SlideShare una empresa de Scribd logo

Mitigacion de ataques DDoS

Secpro - Security Professionals
Secpro - Security Professionals

En esta conferencia explico algunas de las técnicas defensivas utilizadas para Mitigar o detener Ataques de Denegación de Servicio.

Internet
1 de 42
Descargar para leer sin conexión
Mitigación de Ataques DDoS David Pereira
Instructor / Consultor de Fuerzas de Ciberdefensa, Fuerzas Militares y Policía, en varios Países. Hacker Ético – Pentester en diversas Entidades en el mundo, de ámbitos como el Financiero, Energético, Militar, Inteligencia, Diplomático, Minero, entre otros +22 Años de experiencia en Seguridad Informática y DFIR CEH, ECSA/LPT, CHFI, ENSA, ECSS, ECVP, CEI, QGSS, ECIH, EDRP, NFS, OPSEC, CICP, CND, CCISO. David Pereira - CEO SecPro
Definiciones ¿Cómo defenderse ante ataques DDoS? Tipos de Ataques DDoS Dispositivos y Herramientas de Defensa Pila de Mitigación DDoS Contenido Casos de Éxito @d4v1dp3r31r4
Ataque DDoS mas grande detectado hasta la fecha Tomado de: https://thehackernews.com/2018/03/biggest-ddos-attack- github.html#
¿Que es un ataque DDoS? Se envía una cantidad excesiva de peticiones falsas al servidor obligándolo a contestar cada una de ellas impidiendo que responda las peticiones reales ; estos ataques están orientados principalmente en tres clases: volumétricos (UDP ,ICMP) , protocolos (SYN , otros) y aplicaciones Tomado de: http://www.differencebetween.net/technology/the-difference-between-dos-and-ddos-attacks
¿Por qué se logra realizar un ataque DDoS? Un ataque DDoS se logra realizar debido a una vulnerabilidad del protocolo TCP/IP v4 al momento de realizar una conexión (three way handshake) Servidor Con Puerto abierto; Ej: 80 http Cliente @d4v1dp3r31r4
Botnets / Puppetnets • Las botnets son grupos de equipos infectados equipos (bots / zombies) los cuales generalmente se utilizan para realizar ataques DDoS – Envío de correos spam – entre otros • Para controlar este tipo de redes se utiliza un comando y control (C&C) el cual recibe las instrucciones por parte del atacante y transmite hacia las estaciones • El C&C puede estar oculto bajo una red VPN , Proxy o DNS gratuitos • Las botnets utilizan puertos como: 6666-6667-6668 • Las Puppetnets son un tipo especial de botnet las cuales utilizan puertos 80 y 443 y son mas difíciles de rastrear @d4v1dp3r31r4
Botnets / Puppetnets Tomado de: https://www.cloudflare.com/learning/ddos/what-is-a-ddos-botnet/ @d4v1dp3r31r4
TCP SYN-Flood .TIPOS DE ATAQUES DDoS: TCP SYN-ACK Reflection Flood (DRDoS) TCP Spoofed SYN-Flood TCP ACK-Flood TCP IP Fragmented Attack HTTP/HTTPS Flood Intelligent HTTP/HTTPS Attacks DNS Amplification Attacks UDP Flood
OTROS ATAQUES DDoS Amplificación NTP Se envía trafico NTP (udp) utilizando servidores NTP abiertos saturando a las victimas Zero-Day Nuevos ataques DDoS explotando vulnerabilidades desconocidas P2P DDOS Se utilizan servidores P2P (peer to peer) vulnerables para realizar los ataques DDoS Multivector DDoS Ataques DDoS que utilizan técnicas combinadas (TCP / UDP flood , DNS , entre otros) @d4v1dp3r31r4
¿DDoS únicamente funciona en IPV4 ? NO !!!! Existen ataques orientados hacia IPV6, aprovechando las múltiples vulnerabilidaes de IPV6. @d4v1dp3r31r4
DDoS en IPV6 • Se presento un ataque DDoS de alrededor de 1.900 hosts IPv6 nativos, en más de 650 redes diferentes y en un servicio de DNS de la red de Neustar en la ultima semana de febrero 2018. • Se detecto que fue un ataque de DNS • De las 1.900 direcciones IPv6, detectaron que 400 eran sistemas DNS mal configurados, y aproximadamente un tercio del tráfico de ataque provino de esos servidores. • Un ciberdelincuente puede utilizar servidores DNS para amplificar el tráfico de la red hacia las victimas durante el ataque. • Internet Engineering Task Force (IETF) esta desarrollando RFC 8021, una solución diseñada para evitar un vector de ataque de fragmentación contra enrutadores de protocolo IPv6 en redes de gran escala. El vector, llamado "fragmentos atómicos“ (atomic fragments) fue mencionado por primera vez en Black Hat 2012. @d4v1dp3r31r4
¿Cómo defenderse ante ataques DDoS? • Cambios en topología de red (WAN –DMZ) • Adquisición de equipos / herramientas de protección • Contratación de servicios de protección • Absorber el ataque: Utilizar recursos adicionales para absorber el trafico malicioso enviado durante el ataque • Técnicas de filtrado • Pruebas de seguridad: para identificar posibles vectores de ataque hacia puertos , servicios o aplicaciones • Degradar servicios: cambiar los contenidos activos del sitio por contenidos estáticos . Esto le permite saber al atacante que tuvo éxito • Detener / Apagar los servicios @d4v1dp3r31r4
Técnicas de Mitigación DDoS 1. Syn Proxy: Cuando un servidor recibe peticiones de conexión SYN, responde mediante el envío de TCP SYN / ACK adiciona las entradas de conexión en su tabla de conexión propia. Puesto que estas direcciones IP en realidad no existen, no responden a los SYN / ACK y por lo tanto la tabla de conexiones se mantiene llena de conexiones falsas a la espera de un paquete ACK. Esto efectivamente niega el acceso a las conexiones nuevas y legítimas. SYN Proxy es un mecanismo, (Appliance) que se coloca antes del servidor real y espera las respuestas. Hasta que la IP falsa o IPs no - falsa responde con un ACK, las solicitudes de conexión no son reenviadas. @d4v1dp3r31r4
Técnicas de Mitigación DDoS 2. Aggressive Aging (envejecimiento agresivo): • Algunos ataques de botnets implican la apertura de una conexión legítima y no hacer nada en absoluto. • El Aggressive Aging ayuda a manejar la tabla de conexiones y la capacidad de consumo de memoria del servidor para aumentar la estabilidad. • Esta función introduce una serie de tiempos de espera cortos; Cuando una conexión está inactiva durante más de su tiempo de espera agresivo, se marca como elegible para su eliminación. • El Aggressive Aging, (dinámico) implica la eliminación de las conexiones de las tablas y también puede implicar el envío de un paquete TCP RST al origen de la conexión @d4v1dp3r31r4
Técnicas de Mitigación DDoS Syn Proxy & Aggressive Aging: SYN Proxy Syn / Ack Ack Cliente Legitimo Atacante Syn - Spoof Syn/ Ack hacia el Spoof Aggressive Aging X @d4v1dp3r31r4
Técnicas de Mitigación DDoS 3. Source Rate Limiting Cuando hay un número limitado de ip´s origen para una Botnet, ella puede utilizar sus IP para enviar paquetes con alta carga (agresivos). Estos paquetes consumen recursos del servidor; este tipo de ataques reciben el nombre de Multi-threaded. Mediante la identificación de valores atípicos en direcciones IP que rompen las normas, se puede denegar el acceso a ancho de banda excesivo. Como las direcciones IP en este tipo de ataques no son predecibles, es importante no perder de vista a millones de direcciones IP y su comportamiento para aislar a los valores extremos. Este aislamiento sólo se puede hacer en el hardware. @d4v1dp3r31r4
Técnicas de Mitigación DDoS 3. Source Rate Limiting Paquetes con carga legitima Paquetes con alta carga Filtrado Source Rate @d4v1dp3r31r4
Técnicas de Mitigación DDoS 4. Connection Limiting Demasiadas conexiones pueden causar sobrecarga en un Servidor. Limitando el numero de solicitudes de conexiones nuevas, se le puede dar alivio al Servidor. Esto se logra dándole preferencia a las conexiones existentes y limitando las solicitudes de nuevas conexiones, permitiendo un mejor uso de la memoria del Servidor. Es decir, premiar el buen comportamiento previo. @d4v1dp3r31r4
Técnicas de Mitigación DDoS 5. Dynamic Filtering El filtrado Estático es una técnica común en firewalls, routers, etc. y se lleva a cabo por medio de ACL. El Filtrado Dinámico es requerido cuando el tipo de ataque y los atacantes cambian constantemente. El Filtrado Dinámico se logra identificando los comportamientos fuera de lo normal y castigando este comportamiento por un periodo corto de tiempo, creando reglas de Filtrado de corta duración durante el ataque y eliminándolas posteriormente. @d4v1dp3r31r4
Técnicas de Mitigación DDoS 6. Anomaly Recognition Muchos ataques del tipo DDoS, se realizan por medio de Scripts que continuamente varían algunos parámetros en los paquetes enviados. Realizando detección de anomalías en los encabezados, estados y tasas un Appliance puede filtrar muchos paquetes que de otra forma lograrían llegar hasta la red libremente. @d4v1dp3r31r4
Técnicas de Mitigación DDoS 6. Anomaly Recognition Paquetes legítimos Paquetes con scripts maliciosos Red de protección DDoS Encabezado Alterado Cookie Alterada @d4v1dp3r31r4
Técnicas de Mitigación DDoS 7. Protocol Analysis Similar al Anomaly Recognition, pero aplicado a los protocolos que llegan hasta los dispositivos , se centra en los encabezados de capa 7 en busca de flujos sospechosos. @d4v1dp3r31r4
Técnicas de Mitigación DDoS 7. Protocol Analysis (WAF) SELECT * FROM usuarios WHERE usuario=‘admin’ AND contraseña =‘ ‘ or ‘‘=‘’; Red de protección DDoS Inyección SQL @d4v1dp3r31r4
Técnicas de Mitigación DDoS 8. Active Verification through Legitimate IP Address Matching A pesar de que el SYN Proxy es uno de los mejores mecanismos para mitigar los ataques DDoS basados en spoofing, siempre se genera un SYN Flood de corta duración. Si el Appliance continúa enviando paquetes SYN/ACK en contestación, se va a generar una gran cantidad de trafico, y por ende consumo de ancho de banda. Para eliminar esto se hace necesario que el cache identifique el tráfico que proviene de IP legítimas, y los alimente en una tabla temporal, permitiéndole el paso sin las verificaciones del Proxy. @d4v1dp3r31r4
Técnicas de Mitigación DDoS 9. Granular Rate Limiting Los ataques DDoS son impredecibles y en muchas oportunidades se dirigen por medio de BOTs y Scripting; los paquetes que llegan al Servidor son diferentes en cada ocasión,; no obstante hay similitudes entre los paquetes en un ataque individual. La Técnica GRL identifica las tasas de transferencia de ataques anteriores; Los umbrales se basan en comportamiento pasado, durante sesiones de entrenamiento y se ajustan adaptativamente en el tiempo. La Granularidad se aplica a parámetros disponibles en las Capas 3, 4 y los encabezados en la Capa 7; parámetros como: Origen – Destino – Puertos - Método HTTP – URL – Agentes - Cookies - Host Referrer @d4v1dp3r31r4
Técnicas de Mitigación DDoS Active Verification through Legitimate IP Address Matching & Granular Rate Limiting 190.65.180.10 MTU:1500 Internet 201.184.250.76 190.145.32.109 52.170.21.0 139.59.109.146 Lista IP Legitimas MTU (tamaño paquete)=1200 190.66.177.1 MTU:1200 Internet 201.184.250.76 190.145.32.109 52.170.21.0 139.59.109.146 190.166.177.1 IP veritifcada y adicionada IP No verificada @d4v1dp3r31r4
Técnicas de Mitigación DDoS 10. White-list, Black-list, Non-tracked Sources En cualquier red siempre hay un grupo de direcciones IP que deben ser aprobadas o negadas. Las Listas Blancas y Listas Negras son útiles durante los ataques DDoS para reforzar los controles adicionales. Debido a que las anomalías son generadas por comportamiento, estos comportamientos deben ser aprendidos basados en experiencias previas, para poder diferenciar el comportamiento anómalo permitido del no permitido; casos como el de las Copias de Seguridad que generan gran cantidad de logs en horas puntuales o CDN específico, Refrescos, etc. Así se pueden crear excepciones para trafico que no debe ser rastreado o debe ser incluido en las excepciones. @d4v1dp3r31r4
Técnicas de Mitigación DDoS 10. White-list, Black-list, Non-tracked Sources 201.184.250.76 190.145.32.109 52.170.21.0 139.59.109.146 41.139.161.42 96.71.40.129 177.126.81.63 47.90.80.88 Red de protección DDoS Internet Lista blanca Lista negra (IP Reportadas) @d4v1dp3r31r4
Técnicas de Mitigación DDoS 11. Country Based Access Control Lists (ACL) Gran parte del tráfico Botnet se origina desde un número limitado de Países. Estos Países probablemente no sean origen de tráfico normal dentro de la Organización. Por medio de Filtros basados en Países se puede reducir significativamente el tráfico que recibe el Servidor y por ende la Carga, incluido tráfico spoof. Es recomendable la implementación de estos controles a nivel de Hardware y no de Software por temas de desempeño. @d4v1dp3r31r4
Técnicas de Mitigación DDoS 11. Country Based Access Control Lists (ACL) Red de protección DDoS Paises permitidos Paises Restringidos Internet @d4v1dp3r31r4
Técnicas de Mitigación DDoS 12. State Anomaly Recognition El protocolo TCP es el mas comúnmente utilizado para infraestructura WEB. Al ser orientado a conexión debe seguir ciertas reglas. Tomando en cuenta que muchas Botnets utilizan scripting, muchas veces se rompen esas reglas; Un motor de reconocimiento de anomalías de estado, detecta anomalías de transmisión TCP, paquetes en conexiones no establecidas propiamente, y violaciones en el windowing de la transmisión. @d4v1dp3r31r4
Técnicas de Mitigación DDoS 12. State Anomaly Recognition Atacante OS: Kali Linux Tamaño de ventana por defecto : 5840 Red Protección DDoS Paquete detectado: OS: Windows 10 Tamaño de ventana:65535 Anomalía detectada @d4v1dp3r31r4
Técnicas de Mitigación DDoS 13. Stealth Attack Filtering (precursores) Antes de un ataque, existen precursores, es decir señales de que un ataque se avecina y normalmente se presentan en forma de rastreos al Servidor. El Sentido de un rastreo para un atacante es buscar que puertos abiertos tiene un objetivo; identificando este tipo de ataques y monitoreándolos se pueden asociar con conductas hostiles y crear filtros o bloqueos para las ip o rangos de ip que los realicen. @d4v1dp3r31r4
Técnicas de Mitigación DDoS 14. Dark Address Scan Prevention (RFC 3330) Las direcciones obscuras son direcciones IP que no han sido asignadas por la IANA. Estas direcciones también reciben el nombre de direcciones bogon. Cualquier paquete recibido de una de estas direcciones normalmente esta asociado a un ataque que involucra spoofing. Estas direcciones deben ser bloqueadas en el firewall o router, y así se disminuye ampliamente el porcentaje de direcciones que pueden atacar la infraestructura. @d4v1dp3r31r4
Técnicas de Mitigación DDoS 14. Dark Address Scan Prevention (RFC 3330) Red de protección DDoS IP Permitidas Internet IP bloqueadas (bogon) • 0.0.0.2 • 100.64.0.5 • 169.254.0.10 • 198.51.100.50 • 240.0.0.2 • 190.85.184.218 • 128.199.75.94 • 207.154.240 • 186.46.85.194 • 186.215.148.228 @d4v1dp3r31r4
Técnicas de Mitigación DDoS 15. GeoDNS Permite redireccionar las visitas de cualquier cliente de acuerdo al lugar geográfico donde se encuentre posicionado @d4v1dp3r31r4
Técnicas de Mitigación DDoS 16. Cache de aceleración Permite que la red de protección almacene un cache de elementos estáticos del sitio para que sean cargados en la nube de protección bajo unos tiempos de respuesta específicos mejorando tiempos de respuesta , rendimiento del sitio web protegido y mitigar posible trafico malicioso que consulte los contenidos . @d4v1dp3r31r4
Técnicas de Mitigación DDoS 16. Cache de aceleración Red de protección DDoS Contenido del sitio en cache Sitio original Trafico Legitimo Trafico Legitimo Respuesta Acelerada @d4v1dp3r31r4
Pila de Mitigación DDoS Particionamiento Virtual Filtrado Heurístico Filtrado Algorítmico Filtrado en Capa de Aplicación Filtros Granulares en Capa 3 y 4 ACL Basados en Geolocación Inspección Stateful Mitigación de Flood Filtrado de Bogon Detección de Anomalías en Protocolo Tráfico Combinado Tráfico Limpio@d4v1dp3r31r4
Enlaces de Interés • https://www.scmagazineuk.com/first-true-native-ipv6-ddos-attack- spotted-in-wild/article/747217/ • https://www.theregister.co.uk/2018/03/03/ipv6_ddos/ • https://tools.ietf.org/html/rfc8021 • https://www.csoonline.com/article/3097032/security/attackers- launch-multi-vector-ddos-attacks-that-use-dnssec-amplification.html • https://www.cso.com.au/article/614547/more-ddos-multi-vector- attacks-new-vulnerabilities-what-australia-security-landscape-will-look- like-2017/ • https://events.belnet.be/sites/default/files/presentations/DDoS_Mitiga tion_Service_at_Belnet_and_Case_Study_of_Ministry_of_Finance.pdf • https://www.arnnet.com.au/article/617665/ddos-attack-takes- melbourne-it-dns-servers/ @d4v1dp3r31r4
!Mucha Gracia ! David Pereira david.Pereira@secpro.org @d4v1dp3r31r4 https://www.youtube.com/user/dfpluc2 Preguntas?... Inquietudes?

Recomendados

Denial of Service Attacks (DoS/DDoS)
Denial of Service Attacks (DoS/DDoS)Denial of Service Attacks (DoS/DDoS)
Denial of Service Attacks (DoS/DDoS)Gaurav Sharma
 
12 types of DDoS attacks
12 types of DDoS attacks12 types of DDoS attacks
12 types of DDoS attacksHaltdos
 
Deep dive into ssrf
Deep dive into ssrfDeep dive into ssrf
Deep dive into ssrfn|u - The Open Security Community
 
SSRF exploit the trust relationship
SSRF exploit the trust relationshipSSRF exploit the trust relationship
SSRF exploit the trust relationshipn|u - The Open Security Community
 
Denial of service attack
Denial of service attackDenial of service attack
Denial of service attackAhmed Ghazey
 
DDoS Attacks
DDoS AttacksDDoS Attacks
DDoS AttacksJignesh Patel
 
Breach and attack simulation tools
Breach and attack simulation toolsBreach and attack simulation tools
Breach and attack simulation toolsBangladesh Network Operators Group
 
DDOS Attack
DDOS Attack DDOS Attack
DDOS Attack Ahmed Salama
 

Recomendados

Denial of Service Attacks (DoS/DDoS)
Denial of Service Attacks (DoS/DDoS)Denial of Service Attacks (DoS/DDoS)
Denial of Service Attacks (DoS/DDoS)Gaurav Sharma
 
12 types of DDoS attacks
12 types of DDoS attacks12 types of DDoS attacks
12 types of DDoS attacksHaltdos
 
Deep dive into ssrf
Deep dive into ssrfDeep dive into ssrf
Deep dive into ssrfn|u - The Open Security Community
 
SSRF exploit the trust relationship
SSRF exploit the trust relationshipSSRF exploit the trust relationship
SSRF exploit the trust relationshipn|u - The Open Security Community
 
Denial of service attack
Denial of service attackDenial of service attack
Denial of service attackAhmed Ghazey
 
DDoS Attacks
DDoS AttacksDDoS Attacks
DDoS AttacksJignesh Patel
 
Breach and attack simulation tools
Breach and attack simulation toolsBreach and attack simulation tools
Breach and attack simulation toolsBangladesh Network Operators Group
 
DDOS Attack
DDOS Attack DDOS Attack
DDOS Attack Ahmed Salama
 
DDoS ATTACKS
DDoS ATTACKSDDoS ATTACKS
DDoS ATTACKSAnil Antony
 
DoS or DDoS attack
DoS or DDoS attackDoS or DDoS attack
DoS or DDoS attackstollen_fusion
 
Advanced persistent threat (apt)
Advanced persistent threat (apt)Advanced persistent threat (apt)
Advanced persistent threat (apt)mmubashirkhan
 
Sql injection
Sql injectionSql injection
Sql injectionPallavi Biswas
 
Security Threats at OSI layers
Security Threats at OSI layersSecurity Threats at OSI layers
Security Threats at OSI layersDepartment of Computer Science
 
Hacking web applications
Hacking web applicationsHacking web applications
Hacking web applicationsAdeel Javaid
 
Denial Of Service Attack
Denial Of Service AttackDenial Of Service Attack
Denial Of Service AttackVishnuvardhan Reddy
 
Understanding Cross-site Request Forgery
Understanding Cross-site Request ForgeryUnderstanding Cross-site Request Forgery
Understanding Cross-site Request ForgeryDaniel Miessler
 
SSRF workshop
SSRF workshop SSRF workshop
SSRF workshop Ivan Novikov
 
OWASP Top 10 2021 What's New
OWASP Top 10 2021 What's NewOWASP Top 10 2021 What's New
OWASP Top 10 2021 What's NewMichael Furman
 
DDoS Attack PPT by Nitin Bisht
DDoS Attack PPT by Nitin BishtDDoS Attack PPT by Nitin Bisht
DDoS Attack PPT by Nitin BishtNitin Bisht
 
Network Forensics Intro
Network Forensics IntroNetwork Forensics Intro
Network Forensics IntroJake K.
 
DDoS Engelleme Ürünleri
DDoS Engelleme ÜrünleriDDoS Engelleme Ürünleri
DDoS Engelleme ÜrünleriBGA Cyber Security
 
Wireless Hacking
Wireless HackingWireless Hacking
Wireless HackingVIKAS SINGH BHADOURIA
 
Denial of service
Denial of serviceDenial of service
Denial of servicegarishma bhatia
 
Malware- Types, Detection and Future
Malware- Types, Detection and FutureMalware- Types, Detection and Future
Malware- Types, Detection and Futurekaranwayne
 
Network Security Nmap N Nessus
Network Security Nmap N NessusNetwork Security Nmap N Nessus
Network Security Nmap N NessusUtkarsh Verma
 
Intrusion detection
Intrusion detectionIntrusion detection
Intrusion detectionUmesh Dhital
 
DDoS - Distributed Denial of Service
DDoS - Distributed Denial of ServiceDDoS - Distributed Denial of Service
DDoS - Distributed Denial of ServiceEr. Shiva K. Shrestha
 
Nuevas modalidades de fraude atm
Nuevas modalidades de fraude atmNuevas modalidades de fraude atm
Nuevas modalidades de fraude atmSecpro - Security Professionals
 
TecnoIP 3
TecnoIP 3TecnoIP 3
TecnoIP 3Gabriel Astudillo
 
DDoS
DDoSDDoS
DDoSLeo Bernal
 

Más contenido relacionado

La actualidad más candente

Advanced persistent threat (apt)
Advanced persistent threat (apt)Advanced persistent threat (apt)
Advanced persistent threat (apt)mmubashirkhan
 
Hacking web applications
Hacking web applicationsHacking web applications
Hacking web applicationsAdeel Javaid
 
Understanding Cross-site Request Forgery
Understanding Cross-site Request ForgeryUnderstanding Cross-site Request Forgery
Understanding Cross-site Request ForgeryDaniel Miessler
 
OWASP Top 10 2021 What's New
OWASP Top 10 2021 What's NewOWASP Top 10 2021 What's New
OWASP Top 10 2021 What's NewMichael Furman
 
DDoS Attack PPT by Nitin Bisht
DDoS Attack PPT by Nitin BishtDDoS Attack PPT by Nitin Bisht
DDoS Attack PPT by Nitin BishtNitin Bisht
 
Network Forensics Intro
Network Forensics IntroNetwork Forensics Intro
Network Forensics IntroJake K.
 
Malware- Types, Detection and Future
Malware- Types, Detection and FutureMalware- Types, Detection and Future
Malware- Types, Detection and Futurekaranwayne
 
Network Security Nmap N Nessus
Network Security Nmap N NessusNetwork Security Nmap N Nessus
Network Security Nmap N NessusUtkarsh Verma
 
Intrusion detection
Intrusion detectionIntrusion detection
Intrusion detectionUmesh Dhital
 
DDoS - Distributed Denial of Service
DDoS - Distributed Denial of ServiceDDoS - Distributed Denial of Service
DDoS - Distributed Denial of ServiceEr. Shiva K. Shrestha
 

La actualidad más candente (20)

DDoS ATTACKS
DDoS ATTACKSDDoS ATTACKS
DDoS ATTACKS
 
DoS or DDoS attack
DoS or DDoS attackDoS or DDoS attack
DoS or DDoS attack
 
Advanced persistent threat (apt)
Advanced persistent threat (apt)Advanced persistent threat (apt)
Advanced persistent threat (apt)
 
Sql injection
Sql injectionSql injection
Sql injection
 
Security Threats at OSI layers
Security Threats at OSI layersSecurity Threats at OSI layers
Security Threats at OSI layers
 
Hacking web applications
Hacking web applicationsHacking web applications
Hacking web applications
 
Denial Of Service Attack
Denial Of Service AttackDenial Of Service Attack
Denial Of Service Attack
 
Understanding Cross-site Request Forgery
Understanding Cross-site Request ForgeryUnderstanding Cross-site Request Forgery
Understanding Cross-site Request Forgery
 
SSRF workshop
SSRF workshop SSRF workshop
SSRF workshop
 
OWASP Top 10 2021 What's New
OWASP Top 10 2021 What's NewOWASP Top 10 2021 What's New
OWASP Top 10 2021 What's New
 
DDoS Attack PPT by Nitin Bisht
DDoS Attack PPT by Nitin BishtDDoS Attack PPT by Nitin Bisht
DDoS Attack PPT by Nitin Bisht
 
Network Forensics Intro
Network Forensics IntroNetwork Forensics Intro
Network Forensics Intro
 
DDoS Engelleme Ürünleri
DDoS Engelleme ÜrünleriDDoS Engelleme Ürünleri
DDoS Engelleme Ürünleri
 
Wireless Hacking
Wireless HackingWireless Hacking
Wireless Hacking
 
Denial of service
Denial of serviceDenial of service
Denial of service
 
Malware- Types, Detection and Future
Malware- Types, Detection and FutureMalware- Types, Detection and Future
Malware- Types, Detection and Future
 
Network Security Nmap N Nessus
Network Security Nmap N NessusNetwork Security Nmap N Nessus
Network Security Nmap N Nessus
 
Intrusion detection
Intrusion detectionIntrusion detection
Intrusion detection
 
DDoS - Distributed Denial of Service
DDoS - Distributed Denial of ServiceDDoS - Distributed Denial of Service
DDoS - Distributed Denial of Service
 
Nuevas modalidades de fraude atm
Nuevas modalidades de fraude atmNuevas modalidades de fraude atm
Nuevas modalidades de fraude atm
 

Similar a Mitigacion de ataques DDoS

Ataques en el Protocolo DHCP Spoofing - Grupo2 -Redes de Computadoras (1).pptx
Ataques en el Protocolo DHCP Spoofing - Grupo2 -Redes de Computadoras (1).pptxAtaques en el Protocolo DHCP Spoofing - Grupo2 -Redes de Computadoras (1).pptx
Ataques en el Protocolo DHCP Spoofing - Grupo2 -Redes de Computadoras (1).pptxWilsonOrellana11
 
Actividad 02 Ataques al Servidor-1.docx
Actividad 02 Ataques al Servidor-1.docxActividad 02 Ataques al Servidor-1.docx
Actividad 02 Ataques al Servidor-1.docxAndrea Gomez
 
Presentación Redes FastFlux
Presentación Redes FastFluxPresentación Redes FastFlux
Presentación Redes FastFluxMiquel Tur Mongé
 
Ataques DDoS y DoS | G2k hosting
Ataques DDoS y DoS | G2k hostingAtaques DDoS y DoS | G2k hosting
Ataques DDoS y DoS | G2k hostingG2K Hosting
 
Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]
Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]
Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]RootedCON
 
¿Se pueden evitar los ataques DDoS?
¿Se pueden evitar los ataques DDoS?¿Se pueden evitar los ataques DDoS?
¿Se pueden evitar los ataques DDoS?Supra Networks
 
Actividad de servicios (1)
Actividad de servicios (1)Actividad de servicios (1)
Actividad de servicios (1)alejagomex
 
Definición y métodos de Ataques DoS
Definición y métodos de Ataques DoSDefinición y métodos de Ataques DoS
Definición y métodos de Ataques DoSAcens
 
Introduccion a la Seguridad informatica
Introduccion a la Seguridad informaticaIntroduccion a la Seguridad informatica
Introduccion a la Seguridad informaticaCarlos Miranda
 
Seguridad de Punto Terminal.pdf
Seguridad de Punto Terminal.pdfSeguridad de Punto Terminal.pdf
Seguridad de Punto Terminal.pdfOnel Luis
 
DDoS detection at small ISP by Wardner Maia
DDoS detection at small ISP by Wardner MaiaDDoS detection at small ISP by Wardner Maia
DDoS detection at small ISP by Wardner MaiaPavel Odintsov
 
Seguridad en aplicaciones web
Seguridad en aplicaciones webSeguridad en aplicaciones web
Seguridad en aplicaciones webJDanniel Pacheco
 
Que es p2p
Que es p2pQue es p2p
Que es p2pnewtext
 
Instalacion del servidor proxy para conectar una red lan a una pc con salid...
Instalacion del servidor proxy para conectar una red lan a una pc con salid...Instalacion del servidor proxy para conectar una red lan a una pc con salid...
Instalacion del servidor proxy para conectar una red lan a una pc con salid...ChanCHIMAL
 

Similar a Mitigacion de ataques DDoS (20)

TecnoIP 3
TecnoIP 3TecnoIP 3
TecnoIP 3
 
DDoS
DDoSDDoS
DDoS
 
Ataques en el Protocolo DHCP Spoofing - Grupo2 -Redes de Computadoras (1).pptx
Ataques en el Protocolo DHCP Spoofing - Grupo2 -Redes de Computadoras (1).pptxAtaques en el Protocolo DHCP Spoofing - Grupo2 -Redes de Computadoras (1).pptx
Ataques en el Protocolo DHCP Spoofing - Grupo2 -Redes de Computadoras (1).pptx
 
Actividad 02 Ataques al Servidor-1.docx
Actividad 02 Ataques al Servidor-1.docxActividad 02 Ataques al Servidor-1.docx
Actividad 02 Ataques al Servidor-1.docx
 
Presentación Redes FastFlux
Presentación Redes FastFluxPresentación Redes FastFlux
Presentación Redes FastFlux
 
Riesgos de la informacion informatica
Riesgos de la informacion informaticaRiesgos de la informacion informatica
Riesgos de la informacion informatica
 
Ataques DDoS y DoS | G2k hosting
Ataques DDoS y DoS | G2k hostingAtaques DDoS y DoS | G2k hosting
Ataques DDoS y DoS | G2k hosting
 
Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]
Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]
Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]
 
¿Se pueden evitar los ataques DDoS?
¿Se pueden evitar los ataques DDoS?¿Se pueden evitar los ataques DDoS?
¿Se pueden evitar los ataques DDoS?
 
Un servidor de seguridad perimetral
Un servidor de seguridad perimetralUn servidor de seguridad perimetral
Un servidor de seguridad perimetral
 
Actividad de servicios (1)
Actividad de servicios (1)Actividad de servicios (1)
Actividad de servicios (1)
 
Actividad de servicios
Actividad de serviciosActividad de servicios
Actividad de servicios
 
Definición y métodos de Ataques DoS
Definición y métodos de Ataques DoSDefinición y métodos de Ataques DoS
Definición y métodos de Ataques DoS
 
Introduccion a la Seguridad informatica
Introduccion a la Seguridad informaticaIntroduccion a la Seguridad informatica
Introduccion a la Seguridad informatica
 
Seguridad de Punto Terminal.pdf
Seguridad de Punto Terminal.pdfSeguridad de Punto Terminal.pdf
Seguridad de Punto Terminal.pdf
 
Defendiéndose de ataques de DDoS
Defendiéndose de ataques de DDoSDefendiéndose de ataques de DDoS
Defendiéndose de ataques de DDoS
 
DDoS detection at small ISP by Wardner Maia
DDoS detection at small ISP by Wardner MaiaDDoS detection at small ISP by Wardner Maia
DDoS detection at small ISP by Wardner Maia
 
Seguridad en aplicaciones web
Seguridad en aplicaciones webSeguridad en aplicaciones web
Seguridad en aplicaciones web
 
Que es p2p
Que es p2pQue es p2p
Que es p2p
 
Instalacion del servidor proxy para conectar una red lan a una pc con salid...
Instalacion del servidor proxy para conectar una red lan a una pc con salid...Instalacion del servidor proxy para conectar una red lan a una pc con salid...
Instalacion del servidor proxy para conectar una red lan a una pc con salid...
 

Más de Secpro - Security Professionals

Tecnicas de Ataque a Infraestructura Critica Maritima V. publica
Tecnicas de Ataque a Infraestructura Critica Maritima V. publicaTecnicas de Ataque a Infraestructura Critica Maritima V. publica
Tecnicas de Ataque a Infraestructura Critica Maritima V. publicaSecpro - Security Professionals
 
Estrategias de Ciberseguridad para enfrentar Amenzas Emergentes
Estrategias de Ciberseguridad para enfrentar Amenzas EmergentesEstrategias de Ciberseguridad para enfrentar Amenzas Emergentes
Estrategias de Ciberseguridad para enfrentar Amenzas EmergentesSecpro - Security Professionals
 

Más de Secpro - Security Professionals (16)

Tecnicas de Ataque a Infraestructura Critica Maritima V. publica
Tecnicas de Ataque a Infraestructura Critica Maritima V. publicaTecnicas de Ataque a Infraestructura Critica Maritima V. publica
Tecnicas de Ataque a Infraestructura Critica Maritima V. publica
 
Impacto del cibercrimen en los sectores económicos
Impacto del cibercrimen en los sectores económicos Impacto del cibercrimen en los sectores económicos
Impacto del cibercrimen en los sectores económicos
 
We are Digital Puppets
We are Digital PuppetsWe are Digital Puppets
We are Digital Puppets
 
Entendiendo IoT y sus Vulnerabilidades
Entendiendo IoT y sus VulnerabilidadesEntendiendo IoT y sus Vulnerabilidades
Entendiendo IoT y sus Vulnerabilidades
 
Estrategias de Ciberseguridad para enfrentar Amenzas Emergentes
Estrategias de Ciberseguridad para enfrentar Amenzas EmergentesEstrategias de Ciberseguridad para enfrentar Amenzas Emergentes
Estrategias de Ciberseguridad para enfrentar Amenzas Emergentes
 
Machine learning: the next step in cybersecurity
Machine learning: the next step in cybersecurityMachine learning: the next step in cybersecurity
Machine learning: the next step in cybersecurity
 
Spectre y Meltdown; Que debemos saber
Spectre y Meltdown; Que debemos saberSpectre y Meltdown; Que debemos saber
Spectre y Meltdown; Que debemos saber
 
Se siente usted seguro con sus dispositivos móviles
Se siente usted seguro con sus dispositivos móvilesSe siente usted seguro con sus dispositivos móviles
Se siente usted seguro con sus dispositivos móviles
 
Charla control parental e IoT v2. Etek.ppsx
Charla control parental e IoT v2. Etek.ppsxCharla control parental e IoT v2. Etek.ppsx
Charla control parental e IoT v2. Etek.ppsx
 
Somos marionetas informáticas v2017
Somos marionetas informáticas v2017Somos marionetas informáticas v2017
Somos marionetas informáticas v2017
 
Amenazas avanzadas persistentes
Amenazas avanzadas persistentesAmenazas avanzadas persistentes
Amenazas avanzadas persistentes
 
Conferencia arquitectura de Ciberdefensa APT
Conferencia arquitectura de Ciberdefensa APTConferencia arquitectura de Ciberdefensa APT
Conferencia arquitectura de Ciberdefensa APT
 
Peligros del mundo virtual
Peligros del mundo virtualPeligros del mundo virtual
Peligros del mundo virtual
 
Ciberinteligencia2
Ciberinteligencia2Ciberinteligencia2
Ciberinteligencia2
 
Tecnicas avanzadas de ocultamiento de malware
Tecnicas avanzadas de ocultamiento de malwareTecnicas avanzadas de ocultamiento de malware
Tecnicas avanzadas de ocultamiento de malware
 
Se puede colapsar un pais (enfoque ciber)
Se puede colapsar un pais (enfoque ciber)Se puede colapsar un pais (enfoque ciber)
Se puede colapsar un pais (enfoque ciber)
 

Último

INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENAINSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENAdanielaerazok
 
institucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalenainstitucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalenajuniorcuellargomez
 
Institucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalenaInstitucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalenadanielaerazok
 
COMPETENCIAS CIUDADANASadadadadadadada .pdf
COMPETENCIAS CIUDADANASadadadadadadada .pdfCOMPETENCIAS CIUDADANASadadadadadadada .pdf
COMPETENCIAS CIUDADANASadadadadadadada .pdfOscarBlas6
 
12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdfedwinmelgarschlink2
 
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfNUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfisrael garcia
 
Buscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la webBuscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la webDecaunlz
 
Guia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdfGuia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdflauradbernals
 

Último (8)

INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENAINSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
 
institucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalenainstitucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalena
 
Institucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalenaInstitucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalena
 
COMPETENCIAS CIUDADANASadadadadadadada .pdf
COMPETENCIAS CIUDADANASadadadadadadada .pdfCOMPETENCIAS CIUDADANASadadadadadadada .pdf
COMPETENCIAS CIUDADANASadadadadadadada .pdf
 
12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf
 
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfNUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
 
Buscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la webBuscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la web
 
Guia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdfGuia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdf
 

Mitigacion de ataques DDoS

  • 1. Mitigación de Ataques DDoS David Pereira
  • 2. Instructor / Consultor de Fuerzas de Ciberdefensa, Fuerzas Militares y Policía, en varios Países. Hacker Ético – Pentester en diversas Entidades en el mundo, de ámbitos como el Financiero, Energético, Militar, Inteligencia, Diplomático, Minero, entre otros +22 Años de experiencia en Seguridad Informática y DFIR CEH, ECSA/LPT, CHFI, ENSA, ECSS, ECVP, CEI, QGSS, ECIH, EDRP, NFS, OPSEC, CICP, CND, CCISO. David Pereira - CEO SecPro
  • 3. Definiciones ¿Cómo defenderse ante ataques DDoS? Tipos de Ataques DDoS Dispositivos y Herramientas de Defensa Pila de Mitigación DDoS Contenido Casos de Éxito @d4v1dp3r31r4
  • 4. Ataque DDoS mas grande detectado hasta la fecha Tomado de: https://thehackernews.com/2018/03/biggest-ddos-attack- github.html#
  • 5. ¿Que es un ataque DDoS? Se envía una cantidad excesiva de peticiones falsas al servidor obligándolo a contestar cada una de ellas impidiendo que responda las peticiones reales ; estos ataques están orientados principalmente en tres clases: volumétricos (UDP ,ICMP) , protocolos (SYN , otros) y aplicaciones Tomado de: http://www.differencebetween.net/technology/the-difference-between-dos-and-ddos-attacks
  • 6. ¿Por qué se logra realizar un ataque DDoS? Un ataque DDoS se logra realizar debido a una vulnerabilidad del protocolo TCP/IP v4 al momento de realizar una conexión (three way handshake) Servidor Con Puerto abierto; Ej: 80 http Cliente @d4v1dp3r31r4
  • 7. Botnets / Puppetnets • Las botnets son grupos de equipos infectados equipos (bots / zombies) los cuales generalmente se utilizan para realizar ataques DDoS – Envío de correos spam – entre otros • Para controlar este tipo de redes se utiliza un comando y control (C&C) el cual recibe las instrucciones por parte del atacante y transmite hacia las estaciones • El C&C puede estar oculto bajo una red VPN , Proxy o DNS gratuitos • Las botnets utilizan puertos como: 6666-6667-6668 • Las Puppetnets son un tipo especial de botnet las cuales utilizan puertos 80 y 443 y son mas difíciles de rastrear @d4v1dp3r31r4
  • 8. Botnets / Puppetnets Tomado de: https://www.cloudflare.com/learning/ddos/what-is-a-ddos-botnet/ @d4v1dp3r31r4
  • 10. OTROS ATAQUES DDoS Amplificación NTP Se envía trafico NTP (udp) utilizando servidores NTP abiertos saturando a las victimas Zero-Day Nuevos ataques DDoS explotando vulnerabilidades desconocidas P2P DDOS Se utilizan servidores P2P (peer to peer) vulnerables para realizar los ataques DDoS Multivector DDoS Ataques DDoS que utilizan técnicas combinadas (TCP / UDP flood , DNS , entre otros) @d4v1dp3r31r4
  • 11. ¿DDoS únicamente funciona en IPV4 ? NO !!!! Existen ataques orientados hacia IPV6, aprovechando las múltiples vulnerabilidaes de IPV6. @d4v1dp3r31r4
  • 12. DDoS en IPV6 • Se presento un ataque DDoS de alrededor de 1.900 hosts IPv6 nativos, en más de 650 redes diferentes y en un servicio de DNS de la red de Neustar en la ultima semana de febrero 2018. • Se detecto que fue un ataque de DNS • De las 1.900 direcciones IPv6, detectaron que 400 eran sistemas DNS mal configurados, y aproximadamente un tercio del tráfico de ataque provino de esos servidores. • Un ciberdelincuente puede utilizar servidores DNS para amplificar el tráfico de la red hacia las victimas durante el ataque. • Internet Engineering Task Force (IETF) esta desarrollando RFC 8021, una solución diseñada para evitar un vector de ataque de fragmentación contra enrutadores de protocolo IPv6 en redes de gran escala. El vector, llamado "fragmentos atómicos“ (atomic fragments) fue mencionado por primera vez en Black Hat 2012. @d4v1dp3r31r4
  • 13. ¿Cómo defenderse ante ataques DDoS? • Cambios en topología de red (WAN –DMZ) • Adquisición de equipos / herramientas de protección • Contratación de servicios de protección • Absorber el ataque: Utilizar recursos adicionales para absorber el trafico malicioso enviado durante el ataque • Técnicas de filtrado • Pruebas de seguridad: para identificar posibles vectores de ataque hacia puertos , servicios o aplicaciones • Degradar servicios: cambiar los contenidos activos del sitio por contenidos estáticos . Esto le permite saber al atacante que tuvo éxito • Detener / Apagar los servicios @d4v1dp3r31r4
  • 14. Técnicas de Mitigación DDoS 1. Syn Proxy: Cuando un servidor recibe peticiones de conexión SYN, responde mediante el envío de TCP SYN / ACK adiciona las entradas de conexión en su tabla de conexión propia. Puesto que estas direcciones IP en realidad no existen, no responden a los SYN / ACK y por lo tanto la tabla de conexiones se mantiene llena de conexiones falsas a la espera de un paquete ACK. Esto efectivamente niega el acceso a las conexiones nuevas y legítimas. SYN Proxy es un mecanismo, (Appliance) que se coloca antes del servidor real y espera las respuestas. Hasta que la IP falsa o IPs no - falsa responde con un ACK, las solicitudes de conexión no son reenviadas. @d4v1dp3r31r4
  • 15. Técnicas de Mitigación DDoS 2. Aggressive Aging (envejecimiento agresivo): • Algunos ataques de botnets implican la apertura de una conexión legítima y no hacer nada en absoluto. • El Aggressive Aging ayuda a manejar la tabla de conexiones y la capacidad de consumo de memoria del servidor para aumentar la estabilidad. • Esta función introduce una serie de tiempos de espera cortos; Cuando una conexión está inactiva durante más de su tiempo de espera agresivo, se marca como elegible para su eliminación. • El Aggressive Aging, (dinámico) implica la eliminación de las conexiones de las tablas y también puede implicar el envío de un paquete TCP RST al origen de la conexión @d4v1dp3r31r4
  • 16. Técnicas de Mitigación DDoS Syn Proxy & Aggressive Aging: SYN Proxy Syn / Ack Ack Cliente Legitimo Atacante Syn - Spoof Syn/ Ack hacia el Spoof Aggressive Aging X @d4v1dp3r31r4
  • 17. Técnicas de Mitigación DDoS 3. Source Rate Limiting Cuando hay un número limitado de ip´s origen para una Botnet, ella puede utilizar sus IP para enviar paquetes con alta carga (agresivos). Estos paquetes consumen recursos del servidor; este tipo de ataques reciben el nombre de Multi-threaded. Mediante la identificación de valores atípicos en direcciones IP que rompen las normas, se puede denegar el acceso a ancho de banda excesivo. Como las direcciones IP en este tipo de ataques no son predecibles, es importante no perder de vista a millones de direcciones IP y su comportamiento para aislar a los valores extremos. Este aislamiento sólo se puede hacer en el hardware. @d4v1dp3r31r4
  • 18. Técnicas de Mitigación DDoS 3. Source Rate Limiting Paquetes con carga legitima Paquetes con alta carga Filtrado Source Rate @d4v1dp3r31r4
  • 19. Técnicas de Mitigación DDoS 4. Connection Limiting Demasiadas conexiones pueden causar sobrecarga en un Servidor. Limitando el numero de solicitudes de conexiones nuevas, se le puede dar alivio al Servidor. Esto se logra dándole preferencia a las conexiones existentes y limitando las solicitudes de nuevas conexiones, permitiendo un mejor uso de la memoria del Servidor. Es decir, premiar el buen comportamiento previo. @d4v1dp3r31r4
  • 20. Técnicas de Mitigación DDoS 5. Dynamic Filtering El filtrado Estático es una técnica común en firewalls, routers, etc. y se lleva a cabo por medio de ACL. El Filtrado Dinámico es requerido cuando el tipo de ataque y los atacantes cambian constantemente. El Filtrado Dinámico se logra identificando los comportamientos fuera de lo normal y castigando este comportamiento por un periodo corto de tiempo, creando reglas de Filtrado de corta duración durante el ataque y eliminándolas posteriormente. @d4v1dp3r31r4
  • 21. Técnicas de Mitigación DDoS 6. Anomaly Recognition Muchos ataques del tipo DDoS, se realizan por medio de Scripts que continuamente varían algunos parámetros en los paquetes enviados. Realizando detección de anomalías en los encabezados, estados y tasas un Appliance puede filtrar muchos paquetes que de otra forma lograrían llegar hasta la red libremente. @d4v1dp3r31r4
  • 22. Técnicas de Mitigación DDoS 6. Anomaly Recognition Paquetes legítimos Paquetes con scripts maliciosos Red de protección DDoS Encabezado Alterado Cookie Alterada @d4v1dp3r31r4
  • 23. Técnicas de Mitigación DDoS 7. Protocol Analysis Similar al Anomaly Recognition, pero aplicado a los protocolos que llegan hasta los dispositivos , se centra en los encabezados de capa 7 en busca de flujos sospechosos. @d4v1dp3r31r4
  • 24. Técnicas de Mitigación DDoS 7. Protocol Analysis (WAF) SELECT * FROM usuarios WHERE usuario=‘admin’ AND contraseña =‘ ‘ or ‘‘=‘’; Red de protección DDoS Inyección SQL @d4v1dp3r31r4
  • 25. Técnicas de Mitigación DDoS 8. Active Verification through Legitimate IP Address Matching A pesar de que el SYN Proxy es uno de los mejores mecanismos para mitigar los ataques DDoS basados en spoofing, siempre se genera un SYN Flood de corta duración. Si el Appliance continúa enviando paquetes SYN/ACK en contestación, se va a generar una gran cantidad de trafico, y por ende consumo de ancho de banda. Para eliminar esto se hace necesario que el cache identifique el tráfico que proviene de IP legítimas, y los alimente en una tabla temporal, permitiéndole el paso sin las verificaciones del Proxy. @d4v1dp3r31r4
  • 26. Técnicas de Mitigación DDoS 9. Granular Rate Limiting Los ataques DDoS son impredecibles y en muchas oportunidades se dirigen por medio de BOTs y Scripting; los paquetes que llegan al Servidor son diferentes en cada ocasión,; no obstante hay similitudes entre los paquetes en un ataque individual. La Técnica GRL identifica las tasas de transferencia de ataques anteriores; Los umbrales se basan en comportamiento pasado, durante sesiones de entrenamiento y se ajustan adaptativamente en el tiempo. La Granularidad se aplica a parámetros disponibles en las Capas 3, 4 y los encabezados en la Capa 7; parámetros como: Origen – Destino – Puertos - Método HTTP – URL – Agentes - Cookies - Host Referrer @d4v1dp3r31r4
  • 27. Técnicas de Mitigación DDoS Active Verification through Legitimate IP Address Matching & Granular Rate Limiting 190.65.180.10 MTU:1500 Internet 201.184.250.76 190.145.32.109 52.170.21.0 139.59.109.146 Lista IP Legitimas MTU (tamaño paquete)=1200 190.66.177.1 MTU:1200 Internet 201.184.250.76 190.145.32.109 52.170.21.0 139.59.109.146 190.166.177.1 IP veritifcada y adicionada IP No verificada @d4v1dp3r31r4
  • 28. Técnicas de Mitigación DDoS 10. White-list, Black-list, Non-tracked Sources En cualquier red siempre hay un grupo de direcciones IP que deben ser aprobadas o negadas. Las Listas Blancas y Listas Negras son útiles durante los ataques DDoS para reforzar los controles adicionales. Debido a que las anomalías son generadas por comportamiento, estos comportamientos deben ser aprendidos basados en experiencias previas, para poder diferenciar el comportamiento anómalo permitido del no permitido; casos como el de las Copias de Seguridad que generan gran cantidad de logs en horas puntuales o CDN específico, Refrescos, etc. Así se pueden crear excepciones para trafico que no debe ser rastreado o debe ser incluido en las excepciones. @d4v1dp3r31r4
  • 29. Técnicas de Mitigación DDoS 10. White-list, Black-list, Non-tracked Sources 201.184.250.76 190.145.32.109 52.170.21.0 139.59.109.146 41.139.161.42 96.71.40.129 177.126.81.63 47.90.80.88 Red de protección DDoS Internet Lista blanca Lista negra (IP Reportadas) @d4v1dp3r31r4
  • 30. Técnicas de Mitigación DDoS 11. Country Based Access Control Lists (ACL) Gran parte del tráfico Botnet se origina desde un número limitado de Países. Estos Países probablemente no sean origen de tráfico normal dentro de la Organización. Por medio de Filtros basados en Países se puede reducir significativamente el tráfico que recibe el Servidor y por ende la Carga, incluido tráfico spoof. Es recomendable la implementación de estos controles a nivel de Hardware y no de Software por temas de desempeño. @d4v1dp3r31r4
  • 31. Técnicas de Mitigación DDoS 11. Country Based Access Control Lists (ACL) Red de protección DDoS Paises permitidos Paises Restringidos Internet @d4v1dp3r31r4
  • 32. Técnicas de Mitigación DDoS 12. State Anomaly Recognition El protocolo TCP es el mas comúnmente utilizado para infraestructura WEB. Al ser orientado a conexión debe seguir ciertas reglas. Tomando en cuenta que muchas Botnets utilizan scripting, muchas veces se rompen esas reglas; Un motor de reconocimiento de anomalías de estado, detecta anomalías de transmisión TCP, paquetes en conexiones no establecidas propiamente, y violaciones en el windowing de la transmisión. @d4v1dp3r31r4
  • 33. Técnicas de Mitigación DDoS 12. State Anomaly Recognition Atacante OS: Kali Linux Tamaño de ventana por defecto : 5840 Red Protección DDoS Paquete detectado: OS: Windows 10 Tamaño de ventana:65535 Anomalía detectada @d4v1dp3r31r4
  • 34. Técnicas de Mitigación DDoS 13. Stealth Attack Filtering (precursores) Antes de un ataque, existen precursores, es decir señales de que un ataque se avecina y normalmente se presentan en forma de rastreos al Servidor. El Sentido de un rastreo para un atacante es buscar que puertos abiertos tiene un objetivo; identificando este tipo de ataques y monitoreándolos se pueden asociar con conductas hostiles y crear filtros o bloqueos para las ip o rangos de ip que los realicen. @d4v1dp3r31r4
  • 35. Técnicas de Mitigación DDoS 14. Dark Address Scan Prevention (RFC 3330) Las direcciones obscuras son direcciones IP que no han sido asignadas por la IANA. Estas direcciones también reciben el nombre de direcciones bogon. Cualquier paquete recibido de una de estas direcciones normalmente esta asociado a un ataque que involucra spoofing. Estas direcciones deben ser bloqueadas en el firewall o router, y así se disminuye ampliamente el porcentaje de direcciones que pueden atacar la infraestructura. @d4v1dp3r31r4
  • 36. Técnicas de Mitigación DDoS 14. Dark Address Scan Prevention (RFC 3330) Red de protección DDoS IP Permitidas Internet IP bloqueadas (bogon) • 0.0.0.2 • 100.64.0.5 • 169.254.0.10 • 198.51.100.50 • 240.0.0.2 • 190.85.184.218 • 128.199.75.94 • 207.154.240 • 186.46.85.194 • 186.215.148.228 @d4v1dp3r31r4
  • 37. Técnicas de Mitigación DDoS 15. GeoDNS Permite redireccionar las visitas de cualquier cliente de acuerdo al lugar geográfico donde se encuentre posicionado @d4v1dp3r31r4
  • 38. Técnicas de Mitigación DDoS 16. Cache de aceleración Permite que la red de protección almacene un cache de elementos estáticos del sitio para que sean cargados en la nube de protección bajo unos tiempos de respuesta específicos mejorando tiempos de respuesta , rendimiento del sitio web protegido y mitigar posible trafico malicioso que consulte los contenidos . @d4v1dp3r31r4
  • 39. Técnicas de Mitigación DDoS 16. Cache de aceleración Red de protección DDoS Contenido del sitio en cache Sitio original Trafico Legitimo Trafico Legitimo Respuesta Acelerada @d4v1dp3r31r4
  • 40. Pila de Mitigación DDoS Particionamiento Virtual Filtrado Heurístico Filtrado Algorítmico Filtrado en Capa de Aplicación Filtros Granulares en Capa 3 y 4 ACL Basados en Geolocación Inspección Stateful Mitigación de Flood Filtrado de Bogon Detección de Anomalías en Protocolo Tráfico Combinado Tráfico Limpio@d4v1dp3r31r4
  • 41. Enlaces de Interés • https://www.scmagazineuk.com/first-true-native-ipv6-ddos-attack- spotted-in-wild/article/747217/ • https://www.theregister.co.uk/2018/03/03/ipv6_ddos/ • https://tools.ietf.org/html/rfc8021 • https://www.csoonline.com/article/3097032/security/attackers- launch-multi-vector-ddos-attacks-that-use-dnssec-amplification.html • https://www.cso.com.au/article/614547/more-ddos-multi-vector- attacks-new-vulnerabilities-what-australia-security-landscape-will-look- like-2017/ • https://events.belnet.be/sites/default/files/presentations/DDoS_Mitiga tion_Service_at_Belnet_and_Case_Study_of_Ministry_of_Finance.pdf • https://www.arnnet.com.au/article/617665/ddos-attack-takes- melbourne-it-dns-servers/ @d4v1dp3r31r4
  • 42. !Mucha Gracia ! David Pereira david.Pereira@secpro.org @d4v1dp3r31r4 https://www.youtube.com/user/dfpluc2 Preguntas?... Inquietudes?