¿SYN DDoS es el único tipo de TCP DDoS?

5

Recientemente he estado leyendo sobre diferentes tipos de ataques DDoS y encontré distribución DDoS por tipo en 2017 , por Kaspersky Labs. Enumeran 5 tipos diferentes de DDoS: SYN, TCP , UDP, HTTP, ICMP

En todos los demás recursos que he encontrado hasta ahora, los ataques SYN DDoS y TCP DDoS se usan como sinónimos completos, sin embargo, Kaspersky Labs parece diferenciar los dos. Cuando busco un ataque TCP DDoS específicamente, solo aparece información sobre SYN DDoS.

Supongo que mi pregunta podría reformularse como: ¿El ataque TCP DDoS siempre es también un ataque SYN? ¿O hay otras formas de usar TCP para propósitos de DDoS?

    
pregunta afaf12 27.12.2017 - 21:24
fuente

2 respuestas

4

En el artículo mencionan "ataques TCP DDoS", pero el resumen también dice (énfasis mío):

  

Hubo una caída considerable en la proporción de ataques sobre TCP (hasta un 18,2% desde 26,6%) e ICPM (hasta un 7,3% desde un 8,2%). Esto causó un aumento en el porcentaje de inundaciones y ataques SYN sobre UDP y HTTP.

Los ataques DDoS en L4 (inundación de TCP SYN) son un tipo de ataque que usa TCP, pero otros pueden involucrar la capa de aplicación (L7). Los autores mencionan HTTP como un caso especial, pero también se podrían inundar los servicios de SSH o de correo con solicitudes (pequeñas) que requieren más procesamiento desde el lado del servidor. Estos son servicios que se ejecutan sobre TCP.

    
respondido por el Lekensteyn 27.12.2017 - 21:59
fuente
4

Hay algunos otros ataques DDoS basados en TCP, pero no son muy comunes debido al hecho de que TCP es, por diseño, bastante ineficiente para realizar ataques DDoS (simples). Los ataques de la capa de la aplicación (CPU, base de datos, disco, etc. agotadores) a menudo se realizan en base a TCP (por ejemplo, generando muchas solicitudes HTTP a un servidor web), y hay pocos ataques conocidos que intentan abusar del protocolo TCP, por ejemplo mediante el envío de combinaciones ilegales de banderas TCP o fragmentación incorrecta. El 'ataque de lágrima' fue un ejemplo bien conocido de eso, que usó fragmentos superpuestos para bloquear los dispositivos que reciben los paquetes cuando se los vuelve a ensamblar.

Pero como ya dije, TCP no es muy popular para los ataques DDoS. Dado que TCP requiere un protocolo de enlace de tres vías (SYN, SYNACK, ACK) antes de poder enviar cualquier comando, requiere más recursos de los nodos que realizan la DDoS.

Además, los ataques TCP no se pueden hacer con direcciones IP falsificadas, porque la sesión TCP nunca alcanzaría el estado establecido, ya que SYNACK se enviaría a la dirección falsificada. Muchos ataques simples se basan en la suplantación de IP combinada con protocolos que envían una gran respuesta dada una pequeña solicitud (DNS, NTP, SNMP, LDAP) para generar una gran cantidad de tráfico.

El tercer inconveniente de TCP es que permite que ambos extremos controlen el flujo, lo que limita el remitente cuando el receptor no puede mantenerse al día, lo que no es algo que uno desearía al realizar una DDoS.

Por lo tanto, los ataques UDP son mucho más comunes para todos aquellos ataques que generan decenas de gigabits / seg de tráfico.

    
respondido por el Teun Vink 27.12.2017 - 23:00
fuente

Lea otras preguntas en las etiquetas