Ataque R U Dead Yet? (R.U.D.Y.)

R.U.D.Y. es una herramienta de ataque bajo y lento que imita el tráfico legítimo. Puede mantener un servidor atado de forma indefinida.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Definir la herramienta R.U.D.Y.
  • Describir cómo se utiliza el R.U.D.Y. para desestabilizar los servicios web
  • Describir dos estrategias para mitigar los ataques R.U.D.Y.

Contenido relacionado


¿Quieres saber más?

Suscríbase a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar enlace del artículo

¿Qué es un ataque R.U.D.Y.?

R.U.D.Y. es una herramienta de ataque de denegación de servicio que tiene como objetivo mantener un servidor web atado al enviar datos de formularios a un ritmo absurdamente lento. Una vulnerabilidad R.U.D.Y. se clasifica como un ataque bajo y lento, ya que se centra en la creación de unas pocas solicitudes prolongadas en lugar de sobrecargar un servidor con un alto volumen de solicitudes rápidas. Un ataque R.U.D.Y. con éxito hará que el servidor de origen de la víctima no esté disponible para el tráfico legítimo.

El software R.U.D.Y. incluye una interfaz muy fácil de usar, así que todo lo que necesita un atacante es apuntar con la herramienta a un objetivo vulnerable. Cualquier servicio web que acepte la introducción de datos en un formulario es vulnerable a un ataque R.U.D.Y., ya que lo que hace la herramienta es detectar los campos del formulario y aprovecharse del proceso de envío del mismo.

¿Cómo funciona un ataque R.U.D.Y.?

Un ataque R.U.D.Y. puede dividirse en los siguientes pasos:

  1. La herramienta R.U.D.Y. rastrea la aplicación de la víctima en busca de un campo de formulario.
  2. Cuando encuentra un formulario, la herramienta crea una solicitud POST HTTP para imitar el envío de un formulario legítimo. Esta solicitud POST contiene un encabezado* que alerta al servidor de que se va a enviar un contenido muy extenso.
  3. Luego, la herramienta alarga el proceso de envío de los datos del formulario al dividirlo en paquetes de hasta 1 byte cada uno, y al enviar estos paquetes al servidor a intervalos aleatorios de unos 10 segundos cada uno.
  4. La herramienta sigue enviando datos de forma indefinida. El servidor web mantendrá la conexión abierta para aceptar los paquetes, ya que el comportamiento del ataque es similar al de un usuario con una velocidad de conexión lenta que envía datos de un formulario. Entretanto, se ve afectada la capacidad del servidor web para manejar el tráfico legítimo.

La herramienta R.U.D.Y. puede crear de manera simultánea varias de estas solicitudes lentas dirigidas a un servidor web. Ya que los servidores web solo pueden gestionar un número determinado de conexiones a la vez, es posible que el ataque R.U.D.Y. bloquee todas las conexiones disponibles, lo que significa que se denegará el servicio a cualquier usuario legítimo que intente acceder al servidor web. Incluso un servidor web resistente, con muchas conexiones disponibles, puede ser derribado por R.U.D.Y. mediante una red de ordenadores que lleven a cabo ataques simultáneamente, lo que se conoce como un ataque de denegación de servicio distribuido (DDoS).

*Los encabezados HTTP son parejas de clave/valor que se envían con cualquier solicitud o respuesta HTTP, y ofrecen información vital, como la versión HTTP que se está utilizando, en qué idioma está el contenido, cuánto contenido se está entregando, etc.

Cómo detener los ataques R.U.D.Y.

Ya que los ataques bajos y lentos se llevan a cabo de forma mucho más sutil que los ataques tradicionales de denegación de servicio, pueden ser difíciles de detectar, pero se pueden establecer protecciones para prevenirlos. Una de estas medidas de prevención consiste en establecer intervalos de tiempo de espera de conexión más estrictos en un servidor web, lo cual implica que se cortarán las conexiones más lentas. Esta solución tiene un efecto secundario: el servidor también podría denegar el servicio a los usuarios legítimos con conexiones lentas a Internet. Alternativamente, una solución de proxy inverso, como la protección contra DDoS de Cloudflare, puede filtrar el tráfico de ataque bajo y lento como los ataques R.U.D.Y., sin llegar a desconectar a los usuarios legítimos.