Artículo Científico / Scientific Paper

Evaluación y mitigación de ataquesreales a redes ip utilizando

tecnologías de virtualización de libredistribución

Lina Patricia Zapata Molina1,∗

ResumenLos ataques a redes IP pueden colapsar la continuidadde los servicios de las empresas afectando su imageny causando graves pérdidas económicas. La presenteinvestigación se centra en la evaluación de diversosataques reales de redes IP utilizando plataformas devirtualización con el fin de establecer mecanismos deseguridad para mitigarlos. Para llevarlo a cabo, sediseñaron e implementaron varias topologías de expe-rimentación usando entornos virtuales de red, dentrode las cuales se probaron el escaneo de puertos, fuer-za bruta, suplantación de identidad y denegación deservicios, tanto en una red de área local como en unaextendida. Para cada topología, se utilizó diferentesoftware libre tanto para producir el ataque como paraobtener el flujo de tráfico, evaluándose las consecuen-cias del ataque. Para contrarrestar dichos ataques, sedesarrolló un demonio en Shell script que es capaz dedetectar, controlar y mitigar los ataques mencionadosde manera programable y constante. Los resultadosmuestran la funcionalidad de esta investigación quereduce las amenazas y vulnerabilidades de las redes enproducción.

Palabras clave: ataques de seguridad, tecnologías devirtualización.

AbstractIP networks attacks can collapse the continuity ofbusiness services affecting its image and causing eco-nomic losses. This research focuses on the evaluationof several IP networking real attacks using virtuali-zation platforms to provide security mechanisms tomitigate them. To carry out this work, we designedand implemented several experimentation topologiesusing virtual network environments, within which weretested port scans, brute force, spoofing and denial ofservices, both on a local area network as wide areanetwork. For each topology, different free open sourcesoftware was used both to produce the attack and toobtain the traffic flow, evaluating the consequences ofthese attacks. To deal with such attacks, we developeda demon program that is able to prevent, detect andmitigate these attacks mentioned. The results showthe functionality of this research that reduces threatsand vulnerabilities in production networks.

Keywords: security attacks, virtualization technology.

1,∗Máster en Redes de Información y Conectividad, Ingeniera en Sistemas, Analista de Sistemas. Docente de lacarrera de Ingeniería de Sistemas, Universidad Politécnica Salesiana, sede Quito. Autor para correspondencia ):lzapata@ups.edu.ecRecibido: 07 - Noviembre - 2012 , Aprobado tras revisión: 15 - Noviembre - 2012Forma sugerida de citación: Zapata Molina, L. (2012). “Evaluación y mitigación de ataques reales a redes IP utilizandotecnologías de virtualización de libre distribución”. INGENIUS . N.◦8, (Julio/Diciembre). pp 11-19. ISSN: 1390-650X

11

12 INGENIUS N.◦8, Julio/Diciembre de 2012

1. IntroducciónLas redes teleinformáticas están expuestas a ata-

ques e intrusiones que pueden dejar inoperativos losrecursos y causar pérdidas de la imagen, productividad,credibilidad y competitividad, provocando perjuicioseconómicos que podrían comprometer la continuidaddel negocio [1]. Esta incertidumbre sigue agravándose,pues continúan apareciendo diversas amenazas, vul-nerabilidades y tipos de ataques que implican: hurto,modificación, espionaje, interrupción, falsificación, de-negación de servicios, etc., perjudicando directamentea los negocios que son altamente dependientes de sussistemas y redes de información [2].

Para prevenir y contrarrestar una amplia gama deamenazas a las redes, es necesario conocer sus vulnera-bilidades e identificar diversos tipos de ataques. Paramanejar esta situación se propone crear un ambientede red controlado con los componentes necesarios quedetecten ataques maliciosos, para analizarlos y con-trarrestarlos. Una primera alternativa sería medianteequipos reales, sin embargo, esto encarecería la solucióny pondría en riesgo la red en producción. Otra alterna-tiva sería utilizar máquinas virtuales, con las cuales esposible reducir costos de inversión de hardware, costosde mantenimiento, costo y tiempo de experimentacióny sobre todo reduciría el riesgo del colapso de la reden producción [3].

En este contexto, la comunidad científica ha mos-trado un creciente interés por investigar e implementarsoluciones para disminuir los ataques a redes aprove-chando las tecnologías de virtualización. De acuerdocon la guía de Seguridad para Tecnologías de Vir-tualización, del Instituto Nacional de Estándares yTecnología (NIST) la virtualización podría reducir elimpacto de esta explotación [4]. Bajo este precepto, eltrabajo propuesto en [5], formula la implementaciónde un laboratorio colaborativo de seguridad utilizandomáquinas virtuales.

En [6], se propone la integración de las tecnologíasde virtualización para la instrucción de seguridad enredes implementando un laboratorio remoto de detec-ción de intrusiones. Otros investigadores [7], [8], hanutilizado el concepto de Honeynet basada en máquinasvirtuales, como una herramienta de seguridad cuyopropósito es el estudio de las técnicas y motivacionesde los atacantes al romper los sistemas de seguridad.En este mismo ámbito [9], [10], [11], han utilizado lasplataformas de virtualización para recuperación dedesastres y mitigación de ataques reales a redes IP.

El objetivo del presente trabajo fue diseñar e imple-mentar una plataforma de experimentación para eva-luar ataques reales de redes IP utilizando plataformasde virtualización de libre distribución e implementar

mecanismos de control y mitigación para contrarrestar-los. Para llevarlo a cabo, se diseñaron y se pusieron enfuncionamiento los diferentes escenarios de experimen-tación utilizado VMware Player y VirtualBox. Luegose aplicaron diversos tipos de ataques a cada escenariocreado. Posteriormente, se evaluó el impacto que pro-vocan los diversos ataques analizando la informaciónde las trazas. Finalmente se proponen mecanismos demitigación de cada uno de estos ataques. Todo estoutilizando diversas herramientas de código abierto yde libre distribución.

2. Estado del arteLa investigación planteada en este proyecto cobra

importancia debido a que permitirá analizar un proble-ma actual y real, existente en las redes de información,mediante la utilización de la tecnología de virtualiza-ción, que es una tecnología disruptiva para la presentedécada.

Este proyecto se desarrollará con plataformas devirtualización de libre distribución, a fin de emulardiversos ataques a redes IP.

Los principales beneficios fueron:

1. Desde el punto de vista investigativo, el diseñoy configuración de plataformas virtuales paraexperimentación, con las mismas funcionalidadesde una red real, con el consiguiente ahorro engastos en equipos y dispositivos de red.

2. El análisis y evaluación de las vulnerabilidades enla red permitió identificar algunos tipos de ata-ques a la red y se identificó medidas de seguridadpreventivas para contrarrestarlos.

3. Tecnológicamente el presente estudio de ambien-tes virtuales servirá como base para otras emula-ciones o pruebas de temas relacionados con redes.Además, se busca contribuir, de esta manera, pa-ra investigaciones futuras.

4. Con los resultados de esta investigación se pre-tende contribuir al conocimiento.

3. Configuración eimplementación de laplataforma de experimentación

3.1 Escenario virtual de una red IP contecnología de virtualización

La virtualización puede verse como un particionadode un servidor físico de manera que pueda albergar

Zapata / Evaluación y mitigación de ataques reales a redes IP 13

distintos servidores dedicados (o privados) virtualesque ejecutan de manera independiente su propio siste-ma operativo y dentro de él los servicios que quieranofrecer [12].

Un escenario virtual de red puede ser definido comoun conjunto de equipos virtuales (tanto sistemas finalescomo elementos de red (enrutadores y conmutadores)conectados entre sí en una determina topología, cuyoentorno deberá ser percibido como si fuera real [13].

Para implementar los escenarios virtuales en estainvestigación, se ha elegido VMware Player [14] 3.0y VirtualBox [15], herramientas de libre distribuciónbasadas en tecnología de virtualización completa quepermiten la creación de máquinas virtuales X86 de32 y 64 bits, y que son muy utilizadas en la industria[13]. La Figura 1, busca expresar un escenario de redLAN/WAN sometida a ataques IP desde la Intranet odel Internet.

Dos plataformas virtuales son creadas, en dos ser-vidores diferentes, funcionan sobre un computadorPentium Intel CoreDuo, con RAM de 4 GB, particiónExt3 de 120 GB en disco duro y sistema operativoGNU/LinuxUbuntu 9.04 -i386. Estos servidores consti-tuyen máquinas anfitrionas, donde cada una alberga aseis máquinas virtuales (MV) que cumplen funcionesdiferentes y específicas (Figura 1).

3.2 Ataques reales de redes IP sobreun escenario virtual de red IP

Los ataques elegidos para la realización del presen-te trabajo, por ser los más comunes, fueron rastreode sistemas, ataque a contraseñas, suplantación deidentidad y denegación de servicios.

3.2.1 Rastreo de sistemas(escaneo de puertos)

Este ataque consiste en el envío de una serie deseñales (paquetes) hacia una máquina víctima queresponde reenviando paquetes, que el atacante deco-difica y traduce a fin de conseguir información sobre:direcciones IP activas, puertos TCP y UDP activosy; reconocimiento del tipo de sistema operativo delequipo como elemento de una red, entre las más im-portantes. La herramienta utilizada para realizar elescaneo de puertos es Nmap (Network Mapper) [16].

3.2.2 Ataques a contraseñas

El objetivo de este ataque es ingresar al sistemade la víctima, a través de la red, con credenciales(nombre de usuario y contraseña) y haciendo uso de unaconexión remota (ssh, telnet, etc). Para ello genera eldiccionario (hash) de todas las posibles combinaciones

y las compara con el patrón (hash) que permita elacceso [17], [18].

Las formas de operación de las aplicaciones:

• Ataque con diccionario: Se apoya en un ficheroque contiene un gran número de palabras que soncomparadas con la contraseña encriptada dentrodel fichero shadow.

• Ataque por fuerza bruta: Este método se basa enla formación de palabras mediante combinaciónde caracteres hasta encontrar una que coincidacon la contraseña protectora.

Para la generación de ataques a contraseña se em-plearon dos herramientas: John The Ripper [19] yMedusa que opera sobre el modo con diccionario.

3.2.3 Ataque de suplantación de identidad(Spoofing)

Un ataque Spoofing consiste en aplicar técnicas desuplantación de identidad generalmente con usos mali-ciosos o de investigación [20]. El objetivo de este ataquees alcanzar la confianza de su víctima haciéndose pasarpor otra máquina.

Para el IP Spoofing se utilizó la herramienta Hpinga fin de lograr suplantar la IP de la máquina atacantepor otra distinta.

En el caso del ARP Spoofing se hizo uso de la herra-mienta Némesis [21], la misma que permite modificarlas direcciones MAC de los equipos de una red. Estetipo de ataque genera también ataques de denegaciónde servicio (DoS).

3.2.4 Ataque de denegación de servicios

Son ataques que provocan que un servicio, equipoo recurso sea inaccesible para usuarios legítimos. Paraesto se envía mensajes TCP de petición de conexiónpor parte del cliente, pero sin enviar su confirmaciónlo cual provoca colapsos en equipos y consumo derecursos en forma desproporcionada, muchas veces ladirección de origen es falsificada [21].

Para la generación de este ataque se hizo uso delprograma Nemesis y Hpingen el equipo atacante conS.O. Windows y Linux respectivamente.

3.3 Mecanismos para contrarestar losataques definidos

3.3.1 BashScript como contramedida ante unataque de fuerza bruta

El sistema de logs (registro) de GNU/Linux esun mecanismo estándar que se encarga de recoger los

Zapata / Evaluación y mitigación de ataques reales a redes IP 15

un equipo víctima, la moda (valor que más se repite)es de 1,75 s, adicionalmente tenemos que el tiempopromedio en realizar un escaneo de puertos es de 1, 67s. Al calcular la desviación estándar 0, 546 s. y ladesviación típica de la varianza con la Ecuación 1,tenemos que la diferencia es pequeña lo que demuestraque las medidas tomadas son certeras.

∂ =

√∑ni (Xi − x̂)2

N − 1 (1)

0 1 0

21

1 3 2

0,00%

20,00%

40,00%

60,00%

80,00%

100,00%

0

7,73

15,46

23,19

30,92

38,65

46,38

Frecuencia

Tiempo/seg.

Histograma

Frecuencia

Poligono

% acumulado

Figura 3. Tiempo en segundos que demora un ataque derastreo de sistemas. Eje horizontal: tiempo en segundospara realizar un escaneo de puertos. Eje vertical: canti-dad de ataques. En rojo: frecuencia acumulada. En verde:frecuencia de la clase. En azul: número de ataques.

En la Figura 4, se observa las muestras tomadasreferente a la cantidad de paquetes en kb/s que viajapor la red. El valor más alto de recurrencias es de42 kb/s, valor relativamente bajo que no afecta alrendimiento de la red tomando en cuenta que las redestienen anchos de banda de cientos y hasta miles deMb/s (Megabyte/segundo).

2 2

5

3

1

4

0 01

0

0,00%

20,00%

40,00%

60,00%

80,00%

100,00%

0

2,3

4,6

6,9

9,2

11,5

Frecuencia

KB/s

Histograma

Frecuencia

Poligono

% acumulado

Figura 4. Recurso de red que ocupa un ataque de rastreode sistemas. Eje horizontal: ancho de banda ocupado porun escaneo de puertos. Eje vertical: cantidad de ataques.En rojo: frecuencia acumulada. En verde: frecuencia de laclase. En azul: número de ataques.

4.2 Ataque a contraseñas(fuerza bruta)

En la Figura 5, se observa el tiempo más frecuenteque se demora, un ataque de fuerza bruta, en descifraruna clave o contraseña. Las formas de combinación decaracteres (alfanuméricos) para las contraseñas tienenel siguiente tamaño: pequeño (2-3 caracteres), mediano(5-6 caracteres) y largo (más de 6 caracteres). Siendola forma pequeña la más concurrente por su númerode aciertos alcanzados.

Cabe mencionar que en el proceso de descifrar con-traseñas, a través de la herramienta Medusa, se empleóun archivo (diccionario) de contraseñas con 3600 pa-labras (aprox.), estas palabras junto al nombre delusuario del equipo víctima son empleadas por el equi-po atacante para intentar hacer una conexión remotacon el equipo víctima.

1

7

0 0

1 1

0

1

0

3

00,00%

20,00%

40,00%

60,00%

80,00%

100,00%

0

1,3

2,6

3,9

5,2

6,5

7,8Frecuencia

Tiempo/seg.

Histograma

Frecuencia

Polígono

% acumulado

Figura 5. Tiempo consumido al realizar un ataque defuerza bruta. Eje horizontal: tiempo en segundos en realizarun ataque de fuerza bruta. Eje vertical: cantidad de ataques.En rojo: frecuencia acumulada. En verde: frecuencia de laclase. En azul: número de ataques.

4.3 Ataque de suplantación deidentidad

La Figura 6, demuestra la diferencia existente, encuanto al número de paquetes transmitidos, entre elatacante A y su víctima B y viceversa, al momento deproducir un ataque de denegación de servicio.

También se puede observar la diferencia bastantesignificativa al transmitir de A hacia B en relación deB hacia A, esto se debe a que A no recibe el mensajede respuesta de B, ya que estos mensajes son enviadosa la IP por la que A se hace pasar.

4.4 Ataque de denegación de serviciosLos resultados obtenidos durante la ejecución de un

ataque ARP Spoofing, fueron que todos los host de-tectados quedaron sin servicio web, correo electrónicoe internet.

16 INGENIUS N.◦8, Julio/Diciembre de 2012

0

50

100

150

200

250

1 3 5 7 9 11

Nro

Pa

qu

ete

s

Secuencia Ataque

B-A

A-B

Total Paquetes

Figura 6. Paquetes transmitidos por un ataque de fuerzabruta. Eje horizontal: secuencia de ataques de suplantaciónde identidad. Eje vertical: cantidad de paquetes trans-mitidos durante el ataque. En verde: total de paquetestrasmitidos por el canal de transmisión. En azul: paquetestrasmitidos desde el equipo A (atacante) hacia su vícti-ma B. En rojo: paquetes trasmitidos desde el equipo B(víctima) hacia su atacante A.

En la Figura 7, se puede observar la cantidad debytes que se transmite entre el atacante A y su víctimaB, siendo el equipo B el que transmite pocos bytes, enrelación a la gran cantidad de bytes que trasmite suatacante A, esto se debe a que B queda sin serviciopor el ataque generado y no puede trasmitir dado queno encuentra al ruteador.

0,00

1000,00

2000,00

3000,00

4000,00

5000,00

6000,00

7000,00

8000,00

9000,00

1 2 3 4 5 6 7 8 9 10

Re

d T

X b

yte

s

Secuencia Ataque

Mapeo

BytesTx

BytesA-B

BytesB-A

Figura 7. Recurso de red consumido al realizar un ataqueDoS. Eje horizontal: secuencia de ataques de suplantaciónde identidad. Eje vertical: ancho de banda ocupado porel ataque de denegación de servicio. En azul: total debytes trasmitidos entre A y B. En verde: cantidad de bytestrasmitidos desde el equipo A (atacante) hacia su víctimaB. En rojo: cantidad de bytes trasmitidos desde el equipoB (vćctima) hacia su atacante A.

5. Resultado de los ataquesimplementando mecanismosde mitigación

5.1 Rastreo de sistemas o escaneo depuertos

Ejecución del ataque:

#Nmap -sF 192.168.30.2 -p 21

Los resultados obtenidos se muestran en la Figu-ra 8.

Figura 8. Resultado del ataque de un escaneo de puertos.

Como se observa, la ausencia de respuesta anteun paquete FIN por parte del equipo 192.168.30.2es notoria. Se puede interpretar este resultado comouna acción de bloqueos de paquetes FIN por parte delfirewall implementado como mecanismo de mitigación.

5.2 Ataque de fuerza brutaEjecución del ataque

#medusa -h 192.168.10.1 -u coralia -Ppasswords.txt - M ssh

Figura 9. Resultado del ataque de fuerza bruta con Me-dusa

Como se observa en la Figura 9, el intento de co-nexión a la dirección IP 192.168.10.1 no se logra. Sepuede interpretar esta información como un bloqueoefectuado por el script BloqueoF.sh al equipo atacan-te que tiene como fin descifrar la contraseña del equipovíctima con dirección IP 192.168.10.1 a través delpuerto 22.

Zapata / Evaluación y mitigación de ataques reales a redes IP 17

5.3 Ataque de suplantaciónde identidad (Spoofing)

Existen cinco clases de direcciones que se debennegar en la interfaz externa, a fin de evitar un ataqueSpoofing y son: La propia dirección IP, direccionesIP de multidifusión de clase D, direcciones reservadasclase E, direcciones de difusión mal formadas comopor ejemplo la dirección 0.0.0.0 que es de difusiónespecial.

Figura 10. Resultados del efecto producir un ataque Spoof-ing.

Como se observa en la Figura 10, el intento deconexión a la IP 192.168.20.1 no se logra. Se puedeinterpretar este resultado como una acción del firewallal bloquear el acceso al equipo atacante debido a quelos paquetes legales nunca proceden de dicho equipo.

5.4 Ataque de Denegación de Servicios(DoS)

Ejecución del ataque

#Hping3 -a 192.168.10.1 192.168.100.10

En la Figura 11 se puede ver los resultados obteni-dos, a través de la herramienta Wireshark, en el intentode un equipo atacante por realizar una inyección deARP constante, en donde la dirección MAC del routeres una inexistente. Para el caso en que no estuviese im-plementado el firewall, como mecanismo de mitigaciónde este ataque, en tan solo unos segundos se habríainundado la red con cientos de paquetes transmitidosde forma ininterrumpida. Por lo contrario se observaclaramente una transmisión de paquetes TCP nula, loque refleja que el ataque no se ejecuta.

6. ConclusionesLa utilización de máquinas virtuales para la reali-

zación de este proyecto fue un punto clave, ya que se

Figura 11. Resultados del efecto producido por un ataqueDoS.

pudo trabajar con varios equipos virtuales para esta-blecer los diferentes escenarios de pruebas de ataques ymitigación a los mismos, sobre un mismo computadoranfitrión; también se han podido establecer dos esce-narios de pruebas utilizando distintos computadoresanfitriones y máquinas virtuales invitadas. Estas op-ciones permitieron que pruebas de un laboratorio decomputación sea más sencilla.

En la creación de los escenarios propuestos, algu-nas MV (máquinas virtuales) creadas tienen sistemaoperativo Windows XP y otras Linux (Ubuntu), a finde dar una apariencia real a la topología propuesta,y que a pesar de haber encontrado herramientas deuso gratuito para Windows que permitieron ejecutarataques a la red LAN, Linux no deja de ser uno de lossistemas operativos más destacados debido a su granversatilidad y funcionalidad frente a otras soluciones.

Las plataformas de virtualización empleadas en elpresente trabajo, VirtualBox y VMWare, permitieronimplementar por completo la topología de pruebas pro-puesta en la Figura 1. Sin embargo, la herramienta deVMWare proporciona un entorno más amigable desdesu instalación, configuración, creación y administraciónde las MVs.

Entre las herramientas de código abierto para enru-tamiento basado en software más destacado se encuen-tra el paquete Quagga, debido a que su configuraciónen consola es muy parecida al realizado en los enru-tadores comerciales como Cisco. Además, por ser unaherramienta de código abierto y de libre distribuciónconstituye una alternativa de bajo costo y de buenfuncionamiento ante escenarios de enrutamiento parael aprendizaje.

En las prácticas desarrolladas se pudo analizar al-gunas de las actividades previas realizadas por los

18 INGENIUS N.◦8, Julio/Diciembre de 2012

atacantes de redes TCP/IP para conseguir sus obje-tivos, como por ejemplo: obtención de informaciónde un sistema, descubrimiento de usuarios y explora-ción de puertos. Adicionalmente se realizó un estudiodetallado de algunos ataques concretos contra redesTCP/IP como son los ataques de escaneo de puertos,fuerza bruta, suplantación de identidad y denegaciónde servicios, tanto en una red de área local como enuna extendida.

Para contrarrestar los ataques concretos a redesTCP/IP estudiados en el presente proyecto, se desarro-lló un demonio en Shell script que detectó, controló ymitigó los ataques mencionados de manera automáticay constante. Los resultados redujeron considerablemen-te las amenazas y vulnerabilidades de los ataques enredes en producción.

En la evaluación de resultados obtenidos duran-te las prácticas realizadas sobre los ataques a redesTCP/IP, donde se consideró los mismos parámetros demedición y evaluación para las dos plataformas de ex-perimentación virtualizadas, no existiendo diferenciassignificativas en los resultados obtenidos.

El firewall construido con IPTables es una poderosaherramienta para filtrado, denegación o aceptación depaquetes, a través de una correcta configuración defiltrado de paquetes a nivel de kernel, siendo para ellonecesario y muy importante conocer la estructura deéstos y la manera en la que son transmitidos.

Referencias[1] M. Krause and H. Tipton, Handbook of informa-

tion security management, 5th ed. AuerbachPublications, 1998.

[2] S. Garfinkel and G. Spafford, Web security, pri-vacy & commerce, 2nd ed. O’Reilly Media, In-corporated, 2001.

[3] W. Fuertes, J. de Vergara, and F. Meneses, “Edu-cational platform using virtualization technolo-gies: Teaching-learning applications and researchuses cases,” in Proc. II ACE Seminar: KnowledgeConstruction in Online Collaborative Communi-ties, Albuquerque, NM - USA, October, 2009.

[4] K. Scarfone, S. M, and P. Hoffman, Guide to Se-curity for Full Virtualization Technologies. DIA-NE Publishing, 2010, Recommendations of theNational Institute of Standards and Technology,Gaithersburg, MD.

[5] J. Keller and R. Naues, “A collaborative virtualcomputer security lab,” in Second IEEE Interna-tional Conference on e-Science and Grid Com-

puting e-Science’06. California, EEUU: IEEE,2006, p. 126.

[6] P. Li and T. Mohammed, “Integration of virtua-lization technology into network security labo-ratory,” in 38th Annual Procedings Frontiers inEducation Conference, FIE. Saratoga, New York:IEEE, October, 2008, pp. S2A–7.

[7] F. Abbasi and R. Harris, “Experiences with a gene-ration iii virtual honeynet,” in TelecommunicationNetworks and Applications Conference (ATNAC).Canberra, Australia: IEEE, May, 2009, pp. 1–6.

[8] F. Galán and D. Fernández, “Use of VNUML invirtual honeynets deployment,” in IX ReuniónEspañola sobre Criptología y Seguridad de la In-formación (RECSI), Barcelona, Spain, September,2006.

[9] E. Damiani, F. Frati, and D. Rebeccani, “Theopen source virtual lab: a case study,” in Proce-dings of the Workshop on Free and Open Sour-ce Learning Environments and Tools, FOSLET,Italy, 2006, pp. 5–12.

[10] Co-innovation lab Tokyo. Disaster reco-very solution using virtualization tech-nology. White paper. [Online]. Available:http://www.cisco.com/en/US/prod/collateral/ps4159/ps6409/ps5990/N037_COIL_en.pdf

[11] P. Ferrie, “Attacks on more virtual machine emu-lators,” Symantec Technology Exchange, 2008.

[12] F. Galán, D. Fernández, W. Fuertes, M. Gómez,and J. López de Vergara, “Scenario-based virtualnetwork infrastructure management in researchand educational testbeds with VNUML,” Annalsof Telecommunications, vol. 64, no. 5, pp. 305–323,2009.

[13] W. Fuertes and J. López de Vergara M, “An emu-lation of VoD services using virtual network envi-ronments,” in Procedings of the GI/ITG Workshopon Overlay and Network Virtualization NVWS’09,vol. 17, Kassel-Germany, March, 2009.

[14] VMware home page. [Online]. Available: http://www.vmware.com

[15] VirtualBox home page. [Online]. Available:http://www.virtualbox.org

[16] C. Lee, C. Roedel, and E. Silenok, “Detection andcharacterization of port scan attacks,” Univeristyof California, Department of Computer Scienceand Engineering, 2003. [Online]. Available: http://cseweb.ucsd.edu/users/clbailey/PortScans.pdf

Zapata / Evaluación y mitigación de ataques reales a redes IP 19

[17] Hacking. VII Ataques por fuerza bruta. [Online].Available: http://jbercero.com/index.php?option=com_content&view=article&id=71:hacking-vii-ataques-por-fuerza-bruta&catid=40:hacking-tecnicas-y-contramedidas&Itemid=66

[18] Laboratorios. Hacking, técnicas y con-tramedidas, ataques por fuerza bruta(BruteForce) III. [Online]. Available: http://labs.dragonjar.org/laboratorios-hacking-tecnicas-fuerza-bruta-brute-force-iii

[19] Jhon the Ripper 1.7.6. [Online]. Available:www.openwall.com/jhon/

[20] F. Callegati, W. Cerroni, and M. Ramilli, “Man-in-the-Middle attack to the HTTPS protocol,”Security & Privacy, vol. 7, no. 1, pp. 78–81, 2009.

[21] Nemesis. Última comprobación. [Online]. Availa-ble: http://nemesis.sourceforge.net/

[22] S/a. [Online]. Available: http://www.estrellateyarde.org/so/logs-en-linux

[23] S/n. [Online]. Available: http://usemoslinux.blogspot.com/2010/11/cron-crontab-explicados.html

[24] J. Li, N. Li, X. Wang, and T. Yu, “Denial of ser-vice attacks and defenses in decentralized trustmanagement,” International Journal of Informa-tion Security, vol. 8, no. 2, pp. 89–101, 2009.

[25] J. Matthews, W. Hu, M. Hapuarachchi, T. Des-hane, D. Dimatos, G. Hamilton, M. McCabe, andJ. Owens, “Quantifying the performance isola-tion properties of virtualization systems,” in Pro-ceedings of the 2007 Workshop on ExperimentalComputer Science. San Diego, CA: ACM, June,2007, p. 6.