Un servidor (ordenador que aloja una página web o blog) está preparado para soportar un número máximo de conexiones simultaneas. Superado ese número de conexiones pueden pasar dos cosas, que el servidor no responda a más peticiones entrantes o que se desconecte de la red y por tanto quede sin conexión (off line).

De esta forma si un ordenador mal intencionado solicita un número suficiente de peticiones simultaneas puede llegar a saturar los puertos del servidor y provocar que éste deje de funcionar correctamente. Éste es el ataque DoS (Denial of Service) que se traduce como Denegación de Servicio ya que consigue que el servidor deje de prestar servicio a las nuevas peticiones, sean legítimas o no.

Como se puede ver en la imagen el ordenador atacante satura al ordenador atacado (servidor) consumiendo sus recursos (ancho de banda, memoria RAM, etc.). De esta forma el atacante consigue que el servidor rechace las nuevas conexiones, es decir que los siguientes usuarios que intenten acceder, sean atacantes o no, serán rechazados y se les denegará el servicio (DoS).

También puede pasar que el consumo de recursos sea tan excesivo que el administrador del servidor desconecte el servidor de La Red hasta que termine el ataque o encuentre una forma de repelerlo.

De esta forma el servidor queda sin conexión (off line) y ninguna conexión es posible. Ahora es el momento de localizar la IP del ordenador atacante para impedirle el acceso al sistema e impedir el ataque DoS. Pero ¿que pasa cuando el ataque se realiza desde IP distintas y de forma sincronizada?

Cuando el ataque es recibido desde un solo ordenador la defensa en principio es sencilla, consistiría en detectar la IP atacante y bloquear su acceso al servidor. Pero existe una variante del ataque DoS en la que el ataque es realizado desde distintos ordenadores que están localizados (distribuidos) en diferentes puntos. Éste es ataque DDoS (Distributed Denial of Service) que es una ampliación del ataque DoS y que se traduce como Denegación de Servicio Distribuida debido a que el ataque proviene de distintos puntos.

En este tipo de ataques suelen emplearse ordenadores zombies que son ordenadores infectados por un software que permite a un usuario remoto controlarlos. De esta forma es posible coordinar un ataque desde cientos o miles de ordenadores zombies de forma simultanea.

El problema es el mismo que el anterior pero con el agravante de que el ataque suele ser mucho más fuerte y al ser distribuido la defensa es más compleja.

Si recibes un ataque DDoS y tienes un alojamiento (hosting) compartido será tu proveedor quién tenga que hacer frente al ataque ya que tu no tendrás acceso al servidor atacado. En cambio si usas un servidor dedicado (y puede que también en uno virtual) tendrás que hacer uso de diversas herramientas de distinta complejidad pero todas ellas no aptas para el usuario medio. En elhacker.net tienes una lista de posibles defensas ante un ataque de este tipo, desconozco si son válidas pues jamás las implementé y espero no tener que hacerlo.

En cualquier caso esperemos al artículo prometido en Ataque de DDoS a Genbeta en el que nos informarán de las lecciones aprendidas durante el ataque. Seguro que podremos obtener buena información sobre qué hacer en estos casos. Saludos avinagrados.