagar la electricidad en barrios y calles de la ciudad) durante las transmisiones de las radiosestaciones de la resistance para averiguar su ubicación.

  

Un ataque DoS (abreviatura de "denegación de servicio") es una forma de ataque que se utiliza en los servicios web y tiene como objetivo "bloquear" el servicio. *

No exactamente. Como su nombre lo indica, el objetivo es hacer que el servicio no esté disponible para usuarios legítimos. La forma más común de hacer esto para un servicio de Internet como un servidor web es saturar las conexiones para que nadie más pueda conectarse. Esto se puede hacer, por ejemplo. a través de una inundación SYN .

Editar: como comentó @RoryAlsop, un atacante también podría intentar bloquear el servicio para que esté completamente fuera de línea.

  

¿Sería posible obtener datos del servicio con un ataque DoS? Si es así, ¿cómo?

No, ese es un tipo de ataque completamente diferente, que, sin embargo, podría llevarse a cabo junto con un DoS, este último con el objetivo de saturar los recursos de un dispositivo relacionado con la seguridad, por ejemplo. un IDS, un firewall o incluso un registrador.

Un resultado de un ataque DoS que creo que no se mencionó en ninguna de las otras respuestas, es la posibilidad de que una acción en particular pueda dar lugar a que se almacenen datos, incluso si solo son bytes. Por ejemplo, si visitar una URL en particular puede registrar algo en un archivo, el objetivo del atacante podría ser llenar el disco duro.

Esto podría crear un caos para despejar el espacio en el disco, especialmente si los datos se crean en archivos separados, posiblemente con nombres aleatorios, o si los datos se agregan a una base de datos con datos legítimos.

Mientras que normalmente no se puede usar un DoS para causar daño que no sea simplemente desconectar el servidor, en ciertas circunstancias (generalmente debido a sistemas mal configurados), pueden tener graves consecuencias, como la fuga de datos.

Un ejemplo famoso es el fuga de información del sitio web de la Ley ACS . El servidor mal configurado, cuando se reinicia después de que finalizó el ataque DoS, de alguna manera perdió su configuración original y permitió que su directorio raíz fuera visible públicamente.

  

"Su sitio volvió a estar en línea [después del ataque DDoS] - y en su   FrontPage fue accidentalmente un archivo de copia de seguridad de todo el sitio web (predeterminado   listado de directorios, su sitio estaba vacío), incluyendo correos electrónicos y   contraseñas ", dijo un líder del grupo atacante a TorrentFreak. "Los   El correo electrónico contiene contraseñas de facturación y cierta información que ACS: Law es   teniendo problemas financieros ".

Esto más tarde llevó a serias repercusiones financieras y de reputación para la Ley de ACS.

Pienso en ganancias no técnicas para el atacante:

• Extraer dinero del rescate del servicio atacado para detener el ataque DoS
• Ganando la atención pública por una causa política (el grupo anónimo usó los ataques DoS en el pasado de esta manera)
• Obtener una ventaja comercial al desactivar el sitio web del competidor (un atacante puede ofrecer esto como un servicio ilegal)

La mayoría de las respuestas aquí mencionan los efectos secundarios de los ataques DOS. Sin embargo, creo que también existe la opción inversa: que el ataque de DOS no es la causa de los efectos secundarios, sino que es en sí mismo un efecto secundario de otro ataque. Por ejemplo, un ataque de DOS podría ser un efecto secundario de una botnet de fuerza bruta que enumera las direcciones de correo electrónico a través de una pantalla de contraseña olvidada, lo que ralentiza el servicio o incluso lo bloquea.

El motivo de esta forma de ataque no es eliminar el sistema, sino obtener una lista de usuarios del servicio, donde el método utilizado para obtener la lista de usuarios tiene el efecto secundario de eliminar el sistema. .

Por lo general, pero no necesariamente. Todo depende de lo que suceda a continuación cuando la intención El servicio falla debido al ataque. Imagina que el efecto del ataque es sobrecargar. la autenticación de usuario para un sitio, y que el efecto de la falla es permitir el servicio En lugar de negarlo. Probablemente no sea el comportamiento deseado, fácilmente uno que podría pasarse por alto. en pruebas normales.