Reto de seguridad Informática. Ataques DDoS y defacemen.

Transcripción

1 Reto de seguridad Informática. Ataques DDoS y defacemen. Guillermo

2 Evolucion de las herramientas DDoS. Distributed Denial of Service 1ª Generación DDoS Bots Infección de Computadores personales. Requeria una red de control los bots bajaban instrucciones. Requería de 10 30,000 nodos para generar ataques grandes. (40 Gbps) Los taques se incrementaban lentamente.

3 Evolucion de las herramientas DDoS. 2ª Generación DDoS Bots (Brobot) Enero 2012 Infección de Servidores Web. La red de control cambio a un modelo PUSH(más rápido) Solo requiere de 1-3,000 nodos para generar ataques. (190 Gbps) Los taques se incrementaban rápidamente de Gbps en menos de 10 minutos.

4 Evolucion de las herramientas DDoS. 3ª Generación DDoS Bots (Brobot) Enero 2012 Largo volumen de +350Gbps. Abuso de servidores legítimos(dns Reflactión, Chargen, NTP Amplificatión) Mayor uso de una combinación de diferentes vectores, para complejidad adicional (3 a 5 vectores de ataque) Abuso de dispositivos Consumer, y el internet de las cosas.

5 Cómo afecta un DDoS a una web? Depende del ataque y del servidor. Los servidores se pueden proteger contra estos ataques con filtros que rechacen los paquetes mal formados o modificados con IPs falsas, de forma que al servidor sólo le llegan los paquetes legítimos. Por supuesto, las medidas no son infalibles y el servidor siempre puede acabar saturado si el ataque es suficientemente masivo y está bien preparado.

6 Y qué ocurre cuando el servidor se satura? Simplemente deja de estar disponible durante un tiempo hasta que el ataque para. Es muy difícil que se produzcan daños físicos en el servidor. Además, el DDoS por sí sólo no permite entrar en el servidor: para ello es necesario aprovechar alguna vulnerabilidad, y eso no es nada fácil. Así que, básicamente, un DDoS sólo puede provocar la caída de la web, nada más. Dependiendo del tipo de web esto puede ser una catástrofe o no. Si la web genera dinero (venta online, publicidad), el propietario deja de ganar dinero mientras esa web está caída. Imaginaos las pérdidas que puede llegar a tener Amazon, por ejemplo, si su página está caída durante un día.

7 DDoS Análisis de Ataques Coordinados. El concepto de Distribuido es concerniente a que estas peticiones son realizadas desde cientos, miles de máquinas infectadas (comúnmente llamadas zombies ) las cuales son gobernadas a través de Botnets ( de manera coordinada al mismo tiempo, lo cual supone una sumatoria de ancho de banda, uso de memoria y procesamiento en el objetivo que, por lo general, ningún servidor podría soportar, terminando en un colapso del servicio atacado por no poder responder cada petición.

8 Herramientas que vamos a utilizar para realizar un DDoS. Kali Linux es una distribución basada en Debian GNU/Linux diseñada principalmente para la auditoría y seguridad informática en general. Fue fundada y es mantenida por Offensive Security Ltd. Mati Aharoni and Devon Kearns, ambos pertenecientes al equipo de Offensive Security, desarrollaron la distribución a partir de la reescritura de BackTrack,que se podría denominar como la antecesora de Kali Linux. Kali Linux trae preinstalados numerosos programas incluyendo Nmap (un escáner de puertos), Wireshark (un sniffer), John the Ripper (Un crackeador de passwords) y la suite Aircrack-ng (Software para pruebas de seguridad en redes inalámbricas). Kali puede ser usada desde un Live CD, live-usb y también puede ser instalada como sistema operativo principal.

9 Tipos de ataque. SYN Flood Attack 1/2 El ataque de SYN Flood consiste en enviarle paquetes manipulados a la máquina target, activando el bit SYN (S flag) en la conexión TCP y alterando la IP origen (mediante técnica de spoofing), la víctima responde con un SYN/ACK (SA flags) considerando que se trata de una conexión legítima y espera por un ACK (A flag) por parte del cliente. Al tratarse de direcciones falsas, la respuesta nunca llegará y la secuencia no llega a completarse ocasionando que la víctima se sature de conexiones no dejando lugar a conexiones genuinas.

10 Tipos de ataque. SYN Flood Attack 1/2 Este es sin dudas uno de los ataques mas conocidos por su simplicidad-efectividad y famoso dado que es la técnica principal utilizada por el ya mundialmente conocido grupo hacktivista Anonymous que si bien ellos mismos lo emplean como herramienta de protesta, está quedando en evidencia que esto no siempre se aplica para el común de los ciberdelincuentes que, en su mayoría, lo emplean como herramienta de extorsión en perjuicio de empresas o gobiernos y en otras ocasiones para obtener ganancias económicas. Existe gran cantidad de herramientas para efectuar un SYN Flood Attack, entre ellos las armas principales de Anonymous, llamadas LOIC (Low Orbit Ion Cannon) y HOIC (High Orbit Ion Cannon). Estas herramientas pueden ser manejadas por el usuario o bien utilizando el modo Hivemind, a través de un canal de IRC en un ataque distribuido y coordinado. Son herramientas muy potentes y deben ser utilizadas responsablemente.

11 Tipos de ataque. SYN Flood Attack 1/2 Tres maquinas (corriendo Backtrack 5 R2) que simularán ser muchas más para atacar un servidor vulnerable y desprotegido (corriendo Fedora release 15 (Lovelock)). La idea es inundar de paquetes manipulados (utilizando el flag SYN) a la víctima, simulando un ataque desde cientos de hosts diferentes.

12 Tipos de ataque. SYN Flood Attack 1/2 HPING3 es una excelente herramienta con la posibilidad de utilizarla en muchas situaciones, recomiendo ejecutar la ayuda (hping3 -h) para ver las diversas opciones. Para el caso de esta demostración, desde cada una de las máquinas atacantes, ejecutamos HPING con los siguientes parámetros:

13 Tipos de ataque. SYN Flood Attack 1/2 Es importante contar con privilegios de superusuario, es por eso que utilizamos sudo para correr el comando. Teniendo en cuenta que el target entonces es , que utilizaremos el flag SYN, que lo haremos en modo flooding, con cada request con un origen diferente y al puerto HTTP, el comando quedaría conformado así: Se podrían utilizar otras variantes y valores, pero a los efectos de la prueba, con estos parámetros es más que suficiente para causar un DDoS.

14 Tipos de ataque. SYN Flood Attack 1/2 Y lanzamos el ataque simultáneamente en las 3 maquinas atacantes! Mientras tanto, veamos que ocurre en el servidor target. Para ello utilizaré el analizador de tráfico IPTRAF, pero bien usted puede utilizar el que desee (wireshark o tcpdump por ejemplo).

15 Tipos de ataque. SYN Flood Attack 1/2 El flujo de tráfico se ve más o menos así: Al cabo de unos pocos segundos, el sitio se volverá inaccesible dada la cantidad de requests que el servidor tiene que procesar.

16 Tipos de ataque. SYN Flood Attack 1/2 Esta prueba esta realizada en una red interna, simulando un ambiente similar a internet pero sin intermediarios (routers, proxies, etc) que puedan ayudar a mitigar el riesgo aplicando algunas contramedidas, pero si tenemos en cuenta lo mencionado en la primera parte ( Entendiendo DDoS ), ante un ataque masivo, coordinado a nivel mundial, sin dudas esos controles pueden verse desbordados o poco efectivos.

17 Tipos de ataque. Slow HTTP DDoS Attacks 2/2 También es conocido como Slowloris por ser la primera herramienta liberada para explotar una falla de diseño en el manejo de conexiones concurrentes. Se trata de una técnica que afecta a servidores web (en su mayoría Apache, pero otros también) que tiene la particularidad de provocar un gran impacto utilizando un mínimo de ancho de banda, incluso utilizando unas pocas conexiones hogareñas xdsl. La idea principal esta basada en como Apache maneja los hilos de conexiones, y a diferencia de otros ataques (como por ejemplo el tratado anteriormente SYN Flood ) en los cuales son necesarios cientos, miles de paquetes para saturar la víctima, se trata de mantener abiertas las conexiones el mayor tiempo posible enviando una respuesta parcial al servidor. Dado que el pool de hilos disponibles es finito, el colapso se produce cuando éste se ve saturado, ocasionando así una Denegación de Servicio. Cabe aclarar que este ataque no afecta al servidor entero sino al servicio web solamente, y el servicio se restablece inmediatamente una vez finalizado el ataque.

18 Tipos de ataque. Slow HTTP DDoS Attacks 2/2 Funcionamiento del ataque: Un cliente realiza una petición GET con una cabecera manipulada, la cual no se enviará por completo al servidor, quien, por diseño del protocolo HTTP, se quedará esperando por el resto de los datos. Para ello se suprime el envío del CRLF (señal de finalización) de la cabecera. Si se producen muchas conexiones al mismo tiempo, el servidor mantendrá esos recursos ocupados hasta dejar de responder a nuevos requests, algunos posiblemente legítimos.

19 Tipos de ataque. Slow HTTP DDoS Attacks 2/2 Esta herramienta de capa siete desarrollada por Sergey Shekyan, llamada Slowhttptest, la cual es útil para simular (y hacer efectivos) ataques Slow HTTP DoS. Esta herramienta dada su flexibilidad para realizar otros tipos de pruebas (como por ejemplo Apache Range Header Attacks ), da la posibilidad de generar gráficos y por ser la más actualizada de las herramientas disponibles para ataques/tests de Slow HTTP DoS.

20 Tipos de ataque. Slow HTTP DDoS Attacks 2/2 Utilizaremos el módulo de monitoreo de Apache (serverstatus) en el servidor target para monitorear la actividad antes y durante un ataque.

21 Tipos de ataque. Slow HTTP DDoS Attacks 2/2 En la máquina atacante, ejecutamos el siguiente comando: Lanzamos el ataque de tipo Slow Down Headers, es decir, haremos los requests al servidor pero no completaremos los mismos, forzando al servidor a mantener esas conexiones en estado de lectura generando hasta 1000 conexiones concurrentes.

22 Tipos de ataque. Slow HTTP DDoS Attacks 2/2 -c number of connections (limited to 65539) -H tipo de ataque que realizaremos (en este caso Slow Down en Headers) -g generate statistics in CSV and HTML formats -o output file -i Seconds. Interval between follow up data in seconds, per connection -r connections per second -t header/verb to use -u target URL, the same format you type in browser, e.g -x max length of follow up data -p timeout to wait for HTTP response on probe connection, after which server isconsidered inaccesible

23 Tipos de ataque. Slow HTTP DDoS Attacks 2/2 Como podemos observar en el proceso de ataque de slowhttptest, luego de 5 segundos de lanzado el mismo, el servicio ya no estaba más disponible, lo cual es fácilmente comprobable al intentar navegar el sitio atacado y luego de unos minutos sin lograr acceder se obtendrá un timeout. Luego finalizado el ataque, la herramienta slowhttptest nos entrega el reporte del ataque.

24 Tipos de ataque. Slow HTTP DDoS Attacks 2/2 Como hemos puesto opción generar un archivo HTML para posterior análisis del ataque. Desde el servidor target, capturé el estado de las conexiones:

25 Tipos de ataque. Slow HTTP DDoS Attacks 2/2 Como se puede observar, es una herramienta muy potente la cual debe usarse con mucha responsabilidad. También es muy útil para realizar Stress Testings contra servidores propios y poder así testear la carga que soportan los mismos. Información obtenida de:

26 Contramedidas para defenderse. Desafortunadamente no existe una manera de defenderse completamente contra miles y miles de máquinas atacando, lo que si puedo hacer es brindar algunos consejos para mitigar el riesgo y no estar tan expuestos. Para no entrar en demasiados tecnicismos, ya que hay muchos productos y variedad de sistemas operativos, etc, daré algunos tips generalizados que los administradores de sistemas deberán tener en cuenta para defenderse de ataques DDoS.

27 A tener en cuenta Desde ya, estar al día con las actualizaciones de software en uso que esté expuesto a internet. Sin dudas una de las técnicas más recomendadas es la implementación mixta de Firewall Balanceo de carga Proxy reverso Limitar la cantidad de conexiones permitidas por cada IP individual (100 estaría bien, una vez superado ese límite, las conexiones se rechazan) Limitar el número de conexiones por segundo. Limitar el tiempo en que cada cliente permanece conectado. Teniendo que el servidor web Apache es uno de los más usados en internet, seguir las recomendaciones de la documentación oficial: Si su aplicación tiene una audiencia específica, por ejemplo, si el servicio es solamente para personas residentes en Ecuador, las peticiones provenientes desde Rusia o China podrían ser blockeadas mediante uso de blacklists de rangos.

28 Caso práctico que vamos a seguir. M39DOyIORWkzVXVSclFscW8/view? usp=sharing

29 FIN GRACIAS