DoS En La Ciberguerra
3 recomendaciones882 vistas
Este documento resume los tipos principales de denegaciones de servicio (DoS) y su evolución a través del tiempo, incluyendo ataques iniciales como UDP Flood, Ping of Death y Syn Flood en la década de 1990, así como ataques más recientes utilizando botnets y paneles de control. También analiza el primer caso documentado de ciberguerra, el ataque de denegación de servicio distribuida contra Estonia en 2007.
![Land (CA-1997-28)
• Envío de paquete con ip.src igual a ip.dst, y
port.src igual a port.dst.
• Afectó a múltiples sistemas: Windows, HPUX,
AIX, NetBSD, Linux, Cisco, …
/* land.c by m3lt, FLC crashes a win95 box */
[…]
ipheader->saddr=sin.sin_addr.s_addr;
ipheader->daddr=sin.sin_addr.s_addr;
tcpheader->th_sport=sin.sin_port;
tcpheader->th_dport=sin.sin_port;
[…]](https://image.slidesharecdn.com/dosenlaciberguerra-090710033925-phpapp02/85/DoS-En-La-Ciberguerra-9-320.jpg)
DoS En La Ciberguerra
- 1. Denegaciones de servicio Alejandro Ramos, CISSP http://www.securitybydefault.com
- 2. Definición • Un DoS (Denial Of Service), es el ataque en el que el principal objetivo es interrumpir una comunicación, sistema o servicio. • Se denomina asimétrico, si el origen tiene recursos muy limitados y el destino es una gran red.
- 3. Clasificación • Consumir recursos – Uso de tus propios recursos contra ti. – Consumo de red – Consumo de otros recursos (disco, memoria, cpu, etc) • Destrucción y alteración de configuraciones y servicios – Uso de fallos conocidos en servicios • Destrucción física o alteración de elementos de red.
- 4. Línea de tiempo •UDP Port Evolución de botnets: •Ping-of-Death •Trin00 •AgoBot •Uso de P2P •SynFlood •TFN2K •SDBot •Paneles de control Morris Smurf •Stacheldraht RST a BGP $ 1986 1996 1998 2000 2002 2004 2006 2008 2010 •Teardrop CodeRed •land ¿sockstress? Aplicaciones Web
- 5. UDP Flood (CA-1996-01) • Envió de tráfico usando servicios echo(7/udp) o chargen(19/udp) a broadcast, falseando la dirección de origen. 3 .0. 5 1 0.1 5.25 s rc 1.25 IP. 10. d st IP.
- 6. Ping (CA-1996-26) • Envío de un paquete ICMP con tamaño superior a 65535 bytes, tamaño máximo para un paquete IP convencional. • Error en el ensamblado del paquete fragmentado. • Fácil de explotar mediante la herramienta “ping”
- 7. Syn Flood (CA-1996-21) • Envío de paquetes SYN con origen falseado, sin completar el handshake. • Los sistemas llenan su tabla de conexiones esperando un ACK Google: site:cisco.com +"syn flooding"
- 8. Teardrop (CA-1997-28) • Envío de paquetes mal formados fragmentados. – Error en el ensamblado de estos fragmentos inconsistentes • Sistemas afectados: Windows 95, NT, Linux, HPUX
- 9. Land (CA-1997-28) • Envío de paquete con ip.src igual a ip.dst, y port.src igual a port.dst. • Afectó a múltiples sistemas: Windows, HPUX, AIX, NetBSD, Linux, Cisco, … /* land.c by m3lt, FLC crashes a win95 box */ […] ipheader->saddr=sin.sin_addr.s_addr; ipheader->daddr=sin.sin_addr.s_addr; tcpheader->th_sport=sin.sin_port; tcpheader->th_dport=sin.sin_port; […]
- 10. Smurf (CA-1998-01) • Denegación de servicio Distribuida • Se genera un paquete ICMP echo_request con origen la victima y destino broadcast de la red. • Cada uno de los sistemas responde con ICMP echo_reply a la victima.
- 11. Trin00, TFN2K y Stacheldraht (CA-1999-17, CA-2000-01) • Denegación Distribuida mediante el uso de sistemas “zombie” • Se instala un master que controla distintos esclavos. • Uso de exploits para su distribución • Distintos tipos de ataque: UDP Flood, TCP Synflood, ICMP Flood… • Victimas: Yahoo, Amazon, Buy.com, eBay y CNN
- 12. CodeRed (CA-2001-19) • Gusano que explota vulnerabilidad en servidor web IIS • Modifica la página web. • Infectados más de 359.000 servidores web en menos de 14 horas (fuente caida.org) • Programado para lanzar una denegación de servicio contra la casa blanca (198.137.240.91). – Los administradores cambiaron los DNS
- 13. Aplicaciones Web. • Denegaciones de servicio basadas en la consumición de recursos: – CPU/memoria: realizando múltiples peticiones a una página “pesada”, y es muy dinámica, evidenciando que realiza consultas a otros sistemas backend. • Ej: %% en un buscador. – CPU/memoria: bucles infinitos. – Disco: inundación de registros mediante consultas masivas. – Disco: formularios que permiten subida de ficheros.
- 14. AgoBot(Gaobot) / SDBot • Permite el control del sistema: sniffers, keyloggers, rootkits, cliente smtp (spam), http (fraude de clicks), etc. • Capacidad de DDoS • Posibilidad de realizar peticiones HTTP • Las redes se administran mediante comandos de IRC. • Usa vulnerabilidades conocidas: rpc-dcom, lsass, upnp, asn.1, webdav, recursos compartidos. • Miles de variantes (+4000 para sdbot) • Redes con 20k-80k sistemas. • Venta de Botnets.
- 15. Reinicio de conexiones TCP en BGP (TA04- 111A) • BGP (Border Gateway Protocol) usa TCP como protocolo de transmisión. • Vulnerabilidad en TCP, permite reiniciar una conexión mediante la inundación de paquetes RST, si se conoce el número “aproximado” de secuencia. • BGP usa ventanas (acknowledge number) altos, lo que permite que este sea adivinado.
- 16. ¿sockstress? CVE-2008-4609 • Nueva vulnerabilidad similar a TCP Syn Flood (manipulación de tabla de estados) • No se han publicado detalles técnicos. • No existe herramienta. • Cisco ha confirmado su existencia. • Se prevé que se publique la herramienta o una prueba de concepto de un tercero. • http://www.cisco.com/warp/public/707/cisco-sr-20081017-tcp.shtml • http://tools.cisco.com/security/center/viewAlert.x?alertId=16773
- 17. Botnets, estado actual • +52.000 infecciones diarias. • Más de 5.000.000 de sistemas infectados. • Propagados por vulnerabilidades en navegadores, adjuntos de correo, exploits para OS y descargas de ficheros. • Uso de paneles de control avanzados (web) • Uso de tecnología P2P para su gestión
- 18. Panel de control
- 19. Panel de control
- 20. Denegaciones de Servicio y la ciberguerra Estonia, primer caso.
- 21. Estonia Estonia: Capital: Tallinn Habitantes: 1,4M Territorio: 45,226 km² TLD: .ee
- 22. Otros datos de interés • Alta aceptación de banca online (~99%) • Identificaciones nacionales con tecnología PKI (similar al DNI-e) • Voto electrónico desde el domicilio • Ataques sufridos durante el 27 de abril del 2007 al 19 de mayo del 2007
- 24. Objetivos • Denegación de servicio distribuida contra los principales servicios de Internet. – Webs oficiales y servidores de correo – Servidores DNS – Routers Backbones – Banca • Modificación de páginas web oficiales.
- 27. Denegación de servicio • Comparado a otros DDoS, el trafico contra Estonia es pequeño. • Comienza por ataques centralizados en la blogsfera rusa y continua con botnets • No se conoce quien ejecuta los ataques • Inundaciones de ICMP echo, ataques DNS, SYN floods y UDP Floods • Ataque contra el servidor de correo del parlamento = dos días sin servicio. • Botnet sin panel de control
- 28. Prevención • Publicación de plan estratégico para la seguridad: – Desarrollo e implantación de medidas de seguridad – Incremento de las competencias en sistemas de información – Desarrollo de marco legal para la ciber seguridad – Desarrollo de cooperación internacional – Sensibilización de la ciber seguridad • Análisis de vulnerabilidades
- 29. Conclusiones • Realizar un ciberataque es sencillo y no es necesario equipamiento específico. • Un DDoS puede dañar infraestructura crítica: energía, banca, sanidad, etcétera. • La previsión y correcta gestión de la seguridad en los sistemas de información minimiza los riesgos.
- 31. Referencias • http://www.cert.org • http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_9 -4/syn_flooding_attacks.html • http://www.regno2007.lv/presentations/Internet attacks and how to prevent them.ppt • http://www.enisa.europa.eu/doc/pdf/deliverables/enisa_pp_botnets.p df • http://video.google.com/videoplay?docid=-5362349666961901582
- 32. Gracias