Download - DoS En La Ciberguerra
Denegaciones de servicio
Alejandro Ramos, CISSP
http://www.securitybydefault.com
• Un DoS (Denial Of Service), es el ataque en el que el principal objetivo es interrumpir una comunicación, sistema o servicio.
• Se denomina asimétrico, si el origen tiene recursos muy limitados y el destino es una gran red.
Definición
Clasificación
• Consumir recursos
– Uso de tus propios recursos contra ti.
– Consumo de red
– Consumo de otros recursos (disco, memoria, cpu, etc)
• Destrucción y alteración de configuraciones y servicios
– Uso de fallos conocidos en servicios
• Destrucción física o alteración de elementos de red.
Línea de tiempo
Smurf
•Trin00
•TFN2K
•Stacheldraht
•AgoBot
•SDBot
Evolución de botnets:
•Uso de P2P
•Paneles de control
•UDP Port
•Ping-of-Death
•SynFlood
•Teardrop
•land
RST a BGP
¿sockstress?
1996 1998 2000 2002 2004 2006 2008 2010
$
1986
Aplicaciones Web
CodeRed
Morris
UDP Flood (CA-1996-01)
• Envió de tráfico usando servicios echo(7/udp) o chargen(19/udp) a broadcast, falseando la dirección de origen.
IP.src 10.1.0.3
IP.dst 10.1.255.255
Ping (CA-1996-26)
• Envío de un paquete ICMP con tamaño superior a 65535 bytes, tamaño máximo para un paquete IP convencional.
• Error en el ensamblado del paquete fragmentado.
• Fácil de explotar mediante la herramienta “ping”
Syn Flood (CA-1996-21)
• Envío de paquetes SYN con origen falseado, sin completar el handshake.
• Los sistemas llenan su tabla de conexiones esperando un ACK
Google: site:cisco.com +"syn flooding"
Teardrop (CA-1997-28)
• Envío de paquetes mal formados fragmentados.
– Error en el ensamblado de estos fragmentos inconsistentes
• Sistemas afectados: Windows 95, NT, Linux, HPUX
Land (CA-1997-28)
• Envío de paquete con ip.src igual a ip.dst, y port.src igual a port.dst.
• Afectó a múltiples sistemas: Windows, HPUX, AIX, NetBSD, Linux, Cisco, …
/* land.c by m3lt, FLC crashes a win95 box */
[…]
ipheader->saddr=sin.sin_addr.s_addr;
ipheader->daddr=sin.sin_addr.s_addr;
tcpheader->th_sport=sin.sin_port;
tcpheader->th_dport=sin.sin_port;
[…]
Smurf (CA-1998-01)
• Denegación de servicio
Distribuida
• Se genera un paquete ICMP
echo_request con origen la
victima y destino broadcast de
la red.
• Cada uno de los sistemas
responde con ICMP
echo_reply a la victima.
Trin00, TFN2K y Stacheldraht (CA-1999-17,
CA-2000-01)
• Denegación Distribuida mediante el uso de sistemas “zombie”
• Se instala un master que controla distintos esclavos.
• Uso de exploits para su distribución
• Distintos tipos de ataque: UDP Flood, TCP Synflood, ICMP Flood…
• Victimas: Yahoo, Amazon, Buy.com, eBay y CNN
CodeRed (CA-2001-19)
• Gusano que explota vulnerabilidad en servidor web IIS
• Modifica la página web.
• Infectados más de 359.000 servidores web en menos de 14 horas
(fuente caida.org)
• Programado para lanzar una denegación de servicio contra la casa
blanca (198.137.240.91).
– Los administradores cambiaron los DNS
Aplicaciones Web.
• Denegaciones de servicio basadas en la consumición de recursos:
– CPU/memoria: realizando múltiples peticiones a una página
“pesada”, y es muy dinámica, evidenciando que realiza
consultas a otros sistemas backend.
• Ej: %% en un buscador.
– CPU/memoria: bucles infinitos.
– Disco: inundación de registros mediante consultas masivas.
– Disco: formularios que permiten subida de ficheros.
AgoBot(Gaobot) / SDBot
• Permite el control del sistema: sniffers, keyloggers, rootkits, cliente
smtp (spam), http (fraude de clicks), etc.
• Capacidad de DDoS
• Posibilidad de realizar peticiones HTTP
• Las redes se administran mediante comandos de IRC.
• Usa vulnerabilidades conocidas: rpc-dcom, lsass, upnp, asn.1,
webdav, recursos compartidos.
• Miles de variantes (+4000 para sdbot)
• Redes con 20k-80k sistemas.
• Venta de Botnets.
Reinicio de conexiones TCP en BGP (TA04-
111A)
• BGP (Border Gateway Protocol) usa TCP como protocolo de
transmisión.
• Vulnerabilidad en TCP, permite reiniciar una conexión mediante la
inundación de paquetes RST, si se conoce el número “aproximado”
de secuencia.
• BGP usa ventanas (acknowledge number) altos, lo que permite que
este sea adivinado.
¿sockstress? CVE-2008-4609
• Nueva vulnerabilidad similar a TCP Syn Flood (manipulación de
tabla de estados)
• No se han publicado detalles técnicos.
• No existe herramienta.
• Cisco ha confirmado su existencia.
• Se prevé que se publique la herramienta o una prueba de concepto
de un tercero.
• http://www.cisco.com/warp/public/707/cisco-sr-20081017-tcp.shtml
• http://tools.cisco.com/security/center/viewAlert.x?alertId=16773
Botnets, estado actual
• +52.000 infecciones diarias.
• Más de 5.000.000 de sistemas infectados.
• Propagados por vulnerabilidades en navegadores, adjuntos de
correo, exploits para OS y descargas de ficheros.
• Uso de paneles de control avanzados (web)
• Uso de tecnología P2P para su gestión
Panel de control
Panel de control
Denegaciones de Servicio y la ciberguerraEstonia, primer caso.
Estonia:
Capital: Tallinn
Habitantes: 1,4M
Territorio: 45,226 km²
TLD: .ee
Estonia
Otros datos de interés
• Alta aceptación de banca online (~99%)
• Identificaciones nacionales con tecnología PKI (similar al
DNI-e)
• Voto electrónico desde el domicilio
• Ataques sufridos durante el 27 de abril del 2007 al 19 de
mayo del 2007
Inicio del conflicto
Objetivos
• Denegación de servicio distribuida contra los principales
servicios de Internet.
– Webs oficiales y servidores de correo
– Servidores DNS
– Routers Backbones
– Banca
• Modificación de páginas web oficiales.
Sistemas afectados
Denegación de servicio
• Comparado a otros DDoS, el trafico contra Estonia es pequeño.
• Comienza por ataques centralizados en la blogsfera rusa y
continua con botnets
• No se conoce quien ejecuta los ataques
• Inundaciones de ICMP echo, ataques DNS, SYN floods y UDP
Floods
• Ataque contra el servidor de correo del parlamento = dos días sin
servicio.
• Botnet sin panel de control
Prevención
• Publicación de plan estratégico para la seguridad:
– Desarrollo e implantación de medidas de seguridad
– Incremento de las competencias en sistemas de
información
– Desarrollo de marco legal para la ciber seguridad
– Desarrollo de cooperación internacional
– Sensibilización de la ciber seguridad
• Análisis de vulnerabilidades
Conclusiones
• Realizar un ciberataque es sencillo y no es necesario
equipamiento específico.
• Un DDoS puede dañar infraestructura crítica: energía,
banca, sanidad, etcétera.
• La previsión y correcta gestión de la seguridad en los
sistemas de información minimiza los riesgos.
Referencias
• http://www.cert.org
• http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_9
-4/syn_flooding_attacks.html
• http://www.regno2007.lv/presentations/Internet attacks and how to
prevent them.ppt
• http://www.enisa.europa.eu/doc/pdf/deliverables/enisa_pp_botnets.p
df
• http://video.google.com/videoplay?docid=-5362349666961901582
Gracias