Ing. Enrique Santiago Chinchilla, MsC, PhD

Ing. Enrique Santiago Chinchilla, MsC, PhD DEA/Master en Seguridad Informática Especialista en Redes de Computadoras Especialista en Telecomunicaciones Certified Ethical Hacker - CEH Computer Hacking Forensics Investigator - CHFI ECCouncil Certified Security Analyst -ECSA OSCP, CCNA, HCDA, CEI, Auditor Líder ISO 27001:2013

Agenda Que es un Ataque de D.O.S Tipos de Ataques de D.O.S Timeline de los Ataques de DDOS Algunas Soluciones el Mercado.

Que es un ataque D.O.S? Acción ó conjunto de acciones realizadas por una o un grupo de personas que usan tecnología para afectar la disponibilidad de un servicio, recurso de red ó activo de las organizaciones. El objetivo de un ataque de denegación de servicios es impedir que los usuarios legítimos puedan tener acceso a los recursos.

Tipos de Ataques de D.O.S Los ataques pueden clasificar: Según el tipo de blanco Activos de información Directorios Documentos de ofimática Hojas electrónica Archivos de texto, etc. Servicios de red e infraestructura Servidores WEB, DNS, CORREO, etc. Routers, Switches, Access Point, etc.

Tipos de Ataques de D.O.S Según el tipo de blanco: DOS a los activos de información. Se basan en el uso de una familia malware de malware conocida como Ransomware Generalmente se apoyan en ingeniería social basada en computación para propagar troyanos y otros tipos de malware. Secuestran los directorios y carpetas con algoritmos criptográficos simétricos y protegen la llave secreta con criptografía asimétrica. Piden rescate por la recuperación de sus activos de información.

Tipos de Ataques de D.O.S Los ataques a la infraestructura de red pueden clasificar: Según la técnica utilizada: DOS basado en Paquetes Malformados DOS Flooding - Volumétricos Según la cantidad de nodos fuente: DOS DDOS

Tipos de Ataques de D.O.S Según la técnica utilizada: DOS basado en Paquetes Malformados Se aprovechan de vulnerabilidades en los protocolos de comunicaciones y servicios que incluyen: Tratamiento inseguro de variables : Buffer Over flow, Excepciones, etc.

Tipos de Ataques de D.O.S Según la técnica utilizada: DOS Volumétrico Afectan la disponibilidad de la plataforma atacada a partir del envió de gran cantidad de trafico que consume los recursos de: CPU, Ancho de Banda y Memoria del sistema destino.

Tipos de Ataques de D.O.S Según el numero de nodos fuente: Denegación de Servicio. La Fuente es solo una computadora de donde típicamente se pretende explotar un servicio particular.

Tipos de Ataques de D.O.S Según el numero de nodos fuente: Denegación de Servicio Distribuido Varias computadoras lanzan el ataque de manera coordinada contra un solo blanco. Tipicamente la fuente es una o varias botnets. Attacker Operator Network IDC

Timeline de los ataques de D.O.S History 1996 Scan attack 2000 Congestion attack 2007 HTTP attack 2011 SSL DDoS attack 2013 2016 Long Histroy 1996.. Does attack DDoS attack Bot attack Crypto attack Smartphone DDoS IoT attack Mirai Develop Trend 100G 300G/1TB Traffic attack 37% 71% Application attack 87% Attack tool upgrading Attack encryption Attack simulation 40G 2008 2011 2016 Attack traffic trend 63% 29% 13% 2008 2011 2016 Application traffic

Vector de Propagación

Vector de propagación de Bots / Trojanos

Reclutamiento de Drones

Redes de Zombies - Botnets

Tipos de Ataques de DDOS DDos-Star Network Join signaling path Attacker Establish signaling path Attack flow Victim Command IRC Server army

Tipos de Ataques de DDOS DDos-Tree Network Register This is slave network. means an element being used by attacker to perform attack Register Command Control Terminal Attacker Command Attack flow Victim Control Terminal Control Terminal army

Blanco de los Ataques de D.O.S

Blanco de los Ataques de D.O.S

Soluciones AntiDDOS del Mercado

Soluciones AntiDDOS del Mercado

Soluciones AntiDDOS del Mercado DDoS Detecting Center DDoS Cleaning Center ATIC Management Center DPI Detecting Center <=5G <=200G <=200G AntiDDoS1500-D AntiDDoS8000 AntiDDoS8000 ATIC Flow Detecting Center NetFlow - NFA2009(90000Flow/s) NFA2005(50000Flow/s) NFA2002(20000Flow/s) <=2G AntiDDoS1520 <=5G AntiDDoS1550 Management Center (Abnormal Trafic Inspection Center) In the solution, the detecting center can be a Flow Detecting equipment, and can also be a DPI detecting center

Modo de Deploy - Huawei AntiDDoS In-line deployment Static Off-line deployment Dynamic Off-line deployment Internet Internet Internet AntiDDoS Detection system AntiDDoS Cleaning System User Network User Network AntiDDoS Cleaning System User Network AntiDDoS Cleaning System Support L2/L3 Deployment Support bypass Function Suitable for small scale Network Low cost Suitable for IDC scenario HA Low cost Suitable for large scale network flexibility Easy to manage

Service Processing Flow of Anti-DDoS 1. The attack traffic passes through the ingress router and reaches the target, resulting in the target breakdown and network congestion. Upper-layer network 2. Detects the optical splitting or mirroring traffic and monitor network traffic in real time. Detecting center 3. Identifies the attack target and report the detecting result. BGP Cleaning center ATIC management center 5. Advertises the host route through BGP and diverts the attack traffic to the cleaning center. 4. Delivers a traffic diversion policy to the cleaning center. Optical splitting or mirroring traffic Protected network 6. Injects the cleaned traffic in the following modes: policybased routing, MPLS VPN, MPLS LSP, and GRE. 7. Reports traffic logs and attack logs. Traffic log Cleaning log Captured packets Management traffic Traffic before cleaning Cleaned traffic Page26

Preguntas?