You are on page 1of 9

Tcnicas de ataques

distribuidas
Auditoria de sistemas
15/07/2011
Profesor: Msc. Ricardo Jimnez
Alumna: Mnica Santilln

Qu es un ataque DDoS?
Tambin conocido como Ataque de Negacin de servicio distribuido es un tipo especial de
DoS de manera conjunta y coordinada entre varios equipos.
Estos ataques consiguen el objetivo de tumbar la mquina vctima agotando el ancho de
banda o sobrepasando la capacidad de procesamiento. Para terminar de familiarizarnos
con esos trminos decir que a las mquinas encargadas de realizar el ataque se les denomina
Zombie y al conjunto total botnet.
Qu hace el DDOS?
Primero dejar en claro que un ataque DDOS no modifica pginas web ni obtiene informacin
de ellas, su cometido es entorpecer el acceso de los usuarios al servidor.

Los ataques de Denegacin de Servicio (DoS) tienen la finalidad de provocar que un


servicio o recurso sea inaccesible para los usuarios legtimos.
Este tipo de ataques pueden provocar:
Parada de todos los servicios de una mquina
La mquina slo puede dar determinados servicios
La mquina no puede dar servicio a determinados usuarios
Ejemplos de ataques DoS
Consumo de ancho de banda:
Smurf Attack
ICMP Ping Flood
Fraggle Attack
Ataques a la conectividad
SYN Flood Attacks

Consumo de Ancho de Banda

Smurf Attack : Este ataque se basa en mandar un gran nmero de peticiones echo (ICMP)
a direcciones de Broadcast usando una IP de origen falsa. Esto provoca que la IP de origen
sea inundada con multitud de respuestas.
ICMP Ping Flood: En este ataque se inunda a la vctima con paquetes ICMP Echo Request.
Fraggle Attack: Es similar al ataque Smurf pero en este caso se enva trfico UDP en lugar
de ICMP.
Ataques a la conectividad
SYN Flood Attack: Consiste en enviar muchos paquetes TCP/SYN con la direccin de origen
falseada. Esto provoca que el servidor espere las respuestas que nunca llegan, provocando
un consumo elevado de recursos que afectan al rendimiento del servidor
Un ataque de Denegacin de Servicio Distribuido (DdoS) es un tipo especial de ataque
DoS en el que se utilizan varios equipos para realizar un ataque coordinado contra una
mquina.
En este tipo de ataque se suelen utilizar mquinas denominadas Zombies que el atacante
consigue controlar gracias a algn tipo de malware.
Al conjunto de mquinas Zombies que controla un atacante se las
suele denominar BotNets.
Existen multitud de herramientas de DdoS conocidas, algunas de las ms importantes son:
Trinoo: Primera herramienta conocida de este tipo.
TFN y TFN2K: ICMP Flood, SYN Flood, UDP Flood.
Stacheldraht: ICMP Flood, SYN Flood, UDP Flood y Smurf.
Shaft: SYN flooding, UDP flooding, ICMP flooding, and Smurf
Ejemplos de ataques DdoS reales:
En Febrero de 2000 ualgunas compaas incluyendo Yahoo, Amazon y Ebay sufrieron una
serie de ataques DdoS que les dejaron sin servicio.
En Julio de 2001 una serie de ataques DdoS tuvieron efecto sobre la web de la Casa
Blanca.
En Octubre de 2002 se realiz un ataque DdoS contra los servidores DNS raz que lograron
afectar a 9 de 13 de los servidores DNS que controlan Internet.
En Mayo de 2007 Estonia sufri un ataque DdoS masivo que afect a multitud de servidores
incluyendo la presidencia, el parlamento, varios ministerios, bancos, telecomunicaciones, etc.
Ataques DoS contra aplicaciones web
Este tipo de ataque tiene como objetivo dejar sin servicio a la propia aplicacin en lugar de la
mquina.
Una de las ventajas que tiene el atacante es que no necesita tantos recursos para llevar a
cabo el ataque como un ataque DoS normal.
En muchas ocasiones este tipo de ataques son ms difciles de detectar debido a que se
camuflan en peticiones aparentemente comunes.

Los ataques DoS contra aplicaciones web se pueden llevar a cabo de diferentes maneras:
Cuelgue de la Aplicacin:
Buffer Overflows
Varios
Modificacin y destruccin de datos
Consumo de recursos

CPU

Ancho de Banda

Memoria

Espacio en Disco
Medidas de proteccin
A nivel de cdigo:
La regla bsica es VALIDAR LAS ENTRADAS!!!.
Intentar evitar cdigo que requiera muchas operaciones o un consumo excesivo de la
CPU.
Comprobar el rendimiento de las funciones e intentar
Optimizarlas lo mximo posible.
A nivel de red:
Implementar soluciones de balanceo de carga y cache si fuese necesario.
Implementar un firewall de aplicacin como ModSecurity que ayuda a protegernos de
ataques contra las aplicaciones que se nos hayan podido pasar al revisar el cdigo.
Estudiar el retorno de inversin de un sistema comercial de proteccin contra este tipo
de ataques e incluirlo en la red si es necesario.
TIPOS DE ATAQUES
Existen 3 tipo de ataques bajo la definicin genrica de DDOS:

Net Flood: Este ataque simplemente aspira a degradar la conectividad Internet de


una red mediante la saturacin de sus enlaces de comunicacin. Se organizan ataques
masivos desde diferentes puntos de la red con las denominadas computadoras
zombies.

Syn Flood: Se basa en la regla de conexin entre 2 mquinas llamada conexin en


tres pasos precisamente porque requiere la realizacin de tres pasos iniciales antes
de que la conexin se pueda considerar establecida. Si el paso final no llega a
establecerse, la conexin permanece en un estado denominado semiabierto. Este
ataque satura las conexiones semiabiertas de una pc.

Connection Flood: Todo servicio de Internet orientado a conexin tiene un lmite


mximo en el nmero de conexiones simultaneas que puede tolerar, cuando este
lmite es alcanzado no se admitirn nuevas conexiones. Pero en este caso se completa
la negociacin en tres pasos que comentbamos en el ataque Syn Flood. Debido a
ello la mquina atacada tiene constancia de la identidad real del atacante.
MTODOS DE ATAQUE
CASO QUIENTEADMITE.COM, EJEMPLO REAL DE ATAQUE DDOS

Un ataque DDoS Inutiliza la pagina web del referndum del 15 de Octubre


La pgina web de la iniciativa del referndum popular del 15 de octubre ha sido vctima,
pasadas las 19:30 de la tarde, de un ataque masivo de denegacin de servicio ms conocido
como DDos, lo que la ha inutilizado por completo Desde las 19:30 de esta tarde, la pgina
web donde se alojaba la iniciativa de referndum popular para el 15 de octubre est
inoperativa, siendo imposible acceder a ella.
El sitio web de Master Card sufre un nuevo ataque DDoS
Actualizado mircoles 29/06/2011
La web de la compaa Master Card ha sufrido un nuevo ataque de denegacin de servicio
(DDoS), como ya ocurri tras bloquear las donaciones a WikiLeaks hace meses.
El 'hacker' Ibomhacktivist se ha atribuido la autora a travs de un 'tuit' en su cuenta de
Twitter. Durante el martes la pgina web de la compaa cargaba con lentitud e incluso era
imposible acceder al sitio.
Despus de que el grupo de 'hackers' Anonymous se responsabilizara del ataque a la web de
Master Card en el mes de diciembre, el sitio ha vuelto a ser atacado esta vez por otro
'hacker'.
El motivo que impuls a Anonymous en su momento y el que ha impulsado a Ibomhacktivist
parece ser el mismo: la decisin de la compaa financiera de retirar los servicios que
prestaba al portal WikiLeaks, asegura Sophos.
Ibomhacktivist publicaba en su Twitter: "MasterCard.com CADA!!! Eso es lo que obtienes
cuando te metes con @wikileaks Y @Anon_Central y con la comunidad de personas amantes
de Lulz".
Horas ms tarde, la propia compaa confirm en un comunicado que haba sido vctima de
un ataque. "Podemos confirmar que la web mastercard.com ha experimentado la interrupcin
de su servicio intermitentemente, debido a una interrupcin del servicio de
telecomunicaciones/Internet del proveedor que afecta a varios usuarios".
Adems en el comunicado, la compaa ha tranquilizado a los usuarios asegurando que los
datos de los usuarios "no se han visto afectados" y que los titulares de tarjetas Master Card
"pueden seguir utilizando sus tarjetas de forma segura". "Seguimos de cerca la situacin",
concluyen
Medidas de proteccin

Estar preparado
Los ataques que consisten en miles de conexiones vlidas por segundo funcionan porque
cada una de las conexiones supone una carga en nuestros servidores (mostrar la informacin
de la pgina web, quiz haciendo consultas a una base de datos, etc.)
Todo el mundo que tiene pgina web debera tener calculado el impacto en rendimiento de
sus pginas, y tener siempre un website alternativo de bajo impacto para situaciones de
sobrecarga. Por ejemplo, durante los ataques en Nueva York del 11-S, muchos medios de
comunicacin sufrieron un ataque DoS no intencionado al tener a millones de personas por
todo el mundo intentando enterarse de qu pasaba. Algunos, como la CNN cambiaron su
pgina normal por una de slo texto, sin publicidad, ni elementos innecesarios, de forma que
cada peticin se pudiera procesar en menos tiempo y as poder atender ms conexiones por
segundo.
Esto se puede incluso automatizar, de forma que los servidores web cambien
automticamente a la versin light en cuanto detectan un aumento inesperado del nivel de
peticiones.
Usar redes de distribucin de contenido (CDN)
Los CDN son sistemas que permiten a las empresas distribuir su contenido esttico por
servidores distribuidos por todo el mundo, como los proporcionados por la empresa Akamai.
Durante los ataques DDoS a partidos polticos a finales de diciembre de 2010, casi todos
cayeron enseguida (PP, CiU, etc.). Algunos de ellos tienen sus pginas alojadas en empresas
de hosting de las de 10/mes, y se merecen lo que les pase. Sin embargo, hubo una web de
un partido que, aparentemente, no sucumbi, y es la del PSOE. Simplemente hicieron que su
pgina principal fuera esttica y fuera servida por servidores de Akamai. Da igual que se
caigan los servidores, en todo momento se poda seguir visitando la web (con una
funcionalidad reducida). Algunos cros participantes en el ataque se indignaron por esta
trampa.
Como si quiero entrar en tu casa y digo que haces trampa por echar la llave. En fin.
Que te ayude tu proveedor de acceso a Internet
Si tienes un proveedor de acceso serio, siempre podrs pedir que te ayuden en caso de
ataque. Como mnimo deberan ser capaces de reenviar el trfico que est dirigido a tus
sistemas, a una ruta invlida (null route) de forma temporal.
El problema de este sistema es que nadie podr acceder desde fuera, ni los atacantes ni tus
usuarios legtimos. Entre los participantes en el ataque, que normalmente no tienen
conocimientos suficientes, se cree que el ataque ha tenido xito, ya que la pgina web deja
de estar accesible.
Esto viene a ser la estrategia de hacerse el muerto, que puede ser muy vlida en algunos
casos, sobre todo combinada con contenido esttico en CDN (ver punto anterior).
Utilizar una solucin anti-DDoS proporcionada por tu proveedor de acceso
Esto suele ser lo necesario cuando quieres evitar el ataque, pero quieres mantener tu sitio
accesible por usuarios legtimos, y que el contenido no sea esttico, sino transaccional. Es
decir, seguir operando business as usual. Estas soluciones son complejas, y normalmente
las ofrecen los proveedores de acceso a Internet a las grandes empresas, con un coste por
supuesto.
Suelen consistir en:
Sistema de deteccin - elementos de red (tipo Arbor Peakflow) que detectan la
anomala en el trfico de red y hacen anlisis del trfico. Si se situan en la ruta entre
Internet y tu permetro, suelen estar gestionados por el ISP. Si los situas en tu
permetro, pueden estar gestionados por el ISP o por la empresa cliente.

Mecanismo de redireccin puede ser iniciado por el ISP o por la empresa atacada,
y suele consistir en publicar una ruta nueva usando el protocolo de rutado BGP, de
forma que el trfico a ciertas IPs se redirija a travs de un sistema de mitigacin.

Sistema de mitigacin - son elementos de red (tipo Cisco Guard), gestionados por
el ISP, que se comen todo el trfico (suelen tener una capacidad enorme, difcil de
saturar por el ataque tpico), y se encargan de separar el grano de la paja mediante
anlisis estadstico, y reenvan a la empresa atacada el trfico limpio mediante un
tnel GRE cifrado.

Ingeniera social (seguridad informtica)

Definiciones
La ingeniera social consiste en la manipulacin de las personas para que voluntariamente
realicen actos que normalmente no haran.
Trmino usado entre crackers y samurais para referirse a las tcnicas de violacin que se
sustentan en las debilidades de las personas mas que en el software. El objetivo es engaar a
la gente para que revele contraseas u otra informacin que comprometa la seguridad del
sistema objetivo
Objetivos (Qe Quieren Hacer?)*
Los objetivos bsicos de la Ingeniera Social son los mismos del hacking o cracking
(dependiendo de quien lo haga) en general: ganar acceso no autorizado a los sistemas, redes
o a la informacin para...
>Cometer Fraude,
>Entrometerse en las Redes,
>Espionaje Industrial,
>Robo de Identidad (de moda),
>Irrumpir en los Sistemas o Redes.
Objetivos (A Quien Van Dirigidos?)*
Las vctimas tpicas incluyen
Empresas Telefnicas
Servicios de Helpdesk y CRM
Corporaciones Renombradas
Agencias e Instituciones Gubernamentales y Militares
Instituciones Financieras
Hospitales.
El boom de la internet tuvo su parte de culpa en la proliferacin de ataques a pequeos
start-ups, pero en general, los ataques se centran en grandes compaias.
Tcnicas y Herramientas de
Ingeniera Social
Invasivas o Directas o Fsicas
El Telfono
Personificacin Falsa y Persuacin
Tretas Engaosas: Amenazas, Confusiones Falsas.
Falsos Reportes de Problemas.
Personificacin Falsa en llamadas a HelpDesks y
Sistemas CRM
Completacin de Datos Personales
Robo de Contraseas o Claves de Acceso
Telefnico:
Consulta de buzones de voz.
Uso fraudulento de lneas telefnicas.
Uso de Sistemas Internacionales de Voz sobre IP.
El Sitio de Trabajo
Entrada a los sitios de trabajo
o Acceso Fsico no Autorizado
o Tailgating
Oficina
o Shoulder Surfing (ver por encima del hombro), Leer al revs.
o Robar, fotografiar o copiar documentos sensibles.
o Pasearse por los pasillos buscando oficinas abiertas
o Intentos de ganar acceso al cuarto de PBX y/o servidores para:
o Conseguir acceso a los sistemas,
o Instalar analizadores de protocolo escondidos, sniffers o,
o Remover o robar pequeos equipos con o sin datos.

La Basura
Dumpster Diving o Qu hay en nuestra basura?:
> Listados Telefnicos.
> Organigramas.
> Memorandos Internos.
> Manuales de Polticas de la Compaia.
> Agendas en Papel de Ejecutivos con Eventos y Vacaciones.
> Manuales de Sistemas.
> Impresiones de Datos Sensibles y Confidenciales.
> Logins, Logons y a veces... contraseas.
> Listados de Programas (cdigo fuente).
> Disquettes y Cintas.
> PapelMembretado y Formatos Varios.
> Hardware Obsoleto.
La Internet-Intranet
Si en algo es consistente un usuario es en repetir
passwords.
Password Guessing
> Placa del Carro.
> Nombre de la HIJA + 2005.
> Fecha de nacimiento.
Encuestas, Concursos, Falsas Actualizaciones de
Datos.
Anexos con Troyanos, Exploits, Spyware, Software
de Navegacin remota y Screen Rendering.
Fuera de la Oficina
Almuerzos De Negocios de Viernes, que terminan
en volada de oficina y Happy Hours, con
potenciales consecuencias desastrosas:
> Sesiones de confesin de contraseas, extensiones,
direcciones de correo electrnico. Al otro dia, la vctima
no se acuerda.
Conexiones de oficina a Oficina:
> Puedo leer mi e-mail desde aqui?
> Eso est en la Intranet de la Empresa, pero (en tono
jactancioso) yo puedo entrar desde aqui.
> Lo que no sabe la victima es de la existencia de KeyGrabbers
> Solucin: One Time Passwords.

You might also like