Download - Prevencion Deteccion Contencion DOS

Transcript
Page 1: Prevencion Deteccion Contencion DOS

1

Prevenci on, detecci on y contenci on paraataques de denegaci on de servicio

DAVID CEREZO SANCHEZ

http://david.cerezo.name

Page 2: Prevencion Deteccion Contencion DOS

2

Introducci on

¿Que es realmente Internet?

? Elementos constitutivos fundamentales: routers, ordenadores finales,conexiones

? Analogıas con objetos del mundo real: la red distribucion de agua? Breve historia de la evolucion de Internet? Topologıa de Internet, su representacion en forma de grafo y los sis-

temas autonomos (AS).? El principio del mınimo esfuerzo? Problemas derivados del principio del mınimo esfuerzo? Los protocolos de Intenet y el modelo OSI◦ Nivel subred: ARP, Ethernet◦ Nivel Internet o red: IP◦ Nivel de transporte: TCP, UDP

Page 3: Prevencion Deteccion Contencion DOS

3

Grafo AS de Internet [ASCORE]

Page 4: Prevencion Deteccion Contencion DOS

4

Tomografıa ISPs [CheswickBurch ]

Page 5: Prevencion Deteccion Contencion DOS

5

Relaciones entre AS [RltAS ]

Page 6: Prevencion Deteccion Contencion DOS

6

Numero ASs medio por path [ASpathlength ]

Page 7: Prevencion Deteccion Contencion DOS

7

Resistencia ataques globales [resilience ]

Page 8: Prevencion Deteccion Contencion DOS

8

Resistencia ataques globales (2)

Page 9: Prevencion Deteccion Contencion DOS

9

Resistencia ataques globales (3)

Page 10: Prevencion Deteccion Contencion DOS

10

Repartici on AS en el mundo [ASworld ]

Page 11: Prevencion Deteccion Contencion DOS

11

Introducci on DDoS

Primeras referencias a DoS en 1983 [Gilgor1983], y otros fallos en TCP/IP[Bellovin1989].

Los costes: segun el economista Frank Bernhard, de la Universidad deCalifornia en Davis, los fallos de conexion a Internet han costado a lascorporaciones americanas el 5.7 % de sus ingresos anuales. [DeLong2001]

Caracterizaciones matematicas utiles, teorıa anterior, para estudiar elfenomeno de los DDoS:

Cambios repentinos [Basseville]

Teorıa de la catastrofe de Rene Thom.[Sanns2000, Okada1993,Zeeman, Afrajmovich1999, Yaes1993, Okninski, Gilmore, PostonStewart,ArnoldEtAl, Saunders]

Page 12: Prevencion Deteccion Contencion DOS

12

Estadıstica [Brodsky1993, HBStatistics]

Teorıa de juegos[Yau2002, HBGameTheory] y econometrica[Granger1969,HBEconometrics].

Complejidad de la comunicacion[KN1997, Hromkovic1997].

Analisis de series temporales [Hamilton1994]

Teorıa del caos[BakerEtAl]: el trafico de Internet es self-similar.

Teorıa de las redes sociales[Wasserman1994]: power-laws en Internet[KParkLee2001].

Siempre teniendo en cuenta que no existe un modelo teorico que capture elfuncionamiento dinamico de Internet [PaxsonFloyd].

En esta conferencia se expondra el state of art actual.

Page 13: Prevencion Deteccion Contencion DOS

13

Taxonomıa DoS [Kumar1995 , Richardson2001 , MirkovicEtAl2001 ]

Page 14: Prevencion Deteccion Contencion DOS

14

DDoS y los sistemas aut onomos

Page 15: Prevencion Deteccion Contencion DOS

15

Arboles de ataques (1)

Page 16: Prevencion Deteccion Contencion DOS

16

Arboles de ataques (2)

Page 17: Prevencion Deteccion Contencion DOS

17

Arboles de ataques (3)

Page 18: Prevencion Deteccion Contencion DOS

18

Arboles de ataques (4)

Page 19: Prevencion Deteccion Contencion DOS

19

Lınea temporal ataques DDoS

Page 20: Prevencion Deteccion Contencion DOS

20

Herramientas DDoS

Trinoo: simple ataque UDP distribuido.

Tribe Flood Network : incopora ICMP, UDP, SYN-Flood y Smurf.

Stacheldracht y TFN2K : encriptacion entre zombies y master, modifi-cacion de los algoritmos de ataque con ligeras mejoras en eficiencia.

Page 21: Prevencion Deteccion Contencion DOS

21

Lınea temporal ataques DrDoS

Page 22: Prevencion Deteccion Contencion DOS

22

Reflectores en DrDoS

Dificultan tracear el ataque hasta el Master .

Crean difusion, hacen mas difıcil de tracear el ataque.

Lo ideal es buscar maximizar la siguiente relacion en ataques tipo flood :

I .reflectorI .zombie

� I .zombieI .reflector

, dondeI es la cantidad de bytes enviados

aunque se podrıa sacrificar por las ventajas que reporta la difusion.

Fuentes potenciales de reflectores, con gran amplificacion y/o difıciles defiltrar:

? Si los numeros de secuencia de los paquetes TCP son predecibles, sepuede conducir la pila del reflector por todos los estados TCP, enviandograndes segmentos con tecnicas de ACK Splitting[SCWA99].

Page 23: Prevencion Deteccion Contencion DOS

23

? Peticiones DNS recursivas: si se ataca a un servidor DNS, los zom-bies del atacante pueden utilizar otros servidores DNS como reflectoresque hagan peticiones masivas de resolucion recursivas. Si se puedespoofear la direccion de origen y colocar la direccion del servidor DNSvıctima, se aumenta aun mas si cabe la congestion.

? La opcion push del protocolo de Gnutella indica al servidor que intenteconectarse a un puerto e IP determinadas para transmitir informacion:parecida a la directiva port de FTP, pero en este caso el comando pushpuede propagarse en la red Gnutella, perdiendose el origen. Es decir,no hace falta spoofear paquetes TCP para conseguir anonimato.

Otras fuentes de reflectores, pero faciles de trazar o filtrar:

? Fragmentos IP: dıficiles de filtrar y faciles de crear en reflectores sin PathMTU discovery o cuando hay paths hasta la vıctima por tuneles GRE.Filtrar fragmentos no es recomendable, puesto que protocolos legıtimoscomo NFS y AFS los producen con mucha frecuencia.

? Ping ICMP (echo, router solicitation, timestamp, information re-quest/reply, address mask, timestamp). La forma mas conocida son los

Page 24: Prevencion Deteccion Contencion DOS

24

ataques smurf , ICMP echo spoofeados a direcciones broadcast.? Trafico que genere mensajes ICMP (source quench, time exceeded,

redirect, unreacheable). No se deben filtrar, porque tanto traceroute co-mo Path MTU discovery necesitan de ellos.

? FTP-Bounce: permite enviar segmentos SYN.? SMTP relays? Peticiones de conexion T/TCP: los numeros de secuencia solo incre-

mentan.? Peticiones SNMP spoofeadas: facil de filtrar.? Servidores proxy-cache: realizan peticiones de cualquier URL. Las

conexiones no pueden ser spoofeadas, es facil de trazar.

Page 25: Prevencion Deteccion Contencion DOS

25

Estadıstica de Ataques DoS

Analisis BackScatter [MooreEtAl2001]. Presupuestos:

? Todos los paquetes de un ataque se entregan correctamente? La direcciones IP de origen por cada paquete son aleatorias? Cada paquete genera una unica respuesta, por lo que los paquetes no

solicitados observados son considerados backscatter .

Resultado: vigilando n direcciones IP diferentes durante un ataque de mpaquetes, la probabilidad de recibir un paquete serıa

E (X) =nm232

La tasa del ataque dirigido a la vıctima en paquetes por segundo, R , secalcula a partir de la tasa media de respuestas no solicitadas dirigida al

Page 26: Prevencion Deteccion Contencion DOS

26

rango monitorizado, R ′,

R ≥ R ′232

n

Posibles violaciones de los presupuestos:

? Seleccion aleatoria de IPs spoofeadas: ingress filtering, DrDoS o dis-tribucion no aleatoria de las direcciones spoofeadas. Todas conllevan aestimaciones por debajo de las reales.

? Entrega perfecta: tambien conlleva a estimaciones por debajo de lasreales.

? Respuestas no solicitadas validas, vg, en el protocolo NETBIOS. El por-centaje es tan bajo que puede ser despreciado.

En [MooreEtAl2001], se monitoriza un rango /8 de bajo uso de Internet, sefiltran los paquetes y se clasifican segun los ataques y otros parametros.

Resultados (Febrero 2001):

Page 27: Prevencion Deteccion Contencion DOS

27

? Un total de 200 millones de paquetes en 3 semanas, provenientes12805 ataques diferentes a 5000 direcciones IP vıctima diferentes en2000 dominios DNS.

? Mas del 50 % del trafico de respuesta era TCP, seguido de un 38 % detrafico ICMP.

? El 92 % del trafico de ataque era TCP, seguido por el UDP y el ICMP.? El 38 % de los ataques uniformemente distribuidos y el 46 % de todos

los ataques tenıan una tasa de 500 paquetes por segundo o superior.El mas rapido era de 679.000 paquetes por segundo.

? El 50 % de los ataques duran menos de 10 minutos, 80 % menos de30 minutos y el 90 % menos de una hora. El 2 % de los ataques duranmas de 5 horas, el 1 % mas de 10 horas, con una docena que persistendurante varios dıas.

? Un 27.5 % tienen un TLD desconocido, seguido del 15 % para .net, .comy .ro. Brasil acumula el 5 %, los dominios .org un 4 % y los .edu un 2.5 %.

? Al 65 % de las vıctimas se las ataco una sola vez y al 18 % dos veces.Al 95 % se las ataco menos de 5 o menos veces. A 5 vıctimas se lasataco entre 60 y 70 veces y a otra, 102 veces en una semana.

Page 28: Prevencion Deteccion Contencion DOS

28

Detecci on: monitorizar IP origen

La regla general es que segun nos alejamos de la vıctima, los ataques sehacen mas difıciles de detectar.

Durante un ataque, la mayorıa de las IPs son nuevas para la vıctima, peroen un flash crowd , la mayorıa de las IPs ya eran conocidas de antemano.

Es mas fiable para detectar DoS por flood , que monitorizar el aumento delvolumen de trafico.

Page 29: Prevencion Deteccion Contencion DOS

29

Detecci on: algoritmo CUSUM

Algoritmo en su version no-parametrica asintoticamente optimo para de-tectar cambios en el valor medio de un proceso estadıstico, mirando ladistribucion de probabilidad de la secuencia aleatoria, todo en tiempo real.

Para la secuencia aleatoria {Xn}, en la que ocurre un cambio del valormedio en m de α a α+h, CUSUM (Cumulative Sum) detecta cambios deal menos h, es decir, h es el incremento mınimo del valor, y estima m demanera secuencial, reduciendo la tasa de falsos positivos. Defınase {Xn}como

Xn = α+ξnI (n < m)+(h+ηn) I (n≥m) , (1)

donde las secuencias aleatoria

ξ = {ξn}∞n=1 , η = {ηn}∞

n=1 ,

cumplen que E (ξn) = E (ηn)≡ 0, h 6= 0.

Page 30: Prevencion Deteccion Contencion DOS

30

Una de las condiciones para el CUSUM no parametrico es que el valormedio de {Xn}debe ser negativo en condiciones normales, positivo cuandoocurren cambios, por lo que lo transformaremos sin perdida de generalidaden otra secuencia aletoria {Zn} tal que

Zn = Xn−β, a = α−β,

para una β constante. Cuando hay un ataque, {Zn} crecera positivamenterapidamente.

Buscamos cambios bruscos en el cambio de la secuencia aleatoria {Zn},tales que, con las condiciones de 1,

Zn = a+ξnI (n < m)+(h+ηn) I (n≥m) , (a < 0) ,(−a < h < 1)

Page 31: Prevencion Deteccion Contencion DOS

31

El algoritmo serıa calcular los valores positivos acumulados de Zn, es decir,

yn = Sn− mın1≤k≤n

Sk,

(Sk =

k

∑i=1

Zi

),

con S0 = 0 al principio de los calculos. La version recursiva serıa calcular

yn = (yn−1+Zn)+ ,

y0 = 0.

La funcion de decision asociada para detectar el ataque en un momento nserıa

dN (yn) ={

0 siyn ≤ N1 siyn > N

con N el valor lımite para la deteccion del ataque.

Page 32: Prevencion Deteccion Contencion DOS

32

Backtracking al atacante

El metodo tradicional consiste en seguir el flujo de router a router hastallegar al origen.

Problemas:

Un ISP solo tiene acceso a reducida porcion de los routers de Internet,incluso menor que un AS.

Es un proceso muy lento, que requiere de personal cualificado y de routerscon opciones especiales disponibles.

El ataque debe continuar mientras se esta traceando al atacante: aunquela mayorıa no suelen durar mas de 10 minutos.

La difusion, si se utilizan reflectores, y la variedad, en el caso de usarvarios ataques al mismo tiempo, dificultan la tarea.

Page 33: Prevencion Deteccion Contencion DOS

33

Backtracking: DoSTracker

En 1996, primer intento de automatizar la localizacion de los orıgenes delos paquetes.

Conjunto de scripts Perl para routers Cisco desarrollados por MCI.

Colocaba ACLs en modo debug en cada router para recoger aquellos pa-quetes dirigidos a la vıctima.

Abrıa una conexion al router de donde procedıan, reiniciando el procesode ACL/debug.

Problemas:

? Necesita de las claves de acceso a todos los routers.? Solo funcionarıa con routers Cisco, no es generico.

Page 34: Prevencion Deteccion Contencion DOS

34

Backtracking: CenterTrack

Propuesto por Robert Stone[Stone2000].

Usa una red virtual de tuneles IP sobre la red normal para selectivamentererutar los paquetes sospechosos desde los routers arista de la red arouters especialmente dedicados a la tarea.

El sistema puede detectar el punto de acceso de los paquetes prob-lematicos en los routers arista de la red facilmente.

Metodo muy elaborado: la red puede dejar de funcionar si no se hace cor-rectamente, ademas de que hay que tener en cuenta parametros como eltiempo en el que tardan en extenderse la nuevas rutas, el paso de estadosde las conexiones de router a router, etc...

Page 35: Prevencion Deteccion Contencion DOS

35

Backtracking: PPM

PPM (Probabilistic Packet Marking)[Song2001, SavageEtAl2000, ParkLee2001, DeanAl2001, SnoerenEtAl2001]

Se marca aleatoriamente, vg: en el IP ID mediante hashing[Song2001],un reducido conjunto de paquetes con un identificador de arista, bajo lahipotesis de tener gran numero de paquetes en un ataque DDoS: con sufi-cientes paquetes, se podra reconstruir el camino seguido por los paquetesdel ataque.

Concretamente, cuando un router decida marcar un paquete, escribe suIP en el campo arista y 0 en el campo distancia: cuando no lo marca y elcampo distancia ya es 0, escribe su IP conjunto a la ya disponible en elcampo arista y luego incrementa el campo distancia en 1. Finalmente, sino marca el paquete, incrementa el campo distancia en 1 siempre.

Page 36: Prevencion Deteccion Contencion DOS

36

Un paquete marcado por un router tendra un campo distancia menor quela longitud del camino que pasa por ese router.

Requiere de la modificacion de los routers: Cisco ya lo implementa.

Limitacion del PPM: con d routers entre atacante y vıctima y p siendo laprobabilidad de marcar un paquete, la probabilidad de paquetes enviadospor un atacante a la vıctima que esten sin marcar es:

P(paquete sin marcar recibido por la vıctima) = (1− p)d

En ataques altamente distribuidos, es decir, con mucha difusion, el traficode ataque desde una misma direccion IP no tiene porque ser mayor que eltrafico de conexiones normales.

Los zombies del atacante podrıan crear paquetes marcados erroneos, de-jando inutil todo el esquema. En [Song2001] se ofrece un esquema paraautenticarlos, pero consume demasiada CPU.

Page 37: Prevencion Deteccion Contencion DOS

37

Backtracking: ICMP traceback

Proyecto del IETF[BellovinIETF, WuEtAl2001].

Los routers inyectan un ICMP traceback de un paquete cada cierto numerode paquetes, y lo envıa al destino del paquete. Contendra informacion au-tenticada sobre el paquete, como de donde vino, pudiendose reconstruirel camino de los paquetes despues de un elevado numero de paquetesrecibidos.

Page 38: Prevencion Deteccion Contencion DOS

38

Backtracking: DECIDUOUS

Basado en IPSEC, concretamente en los asociaciones de seguridad pro-tegidas con AH (Authentication Headers).

Iterativamente se construyen asociaciones de seguridad con los routers adistancias incrementales desde la vıctima, permitiendo un traceroute se-guro hasta el router mas cercano del zombie o reflector atacante.

Provoca una gran sobrecarga de las CPUs.

Page 39: Prevencion Deteccion Contencion DOS

39

Backtracking: Active Networks

En los routers de una Active Network , no solo circulan datos, sino tambienprogramas para los propios routers, que ejecutaran para anadirfuncionalidad o modificar el comportamiento de los routers. En[Van1997, Halbig1999] se utilizan para trazar el origen de los ataques.

Cuando una vıctima sospecha que esta siendo atacada, mandarıa codigo alos routers adyacentes para buscar el flujo del ataque: una vez encontrado,el router que lo reenvıa mandarıa codigo a sus routers adyacente, ası hastallegar al punto de origen en la red activa, bloqueando el trafico del ataque sise considera necesario.

Page 40: Prevencion Deteccion Contencion DOS

40

Prevenci on

Filtrado Ingress: filtrado de paquetes en el ISP con direcciones fuentesilegıtimas, segun la conexion de ingreso por la que los paquetes entran en lared.

Filtrado Egress: filtrado de paquetes en el ISP en el punto de salida deldominio del cliente, mirando si el router busca la direccion de origen de lospaquetes que pertenecen al dominio del cliente.

Page 41: Prevencion Deteccion Contencion DOS

41

Contenci on: Pushback

Mismo objetivo que en las propuestas de redes activas: filtrar la direccionpor todos los routers desde la vıctima hasta el reflector/zombie. Descritoen [IB2001, ImplPush].

Antes hay que detectar y trazar el ataque, para identificar cual y por dondeviaja el trafico del ataque.

Page 42: Prevencion Deteccion Contencion DOS

42

Comparaci on entre m etodos

Page 43: Prevencion Deteccion Contencion DOS

43

Mas comparaciones [HabibEtAlb ]

Consideraremos una red R con A routers arista y C routers centrales. Encada router A hay F flujos o conexiones por termino medio: a cada F se leasocia una media P de paquetes y un porcentaje γ de conexiones quecausan DoS.

Examinaremos el aumento/sobrecarga en las necesidades de proceso,Sproceso, y el aumento/sobrecarga en las necesidades de comunicacion,Scomunicacion, con λ1 unidades de proceso para el filtrado, λ2unidades deproceso para marcado y λ3unidades de proceso para monitorizacion.

Filtrado Ingress,

Sproceso Ingress= A ×F ×P ×λ1

y sin necesidad de comunicacion.

Page 44: Prevencion Deteccion Contencion DOS

44

Filtrado basado en rutas, no requiere que en todos los dominios se instalenfiltros,

Sproceso= 0,2×SIngresssegun [ParkLee2001c].

PPM (Probabilistic Packet Marking)

Sproceso= A ×F ×P × p×h×λ1

con p la probabilidad de marcar un paquete y h el numero de saltos encada dominio.

Monitorizacion por router central,

Scomunicacion = (2A +C )×max

(1,

F × γ×dtamano paquete

)× tamano paquete,

Sproceso = (2A +C )×max

(1,

F × γ×dtamano paquete

)×h×λ3

Page 45: Prevencion Deteccion Contencion DOS

45

con d siendo el numero de bytes necesarios para almacenar la informacionrechazados y h el numero de saltos en cada dominio.

Monitorizacion por stripes,

Scomunicacion = s× (A −1)× (A −2)× fs× (tamano paquete)

Sproceso = s× (A −1)× (A −2)×× fs×h×λ3

con fs siendo la frecuencia a la que se mandan stripes por unidad detiempo y h el numero de saltos en cada dominio.

Monitorizacion distribuida, en la que cada router A prueba a sus A dere-cho y izquierdo adyacentes,

Scomunicacion = 2×A × fd× (tamano paquete)

Sproceso = 2×A × fd×h×λ2

Page 46: Prevencion Deteccion Contencion DOS

46

con fd siendo la frecuencia a la que mandan pruebas por unidad de tiempoy h el numero de saltos en cada dominio.

PPM Ingress Filtrado

rutas

Monito.

central

Monito.

stripe

Monito.

distribuida

S

depende

volumen ataque numero

paquetes

entrada

numero

paquetes

entrada

no conex-

iones

violando

SLA

routers,

topologıa,

trafico

ataque

routers,

topologıa,

trafico

ataque

S imple-

mentacion

todos los routers A con

Ingress

routers de

dominios

selectivos

en A y C A A

Page 47: Prevencion Deteccion Contencion DOS

47

Sincroni.

reloj

- - - {A ,C} {A} {A}

Respuesta reactivo proactivo proactivo reactivo reactivo reactivo

Deteccion

violacion

SLA

no no no sı sı sı

Detecta

ataques

usando

cualquier IP IP

spoofeadas

de otros

dominios

IP

spoofeadas

de otros

dominios

cualquier

IP

cualquier

IP

cualquier

IP

Page 48: Prevencion Deteccion Contencion DOS

48

Configuraci on routers CISCO

No toda la configuracion funcionara en routers de gama baja; prtopeferi-blemente solo para aquellos a partir de 7000.

Se debe prestar especial atencion a TCP Intercept :

? Gran consumo de recursos.? No funcionara en redes que no tengan un flujo de datos simetrico, vg:

ISPs con multiples proveedores y routers primarios.? El firewall debera responder con RST a servicios denegados y no se

deberan usar la rutas a null0.

Lımite en el ancho de banda para ciertos protocolos.

El siguiente ejemplo se puede encontrar en una gran cantidad de ISPs:una gran companıa telefonica provee de conexion al ISP (A.A.A.1/24 ),

Page 49: Prevencion Deteccion Contencion DOS

49

que va al puerto de entrada del router del ISP (X.X.X.254/24); este routertiene una salida (Y.Y.Y.254/24) hasta la entrada de un firewall (Z.Z.Z.1).La salida del firewall (F.F.F.1/24) estarıa en el mismo rango que los orde-nadores de la Intranet (I.I.I.0/24). Ademas, en el ISP hay una variedad deordenadores disponibles para las siguientes funcionalidades del router: unservidor FTP para almacenar coredumps de la IOS (I.I.I.2), un servidorNTP para sincronizar el tiempo de los logs (I.I.I.3), un servidor TACACS(I.I.I.4), un servidor para almacenar logs del router (I.I.I.5) y un servidorpara NetFlow, para visualizar informacion util durante el ataque (I.I.I.6).

Combinando peticiones a NetFlow (sh ip cache flow | include <IP>)junto con CEF (sh ip cef <interface >) en cada uno de los routers se po-dra reconstruir manualmente el flujo de datos por la red hasta el ordenadoratacante, incluso si esta spoofeando los paquetes.

? Solo se podra realizar mientras dura el ataque.? Lo ideal es que se vaya activando NetFlow segun se vaya necesitando

en cada router, y no tenerlo activado siempre.

Page 50: Prevencion Deteccion Contencion DOS

50

Otros metodos utilizan ACLs [CisACLs].

! A.A.A.1/24 - Conexion a Internet! X.X.X.254/24 - Puerto de entrada del router! Y.Y.Y.254/24 - Puerto de salida del router! Z.Z.Z.1/24 - Puerto de entrada del firewall! F.F.F.1/24 - Puerto de salida del firewall! I.I.I.0/24 - Intranet! I.I.I.2 - Servidor FTP para almacenar coredumps! I.I.I.3 - Servidor NTP! I.I.I.4 - Servidor TACACS! I.I.I.5 - Servidor de logging! I.I.I.6 - Servidor NetFlow!hostname antidos!service password-encryption!no service dhcpno service pad

Page 51: Prevencion Deteccion Contencion DOS

51

service tcp-keepalives-inservice tcp-keepalives-outservice nagleservice timestamps log datetime show-timezone localtimeservice timestamps debug datetime show-timezone localtime!! SNMPKEY debe ser un clave complicada (vg:hash de alguna palabra)!snmp-server community SNMPCOMKEY RO 20!no ip http serverno ip source-routeno ip fingerno ip bootp serverno ip domain-lookupno cdp run!banner motd %Router protected against DoS attacks.%!

Page 52: Prevencion Deteccion Contencion DOS

52

! Solo se podra entrar desde el firewallaccess-list 500 remark VTY Accessaccess-list 500 permit tcp host Z.Z.Z.1 host 0.0.0.0 \

range 22 23 log-inputaccess-list 500 deny ip any any log-input!line con 0

exec-timeout 30 0line vty 0 10

access-class 500 inexec-timeout 30 0transport input telnet ssh

line aux 0exec-timeout 30 0

!interface null0

no ip unreachables!interface loopback 0

ip address 10.10.10.10 255.255.255.255no ip proxy-arp

Page 53: Prevencion Deteccion Contencion DOS

53

no ip redirectsno ip unreachables

! IPs comunmente spoofeadasaccess-list 1 remark Spoofedaccess-list 1 deny ip 0.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 1.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 2.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 5.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 7.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 10.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 23.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 27.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 31.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 36.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 37.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 39.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 41.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 42.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 49.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 50.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 58.0.0.0 0.255.255.255 any log-input

Page 54: Prevencion Deteccion Contencion DOS

54

access-list 1 deny ip 59.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 70.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 71.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 72.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 73.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 74.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 75.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 76.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 77.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 78.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 79.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 83.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 84.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 85.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 86.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 87.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 88.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 89.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 90.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 91.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 92.0.0.0 0.255.255.255 any log-input

Page 55: Prevencion Deteccion Contencion DOS

55

access-list 1 deny ip 93.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 94.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 95.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 96.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 97.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 98.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 99.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 100.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 101.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 102.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 103.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 104.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 105.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 106.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 107.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 108.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 109.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 110.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 111.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 112.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 113.0.0.0 0.255.255.255 any log-input

Page 56: Prevencion Deteccion Contencion DOS

56

access-list 1 deny ip 114.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 115.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 116.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 117.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 118.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 119.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 120.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 121.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 122.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 123.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 124.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 125.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 126.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 127.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 169.254.0.0 0.0.255.255 any log-inputaccess-list 1 deny ip 172.16.0.0 0.15.255.255 any log-inputaccess-list 1 deny ip 173.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 174.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 175.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 176.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 177.0.0.0 0.255.255.255 any log-input

Page 57: Prevencion Deteccion Contencion DOS

57

access-list 1 deny ip 178.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 179.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 180.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 181.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 182.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 183.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 184.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 185.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 186.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 187.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 189.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 190.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 192.0.2.0 0.0.0.255 any log-inputaccess-list 1 deny ip 192.168.0.0 0.0.255.255 any log-inputaccess-list 1 deny ip 197.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 223.0.0.0 0.255.255.255 any log-inputaccess-list 1 deny ip 224.0.0.0 31.255.255.255 any log-inputaccess-list 1 deny icmp any any fragments log-inputaccess-list 1 permit ip any I.I.I.0 0.0.0.255access-list 1 permit ip any 224.0.0.0 15.255.255.255access-list 1 deny ip any any log-input

Page 58: Prevencion Deteccion Contencion DOS

58

!access-list 2 remark Multicastaccess-list 2 deny 224.0.0.0 0.0.0.255 logaccess-list 2 deny 239.0.0.0 0.255.255.255 logaccess-list 2 deny host 224.0.1.2 logaccess-list 2 deny host 224.0.1.3 logaccess-list 2 deny host 224.0.1.22 logaccess-list 2 deny host 224.0.1.24 logaccess-list 2 deny host 224.0.1.35 logaccess-list 2 deny host 224.0.1.60 logaccess-list 2 permit 224.0.0.0 15.255.255.255 log!access-list 10 remark CAR Multicastaccess-list 10 permit ip any 224.0.0.0 15.255.255.255access-list 20 remark CAR UDPaccess-list 20 permit udp any anyaccess-list 30 remark CAR ICMPaccess-list 30 permit icmp any any!interface Ethernet2/0

ip address X.X.X.254 255.255.255.0

Page 59: Prevencion Deteccion Contencion DOS

59

ip access-group 1 inno ip proxy-arpno ip redirectsno ip unreachablesno ip mask-replyno ip directed-broadcastip accounting access-violationsip route-cache flow

! Utilizar solo si el path es simetricoip verify unicast reverse-path

! Limita el trafico multicast a 50 kbytes/srate-limit input access-group 10 400000 25000 25000 \

conform-action transmit exceed-action drop! Limita el trafico UDP a 100 kbytes/s

rate-limit input access-group 20 800000 50000 50000 \conform-action transmit exceed-action drop

! Limita el trafico ICMP a 50 kbytes/srate-limit input access-group 30 400000 25000 25000 \

conform-action transmit exceed-action drop! Multicast seguro

ip multicast boundary 2

Page 60: Prevencion Deteccion Contencion DOS

60

!! Anadir todas las redes adicionales tras I.I.I.0!access-list 40 remark antispoofing ACLaccess-list 40 permit ip I.I.I.0 0.0.0.255 anyaccess-list 40 deny ip any any log-input!interface Ethernet2/1

ip address Y.Y.Y.254 255.255.255.0ip access-group 40 inno ip proxy-arpno ip redirectsno ip unreachablesno ip mask-replyno ip directed-broadcastip accounting access-violationsip route-cache flow

! Utilizar solo si el path es simetricoip verify unicast reverse-path

! Multicast seguroip multicast boundary 2

Page 61: Prevencion Deteccion Contencion DOS

61

!boot system flash slot0:slot0:c7200-is-mz.121-5.T4.binlogging buffered 16384 debuggingno logging console! Cambiar CLAVEenable secret CLAVEno enable password! Cambiar USUARIOFTP, CLAVEFTPip ftp username USUARIOFTPip ftp password CLAVEFTPexception core-file antidos-COREexception protocol ftpexception dump I.I.I.2! Cambiar NTPKEYntp authentication-key 6767 md5 NTPKEYntp authenticatentp update-calendarntp server I.I.I.3! Cambiar TACACSKEYaaa new-modelaaa authentication login default group tacacs+ local-case

Page 62: Prevencion Deteccion Contencion DOS

62

aaa authentication enable default group tacacs+ enableaaa authorization commands 15 default group tacacs+ localaaa accounting exec default stop-only group tacacs+aaa accounting commands 15 default stop-only group tacacs+aaa accounting network default stop-only group tacacs+tacacs-server host I.I.I.4tacacs-server key TACACSKEY! Cambiar TACACSUSERNAME y TACACSPASSWORDusername TACACSUSERNAME password TACACSPASSWORD!logging trap debugginglogging facility local5logging source-interface loopbacklogging I.I.I.5!ip flow-export source loopbackip flow-export destination I.I.I.6 2055ip flow-export version 5 origin-as!! Proteccion de la Intranetaccess-list 50 remark TCP Intercept

Page 63: Prevencion Deteccion Contencion DOS

63

access-list 50 permit tcp any I.I.I.0 0.0.0.255!ip tcp intercept list 50ip tcp intercept connection-timeout 120! Half-open de 10 segundosip tcp intercept watch-timeout 10ip tcp intercept one-minute low 1000ip tcp intercept one-minute high 5000! Cisco Express Forwardingip cef!ip classless!! Ruta por defecto a Internetip route 0.0.0.0 0.0.0.0 A.A.A.1ip route I.I.I.0 255.255.255.0 Z.Z.Z.1! Blackholeip route 1.0.0.0 255.0.0.0 null0ip route 2.0.0.0 255.0.0.0 null0ip route 5.0.0.0 255.0.0.0 null0ip route 7.0.0.0 255.0.0.0 null0

Page 64: Prevencion Deteccion Contencion DOS

64

ip route 10.0.0.0 255.0.0.0 null0ip route 23.0.0.0 255.0.0.0 null0ip route 27.0.0.0 255.0.0.0 null0ip route 31.0.0.0 255.0.0.0 null0ip route 36.0.0.0 255.0.0.0 null0ip route 37.0.0.0 255.0.0.0 null0ip route 39.0.0.0 255.0.0.0 null0ip route 41.0.0.0 255.0.0.0 null0ip route 42.0.0.0 255.0.0.0 null0ip route 49.0.0.0 255.0.0.0 null0ip route 50.0.0.0 255.0.0.0 null0ip route 58.0.0.0 255.0.0.0 null0ip route 59.0.0.0 255.0.0.0 null0ip route 70.0.0.0 255.0.0.0 null0ip route 71.0.0.0 255.0.0.0 null0ip route 72.0.0.0 255.0.0.0 null0ip route 73.0.0.0 255.0.0.0 null0ip route 74.0.0.0 255.0.0.0 null0ip route 75.0.0.0 255.0.0.0 null0ip route 76.0.0.0 255.0.0.0 null0ip route 77.0.0.0 255.0.0.0 null0

Page 65: Prevencion Deteccion Contencion DOS

65

ip route 78.0.0.0 255.0.0.0 null0ip route 79.0.0.0 255.0.0.0 null0ip route 83.0.0.0 255.0.0.0 null0ip route 84.0.0.0 255.0.0.0 null0ip route 85.0.0.0 255.0.0.0 null0ip route 86.0.0.0 255.0.0.0 null0ip route 87.0.0.0 255.0.0.0 null0ip route 88.0.0.0 255.0.0.0 null0ip route 89.0.0.0 255.0.0.0 null0ip route 90.0.0.0 255.0.0.0 null0ip route 91.0.0.0 255.0.0.0 null0ip route 92.0.0.0 255.0.0.0 null0ip route 93.0.0.0 255.0.0.0 null0ip route 94.0.0.0 255.0.0.0 null0ip route 95.0.0.0 255.0.0.0 null0ip route 96.0.0.0 255.0.0.0 null0ip route 97.0.0.0 255.0.0.0 null0ip route 98.0.0.0 255.0.0.0 null0ip route 99.0.0.0 255.0.0.0 null0ip route 100.0.0.0 255.0.0.0 null0ip route 101.0.0.0 255.0.0.0 null0

Page 66: Prevencion Deteccion Contencion DOS

66

ip route 102.0.0.0 255.0.0.0 null0ip route 103.0.0.0 255.0.0.0 null0ip route 104.0.0.0 255.0.0.0 null0ip route 105.0.0.0 255.0.0.0 null0ip route 106.0.0.0 255.0.0.0 null0ip route 107.0.0.0 255.0.0.0 null0ip route 108.0.0.0 255.0.0.0 null0ip route 109.0.0.0 255.0.0.0 null0ip route 110.0.0.0 255.0.0.0 null0ip route 111.0.0.0 255.0.0.0 null0ip route 112.0.0.0 255.0.0.0 null0ip route 113.0.0.0 255.0.0.0 null0ip route 114.0.0.0 255.0.0.0 null0ip route 115.0.0.0 255.0.0.0 null0ip route 116.0.0.0 255.0.0.0 null0ip route 117.0.0.0 255.0.0.0 null0ip route 118.0.0.0 255.0.0.0 null0ip route 119.0.0.0 255.0.0.0 null0ip route 120.0.0.0 255.0.0.0 null0ip route 121.0.0.0 255.0.0.0 null0ip route 122.0.0.0 255.0.0.0 null0

Page 67: Prevencion Deteccion Contencion DOS

67

ip route 123.0.0.0 255.0.0.0 null0ip route 124.0.0.0 255.0.0.0 null0ip route 125.0.0.0 255.0.0.0 null0ip route 126.0.0.0 255.0.0.0 null0ip route 127.0.0.0 255.0.0.0 null0ip route 169.254.0.0 255.255.0.0 null0ip route 172.16.0.0 255.240.0.0 null0ip route 173.0.0.0 255.0.0.0 null0ip route 174.0.0.0 255.0.0.0 null0ip route 175.0.0.0 255.0.0.0 null0ip route 176.0.0.0 255.0.0.0 null0ip route 177.0.0.0 255.0.0.0 null0ip route 178.0.0.0 255.0.0.0 null0ip route 179.0.0.0 255.0.0.0 null0ip route 180.0.0.0 255.0.0.0 null0ip route 181.0.0.0 255.0.0.0 null0ip route 182.0.0.0 255.0.0.0 null0ip route 183.0.0.0 255.0.0.0 null0ip route 184.0.0.0 255.0.0.0 null0ip route 185.0.0.0 255.0.0.0 null0ip route 186.0.0.0 255.0.0.0 null0

Page 68: Prevencion Deteccion Contencion DOS

68

ip route 187.0.0.0 255.0.0.0 null0ip route 189.0.0.0 255.0.0.0 null0ip route 190.0.0.0 255.0.0.0 null0ip route 192.0.2.0 255.255.255.0 null0ip route 192.168.0.0 255.255.0.0 null0ip route 197.0.0.0 255.0.0.0 null0ip route 223.0.0.0 255.0.0.0 null0

Page 69: Prevencion Deteccion Contencion DOS

69

CISCO: IP Source Tracker

Alternativa en routers de gama alta (12000 y 7500) para sustituir el tracea-do del atacante usando ACLs por algo mas efectivo. Para ello, escribimos“ip source-track <ip>”, con la IP del host que esta siendo atacado:

? Se crearan entradas CEF en cada tarjeta y/o adaptador de puerto.? Se obtendran estadısticas del trafico de red a la IP, que se exportaran

al router y se podran consultar con “show ip source-track ”.? Con las estadısticas, el administrador determinara cual es el siguiente

router en el que tendra que repetir estos pasos; entonces, se parara lafuncion con el comando “no ip source-track ”, y entrara en el router pararepetir el proceso.

La funcionalidad podrıa generar demasiado trafico y colapsar los routers.

Page 70: Prevencion Deteccion Contencion DOS

70

Futuro

De la simulacion teorica[BreslauEtAl2000] a la simulacion en entornosreales, o de NS2[NS2] a Planet Lab[PlanetLab]

Modulos de kernel en routers Cisco, en las versiones futuras del IOS, parael desarrollo rapido de contramedidas.

Los ataques comenzaran a coordinarse entre sı, para mejorar su distribu-cion.

La introduccion de IPv6 hara que la distribucion automatico de gusanos ycodigo malicioso sea practicamente imposible.

Se eliminaran los Single-Points of Failure: DNS basados en frame-works para estructuras de datos distribuidas resistentes a fallos como

Page 71: Prevencion Deteccion Contencion DOS

71

OceanStore[KubiatowiczEtAl2000] y otros: Plaxton[Plaxton1997] y el sis-tema operativo Scout[Spatscheck1999].

Referencias

[BellovinIETF] S. Bellovin. The ICMP traceback message.Internet Draft, IETF, Marzo 2000

[DeanAl2001] Drew Dean, Matt Franklin, Adam Stubble-field. An algebraic approach to IP trace-back. Proceedings of Network and Dis-tributed Systems Security Symposium, SanDiego, CA, Febrero 2001

[SavageEtAl2000] Stefan Savage, David Wetherall, Anna Kar-lin, y Tom yerson. Practical network sup-

Page 72: Prevencion Deteccion Contencion DOS

72

port for IP traceback. Proceedings of theACM SIGCOMM Conference, pages 295-305, Stockholm, Sweeden, August 2000.ACM.

[SnoerenEtAl2001] Akec C. Snoeren, Craig Partridge, LuisA. Sanchez, Christine E. Jones, FabriceTchakountio, Stephen T. Kent, y W. Timo-thy Strayer. Hash-based IP traceback. Pro-ceedings of the ACM SIGCOMM, paginas3-14, San Diego CA, Agosto 2001, ACM.

[Song2001] Dawn X. Song y Adrian Perrig. Advancedand authenticated marking schemes for IPtraceback. Proceedings IEEE Infocomm,Anchorage, Alaska, April 2001.

[WuEtAl2001] S. F. Wu, L. Zhang, D. Massey, y A. Mankin.

Page 73: Prevencion Deteccion Contencion DOS

73

Intention-driven ICMP traceback, Internet-Draft: draft-wu-itrace-intention-00.txt ,Febrero 2001.

[DittrichURL] David Dittrich. Distritibuted Denialof Service (DDos) attacks toolshttp://staff.washington.edu/dittrich/misc/ddos

[PacketStorm] PacketStormSecurity, De-nial of Service Attack Tools.http://www.packetstormsecurity.org

[GilPolet2001] Thomer M. Gil y Massimiliano Poletto. MUL-TOPS: A Data-Structure for bywith attackdetection. Proceedings of the USENIX Se-curity Symposium, 23-28, Washington, DC,USA, Julio 2001. USENIX

Page 74: Prevencion Deteccion Contencion DOS

74

[CERT2001] Trends in denial of service technology.CERT Coordination Center at Carnegie-Mellon University, Octubre 2001.

[CERT2000] CERT Advisory CA-2000.01. Denialof Service development, Enero 2000.http://www.cert.org/advisories/CA-2000-01.html

[CERT2000a] CERT Advisory CA-96.21. TCP SYNflooding and IP spoofing. Noviembre 2000.http://www.cert.org/advisories/CA-96-21.html

[CERT1998] CERT Advisory CA-98.01. Smurf IPDenial-Of-Service attacks, Enero 1998.http://www.cert.org/advisories/CA-98-01.html

Page 75: Prevencion Deteccion Contencion DOS

75

[CERT1997] CERT Advisory CA-1997-27. FTP-Bounce.http://www.cert.org/advisories/CA-1997-27.html, Diciembre 1997.

[IB2001] John Ioannidis, y Steven M. Bellovin. Push-back: router-based defense against DDoSattacks. AT&T Labs Research, Febrero2001.

[ImplPush] J. Ioannidis y S.M. Bellovin. Implement-ing pushback: Router-based defense againtDDoS attacks. Proceedings of Network andDistributed System Security Symposium,San Diego, CA, Febrero 2002. The InternetSociety.

[RiceDavis] Greg Rice y James Davis. A GenealogicalApproach to Analyzing Post-Mortem Denial

Page 76: Prevencion Deteccion Contencion DOS

76

of Service Attacks. Department of Electricaland Computer Engineering, Iowa State Uni-versity. VER

[HussainEtAL] Alefiya Hussain, John Heidemann, y Chris-tos Papadopoulos. A Framework for Clas-sifying Denial of Service Attacks. ISI-TR-2003-569.

[ReiherEtAl2002] Peter Reiher, Jelena Mirkovic, Greg Prier.Attacking DDoS at the source. Proceed-ings of the IEEE International Conferenceon Network Protocols 10, Paris, France,November 2002.

[CAIDA] CAIDA website http://www.caida.org

[MooreEtAl2001] David Moore, Geoffrey Voelker, y StefanSavage. Inferring Internet Denial of Service

Page 77: Prevencion Deteccion Contencion DOS

77

activity. Proceedings of the USENIX Securi-ty Sumposium, Washington, DC, USA, Au-gust 2001. USENIX.

[PapadoEtAl] Christos Papadopoulos, Robert Lindell,John Mehringer, Alefiya Hussain, y RameshGovindan. COSSACK: Coordinated Sup-presion of Simultaneous Attacks. Proceed-ings of Discex III.

[Paxson2001] Vern Paxson. An analysis of using reflec-tors for distributed denial of service at-tacks. ACM Computer Communications Re-view (CCR), 31(3), Julio 2001.

[Stone2000] Robert Stone. CenterTrack: An IP overlaynetwork for tracking DoS floods. Proceed-ings of the USENIX Security Symposium,

Page 78: Prevencion Deteccion Contencion DOS

78

pages 199-212, Denver, CO, USA, Julio2000. USENIX.

[CiscoNetflow] Cisco Systems. Netflowservices and applications.http://www.cisco.com/warp/public/732/netflow

[CiscoRMON] Cisco Systems. RMON.http://www.cisco.com/warp/public/614/4.html

[CiscoCAR] Cisco Systems. Committed Access Rate.Cisco CAR

[CiscoIntercept] Cisco Systems. Configuring TCP Intercept(Prevent Denial-Of-Service Attacks). CiscoIOS Documentation, Diciembre 1997.

Page 79: Prevencion Deteccion Contencion DOS

79

[CiscoURPF] Cisco Systems. Unicast Reverse Path For-warding. Cisco IOS Documentation, Mayo1999.

[WangEtAl2002] Haining Wang, Damlu Zhang, y Kang Shin.Detecting SYN flooding attacks. Proceed-ings of the IEEE Infocom, paginas 0-1, NewYork, NY, Junio 2002. IEEE.

[WangEtAl] Haining Wang, Danlu Zhang, y Kang G.Shin. SYN-DOG: Sniffing SYN FloodingSources. Real-Time Computing Laborato-ry, Department of Electrical Engineering yComputer Science, The University of Michi-gan, Ann Arbor, MI 48109-2122.

[JinEtAl] Cheng Jin, Haining Wang, Kang G. Shin.Hop-Count Filtering: An Effective Defense

Page 80: Prevencion Deteccion Contencion DOS

80

Against Spoofed Traffic.

[Dietrich2000] S. Dietrich, N. Long, y D. Dittrich. Analyz-ing distributed denial of service tools: theshaft case. Proceedings of the USENIXLISA’2000, New Orleans, LA, Diciembre2000.

[RFC2267] P. Ferguson y D. Senie. Network ingress fil-tering: defeating denial of service attackswhich employ IP source address spoofing.RFC 2267 , Enero 1998.

[RFC2827] P. Ferguson y D. Senie. Network Ingress Fil-tering: Defeating Denial of Service Attackswhich employ IP Source Address Spoofing.RFC 2827, Mayo 2000.

Page 81: Prevencion Deteccion Contencion DOS

81

[RFCDraft] S. Floyd, S. Bellovin, J. Ionnidis, K. Kompel-la, R. Mahajan, y V. Paxson. Pushback mes-sages for Controlling Aggregates in the Net-work. Internet Draft, WIP.

[MahajanEtAl] R. Mahajan, S. M. Bellovin, S. Floyd,J. Ioaniidis, V. Paxson, y S. Shenker.Controlling High Bandwith Aggregatesin the Network - Extended Version.http://www.aciri.org/pushback

[Poletto2001] M. Poletto. Practical approaches to deal-ing with DDoS attacks. NANOG 22 Agen-da, Mayo 2001. http://www.nanog.org/mtg-0105/poletto.html

[Spatscheck1999] O. Spatscheck y L. Peterson. Defendingagainst denial of service attacks in Scout.

Page 82: Prevencion Deteccion Contencion DOS

82

Proceedings of USENIX OSDI’99, New Or-leans, LA, Febrero 1999.

[Burch2000] H. Burch y B. Cheswick. Tracing Anony-mous Packets to Their Approximate Source.Usenix LISA, Diciembre 2000.

[Van1997] V. C. Van. A Defense Against AddressSpoofing Using Active Networks. Bachelor’sThesis, MIT, 1997.

[CSIFBI2000] Computer Security Institute and Federal Bu-reau of Investigation. 2000 CSI/FBI Com-puter Crime y Security Survey. ComputerSecurity Institute publication, Marzo 2000.

[Gilgor1983] Virgil Gilgor. A Note on the Denial-of-Service Problem. Proceedings of the 1983

Page 83: Prevencion Deteccion Contencion DOS

83

IEEE Symposium on Security y Privacy ,Oakly, CA, 1983.

[Howard1998] John D. Howard. An Analysis of SecurityIncidents on the Internet. PhD thesis, Car-nagie Mellon University, Agosto 1998.

[Anderson2001] D. yerson, H. Balakrishan, F. Kaashoek, yR. Morris. Resilient overlay network. Pro-ceedings of the 18th ACM Symposium onOperating System Principles (SOSP), BanffCanada, Octubre 2001.

[NS2] S. McCanne y S. Floyd. Network SimulatorNS-2. 1997 http://www.isi.edu/nsnam/ns

[PlanetLab] Planet Lab http://www.planet-lab.org

Page 84: Prevencion Deteccion Contencion DOS

84

[DeLong2001] D. F. DeLong. “Hackers said to cost US. bil-lions” E-Commerce Times Online, Febrero8, 2001.

[Basseville] M. Basseville y I. V. Nikiforov, Detection ofAbrupt Changes: Theory and Application,Prentice Hall, 1993

[BernsteinSchenk] D.J. Bernstein y Eric Schenk, “LinuxKernel SYN Cookies Firewall Project”,http://www.bronzesoft.org/projects/scfw

[Brodsky1993] B.E. Brodsky y B.S. Darkhovsky, Non-parametric Methods in Change-point Prob-lems, Kluwer Academic Publishers, 1993.

[SynDefender] CheckPoint Software Tech-nologies Ltd. SynDefender:

Page 85: Prevencion Deteccion Contencion DOS

85

http://www.checkpoint.com/products/firewall-1

[Malan2001] G.R. Malan et al . Observations and Expe-riences Tracking Denial-Of-Service Attacksacross a Large Regional ISP, Technical Re-port, Arbor Networks, 2001.

[ParkLee2001] Kihong Park y Heejo Lee. On the Effective-ness of Probabilistic Packet Marking for IPTraceback under Denial of Service Attack.Proceedings of the IEEE INFOCOM 2001,Marzo 2001.

[KParkLee2001] Kihong Park y Heejo Lee. On the effec-tiveness on router-based packet filtering fordistributed DoS attack prevention in Power-Law Internets. Proceedings of the 2001

Page 86: Prevencion Deteccion Contencion DOS

86

ACM SIGCOMM Conference, San Diego,California, USA, Agosto 2001.

[ParkLee2001c] Kihong Park y Heeko Lee. A proactive ap-proach to distributed DoS attack preventionusing route-based packet filtering. Proceed-ings ACM SIGCOMM, San Diego, Califor-nia, USA, Agosto 2001.

[PaxsonFloyd] V. Paxson y S. Floyd. Wide-Area Traffic: thefailure of the Poisson Modeling. IEEE/ACMTransactions on Networking, Vol. 3, No. 3,Junio 1995.

[SchubEtAl1997] C.L. Schuba, I.V. Krsul, M. G. Kuhn, E.H.Spafford, A. Sundaram y D. Zamboni. Anal-ysis of a Denial of Service Attack on TCP,

Page 87: Prevencion Deteccion Contencion DOS

87

Proceedings of IEEE Symposium on Secu-rity and Privacy , Mayo 1997.

[BreslauEtAl2000] Lee Breslau, Deborah Estrin, Kevin Fall,Sally Floyd, John Heidemann, AhmedHelmy, Polly Huang, Steven McCanne, Kan-nan Varadhan, Ya Xu, y Haobo Yu. Ad-vances in network simulation. IEEE Com-puter, 33(5):59-67, May 2000.

[KubiatowiczEtAl2000] John Kubiatowicz et al . Oceanstore: an ar-chitecture for global-scale persitent storage.Proceedings of the Ninth International Con-ference on Architectural Support for Pro-gramming Languages and Operating Sys-tems (ASPLOS 2000), Noviembre 2000.

[Plaxton1997] Greg Plaxton, Rajmohan Rajaraman, y An-

Page 88: Prevencion Deteccion Contencion DOS

88

drea W. Richa. Accesing nearby copies ofreplicated objets in a distributed environ-ment. Proceedings of the 9th Annual SCPSymposium on Parallel Algorithms and Ar-chitectures, Junio 1997.

[Meadows2000] C. Meadows. A formal framework and eval-uation method for network denial of service.Proceedings of the IEEE Computer SecurityFoundations Workshop, Junio 1999.

[Millen1995] J. Millen. DoS: a perspective. DependableComputing for Critical Applications 4, 1995.

[Millen1992] J. Millen. A resource allocation model forDoS. Proceedings of the 1992 IEEE Sym-posium on Security y Privacy , 1992.

Page 89: Prevencion Deteccion Contencion DOS

89

[Hamilton1994] J. Hamilton. Time Series Analysis. Prince-ton University Press, 1994.

[Granger1969] C.W.Granger. Investigating causal relationsby econometric models and cross-spectralmethods. Econometrica, 34:424-438, 1969.

[Yau2002] David K. Y. Yau, John C. S. Lui y FengLiang. Defending against distributed denial-of-service attacks with max-min fair server-centric router throttles. Proceedings ofIEEE International Workshop on Quality ofService (IWQoS), Miami Beach, Florida,Mayo 2002.

[Kumar1995] S. Kumar. Classification and Detection ofComputer Intrusions, Ph.D. Thesis, PurdueUniversity.

Page 90: Prevencion Deteccion Contencion DOS

90

[Richardson2001] T.W. Richardson. The development of aDatabase Taxonomy of Vulnerabilities toSupport the Study of Denial of Service At-tacks, Ph.D. Thesis. Iowa State University.

[MirkovicEtAl2001] J. Mirkovic, J. Martin, y P. Reiher. A Taxon-omy of DDoS Attacks and DDoS DefenseMechanisms. Los Angeles, California, Uni-versity of California Computer Science De-partment.

[TupakulaEtAl] Udaya Kiran Tupakula, VIjay Varadharajan.A Practical Method to Counteract Denial ofService Attacks. Information and NetworkedSystem Security Research, Division of Infor-mation and Communication Sciences, Mac-quarie University, Sydney, Australia.

Page 91: Prevencion Deteccion Contencion DOS

91

[Bellovin1989] S.M. Bellovin: Security Problems in theTCP/IP Protocol Suite. ACM ComputerCommunications Review, 19(2):32-48, Abril1989.

[Bellovin2000] S. Bellovin. Security aspects of Napster andGnutella.

[Dunigan2001] Tom Dunigan. Backtracking Spoofed Pack-ets. Computer Science and MathematicsDivision, Network Research Group, OakRidge National Laboratory, Junio 2001.

[PengEtAl] Tao Peng, Christopher Leckie, y Kotoga-ri Ramamohanarao, Defending Against Dis-tributed Denial of Service Attacks Using Se-lective Pushback, Department of Electricaland Electronic Engineering and Department

Page 92: Prevencion Deteccion Contencion DOS

92

of Computer Science and Software Engi-neering, The University of Melbourne, Vic-toria 3010, Australia.

[PengEtAlb] Tao Peng, Christopher Leckie, y Kotagiri Ro-mamohanarao, Detecting Distributed Denialof Service Attacks by Sharing DistributedBeliefs, Department of Electrical and Elec-tronic Engineering and Department of Com-puter Science and Software Engineering,The University of Melbourne, Victoria 3010,Australia.

[PengEtAlC] Tao Peng, Christopher Leckie, y Kotagiri Ro-mamohanarao, Detecting distributed denialof service attacks using source IP addressmonitoring, draft, Noviembre 2002.

Page 93: Prevencion Deteccion Contencion DOS

93

[PengEtAld] Tao Peng, Chistropher Leckie y Kotagiri Ro-mamohanarao, Protection from DistributedDenial of Service Using History-based IP fil-tering, Department of Electrical and Elec-tronic Engineering and Department of Com-puter Science and Software Engineering,The University of Melbourne, Victoria 3010,Australia.

[HabibEtAl] Ahsan Habib, Sonia Fahmy, Srinivas R.Avasarala, Venkatesh Prabhakar, BharatBhargava, On Detecting Service Violationsand Bandwith Theft in QoS Network Do-mains, CERIAS and Department of Com-puter Sciences, Purdue University, WestLafayette, IN 47907-1398, USA.

[HabibEtAlb] Ahsan Habib, Mohamed M. Fefeeda, y

Page 94: Prevencion Deteccion Contencion DOS

94

Bharat K. Bhargava, Detecting Service Vi-olations and DoS Attacks, CERIAS andDepartment of Computer Sciences, PurdueUniversity, West Lafayette, IN 47907, USA.

[HuangPullen2001] Yih-Huang, y J. Mark Pullen. Counteringdenial-of-service attacks using congestiontriggered packet sampling and filtering. Pro-ceedings of 10th International Conferenceon Computer Communications and Net-works, 2001.

[Oliver2001] Ross Oliver. Countering SYN flood denial-of-service attacks, 29 Agosto 2001 OliverUSENIX

[JungEtAl2002] Jaeyon Jung, Balachander Krishnamurthy, yMichael Rabinovich. Flash crowds and de-

Page 95: Prevencion Deteccion Contencion DOS

95

nial of service attacks: characterization andimplications for CDNs and web sites. Pro-ceedings of 11th World Wide Web confer-ence, 2002, Mayo 7-11, 2002, Honolulu,Hawai, USA.

[BargteilEtAl2000] Adam Bargteil, David Bindel, y Yan Chen.Quantitative Characterization of Denial Ser-vice: A Location Service Case Study, Di-ciembre 15, 2000.

[CabreraEtAl2001] Joao B.D. Cabrera, Lundy Lewis, XinzhouQin, Wenke Lee, Ravi K. Prasanth, RaviK. Prasanth, B. Ravichandran, y Raman K.Mehra, Proactive Detection of DistributedDenial of Service Attacks using MIB TrafficVariables - A Feasibility Study, Proceedingsof the 7th IFIP/IEEE International Sympo-

Page 96: Prevencion Deteccion Contencion DOS

96

sium on Integrated Network Management,Seattle, WA, Mayo 14-18, 2001.

[Sanns2000] Sanns, W. Catastrophe Theory with Math-ematica: A Geometric Approach. Germany:DAV, 2000.

[Okada1993] Kenchiki Okada, Catastrophe Theory andPhase Transitions: Topological Aspects ofPhase Transitions and Critical Phenom-ena, Hardcover, December 1993, ISBN3908450012, Trans Tech Publications, Lim-ited.

[Zeeman] E.C. Zeeman, Catastrophe Theory . Se-lected Papers, 1972-1977. , Publisher:Addison-Wesley, ISBN: 0201090147.

Page 97: Prevencion Deteccion Contencion DOS

97

[Afrajmovich1999] V. S. Afrajmovich, Yu S. Il’yashenko, Yu.S. Il’Yashenko, L. P. Shilnikov, LeonidP. Shilnikov, Bifurcation Theory andCatastrophe Theory , June 1999, ISBN:3540653791, Publisher: Springer-VerlagNew York, Incorporated.

[Yaes1993] Sandra Hayes, Catastrophe Theory ,Domenico Castrigiano, April 1993, ISBN:0201555905, Publisher: Addison-Wesley.

[Okninski] A. Okninski, Catastrophe Theory , ISBN:0444987428, Publisher: Elsevier Science.

[Gilmore] Robert Gilmore, Catastrophe Theo-ry for Scientists and Engineers, ISBN:0486675394, Publisher: Dover Publications,Incorporated.

Page 98: Prevencion Deteccion Contencion DOS

98

[PostonStewart] Tim Poston, Ian Stewart, CatastropheTheory and Its Applications, ISBN:048669271X, Publisher: Dover Publica-tions, Incorporated.

[ArnoldEtAl] Vladimir I. Arnol’d, G.S. Wassermann(Translator), R. K. Thomas (Translator),G. S. Wassermann (Translator), Catastro-phe Theory , ISBN: 0387548114, Publisher:Springer-Verlag New York, Incorporated.

[Saunders] P.T. Saunders, Introduction to Catastro-phe Theory , ISBN: 052123042X, Publisher:Cambridge University Press.

[HBStatistics] Handbook of Statistics, Series, de North-Holland.

Page 99: Prevencion Deteccion Contencion DOS

99

[HBGameTheory] Handbook of Game Theory with Econom-ic Applications, Editors: Robert J. Aumannand Sergiu Hart, Publisher: Elsevier Sci-ence Publishers (North-Holland), Volume I,II y III.

[HBEconometrics] Handbook of Econometrics Vols. 1-5,North-Holland.

[KN1997] Eyal Kushilevitz, Noam Nisan, Commu-nication Complexity , Cambridge UniversityPress, Enero 1997, ISBN: 0521560675.

[Hromkovic1997] Juraj Hromkovic, Communication Complex-ity and Parallel Computing, Springer Verlag,Enero 15, 1997, ISBN: 354057459X.

[BakerEtAl] Gregory L. Baker, Jerry P. Gollub, Chaotic

Page 100: Prevencion Deteccion Contencion DOS

100

Dynamics: An Introduction, Cambridge Uni-versity Press, ISBN: 0521476852.

[Wasserman1994] Stanley Wasserman, Katherine Faust,Dawn Iacobucci, Social Network Analysis:Methods and Applications, CambridgeUniv Press, Noviembre 1994, ISBN:0521387078.

[SCWA99] S. Savage, N. Cardwell, D. Wetherall, and T.Anderson, TCP Congestion Control with aMisbehaving Receiver, Computer Commu-nication Review , 29(5), paginas 71-78, Oc-tubre 1999.

[Sargor1999] Chandru Sargor, Decentralized SourceIdentification for Network-based intrusions,1999. Deciduous

Page 101: Prevencion Deteccion Contencion DOS

101

[Halbig1999] Gregory Halbig. An Active Networkapproach to defending and track-ing denial-of-service attacks. UoFMaster’s Thesis, 1999. http://www-pub.cise.ufl.edu/ghalbig/proposal.html

[ASCORE] AS Core Network as a graph, CAIDA ASCore Network

[CheswickBurch] Prototype two-dimensional image depictingglobal connectivy among ISPs as viewedfrom skitter host. figure1

[RltAS] Interconnection relationships among keyAutonomous System networks on 3 Decem-ber, 1998. figure2

[ASpathlength] AS path lengths. ASPathLengths

Page 102: Prevencion Deteccion Contencion DOS

102

[ASworld] Comparacion AS en el mundo. CAIDA.bgp2country CAIDA

[resilience] Internet topology resilience. CAIDA. re-silience

[CisACLs] Cisco - Characterizing and Tracing Packet

Floods Using Cisco Routers. Characterizing

and Tracing Packet Floods