UNIVERSIDAD NACIONAL DE PIURA

Facultad de Ingeniera Industrial

Escuela de Ingeniera Informtica

Docente: ING. wilfredo cruz yarlEqu Curso: seguridad informatica Tema : ataques de denegacin de servicio. DoS Integrantes : Lpez alva gisselapalacios fiestas celiaruiz cornejo jorge

PIURA PER

ContenidoINTRODUCCION3DENEGACIN DE SERVICIOS (DOS)4I.DEFINICIN4II.CARACTERSTICAS DE DOS4III.TIPOS DE ATAQUES DOS5a)Ataque de inundacin de buffer (Buffer Overflow)5b)Connection Flood5c)Ataque Teardrop5d)Ataque de inundacin ICMP6e)Ataque Smurf6f)Ataque DoS en CMD ICMP Ping Flood6g)Ataque Fraggle Attack7h)Ataques de saturacin de recursos7i)Ataques de Sistema y Fallo de Aplicaciones9j)Ataques de Protocolo de Red9k)Ataques DoS contra aplicaciones web10l)IP Spoofing10V.DDOS (DISTRIBUTED DENIAL OF SERVICE)11VI.EJECUCIN DE ATAQUES DOS12VII.MEDIDAS DE PROTECCIN ANTE ATAQUES DOS13VIII.CASOS DE ATAQUES DDOS14Bibliografa16

INTRODUCCION

Un ataque de denegacin de servicio es una complicacin que puede afectar a cualquier servidor de una compaa o individuo conectado a Internet. Su objetivo no reside en recuperar ni alterar datos, sino en daar la reputacin de las compaas con presencia en Internet y potencialmente impedir el desarrollo normal de sus actividades en caso de que stas se basen en un sistema informtico.

Este tipo de ataque puede generar prdidas considerables en la vctima, por ejemplo, en el caso de una tienda online en la que su promedio de nmero de ventas diarias oscila entre 100 y 150, bajo esta premisa, la denegacin del servicio causara que en el tiempo que dure el ataque no se efecte ninguna.

Es por ello que en el presente trabajo se abordar todo lo referente a los ataques de denegacin de servicios, cmo prevenirlo o dificultarlo, los casos ms relevantes, etc.

DENEGACIN DE SERVICIOS (DOS)

I. DEFINICIN

Ataque de Denegacin de servicio es un ataque caracterizado por un intento explcito de evitar la disponibilidad de un determinado activo en el sistema, ya sea de un servicio o recurso mediante el ataque a la fuente de informacin o al canal de transmisin, con la intencin de evitar cualquier acceso de terceros. ste se puede clasificar dentro de los ataques activos de interrupcin.Los ataques por denegacin de servicio envan paquetes IP o datos de tamaos o formatos atpicos que saturan los equipos de destino o los vuelven inestables y, por lo tanto, impiden el funcionamiento normal de los servicios de red que brindan.

Los ataques de denegacin de servicio son diferentes en su objetivo, forma y efecto a la mayora de ataques que se efectan contra redes de comunicaciones y sistemas informticos. El objetivo de un ataque de denegacin de servicio en una red de comunicacin es evitar la ejecucin de una actividad legtima, tal como la navegacin por pginas web, escuchar la radio en Internet, transferir dinero desde la cuenta bancaria o incluso tareas crticas como la comunicacin entre un avin y su torre de control. Este efecto de denegacin de servicio se realiza enviando determinados mensajes hacia uno de los destinatarios o el propio canal de la comunicacin de forma que se interfiera en su funcionamiento, impidiendo acceder total o parcialmente al servicio ofertado.

II. CARACTERSTICAS DE DOS

Consumen la memoria de almacenamiento, la capacidad de procesamiento y el ancho de banda de uno o ms ordenadores contra la voluntad de sus dueos.

Modifican los datos de configuracin y van desde los superficiales hasta aquellos que comprometen la estabilidad del equipo.

Interrumpen el funcionamiento de algunos dispositivos.

Bloquean los canales de comunicacin que permiten a losusuariosafectados conectarse con los proveedores de los servicios que le han sido arrebatados o alterados.

Alteran la informacin de configuracin, como puede ser el routeo de la informacin.

Alteraciones de estado, tales como interrupcin de sesiones TCP (TCP reset).

Interrupcin de los medios que enlazan un servicio y la vctima, de manera que ya no pueda haber comunicacin.

III. TIPOS DE ATAQUES DOS

Existen tres tipos bsicos de denegacin de servicio:

Consumo de recursos: El atacante intenta consumir los recursos del servidor hasta agotarlos: ancho de banda, tiempo de cpu, memoria, disco duro.

Destruccin o alteracin de la configuracin: Se intenta modificar la informacin de la mquina donde se necesitan de tcnicas ms sofisticadas para realizarlo.

Destruccin o alteracin fsica de los equipos: Se intenta denegar el servicio destruyendo fsicamente el servidor o algunos de sus componentes, cortando el cable de conexin, o el cable de la red elctrica.

IV. PRINCIPALES TIPOS DE ATAQUES DOS

a) Ataque de inundacin de buffer (Buffer Overflow)

Este tipo de ataque DoS diramos que es el clsico y ms frecuente, consiste en enviar ms paquetes de los que el buffer del servicio puede manejar y soportar, donde por lgica se llega al lmite del buffer y el servidor comienza a no poder responder a las nuevas peticiones, al saturar el buffer el atacante impide que peticiones legtimas sean correctamente contestadas por el servidor.

b) Connection Flood

Se da cuando el ataque alcanza el lmite mximo de conexiones simultneas que un servicio de internet puede soportar, una vez que se llega al lmite, ya no se admiten conexiones nuevas. Debido a ello se genera una denegacin del servicio en ese momento, las conexiones se establecen pero no hacen peticiones de tal forma de sobrepasar la capacidad del servidor. Este tipo de ataques se da ms de un solo host, que son fciles de identificarlos.c) Ataque Teardrop

Este ataque afecta directamente al protocolo IP, donde se requiere de un paquete demasiado grande, para que el siguiente router sea dividido en fragmentos. El paquete una vez dividido se identifica un offset haca el principio del primer paquete, el cual permite que una vez llegan todos los fragmentos al destino, el paquete original sea reconstruido. Lo que hace el atacante es insertar un valor alterado en el segundo fragmento (o posterior) causando que el sistema destinatario no pueda reconstruir el paquete provocando el consecuente fallo en ese sistema. Este ataque afecta nicamente a sistemas operativos antiguos o versiones antiguas.

d) Ataque de inundacin ICMP

En este ataque se enva una gran cantidad de peticionesICMPecho request (ping), a las que el servidor responde con un ICMP echo reply (pong), el cual sobrecarga tanto el sistema, como la red de la vctima, llegando al punto de que el objetivo no puede responder a otras peticiones.

e) Ataque Smurf

Este es similar al ataque de inundacin , en este caso el atacante enva paquetes ICMP echo request (ping) a una IP de broadcast usando como direccin origen la direccin de la vctima, el resto de equipos conectados a la red enviarn un ICMP echo reply a la vctima, por ejemplo si en una red de 100 mquinas y por cada ICMP echo request (ping) que enviemos simulando ser la vctima (spoofing), la vctima recibir 100 paquetes ICMP echo reply (pong) es decir una inundacin de ICMP multiplicada por el total de equipos en la red.

f) Ataque DoS en CMD ICMP Ping FloodEste tipo de ataque es el ms antiguo, se realiza desde hace ms de 15 aos, pero de la misma forma provoc muchos daos en su poca.El sistema consiste en mandar numerosos paquetes ICMP grandes (mayores a 65.535 bytes) con el fin de colapsar el sistema objetivo. Esto se realiza a travs de pings deformados con tamaos superiores a los comunes 64 bytes. Implica una respuesta por parte de la vctima (ping) con el mismo contenido que el paquete de origen.Para llevar a cabo esto, basta con acceder a las opciones del comando ping en la consola cmd de Windows, y entre los parmetros observaremos t y l.

Con el primer parmetro hacemos que el ping se envi de forma repetida y continuada; con -l, asignamos el peso de cada ping, en este caso buffer.Siendo el comando final:ping 176.74.176.178 t l 35000El valor del ltimo parmetro depender de la velocidad de nuestra conexin a internet.g) Ataque Fraggle Attack

Es similar al ataque Smurf pero en este caso se enva trfico UDP en lugar de ICMP.

h) Ataques de saturacin de recursos

Su objetivo es agotar o saturar alguno de los recursos clave del sistema, entre los que se incluyen el tiempo de CPU, memoria, accesos a sistemas externos, espacio en disco o alimentacin de los sistemas.Algunos ejemplos de este tipo de ataques son: Ataque de inundacin de SYN (SYN Flood)

Es ataque se da normalmente cuando un cliente intenta establecer una conexin TCP a un servidor, el cliente y el servidor intercambian una serie de mensaje, que normalmente se podran resumir de esta manera:

1. El cliente hace una peticin de la conexin enviando un mensaje SYN al servidor.

2. El servidor acepta esta peticin enviando un mensajeSYN-ACKhacia el cliente.

3. El cliente responde nuevamente con un ACK, y finalmente se establece la conexin.

Un ataqueSYN, involucra al atacante enviando sucesivas peticiones de tipoSYN. Este comportamiento seria normal para establecer una conexin TCP, sin embargo, en el caso del SYN Flood, el ataque funciona no respondiendo de la manera que se espera, en su lugar el atacante puede elegir entre no enviar el cdigo ACK por defecto o hacer un spoof a la direccin IP en el mensaje SYN, causando as que el server enve mensajes SYN-ACK a una IP falsa, que no devolver nunca el ACK porque sabe que nunca envi el SYN, durante este proceso de saludo a tres bandas, el servidor espera durante un tiempo determinado a recibir el ACK final por parte del cliente, ya que por ejemplo una congestin de trfico puede hacer que este ACK no llegue al instante.

IGMP FloodEnvo masivo de paquetes IGMP (protocolo de gestin de grupos de internet).

IP Packet Fragment Attack

Envo de paquetes IP que remiten voluntariamente a otros paquetes que nunca se envan, saturando as la memoria de la vctima.

TCP Spoofed SYN Flood

Envo masivo de solicitudes de conexin TCP usurpando la direccin de origen.

TCP ACK FloodEnvo masivo de acuses de recibo de segmentos TCP. TCP Fragmented FloodEnvo de segmentos TCP que remiten voluntariamente a otros que nunca se envan, saturando la memoria de la vctima. UDP Fragment FloodEnvo de datagramas que remiten voluntariamente a otros datagramas que nunca se envan, saturando as la memoria de la vctima. DNS Flood

Ataque de un servidor DNS mediante el envo masivo de peticiones

HTTP(S) GET/POST FloodAtaque de un servidor web mediante el envo masivo de peticionei) Ataques de Sistema y Fallo de Aplicaciones

Un ejemplo muy conocido de este tipo de ataques es el Ping of death que utiliza un mensaje de peticin ICMP de mayor tamao que el permitido. La mquina objetivo fallar debido a la mala implementacin del manejador de este tipo de mensajes. Estos ataques tambin son dirigidos a menudo hacia dispositivos de acceso de red como pueden ser routes IP, Ethernet Switches, VPNs. Estos dispositivos soportan una configuracin a travs de una interfaz incluyendo una Command Line Interface (CLI) y una interfaz de manejo va web. Por medio de varios mtodos, incluidas un gran nmero de conexiones simultneas, desbordamiento de bffers y validaciones de datos incorrectos, se ha hecho fallar estos dispositivos. Un ataque DoS en esos dispositivos tiene una repercusin ms amplia que un ataque en una simple mquina debido a que normalmente detrs de estos dispositivos hay mltiples redes.j) Ataques de Protocolo de Red

Estos ataques sobre los protocolos dan como resultado consumo de ancho de banda, que los sistemas fallen y saturacin de recursos, causando condiciones de DoS. Estos ataques son una gran amenaza y pueden detener la conectividad de la red y la funcionalidad del sistema durante una cantidad indeterminada de tiempo. La prevencin de este tipo de ataques requiere procedimientos ms complejos, avanzados y tomar contramedidas. Este tipo de ataques van dirigidos al ncleo de las implementaciones del protocolo IP, y como las implementaciones de este protocolo no difieren mucho de una plataforma a otra, un simple ataque DoS puede funcionar en distintos sistemas operativos.k) Ataques DoS contra aplicaciones web

Este tipo de ataque tiene como objetivo dejar sin servicio a la propia aplicacin en lugar de la mquina. Una de las tantas ventajas que tiene el atacante es que no necesita tantos recursos para llevar a cabo el ataque como un ataque DoS normal, en muchas ocasiones este tipo de ataques son ms difciles de detectar debido a que se camuflan en peticiones aparentemente comunes.Los ataques DoS contra aplicaciones web se pueden llevar a cabo de diferentes maneras: Cuelgue de la aplicacin: Bffer Overflows

Modificacin y destruccin de datos

Consumo de recursos:

CPU Ancho de banda Memoria Espacio en disco.l) IP Spoofing

Se aprovecha del campo de la cabecera IP, la cual hace referencia a la direccin de la misma, donde su origen puede ser alterado. Esto suele realizarse utilizando herramientas que permiten generar paquetes (por ejemplo: scapy, hping3, nmap, etc) consiguiendo as falsear el origen del ataque o ampliar o reflectar el trfico.

Generacin de direcciones IP aleatorias: se da cuando a la vctima le llegan paquetes de direcciones aleatorias y aparentemente falsas. Esta estrategia genera direcciones IP invlidas, como por ejemplo direcciones del rango 192.168.0.0 (reservadas para ser utilizadas en redes locales), direcciones broadcast, direcciones no enrutables y direcciones no vlidas (0.2.41.3), las cuales pueden causar a los routers problemas significativos. Sin embargo, la mayora de las direcciones IP generadas sern vlidas y enrutables.

Spoofing en una subnet: se lleva a cabo cuando a la vctima le llegan paquetes de subredes identificables. En una red que utiliza el rango 192.168.1.0/24, es relativamente fcil falsear la direccin IP de un vecino a no ser que el administrador de la red haya tomado las medidas necesarias para evitarlo.

Fixed: A la vctima le llegan paquetes de direcciones falsas fcilmente identificables. Un atacante que desee realizar un ataque de reflexin o que quiera echar la culpa del ataque a otras mquinas utilizar este tipo de IP.

V. DDOS (DISTRIBUTED DENIAL OF SERVICE)

Es conocido como Ataque de Negacin de Servicio Distribuido, es un tipo especial de DoS de manera conjunta y coordinada entrevarios equipos. Este ataque consiste en lanzar decenas o cientos de miles de peticiones por segundo a unservidordesde distintas ubicaciones o IPs, en la que se da la interrupcin temporal o se logra suspender los servicios de un host conectado a Internet.Cmo es posible enviar miles de peticiones por segundo desde distintas IPs a un mismo servidor en un determinado momento?Para lograr esto, por lo general se infectanordenadores personalesdetodo el mundo, mediante denominadosgusanos (virus), ellos no causan ninguna anomala en el ordenador personal del usuario, pero permite a quien genero el gusano y consigui que ste se introdujera silenciosamente en millones de ordenadores en el mundo, puedacontrolar los ordenadores personales de otros usuarios y con un simple clic, hacer que todos los ordenadores repartidos por el mundo, hagan una peticin a un mismo servidor, por ejemplo, algo tan sencillo como abrir una misma web o acceder a una misma IP todos a la vez, lo que suceder es que el servidordonde se aloja esa web, no es capaz de soportar tal volumen de peticiones yse bloquea, adems las peticiones semantienendurante horas, y aunque intentes reiniciar el servidor, una vez que se inicie y acepte de nuevo peticiones, se bloquear de nuevamente.La principal dificultad, es que al tratarse de peticiones distribuidas por todo el mundo, e incluso provenientes de ordenadores personales, es muydifcildistinguir un acceso real, y sabes que usuario quiere realmente acceder al servidor,de un acceso provocado por el gusano que ha infectado un ordenador personal, de este modo es bastante complejo detener un ataque de este tipo.Para evitar eficazmente estos ataques se requiere de una preparacin de recursos, una monitorizacin constante y una respuesta rpida y organizada ante posibles ataques. Aun as, empresas comoMastercard, Visa, Sony, PayPal, CIA sufren estos ataques y tienen servidores parados durante horas.

Representacin grfica de ataque DDoS

VI. EJECUCIN DE ATAQUES DOS

a) Herramientas para ejecucin de ataques

Trinoo

TFN y TFN2K: ICMP Flood, SYN Flood, UDP Flood.

Stacheldraht: ICMP Flood, SYN Flood, UDP Flood y Smurf.

Shaft: SYN flooding, UDP Flooding, ICMP flooding y Smurf.

Second Life:

Esta herramienta proporciona objetos, stos se pueden programar mediante un lenguaje de scripting denominado LSL (Linden Scripting Language).

LSL tiene algunas funciones que permiten realizar consultas a servidores con IIHTTPRequest y funciones para XML-RPC.

La ventaja que puede encontrar un atacante en la funcin IIHTTPRequest es que la peticin se lleva a cabo desde los servidores de Linden Labs

Un atacante puede crear multitud de objetos que se incrusten en bucles y hagan peticiones a un determinado host, incluso se pueden crear bots dentro de Second Life para que realicen esta tarea.

Gracias a esto, un atacante se puede apoyar en Second Life para realizar un ataque DoS o complementarlo.

b) Ejemplo de ejecucin de ataque ddos

Para la realizacin de este ataque neceitamos una maquina con sistema operativo backtrack(o cualquier distribucin de linux), se pretende hacer es una ataque a una pgina web a travs de diferentes host. Para realizar el ataque debemos instalar el siguiente paquete install siege, es utilizado principalmente por desarrolladores para hacer pruebas de sus aplicaciones y sobre todo para comprobar el rendimiento y comportamiento antes de ponerlas en accin. Para hacer uso del protocolo HTTP necesitamos instalar el siguiente paquete libss-dev Para realizar el ataque a un determinado servidor necesitamos ejecutar el siguiente comando, haciendo la siguiente simulacin

Siege c400 t5M -d1 nombre del servidor(www.) , este comando comienza el escaneo

Terminada la ejecucin del ataque se presenta el siguiente informe, y para ver que el comando se ejecut correctamente iremos al navegador y actualizamos la url.

VII. MEDIDAS DE PROTECCIN ANTE ATAQUES DOS

1. A nivel de cdigo

La regla bsica es validar todas las entras. Intentar evitar cdigo que requiera muchas operaciones o un consumo excesivo de la CPU. Comprobar el rendimiento de las funciones e intentar optimizarlas lo mximo posible.

2. A nivel de red

Implementar soluciones de balanceo de carga y cach si fuese necesario Estudiar el retorno de inversin de un sistema comercial de proteccin contra este tipo de ataques e incluirlo en la red si es necesario. Implementar un firewall de aplicacin como ModSecurity.

ModSecurityEs un firewall de aplicaciones web embebible que ejecuta como mdulo del servidor web Apache, provee proteccin contra diversos ataques hacia aplicaciones web y permite monitorizar trfico HTTP, as como realizar anlisis en tiempo real sin necesidad de hacer cambios a la infraestructura existente.Est disponible como software libre bajo la licencia GNU General Public License, a su vez, se encuentra disponible bajo diversas licencias comerciales.Funcionalidades: Filtrado de peticiones: los pedidos HTTP entrantes son analizados por el mdulo ModSecurity antes de pasarlos al servidor Web Apache, a su vez, estos pedidos son comparados contra un conjunto de reglas predefinidas para realizar las acciones correspondientes. Para realizar este filtrado se pueden utilizar expresiones regulares, permitiendo que el proceso sea flexible.

Tcnicas anti evasin: las rutas y los parmetros son normalizados antes del anlisis para evitar tcnicas de evasin.

Elimina mltiple barras (//)

Elimina directorios referenciados por si mismos (./)

Se trata de igual manera la\y la /enWindows.

Decodificacin deURL.

Reemplazo de bytes nulos por espacios (%00)

Comprensin del protocolo HTTP: al comprender el protocolo HTTP, ModSecurity puede realizar filtrados especficos y granulares.

Anlisis Post Payload: intercepta y analiza el contenido transmitido a travs del mtodo POST.

Log de Auditora: es posible dejar traza de auditora para un posterior anlisis forense.

FiltradoHTTPS: al estar embebido como mdulo, tiene acceso a los datos despus de que estos hayan sido descifrados.

Verificacin de rango de Byte: permite detectar y bloquearshellcodes, limitando el rango de los bytes.

A nivel comercial, ahora las empresas que brindan servicio de hosting, ofrecen entre sus planes proteccin Anti DDoS, aadiendo a esto dispositivos de red especficos para estas tareas, algunos de ellos con implementaciones de software propio.VIII. CASOS DE ATAQUES DDOS

Entre los ltimos casos ms importantes tenemos: Ataque DDoS a Telegram, que afect a los usuarios a nivel global, empezando la denegacin de servicio en Asia, e incluso se hizo que la aplicacin no aparezca en la Play Store por lapso de tiempo.

PlayStation Network y Xbox Live, ocurrido en diciembre de 2014, el ataque realizado por el grupo The Lizard Squad paraliz la red de Sony por ms de 48 horas dejando a los usuarios antiguos y a los que reciban una consola por Navidad sin la posibilidad de registrarse en lnea.

Ataque a GitHub ocurrido en marzo de 2015, entre las hiptesis de su origen se considera al Gobierno Chino.

El 29 de julio de 2014 hackers del grupo Ciberberkut, creado despus de la disolucin de las fuerzas especiales ucranianas Berkut, bloquearon con un ataque DDoS por casi 24 horas la pgina del presidente de Ucrania, Petr Poroshenko, a quien acusaron de genocidio de su propio pueblo.

El 10 de julio de 2014, The New York Times inform que piratas chinosatacaronen marzo el archivo de la Oficina de Administracin de Personal de EEUU obteniendo datos sobre funcionarios que solicitaron informacin clasificada.

Bibliografa

https://www.owasp.org/images/2/2b/Conferencia_OWASP.pdfhttps://www.ovh.es/anti-ddos/principio-anti-ddos.xmlhttp://es.gizmodo.com/asi-se-ve-un-ataque-ddos-en-tiempo-real-482581412https://es.wikipedia.org/wiki/Mod_Security