HOIC (High Orbit Ion Cannon) permite que los atacantes lancen ataques DoS y DDoS usando el tráfico HTTP.
Después de leer este artículo podrás:
Contenido relacionado
Low Orbit Ion Cannon
R U Dead Yet? (R.U.D.Y.)
Mitigación de DDoS
¿Qué es una red de robots (botnet) de DDoS?
Firewall de aplicaciones web (WAF)
Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar el enlace del artículo
HOIC (High Orbit Ion Cannon) es una popular herramienta utilizada para lanzar ataques DoS y DDoS, cuyo objetivo es inundar la red de una víctima con tráfico web y desconectar un sitio o servicio web. Es una pieza de software de código abierto fácil de conseguir, desarrollada por el grupo hacktivista Anonymous, y es sucesora de una herramienta DDoS más antigua llamada Low Orbit Ion Cannon (ambas llevan el nombre de armas de videojuegos de ciencia ficción). Aunque la mayoría de las herramientas de software malicioso requieren un alto nivel de conocimientos técnicos, HOIC ofrece una interfaz sencilla y fácil de usar, y se puede activar con solo pulsar un botón.
Aunque se usa en muchos ataques maliciosos e ilegales, el HOIC sigue estando disponible de forma legal, porque se puede utilizar como herramienta de prueba legítima por los usuarios que quieren implementar una "prueba de estrés" en sus propias redes.
El HOIC funciona mediante un ataque DDoS de inundación HTTP en la capa de aplicación, inundando el servidor de la víctima con solicitudes HTTP 'GET' y 'POST', con el objetivo de sobrecargar la capacidad de procesar solicitudes del servidor. Para los ataques avanzados, se pueden utilizar scripts personalizados para dirigirse a varios subdominios del sitio de la víctima a la vez. El HOIC también puede dirigirse a hasta 256 sitios de forma simultánea, lo cual permite que los usuarios puedan coordinar ataques simultáneos. Este "enfoque de escopeta", en el que varios atacantes se dirigen a muchas páginas y dominios diferentes a la vez, puede dificultar los esfuerzos de mitigación y detección.
Los scripts de refuerzo incorporados también ayudan a los atacantes a evitar la detección. Además de los scripts de refuerzo, muchos usuarios de HOIC también usan proxies suecos para ofuscar su ubicación (se cree que eligen Suecia por las estrictas leyes de privacidad en Internet de ese país).
Lanzar un ataque importante con el HOIC requiere cierta coordinación, ya que se necesitan en torno a uno 50 usuarios diferentes para lanzar el ataque contra el mismo objetivo de forma simultánea. Anonymous demostró la eficacia del HOIC en 2012, cuando lanzó con éxito ataques contra varias grandes compañías discográficas, la RIAA e incluso el FBI. Fue uno de los mayores ataques DDoS de la historia, y se calcula se necesitaron 27 000 ordenadores que utilizaron simultáneamente el HOIC.
Existen varias estrategias para mitigar los ataques de inundación HTTP del HOIC. El filtrado de reputación de IP (IPRF) es una medida preventiva que comprueba las direcciones IP entrantes con bases de datos de direcciones IP maliciosas conocidas, y mantiene su tráfico fuera de la red. Un Firewall de aplicaciones web (WAF) puede establecer reglas de limitación de velocidad que eliminarán el tráfico de las direcciones IP que realicen cantidades sospechosas de solicitudes. También hay métodos para comprobar si un cliente web es legítimo, como la verificación captcha, y un método más sofisticado, que pide que los navegadores web resuelvan un sencillo problema matemático sin llegar a interrumpir la experiencia del usuario.
La protección contra los ataques del HOIC debería estar incluida en la mayoría de los productos y servicios de protección contra DDoS. Un plan integral de protección contra DDoS que incluya un WAF, como el que ofrece Cloudflare, ofrece una fuerte defensa contra los ataques de la capa 7, como los lanzados por el HOIC.