Durante un Ataque distibuido de denegacion de Servicio:

Dispositivos comprometidos (o voluntarios) asi como botnets agotan los recursos del objetivo
con trafico de ataque de tal manera que los servidores no pueden responder a clientes
legitimos.

A DoS (Denial of Service) Attack es simplemente el intento de un atacante por agotar los
recursos disponibles de una red, aplicacion o Servicio de tal manera que usuarios genuinos no
puedan obtener un acceso.

Ataques de denegacion de Servicio agobian un objetivo con o muchas peticiones de conexion o

demasiado ancho de banda.

Clasificacion de Ataques:

Volumetricos: Diseñados para saturar y agobiar los recursos de red, circuitos, etc a traves de
fuerza bruta. (Consumir Bandwith)
High bandwith Volumetric DDoS: Packet Flood, UDP Flood, TCP Flood
Reflection Attacks: DNS Reflection, DNSSec Ampification

 Atacantes spoofean la direccion IP de la victim y envia peticiones a proxies abiertos o

resolvers los cuales envian respuestas a la victima.

State-Exhaustion: el objetivo son dispositivos de seguridad stateful. Provoca el agotamiento

de las tablas de estados de conexion lo que los deja inservibles.
TCP State-Exhaustion Attacks
Protocol Attacks: Los ataques explotan partes vulnetables en los protocolos tal como el TCP 3-
Way Handshake.
SYN Flood, RST flood, FIN flood

Connection Based Attacks: Los atacantes crean muchas conexiones al Servicio sin enviar
trafico o trafico infrecuente. En ocaciones el atacante envia peticiones incompletas al Servicio.
Sockstress

Application Layer: el objetivo son aplicacines en especifico (HTTP, SSL, DNS, SMTP, SIP,
etc)
Estos son dirigidos a algunos aspectos de la aplicacion o Servicio en capa 7. Estos son del tipo
de ataques mas mortales ya que pueden ser muy efectivos con unos pocos y hasta con solo un
equipo generando una baja porcion de trafico (Esto lo hace muy dificil de detectar y mitigar
proactivamente).
Este tipo de ataques han prevalecido sobre los ultimos 3, 4 años. Y simples ataques de
inundacion en la capa de aplicacion (HTTP GET flood etc) ha sido uno de los ataques mas
communes de DDoS vistos en el campo.
Application Layer Attacks: ataques que se dirigen a una vulnerabilidad en la capa de aplicacion.
URL floods, R U Dead Yet (RUDY), Slowloris, LOIC, HOIC, DNS dictionaty attacks

Protection Interfaces:

 Ext labled interface: siempre encara una conexion externa (Internet)

 Int labled interface: siempre encara la red interna.
Nota: No enviar trafico outbound desde una interface int a una out.

Monitor Mode:

 APS no mitiga trafico.

 Detecta y reporta hacerca de un ataque y trafico botnet.
 Ajusta las politicas para deteccion de ataque y mitigacion.