2. Instructor / Consultor de Fuerzas de
Ciberdefensa, Fuerzas Militares y Policía,
en varios Países.
Hacker Ético – Pentester en diversas Entidades en el
mundo, de ámbitos como el Financiero, Energético,
Militar, Inteligencia, Diplomático, Minero, entre otros
+22 Años de experiencia en Seguridad
Informática y DFIR
CEH, ECSA/LPT, CHFI, ENSA, ECSS, ECVP, CEI,
QGSS, ECIH, EDRP, NFS, OPSEC, CICP, CND,
CCISO.
David Pereira - CEO SecPro
3. Definiciones
¿Cómo defenderse
ante ataques DDoS?
Tipos de Ataques
DDoS
Dispositivos y
Herramientas de
Defensa
Pila de
Mitigación
DDoS
Contenido
Casos de Éxito
@d4v1dp3r31r4
4. Ataque DDoS mas grande detectado hasta la fecha
Tomado de: https://thehackernews.com/2018/03/biggest-ddos-attack-
github.html#
5. ¿Que es un ataque DDoS?
Se envía una cantidad excesiva de peticiones falsas al servidor obligándolo
a contestar cada una de ellas impidiendo que responda las peticiones
reales ; estos ataques están orientados principalmente en tres clases:
volumétricos (UDP ,ICMP) , protocolos (SYN , otros) y aplicaciones
Tomado de: http://www.differencebetween.net/technology/the-difference-between-dos-and-ddos-attacks
6. ¿Por qué se logra realizar un ataque DDoS?
Un ataque DDoS se logra realizar debido a una vulnerabilidad del
protocolo TCP/IP v4 al momento de realizar una conexión (three
way handshake)
Servidor
Con Puerto abierto;
Ej: 80 http
Cliente
@d4v1dp3r31r4
7. Botnets / Puppetnets
• Las botnets son grupos de equipos infectados equipos (bots /
zombies) los cuales generalmente se utilizan para realizar
ataques DDoS – Envío de correos spam – entre otros
• Para controlar este tipo de redes se utiliza un comando y
control (C&C) el cual recibe las instrucciones por parte del
atacante y transmite hacia las estaciones
• El C&C puede estar oculto bajo una red VPN , Proxy o DNS
gratuitos
• Las botnets utilizan puertos como: 6666-6667-6668
• Las Puppetnets son un tipo especial de botnet las cuales
utilizan puertos 80 y 443 y son mas difíciles de rastrear
@d4v1dp3r31r4
8. Botnets / Puppetnets
Tomado de: https://www.cloudflare.com/learning/ddos/what-is-a-ddos-botnet/
@d4v1dp3r31r4
10. OTROS
ATAQUES
DDoS
Amplificación
NTP
Se envía trafico NTP
(udp) utilizando
servidores NTP
abiertos saturando a
las victimas
Zero-Day
Nuevos ataques
DDoS explotando
vulnerabilidades
desconocidas
P2P DDOS
Se utilizan
servidores P2P
(peer to peer)
vulnerables para
realizar los
ataques DDoS
Multivector
DDoS
Ataques DDoS que
utilizan técnicas
combinadas (TCP /
UDP flood , DNS ,
entre otros)
@d4v1dp3r31r4
11. ¿DDoS únicamente funciona en IPV4 ?
NO !!!! Existen ataques orientados hacia IPV6, aprovechando las
múltiples vulnerabilidaes de IPV6.
@d4v1dp3r31r4
12. DDoS en IPV6
• Se presento un ataque DDoS de alrededor de 1.900 hosts IPv6 nativos,
en más de 650 redes diferentes y en un servicio de DNS de la red de
Neustar en la ultima semana de febrero 2018.
• Se detecto que fue un ataque de DNS
• De las 1.900 direcciones IPv6, detectaron que 400 eran sistemas DNS
mal configurados, y aproximadamente un tercio del tráfico de
ataque provino de esos servidores.
• Un ciberdelincuente puede utilizar servidores DNS para amplificar el
tráfico de la red hacia las victimas durante el ataque.
• Internet Engineering Task Force (IETF) esta desarrollando RFC 8021,
una solución diseñada para evitar un vector de ataque de
fragmentación contra enrutadores de protocolo IPv6 en redes de
gran escala. El vector, llamado "fragmentos atómicos“ (atomic
fragments) fue mencionado por primera vez en Black Hat 2012.
@d4v1dp3r31r4
13. ¿Cómo defenderse ante ataques DDoS?
• Cambios en topología de red (WAN –DMZ)
• Adquisición de equipos / herramientas de protección
• Contratación de servicios de protección
• Absorber el ataque: Utilizar recursos adicionales para absorber
el trafico malicioso enviado durante el ataque
• Técnicas de filtrado
• Pruebas de seguridad: para identificar posibles vectores de
ataque hacia puertos , servicios o aplicaciones
• Degradar servicios: cambiar los contenidos activos del sitio por
contenidos estáticos . Esto le permite saber al atacante que
tuvo éxito
• Detener / Apagar los servicios
@d4v1dp3r31r4
14. Técnicas de Mitigación DDoS
1. Syn Proxy:
Cuando un servidor recibe peticiones de conexión SYN, responde
mediante el envío de TCP SYN / ACK adiciona las entradas de
conexión en su tabla de conexión propia.
Puesto que estas direcciones IP en realidad no existen, no
responden a los SYN / ACK y por lo tanto la tabla de conexiones
se mantiene llena de conexiones falsas a la espera de un
paquete ACK.
Esto efectivamente niega el acceso a las conexiones nuevas y
legítimas. SYN Proxy es un mecanismo, (Appliance) que se coloca
antes del servidor real y espera las respuestas. Hasta que la IP
falsa o IPs no - falsa responde con un ACK, las solicitudes de
conexión no son reenviadas.
@d4v1dp3r31r4
15. Técnicas de Mitigación DDoS
2. Aggressive Aging (envejecimiento agresivo):
• Algunos ataques de botnets implican la apertura de una
conexión legítima y no hacer nada en absoluto.
• El Aggressive Aging ayuda a manejar la tabla de conexiones y
la capacidad de consumo de memoria del servidor para
aumentar la estabilidad.
• Esta función introduce una serie de tiempos de espera cortos;
Cuando una conexión está inactiva durante más de su
tiempo de espera agresivo, se marca como elegible para su
eliminación.
• El Aggressive Aging, (dinámico) implica la eliminación de las
conexiones de las tablas y también puede implicar el envío
de un paquete TCP RST al origen de la conexión
@d4v1dp3r31r4
16. Técnicas de Mitigación DDoS
Syn Proxy & Aggressive Aging:
SYN Proxy
Syn / Ack
Ack
Cliente Legitimo
Atacante
Syn - Spoof
Syn/ Ack hacia el Spoof
Aggressive
Aging
X
@d4v1dp3r31r4
17. Técnicas de Mitigación DDoS
3. Source Rate Limiting
Cuando hay un número limitado de ip´s origen para una Botnet,
ella puede utilizar sus IP para enviar paquetes con alta carga
(agresivos). Estos paquetes consumen recursos del servidor; este
tipo de ataques reciben el nombre de Multi-threaded.
Mediante la identificación de valores atípicos en direcciones IP
que rompen las normas, se puede denegar el acceso a ancho
de banda excesivo.
Como las direcciones IP en este tipo de ataques no son
predecibles, es importante no perder de vista a millones de
direcciones IP y su comportamiento para aislar a los valores
extremos. Este aislamiento sólo se puede hacer en el hardware.
@d4v1dp3r31r4
18. Técnicas de Mitigación DDoS
3. Source Rate Limiting
Paquetes con
carga legitima
Paquetes con
alta carga
Filtrado
Source Rate
@d4v1dp3r31r4
19. Técnicas de Mitigación DDoS
4. Connection Limiting
Demasiadas conexiones pueden causar sobrecarga en un
Servidor. Limitando el numero de solicitudes de conexiones
nuevas, se le puede dar alivio al Servidor.
Esto se logra dándole preferencia a las conexiones existentes y
limitando las solicitudes de nuevas conexiones, permitiendo un
mejor uso de la memoria del Servidor.
Es decir, premiar el buen comportamiento previo.
@d4v1dp3r31r4
20. Técnicas de Mitigación DDoS
5. Dynamic Filtering
El filtrado Estático es una técnica común en firewalls, routers, etc.
y se lleva a cabo por medio de ACL.
El Filtrado Dinámico es requerido cuando el tipo de ataque y
los atacantes cambian constantemente. El Filtrado Dinámico se
logra identificando los comportamientos fuera de lo normal y
castigando este comportamiento por un periodo corto de
tiempo, creando reglas de Filtrado de corta duración durante el
ataque y eliminándolas posteriormente.
@d4v1dp3r31r4
21. Técnicas de Mitigación DDoS
6. Anomaly Recognition
Muchos ataques del tipo DDoS, se realizan por medio de Scripts
que continuamente varían algunos parámetros en los paquetes
enviados.
Realizando detección de anomalías en los encabezados,
estados y tasas un Appliance puede filtrar muchos paquetes que
de otra forma lograrían llegar hasta la red libremente.
@d4v1dp3r31r4
22. Técnicas de Mitigación DDoS
6. Anomaly Recognition
Paquetes
legítimos
Paquetes con
scripts maliciosos
Red de
protección DDoS
Encabezado
Alterado
Cookie
Alterada
@d4v1dp3r31r4
23. Técnicas de Mitigación DDoS
7. Protocol Analysis
Similar al Anomaly Recognition, pero aplicado a los protocolos
que llegan hasta los dispositivos , se centra en los encabezados
de capa 7 en busca de flujos sospechosos.
@d4v1dp3r31r4
24. Técnicas de Mitigación DDoS
7. Protocol Analysis (WAF)
SELECT * FROM usuarios WHERE usuario=‘admin’ AND contraseña =‘ ‘ or ‘‘=‘’;
Red de
protección DDoS
Inyección SQL
@d4v1dp3r31r4
25. Técnicas de Mitigación DDoS
8. Active Verification through Legitimate IP Address
Matching
A pesar de que el SYN Proxy es uno de los mejores mecanismos
para mitigar los ataques DDoS basados en spoofing, siempre se
genera un SYN Flood de corta duración.
Si el Appliance continúa enviando paquetes SYN/ACK en
contestación, se va a generar una gran cantidad de trafico, y
por ende consumo de ancho de banda.
Para eliminar esto se hace necesario que el cache identifique el
tráfico que proviene de IP legítimas, y los alimente en una tabla
temporal, permitiéndole el paso sin las verificaciones del
Proxy.
@d4v1dp3r31r4
26. Técnicas de Mitigación DDoS
9. Granular Rate Limiting
Los ataques DDoS son impredecibles y en muchas oportunidades
se dirigen por medio de BOTs y Scripting; los paquetes que llegan
al Servidor son diferentes en cada ocasión,; no obstante hay
similitudes entre los paquetes en un ataque individual.
La Técnica GRL identifica las tasas de transferencia de ataques
anteriores; Los umbrales se basan en comportamiento pasado,
durante sesiones de entrenamiento y se ajustan
adaptativamente en el tiempo.
La Granularidad se aplica a parámetros disponibles en las Capas
3, 4 y los encabezados en la Capa 7; parámetros como:
Origen – Destino – Puertos - Método HTTP – URL – Agentes -
Cookies - Host Referrer
@d4v1dp3r31r4
27. Técnicas de Mitigación DDoS
Active Verification through Legitimate IP Address Matching &
Granular Rate Limiting
190.65.180.10
MTU:1500
Internet
201.184.250.76
190.145.32.109
52.170.21.0
139.59.109.146
Lista IP Legitimas
MTU (tamaño
paquete)=1200
190.66.177.1
MTU:1200
Internet
201.184.250.76
190.145.32.109
52.170.21.0
139.59.109.146
190.166.177.1
IP veritifcada y adicionada
IP No verificada
@d4v1dp3r31r4
28. Técnicas de Mitigación DDoS
10. White-list, Black-list, Non-tracked Sources
En cualquier red siempre hay un grupo de direcciones IP que
deben ser aprobadas o negadas. Las Listas Blancas y Listas
Negras son útiles durante los ataques DDoS para reforzar los
controles adicionales.
Debido a que las anomalías son generadas por comportamiento,
estos comportamientos deben ser aprendidos basados en
experiencias previas, para poder diferenciar el comportamiento
anómalo permitido del no permitido; casos como el de las
Copias de Seguridad que generan gran cantidad de logs en
horas puntuales o CDN específico, Refrescos, etc. Así se pueden
crear excepciones para trafico que no debe ser rastreado o
debe ser incluido en las excepciones.
@d4v1dp3r31r4
29. Técnicas de Mitigación DDoS
10. White-list, Black-list, Non-tracked Sources
201.184.250.76
190.145.32.109
52.170.21.0
139.59.109.146
41.139.161.42
96.71.40.129
177.126.81.63
47.90.80.88
Red de
protección DDoS
Internet
Lista blanca
Lista negra (IP Reportadas)
@d4v1dp3r31r4
30. Técnicas de Mitigación DDoS
11. Country Based Access Control Lists (ACL)
Gran parte del tráfico Botnet se origina desde un número
limitado de Países. Estos Países probablemente no sean origen de
tráfico normal dentro de la Organización.
Por medio de Filtros basados en Países se puede reducir
significativamente el tráfico que recibe el Servidor y por ende
la Carga, incluido tráfico spoof. Es recomendable la
implementación de estos controles a nivel de Hardware y no de
Software por temas de desempeño.
@d4v1dp3r31r4
31. Técnicas de Mitigación DDoS
11. Country Based Access Control Lists (ACL)
Red de
protección DDoS
Paises permitidos
Paises Restringidos
Internet
@d4v1dp3r31r4
32. Técnicas de Mitigación DDoS
12. State Anomaly Recognition
El protocolo TCP es el mas comúnmente utilizado para
infraestructura WEB. Al ser orientado a conexión debe seguir
ciertas reglas. Tomando en cuenta que muchas Botnets utilizan
scripting, muchas veces se rompen esas reglas;
Un motor de reconocimiento de anomalías de estado, detecta
anomalías de transmisión TCP, paquetes en conexiones no
establecidas propiamente, y violaciones en el windowing de la
transmisión.
@d4v1dp3r31r4
33. Técnicas de Mitigación DDoS
12. State Anomaly Recognition
Atacante
OS: Kali Linux
Tamaño de
ventana por
defecto : 5840
Red Protección
DDoS
Paquete
detectado:
OS: Windows 10
Tamaño de
ventana:65535
Anomalía
detectada
@d4v1dp3r31r4
34. Técnicas de Mitigación DDoS
13. Stealth Attack Filtering (precursores)
Antes de un ataque, existen precursores, es decir señales de que
un ataque se avecina y normalmente se presentan en forma de
rastreos al Servidor.
El Sentido de un rastreo para un atacante es buscar que puertos
abiertos tiene un objetivo; identificando este tipo de ataques y
monitoreándolos se pueden asociar con conductas hostiles y
crear filtros o bloqueos para las ip o rangos de ip que los realicen.
@d4v1dp3r31r4
35. Técnicas de Mitigación DDoS
14. Dark Address Scan Prevention (RFC 3330)
Las direcciones obscuras son direcciones IP que no han sido
asignadas por la IANA. Estas direcciones también reciben el
nombre de direcciones bogon.
Cualquier paquete recibido de una de estas direcciones
normalmente esta asociado a un ataque que involucra spoofing.
Estas direcciones deben ser bloqueadas en el firewall o router, y
así se disminuye ampliamente el porcentaje de direcciones que
pueden atacar la infraestructura.
@d4v1dp3r31r4
36. Técnicas de Mitigación DDoS
14. Dark Address Scan Prevention (RFC 3330)
Red de
protección DDoS
IP Permitidas
Internet
IP bloqueadas
(bogon)
• 0.0.0.2
• 100.64.0.5
• 169.254.0.10
• 198.51.100.50
• 240.0.0.2
• 190.85.184.218
• 128.199.75.94
• 207.154.240
• 186.46.85.194
• 186.215.148.228
@d4v1dp3r31r4
37. Técnicas de Mitigación DDoS
15. GeoDNS
Permite redireccionar las visitas de cualquier cliente de acuerdo al lugar
geográfico donde se encuentre posicionado
@d4v1dp3r31r4
38. Técnicas de Mitigación DDoS
16. Cache de aceleración
Permite que la red de protección almacene un cache de
elementos estáticos del sitio para que sean cargados en la nube
de protección bajo unos tiempos de respuesta específicos
mejorando tiempos de respuesta , rendimiento del sitio web
protegido y mitigar posible trafico malicioso que consulte los
contenidos .
@d4v1dp3r31r4
39. Técnicas de Mitigación DDoS
16. Cache de aceleración
Red de
protección DDoS
Contenido del sitio en
cache
Sitio original
Trafico
Legitimo
Trafico
Legitimo
Respuesta
Acelerada
@d4v1dp3r31r4
40. Pila de Mitigación DDoS
Particionamiento Virtual
Filtrado Heurístico
Filtrado Algorítmico
Filtrado en
Capa de Aplicación
Filtros Granulares en Capa 3 y 4
ACL Basados en Geolocación
Inspección Stateful
Mitigación de Flood
Filtrado de Bogon
Detección de Anomalías en Protocolo
Tráfico Combinado
Tráfico Limpio@d4v1dp3r31r4