¿Cuáles son las características del encabezado TCP que se incluyen en los ataques DoS? Como el tipo de servicio: http, puerto: 80 y el recuento, ¿y qué más?
Quiero saber las características que determinan el ataque para poder escribir un código en Hadoop mapreduce para extraerlos de un archivo de registro que contiene paquetes TCP.
Varía según el servicio y el ataque. Los ataques de DoS tienden a caer en tres categorías; saturando la conexión de red (a.k.a. inundación de ancho de banda), sobrecargando el servicio (a.k.a. inundación de aplicaciones), o sobrecargando el firewall (a.k.a. inundación de firewall).
La saturación de la red funciona al enviar tantos datos al servidor que utiliza todo el ancho de banda, lo que hace que la mayoría de los usuarios auténticos (y la mayor parte del tráfico del atacante) no puedan llegar al servidor. Esto se puede hacer de muchas maneras; Por lo general, al enviar grandes cantidades de paquetes de control UDP o TCP al servidor. Esto hará que sea difícil para los usuarios genuinos acceder a cualquier servicio en la red en la que se encuentre el servidor, y dificultará que los datos salgan de cualquier servidor de esa red a Internet. Este tipo de tráfico se puede detectar y bloquear de forma relativamente fácil en la cadena de datos, pero como las direcciones IP de origen casi son falsificadas, es difícil rastrearlas. Los atacantes no necesitan crear realmente ninguna conexión de red, por lo que el tráfico no tiene que tener direcciones IP reales. En una variante del ataque, los atacantes falsifican la dirección IP del servidor para enviar paquetes TCP SYN a servicios inexistentes en miles de servidores en Internet, que luego envían paquetes TCP RST al servidor.
La sobrecarga del servicio funciona atacando el servicio específicamente, usando recursos en el servicio. Esto se puede hacer de varias maneras, pero generalmente se hace haciendo muchas solicitudes en un período de tiempo muy corto, agotando todos los recursos del servidor. Esto podría ser inicios de sesión aleatorios o cualquier otra cosa a la que el servicio sea vulnerable. (Tenga en cuenta que otros ataques, por ejemplo, pirateo forzado de cuentas administrativas, pueden producir el mismo resultado). Esto se basa en conexiones de red reales, por lo que las direcciones IP de origen son reales, pero las máquinas probablemente son parte de una red de bots.
La sobrecarga del cortafuegos funciona abriendo muchas conexiones TCP, pero no necesariamente enviando gran parte de los datos. Los firewalls tienen que manejar conexiones de red entre redes, y algunos vienen con funciones de escaneo de seguridad. Para que este último funcione, tienen que monitorear las conexiones. Esto significa que tienen que mantener los detalles de la conexión, y con recursos limitados, es posible utilizar todas las conexiones disponibles al abrir demasiadas conexiones de red; por lo tanto, se evita que el firewall acepte nuevas conexiones hasta que algunas de las existentes se agoten debido a la falta de tráfico.
Lea otras preguntas en las etiquetas denial-of-service http tcp