11 ene 2011

Tipos de ataques Denial-of-Service

Un ataque de denegación de servicio (D.o.S.) es un tipo practica bastante común en el mundo de Internet, y se basa en hacer que un servicio o recurso sea inaccesible para los usuarios del mismo mientras dura el ataque, este tipo de ataques suele usarse a veces como distracción de los administradores de red para realizar un ataque más potente con un objetivo más concreto o simplemente dejar cortado un servicio en un momento vital para la empresa. Por lo tanto es bueno conocer qué es, que tipos hay y así poder tener un idea clara de como defenderse de ellos. No solo desde el exterior de la red, sino desde el interior que es donde se produce la mayoría de los ataques actualmente (80%).

  • Ataques de desbordamiento de buffer. Es de los más comunes, se basa en enviar más trafico a una aplicación o dispositivo del que este puede soportar y de esta forma lo colapse. Imaginemos que tenemos un servidor de correo que puede procesar 5 correos por segundo si, desde varias maquinas se envían 20 correos por segundo al servidor de correo este colapsara y quedara inutilizado durante el tiempo que dure el ataque.
  • Ataque SYN. Para entender este ataque hay que conocer un poco del protocolo TCP, para abrir una conexión entre dos hosts se necesita una sincronización previa entre ambos, para ello el host que quiere conectarse (A) tiene que enviar un paquete de tipo SYN al equipo destino (B), este lo que hace es asignar un espacio en la pila TCP para esa conexión y envía a B  una respuesta, si todo siguiera de forma normal en 3 pasos establecerían una conexion; pero si tu idea es atacar enviarás un mismo paquete SYN desde varios equipos con una IP falsa de origen (spoofing) de tal forma que el servidor atacado envié respuesta a un host desconocido, esto hará que no reciba respuesta y la pila se vaya llenando de conexiones abiertas a la espera, si enviamos masivamente muchos paquetes SYN acabaremos por tirar la red y el host atacado quedará incomunicado.
  • Ataque Smurf. Este ataque también es muy sencillo de realizar, si no se esta protegido. El ataque smurf se basa en enviar un ping a la dirección broadcast de la red, el ping utiliza el protocolo ICMP, cuando enviamos un ping enviamos un paquete a un host, si el host “esta vivo” nos devolverá el mismo paquete, imaginemos ahora que mediante un generador de paquetes creamos un paquete ping que contenga gran cantidad de información y hacemos spoofing cambiando la ip de origen por la de nuestro host víctima, si tenemos en cuenta que cuando enviamos un ping a la dirección broadcast este es devuelto por todos los host de la red, si enviamos muchos ping conseguiremos que todos ellos sean devueltos masivamente al host atacado y este quede fuera de juego, tened en cuenta además que una red de una empresa puede tener cientos de pc’s conectados.
  • Virus y gusanos. Este tipo de ataques muchas veces no es intencionado o mejor dicho no se elije a la víctima, es decir navegando por la red, descargando archivos de procedencia no segura puedes infectarte con un virus o con un gusano, un virus ataca a un equipo y según su morfología dañara de una u otra forma, y se propagara mediante ubs’s, etc. Un gusano se replica por toda la red consumiendo recursos de esta hasta tirarla y dejarla sin servicios. Para realizar este ataque puede conseguir acceder a la red de forma remota y liberar un gusano, puede enviarlo por correo a alguna persona dentro de la red mediante un falso correo útil spoofeando una dirección licita o usar miles de métodos como ingeniería social.

dan1t0, Vía blog dan1t0

10 comentarios:

  1. buena explicación dan1t0, y muy detallada.un saludo!

    ResponderEliminar
  2. [...] flu-project Comunidad DragonJar PD: Tengo pensado publicar la forma de realizar un ataque de [...]

    ResponderEliminar
  3. realmente bien explicadopero una duda... subiras tutoriales de como realizar o defenderse de esos ataques??gracias por el aporte!!

    ResponderEliminar
  4. En un principio esos tutos que comentas no estan pensados, por que en internet hay muchisima informacion, pero te dare un pista:- Ataques de desbordamiento de buffer:* Este ataque viene explicado de una forma muy general, puedes crearte un script que mande un correo con un archivo adjunto de 1 mega 5 veces por segundo a un servidor de correo, hasta cualquier otro servicio de red que quieras colapsar (una impresora por ejemplo).* Solucion: Como te comento, es un campo muy amplio, desde una cola de correo bien configurada, con reglas definidas de exclusion (no tiene sentido recibir 5 correos de nadie en un mismo segundo (por poner un ejemplo).- Ataque SYN: * Recientemente con el tema de wikileaks y los ataques a distintas webs salió un software para realizar DoS a webs, podras localizarlo sin problemas. * Solucion: Se muede miticar configurando el servior web de una manera mas eficiente que otra (si usas por ejemplo apache configurar memoria por threads, etc), pero si es a gran escala estas perdido.- Ataque Smurf:* Hay mil formas de realizr un ip-spoofing, eliges una de ellas, te metes en un red (a poder ser tuya por el tema de la carcel y esas cosillas que pasan si nos hacemos los juanquers ;) ) y lanzas sucesivos pings ARP a la direccion de broadcast de la red, por ejemplo con un simple script en bash con un FOR y añades el tamaño maximo de datos al paquete ping para saturar mas, si lo haces bien el equipo al que has spoofeado dira adios, por lo menos un rato ;).* Solucion: Con una red mas o menos bien administrada no pasa, se pueden poner mil filtros, desde ACL's para no dejar salir determinado trafico hasta deshabilitar el ping ARP en determinadas franjas o subredes, deshabilitarlo entero no me gusta porque hay cosas que pueden dejar defuncionar igual con según que aplicaciones tenga la red funcionando.- Virus y gusanos* En google hay millones de sitios donde puedes bajar virus, pero suelen estar todos fichados por los antivirus, la mejor solucion es saber programar y currarte tu un 'programilla' que haga algo.* La mejor protección contra los virus es la que se pone entre el teclado y la silla, como decía un gran video en internet '¿tu vas por la calle y coges las cosas del suelo y te las comes? pues igual con las cosas que te bajas de internet he instalas' hablando en serio, desde en una empresa deshabilitar USB, equipos sin unidad de CD, proxys con restricciones, un antivirus muy bien configurado programas tipo Patriot a nivel de red controlando (nuestros colegas de SbD); hasta en tu casa un simple antivirus y unos pequeños conocimientos para poder pensar en cosillas sospechosas. Tambien claro todo actualizado siempre a la ultima version S.O., adobe, etc y si seguimos con la duda siempre nos quedaran maquinas virtuales y sandbox.Con esto tienes para entretenerte mucho tiempo. Puede probarlo con software tipo VnWare, GNS3, etc.Un saludo y me alegro que te gustara

    ResponderEliminar
  5. Gracias por haberte tomado la molestia de responder, muy ampliamente he de añadir, si bien es verdad que con ese material tengo para mucho tiempo pero que lenguaje de programación usar para los scripts, virus y como aprender las nociones basicas?.....También es cierto que en internet hay tutoriales y muchisima información pero casi toda obsoleta y que dan mil vueltas a lo mismo sin llegar a una conclusion útil, personalmente leeria varias veces el tutorial de alguna de las ya mencionadas tecnicas si lo hicieras y estoy seguro que hay mas personas que también lo harian y estarian muy agradecidos!!!Otra vez gracias.Y puestos a elegir si te decides a hacer uno de esos tutoriales me gustaria si puede ser que lo hagas con el de IP SPoofing...

    ResponderEliminar
  6. Valuable info. Lucky me I found your site by accident, I bookmarked it.

    ResponderEliminar
  7. Thanks a lot #6 for your comment.cheers!

    ResponderEliminar
  8. [...] Flu-Project y Blog de Matias Katz Compartir [...]

    ResponderEliminar