Denegaciones de servicio




                      Alejandro Ramos, CISSP
                      http://www.securitybydefau...
Definición
• Un DoS (Denial Of Service), es el ataque en
  el que el principal objetivo es interrumpir
  una comunicación,...
Clasificación
 • Consumir recursos
    – Uso de tus propios recursos contra ti.
    – Consumo de red
    – Consumo de otro...
Línea de tiempo




          •UDP Port                                                  Evolución de botnets:
          •...
UDP Flood (CA-1996-01)

• Envió de tráfico usando servicios echo(7/udp) o
  chargen(19/udp) a broadcast, falseando la
  di...
Ping (CA-1996-26)

• Envío de un paquete ICMP con tamaño superior
  a 65535 bytes, tamaño máximo para un paquete
  IP conv...
Syn Flood (CA-1996-21)



  • Envío de paquetes
    SYN con origen
    falseado, sin completar
    el handshake.
  • Los s...
Teardrop (CA-1997-28)

• Envío de paquetes mal formados fragmentados.
   – Error en el ensamblado de estos fragmentos
    ...
Land (CA-1997-28)


• Envío de paquete con ip.src igual a ip.dst, y
  port.src igual a port.dst.
• Afectó a múltiples sist...
Smurf (CA-1998-01)

• Denegación de servicio
  Distribuida
• Se genera un paquete ICMP
  echo_request con origen la
  vict...
Trin00, TFN2K y Stacheldraht (CA-1999-17,
     CA-2000-01)

•   Denegación Distribuida mediante el uso de sistemas “zombie...
CodeRed (CA-2001-19)

• Gusano que explota vulnerabilidad en servidor web IIS
• Modifica la página web.
• Infectados más d...
Aplicaciones Web.

• Denegaciones de servicio basadas en la consumición de recursos:
   – CPU/memoria: realizando múltiple...
AgoBot(Gaobot) / SDBot

• Permite el control del sistema: sniffers, keyloggers, rootkits, cliente
  smtp (spam), http (fra...
Reinicio de conexiones TCP en BGP (TA04-
   111A)

• BGP (Border Gateway Protocol) usa TCP como protocolo de
  transmisión...
¿sockstress? CVE-2008-4609

• Nueva vulnerabilidad similar a TCP Syn Flood (manipulación de
  tabla de estados)
• No se ha...
Botnets, estado actual

• +52.000 infecciones diarias.
• Más de 5.000.000 de sistemas infectados.
• Propagados por vulnera...
Panel de control
Panel de control
Denegaciones de Servicio y la ciberguerra
Estonia, primer caso.
Estonia
          Estonia:
          Capital: Tallinn
          Habitantes: 1,4M
          Territorio: 45,226 km²
        ...
Otros datos de interés

• Alta aceptación de banca online (~99%)

• Identificaciones nacionales con tecnología PKI (simila...
Inicio del conflicto
Objetivos

• Denegación de servicio distribuida contra los principales
  servicios de Internet.
   – Webs oficiales y serv...
Sistemas afectados
Denegación de servicio

• Comparado a otros DDoS, el trafico contra Estonia es pequeño.
• Comienza por ataques centralizad...
Prevención

• Publicación de plan estratégico para la seguridad:
   – Desarrollo e implantación de medidas de seguridad
  ...
Conclusiones

• Realizar un ciberataque es sencillo y no es necesario
  equipamiento específico.
• Un DDoS puede dañar inf...
Referencias

• http://www.cert.org
• http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_9
  -4/syn_flooding_at...
Gracias
DoS En La Ciberguerra
DoS En La Ciberguerra
Upcoming SlideShare
Loading in …5
×

DoS En La Ciberguerra

1,611 views

Published on

Denegaciones de Servicio, sus usos en la Ciberguerra

Published in: Technology
0 Comments
3 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,611
On SlideShare
0
From Embeds
0
Number of Embeds
8
Actions
Shares
0
Downloads
72
Comments
0
Likes
3
Embeds 0
No embeds

No notes for slide

DoS En La Ciberguerra

  1. 1. Denegaciones de servicio Alejandro Ramos, CISSP http://www.securitybydefault.com
  2. 2. Definición • Un DoS (Denial Of Service), es el ataque en el que el principal objetivo es interrumpir una comunicación, sistema o servicio. • Se denomina asimétrico, si el origen tiene recursos muy limitados y el destino es una gran red. 
  3. 3. Clasificación • Consumir recursos – Uso de tus propios recursos contra ti. – Consumo de red – Consumo de otros recursos (disco, memoria, cpu, etc) • Destrucción y alteración de configuraciones y servicios – Uso de fallos conocidos en servicios • Destrucción física o alteración de elementos de red.
  4. 4. Línea de tiempo •UDP Port Evolución de botnets: •Ping-of-Death •Trin00 •AgoBot •Uso de P2P •SynFlood •TFN2K •SDBot •Paneles de control Morris Smurf •Stacheldraht RST a BGP $ 1986 1996 1998 2000 2002 2004 2006 2008 2010 •Teardrop CodeRed •land ¿sockstress? Aplicaciones Web
  5. 5. UDP Flood (CA-1996-01) • Envió de tráfico usando servicios echo(7/udp) o chargen(19/udp) a broadcast, falseando la dirección de origen. 3 .0. 5 1 0.1 5.25 s rc 1.25 IP. 10. d st IP.
  6. 6. Ping (CA-1996-26) • Envío de un paquete ICMP con tamaño superior a 65535 bytes, tamaño máximo para un paquete IP convencional. • Error en el ensamblado del paquete fragmentado. • Fácil de explotar mediante la herramienta “ping”
  7. 7. Syn Flood (CA-1996-21) • Envío de paquetes SYN con origen falseado, sin completar el handshake. • Los sistemas llenan su tabla de conexiones esperando un ACK Google: site:cisco.com +"syn flooding"
  8. 8. Teardrop (CA-1997-28) • Envío de paquetes mal formados fragmentados. – Error en el ensamblado de estos fragmentos inconsistentes • Sistemas afectados: Windows 95, NT, Linux, HPUX
  9. 9. Land (CA-1997-28) • Envío de paquete con ip.src igual a ip.dst, y port.src igual a port.dst. • Afectó a múltiples sistemas: Windows, HPUX, AIX, NetBSD, Linux, Cisco, … /* land.c by m3lt, FLC crashes a win95 box */ […] ipheader->saddr=sin.sin_addr.s_addr; ipheader->daddr=sin.sin_addr.s_addr; tcpheader->th_sport=sin.sin_port; tcpheader->th_dport=sin.sin_port; […]
  10. 10. Smurf (CA-1998-01) • Denegación de servicio Distribuida • Se genera un paquete ICMP echo_request con origen la victima y destino broadcast de la red. • Cada uno de los sistemas responde con ICMP echo_reply a la victima.
  11. 11. Trin00, TFN2K y Stacheldraht (CA-1999-17, CA-2000-01) • Denegación Distribuida mediante el uso de sistemas “zombie” • Se instala un master que controla distintos esclavos. • Uso de exploits para su distribución • Distintos tipos de ataque: UDP Flood, TCP Synflood, ICMP Flood… • Victimas: Yahoo, Amazon, Buy.com, eBay y CNN
  12. 12. CodeRed (CA-2001-19) • Gusano que explota vulnerabilidad en servidor web IIS • Modifica la página web. • Infectados más de 359.000 servidores web en menos de 14 horas (fuente caida.org) • Programado para lanzar una denegación de servicio contra la casa blanca (198.137.240.91). – Los administradores cambiaron los DNS
  13. 13. Aplicaciones Web. • Denegaciones de servicio basadas en la consumición de recursos: – CPU/memoria: realizando múltiples peticiones a una página “pesada”, y es muy dinámica, evidenciando que realiza consultas a otros sistemas backend. • Ej: %% en un buscador. – CPU/memoria: bucles infinitos. – Disco: inundación de registros mediante consultas masivas. – Disco: formularios que permiten subida de ficheros.
  14. 14. AgoBot(Gaobot) / SDBot • Permite el control del sistema: sniffers, keyloggers, rootkits, cliente smtp (spam), http (fraude de clicks), etc. • Capacidad de DDoS • Posibilidad de realizar peticiones HTTP • Las redes se administran mediante comandos de IRC. • Usa vulnerabilidades conocidas: rpc-dcom, lsass, upnp, asn.1, webdav, recursos compartidos. • Miles de variantes (+4000 para sdbot) • Redes con 20k-80k sistemas. • Venta de Botnets.
  15. 15. Reinicio de conexiones TCP en BGP (TA04- 111A) • BGP (Border Gateway Protocol) usa TCP como protocolo de transmisión. • Vulnerabilidad en TCP, permite reiniciar una conexión mediante la inundación de paquetes RST, si se conoce el número “aproximado” de secuencia. • BGP usa ventanas (acknowledge number) altos, lo que permite que este sea adivinado.
  16. 16. ¿sockstress? CVE-2008-4609 • Nueva vulnerabilidad similar a TCP Syn Flood (manipulación de tabla de estados) • No se han publicado detalles técnicos. • No existe herramienta. • Cisco ha confirmado su existencia. • Se prevé que se publique la herramienta o una prueba de concepto de un tercero. • http://www.cisco.com/warp/public/707/cisco-sr-20081017-tcp.shtml • http://tools.cisco.com/security/center/viewAlert.x?alertId=16773
  17. 17. Botnets, estado actual • +52.000 infecciones diarias. • Más de 5.000.000 de sistemas infectados. • Propagados por vulnerabilidades en navegadores, adjuntos de correo, exploits para OS y descargas de ficheros. • Uso de paneles de control avanzados (web) • Uso de tecnología P2P para su gestión
  18. 18. Panel de control
  19. 19. Panel de control
  20. 20. Denegaciones de Servicio y la ciberguerra Estonia, primer caso.
  21. 21. Estonia Estonia: Capital: Tallinn Habitantes: 1,4M Territorio: 45,226 km² TLD: .ee
  22. 22. Otros datos de interés • Alta aceptación de banca online (~99%) • Identificaciones nacionales con tecnología PKI (similar al DNI-e) • Voto electrónico desde el domicilio • Ataques sufridos durante el 27 de abril del 2007 al 19 de mayo del 2007
  23. 23. Inicio del conflicto
  24. 24. Objetivos • Denegación de servicio distribuida contra los principales servicios de Internet. – Webs oficiales y servidores de correo – Servidores DNS – Routers Backbones – Banca • Modificación de páginas web oficiales.
  25. 25. Sistemas afectados
  26. 26. Denegación de servicio • Comparado a otros DDoS, el trafico contra Estonia es pequeño. • Comienza por ataques centralizados en la blogsfera rusa y continua con botnets • No se conoce quien ejecuta los ataques • Inundaciones de ICMP echo, ataques DNS, SYN floods y UDP Floods • Ataque contra el servidor de correo del parlamento = dos días sin servicio. • Botnet sin panel de control
  27. 27. Prevención • Publicación de plan estratégico para la seguridad: – Desarrollo e implantación de medidas de seguridad – Incremento de las competencias en sistemas de información – Desarrollo de marco legal para la ciber seguridad – Desarrollo de cooperación internacional – Sensibilización de la ciber seguridad • Análisis de vulnerabilidades
  28. 28. Conclusiones • Realizar un ciberataque es sencillo y no es necesario equipamiento específico. • Un DDoS puede dañar infraestructura crítica: energía, banca, sanidad, etcétera. • La previsión y correcta gestión de la seguridad en los sistemas de información minimiza los riesgos.
  29. 29. Referencias • http://www.cert.org • http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_9 -4/syn_flooding_attacks.html • http://www.regno2007.lv/presentations/Internet attacks and how to prevent them.ppt • http://www.enisa.europa.eu/doc/pdf/deliverables/enisa_pp_botnets.p df • http://video.google.com/videoplay?docid=-5362349666961901582
  30. 30. Gracias

×