Curso de Seguridad Tipos de ataques de denegación de servicio.

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Curso de Seguridad Tipos de ataques de denegación de servicio."

Víctor Mendoza Giménez
hace 8 años
Vistas:

1 Curso de Seguridad Tipos de ataques de denegación de servicio. Alberto Escudero Pascual 1

2 Denegación de Servicio Definición: denegación de servicio es una ataque caracterizado por un intento explícito de evitar la disponibilidad de un servicio. Recordatorio: La mayoría de los protocolos estan diseñados para dar servicios no para prevenir estos ataques. 2

3 Denegación de Servicio Ejemplos basados en CERT "flood", Inundar la red, previene tráfico legítimo. Man-in-the-middle, intento de bloquear una conexión entre máquinas. Block Users, intento de bloquear un usuario a la conexión entre máquinas. Block Services, intento de bloquear un servicio entre máquinas. 3

Man-in-the-middle, intento de bloquear una conexión entre máquinas.

4 Denegación de Servicio Algunos ejemplos Gusanos Worms, UDP vs TCP P2P sin control de flujo. Código PIN (3 veces, queda bloqueado) RST en TCP/IP MAC and IP Spoofing Port Hijacking 4

5 Denegación de Servicio Tenemos diseño contra DoS por defecto? TCP/IP GSM SMTP PSTN 5

6 Denegación de Servicio Tenemos diseño contra DoS por defecto? TCP/IP: SYN Flooding GSM: RF Jamming SMTP: Mail bombing: SMTP PSTN: Phone war-dialing 6

7 Modos de ataque Tres tipos de ataques básicos: 1. Consumo de los recursos limitados o no renovables. Muy importante en el diseño de protocolos de autentificación (crypto) 2. Destrucción o alteración de la configuración de un servicio. Eg: SMTP Relay, Routing Loops 3. Destrucción Física de los Componentes. Eg: HD y sistemas de ficheros, Overclocking. 7

Muy importante en el diseño de protocolos de autentificación (crypto) 2.

8 Ejemplos de ataques de saturación/inundación flood UDP flood Algunas veces se puede cambiar la dirección fuente del paquete. (e.g. Echo service, VoIP?) SYN flood Parte del apretón de manos TCP-handshake. Queda incompleto. SYN_ACK reservan la memoria. Ataques de fragmentación Pilas TCP/IP poco robustas E.g. land (src/dst ip same), jolt2 (ip fragment offset 0), teardrop (overlapping fragments), etc (No tan comunes >2000) Saturar las colas de manejo de fragmentación. 8

SYN_ACK reservan la memoria. Ataques de fragm

9 Ejemplos de ataques de saturación/inundación flood (2) ICMP flood Envio de tormentas de ICMP Smurfing Enviar un paquete ICMP-Echo-Request a un SMURF amplifier network (A-class broadcast address). Todos los ordenadores de esa red responden a la dirección de origen Cómo podemos parar estos ataques? 9

amplifier network (A-class broadcast address).

10 Y la lista continua... Ataque Tormenta (Stream) Envio de TCP ACK Tormenta Null flood TCP sin flags Tormenta de Flags falsas TCP con RST, URG, etc. 10

11 Syn Flood (Detalle) Manolo envía un TCP_SYN de una dirección IP falsificada a Sebastian. Sebastian (Server) envía un TCP_SYN_ACK a Alicia, Sebastian deja la conexión en Connection State (WAIT) y espera N segundos. Si Manolo envía una tormenta de paquetes TCP_SYN falso. Las conexiones se agotan.(no available socket) 11

Sebastian (Server) envía un TCP_SYN_ACK a Alicia, Sebastian deja la conexión en

12 Ataques distribuidos, DDoS, 1999 DDoS Se usan zombies Se usan N zombies como intermediarios del ataque El atacante se esconde detras de la red DdoS Se usa la técnica de Piggy-bag para esconder el tráfico de control del ataque. Más dificil de detectar si se usa encryptación, decoy y clientes en silencio. Este ataque tambien es conocido como El usuario Windows siempre esta en la red 12

13 Red de Ataque Distribuida Attacker Handler Handler Handler Agent Agent Agent Agent Agent Agent Victim 13

14 DDoS Tools Trin00 First occurrence: Early to mid 1999 Attack types: UDP flood Communication: TCP / UDP Encryption: Partially Note: Unprivileged ports, thus no root required 14

15 DDoS Tools Tribe Flood Network (TFN) First occurrence: Mid 1999 Attack types: UDP flood, ICMP flood, SYN flood, SMURF Communication: ICMP Encryption: No Note: Requires root access 15

16 DDoS Tools Stacheldraht First occurrence: Fall 1999 Attack types: UDP flood, ICMP flood, SYN flood, SMURF Communication: TCP and ICMP Encryption: Partially Note: Requires root access 16

17 DDoS Tools Shaft First occurrence: November 1999 Attack types: UDP flood, ICMP flood, SYN flood Communication: TCP and UDP Encryption: No Note: Requires root access for spoofed attacks. Gathers statistics about the attack. 17

TCP and UDP Encryption: No Note: Requires root access

18 DDoS Tools Tribe Flood Network 2000 (TFN2k) First occurrence: Early 2000 Attack types: UDP flood, ICMP flood, SYN flood, SMURF Communication: TCP, UDP and ICMP, plus decoy packets (!). Clients are silent. Encryption: Yes Note: Requires root access. From the same author as TFN (Mixter). 18

TCP, UDP and ICMP, plus decoy packets (!). Clients are silent.

19 DDoS Tools Stacheldraht v2.666 First occurrence: Mid to Fall 2000 Attack types: UDP flood, ICMP flood, SYN flood, SMURF, mstream, mixed-flags TCP floods, null flood Communication: TCP and ICMP Encryption: Partially Note: Requires root access 19

20 DDoS Tools Trinity v3 First occurrence: Fall 2000 Attack types: UDP flood, fragment flood, SYN flood, mstream, mixed-flags TCP floods, null flood Communication: IRC Encryption: No Note: Requires root access 20

21 Los nuevos ataques DoS 2004 Captura/Secuestro de dominios Inyección de código SQL Gusanos en MS Windows Combinación de Troyanos y Ataques a servidores/dominios 21

22 Tres ejemplos SYN Flooding (Septiembre 2002) Flooding VSAT Satellite (Julio 2003) Ataque a un dominio.org (Marzo 2006) 22

23 (1) Análisis de un ataque SYN SYN Flooder Juno z Los numeros de las IPs 4, 24, 64, 128, 129, 193, 194, 198, 199, 205, 206, 208, 209, 210, 211,

24 Cuántas fuentes son necesarias para un SYN flood? 24

25 (2) Ataque: VSAT Flooding Flooded VSAT Uplink! ip route ip route ip route Null

26 (3) Gusano contra un dominio.org Un gusano se propaga en la red Tiene un código básico que descarga un kit de ataque de una lista de servidores anteriormente comprometidos. El gusano usa un dominio en lugar de una IP. 26

27 Defensas Filtros que memoricen el estado de las conexiones (State filters) Uso de Proxies entre los servidores y la DMZ Filtros de ingreso, salida Detectores de Intrusiones (Reaccionar Rápido) 27

28 Algunos conceptos para recordar... Iptables Source, Destination NAT Entender lo que es una DMZ Herramientas para configuración de firewalls Protección contra SYN flooding Monitorización de conexiones 28

Documentos relacionados

Ataques de Denegación de Servicio Seguridad en Internet

Ataques de Denegación de Servicio 1 Definición Un ataque de denegación de servicio (Denial of Service) se caracteriza por intentar evitar el uso legítimo de un bien, servicio o recurso. DDoS (Distributed