DoS En La Ciberguerra

Denegaciones de servicio

Alejandro Ramos, CISSP

http://www.securitybydefault.com

• Un DoS (Denial Of Service), es el ataque en el que el principal objetivo es interrumpir una comunicación, sistema o servicio.

• Se denomina asimétrico, si el origen tiene recursos muy limitados y el destino es una gran red.

Definición

Clasificación

• Consumir recursos

– Uso de tus propios recursos contra ti.

– Consumo de red

– Consumo de otros recursos (disco, memoria, cpu, etc)

• Destrucción y alteración de configuraciones y servicios

– Uso de fallos conocidos en servicios

• Destrucción física o alteración de elementos de red.

Línea de tiempo

Smurf

•Trin00

•TFN2K

•Stacheldraht

•AgoBot

•SDBot

Evolución de botnets:

•Uso de P2P

•Paneles de control

•UDP Port

•Ping-of-Death

•SynFlood

•Teardrop

•land

RST a BGP

¿sockstress?

1996 1998 2000 2002 2004 2006 2008 2010

$

1986

Aplicaciones Web

CodeRed

Morris

UDP Flood (CA-1996-01)

• Envió de tráfico usando servicios echo(7/udp) o chargen(19/udp) a broadcast, falseando la dirección de origen.

IP.src 10.1.0.3

IP.dst 10.1.255.255

Ping (CA-1996-26)

• Envío de un paquete ICMP con tamaño superior a 65535 bytes, tamaño máximo para un paquete IP convencional.

• Error en el ensamblado del paquete fragmentado.

• Fácil de explotar mediante la herramienta “ping”

Syn Flood (CA-1996-21)

• Envío de paquetes SYN con origen falseado, sin completar el handshake.

• Los sistemas llenan su tabla de conexiones esperando un ACK

Google: site:cisco.com +"syn flooding"

Teardrop (CA-1997-28)

• Envío de paquetes mal formados fragmentados.

– Error en el ensamblado de estos fragmentos inconsistentes

• Sistemas afectados: Windows 95, NT, Linux, HPUX

Land (CA-1997-28)

• Envío de paquete con ip.src igual a ip.dst, y port.src igual a port.dst.

• Afectó a múltiples sistemas: Windows, HPUX, AIX, NetBSD, Linux, Cisco, …

/* land.c by m3lt, FLC crashes a win95 box */

[…]

ipheader->saddr=sin.sin_addr.s_addr;

ipheader->daddr=sin.sin_addr.s_addr;

tcpheader->th_sport=sin.sin_port;

tcpheader->th_dport=sin.sin_port;

[…]

Smurf (CA-1998-01)

• Denegación de servicio

Distribuida

• Se genera un paquete ICMP

echo_request con origen la

victima y destino broadcast de

la red.

• Cada uno de los sistemas

responde con ICMP

echo_reply a la victima.

Trin00, TFN2K y Stacheldraht (CA-1999-17,

CA-2000-01)

• Denegación Distribuida mediante el uso de sistemas “zombie”

• Se instala un master que controla distintos esclavos.

• Uso de exploits para su distribución

• Distintos tipos de ataque: UDP Flood, TCP Synflood, ICMP Flood…

• Victimas: Yahoo, Amazon, Buy.com, eBay y CNN

CodeRed (CA-2001-19)

• Gusano que explota vulnerabilidad en servidor web IIS

• Modifica la página web.

• Infectados más de 359.000 servidores web en menos de 14 horas

(fuente caida.org)

• Programado para lanzar una denegación de servicio contra la casa

blanca (198.137.240.91).

– Los administradores cambiaron los DNS

Aplicaciones Web.

• Denegaciones de servicio basadas en la consumición de recursos:

– CPU/memoria: realizando múltiples peticiones a una página

“pesada”, y es muy dinámica, evidenciando que realiza

consultas a otros sistemas backend.

• Ej: %% en un buscador.

– CPU/memoria: bucles infinitos.

– Disco: inundación de registros mediante consultas masivas.

– Disco: formularios que permiten subida de ficheros.

AgoBot(Gaobot) / SDBot

• Permite el control del sistema: sniffers, keyloggers, rootkits, cliente

smtp (spam), http (fraude de clicks), etc.

• Capacidad de DDoS

• Posibilidad de realizar peticiones HTTP

• Las redes se administran mediante comandos de IRC.

• Usa vulnerabilidades conocidas: rpc-dcom, lsass, upnp, asn.1,

webdav, recursos compartidos.

• Miles de variantes (+4000 para sdbot)

• Redes con 20k-80k sistemas.

• Venta de Botnets.

Reinicio de conexiones TCP en BGP (TA04-

111A)

• BGP (Border Gateway Protocol) usa TCP como protocolo de

transmisión.

• Vulnerabilidad en TCP, permite reiniciar una conexión mediante la

inundación de paquetes RST, si se conoce el número “aproximado”

de secuencia.

• BGP usa ventanas (acknowledge number) altos, lo que permite que

este sea adivinado.

¿sockstress? CVE-2008-4609

• Nueva vulnerabilidad similar a TCP Syn Flood (manipulación de

tabla de estados)

• No se han publicado detalles técnicos.

• No existe herramienta.

• Cisco ha confirmado su existencia.

• Se prevé que se publique la herramienta o una prueba de concepto

de un tercero.

• http://www.cisco.com/warp/public/707/cisco-sr-20081017-tcp.shtml

• http://tools.cisco.com/security/center/viewAlert.x?alertId=16773

http://www.cisco.com/warp/public/707/cisco-sr-20081017-tcp.shtml







http://tools.cisco.com/security/center/viewAlert.x?alertId=16773

Botnets, estado actual

• +52.000 infecciones diarias.

• Más de 5.000.000 de sistemas infectados.

• Propagados por vulnerabilidades en navegadores, adjuntos de

correo, exploits para OS y descargas de ficheros.

• Uso de paneles de control avanzados (web)

• Uso de tecnología P2P para su gestión

Panel de control

Denegaciones de Servicio y la ciberguerraEstonia, primer caso.

Estonia:

Capital: Tallinn

Habitantes: 1,4M

Territorio: 45,226 km²

TLD: .ee

Estonia

Otros datos de interés

• Alta aceptación de banca online (~99%)

• Identificaciones nacionales con tecnología PKI (similar al

DNI-e)

• Voto electrónico desde el domicilio

• Ataques sufridos durante el 27 de abril del 2007 al 19 de

mayo del 2007

Inicio del conflicto

Objetivos

• Denegación de servicio distribuida contra los principales

servicios de Internet.

– Webs oficiales y servidores de correo

– Servidores DNS

– Routers Backbones

– Banca

• Modificación de páginas web oficiales.

Sistemas afectados

Denegación de servicio

• Comparado a otros DDoS, el trafico contra Estonia es pequeño.

• Comienza por ataques centralizados en la blogsfera rusa y

continua con botnets

• No se conoce quien ejecuta los ataques

• Inundaciones de ICMP echo, ataques DNS, SYN floods y UDP

Floods

• Ataque contra el servidor de correo del parlamento = dos días sin

servicio.

• Botnet sin panel de control

Prevención

• Publicación de plan estratégico para la seguridad:

– Desarrollo e implantación de medidas de seguridad

– Incremento de las competencias en sistemas de

información

– Desarrollo de marco legal para la ciber seguridad

– Desarrollo de cooperación internacional

– Sensibilización de la ciber seguridad

• Análisis de vulnerabilidades

Conclusiones

• Realizar un ciberataque es sencillo y no es necesario

equipamiento específico.

• Un DDoS puede dañar infraestructura crítica: energía,

banca, sanidad, etcétera.

• La previsión y correcta gestión de la seguridad en los

sistemas de información minimiza los riesgos.

Referencias

• http://www.cert.org

• http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_9

-4/syn_flooding_attacks.html

• http://www.regno2007.lv/presentations/Internet attacks and how to

prevent them.ppt

• http://www.enisa.europa.eu/doc/pdf/deliverables/enisa_pp_botnets.p

df

• http://video.google.com/videoplay?docid=-5362349666961901582

http://www.cert.org/

http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_9-4/syn_flooding_attacks.html



http://www.regno2007.lv/presentations/Internet attacks and how to prevent them.ppt




http://www.enisa.europa.eu/doc/pdf/deliverables/enisa_pp_botnets.pdf



http://video.google.com/videoplay?docid=-5362349666961901582



Gracias

DoS En La Ciberguerra

Technology

Transcript of DoS En La Ciberguerra