2. Definición
• Un DoS (Denial Of Service), es el ataque en
el que el principal objetivo es interrumpir
una comunicación, sistema o servicio.
• Se denomina asimétrico, si el origen tiene
recursos muy limitados y el destino es una
gran red.
3. Clasificación
• Consumir recursos
– Uso de tus propios recursos contra ti.
– Consumo de red
– Consumo de otros recursos (disco, memoria,
cpu, etc)
• Destrucción y alteración de configuraciones y
servicios
– Uso de fallos conocidos en servicios
• Destrucción física o alteración de elementos de
red.
4. Línea de tiempo
•UDP Port Evolución de botnets:
•Ping-of-Death •Trin00 •AgoBot •Uso de P2P
•SynFlood •TFN2K •SDBot •Paneles de control
Morris
Smurf •Stacheldraht RST a BGP
$
1986 1996 1998 2000 2002 2004 2006 2008 2010
•Teardrop CodeRed
•land ¿sockstress?
Aplicaciones Web
5. UDP Flood (CA-1996-01)
• Envió de tráfico usando servicios echo(7/udp) o
chargen(19/udp) a broadcast, falseando la
dirección de origen.
3
.0. 5
1 0.1 5.25
s rc 1.25
IP. 10.
d st
IP.
6. Ping (CA-1996-26)
• Envío de un paquete ICMP con tamaño superior
a 65535 bytes, tamaño máximo para un paquete
IP convencional.
• Error en el ensamblado del paquete
fragmentado.
• Fácil de explotar mediante la herramienta “ping”
7. Syn Flood (CA-1996-21)
• Envío de paquetes
SYN con origen
falseado, sin completar
el handshake.
• Los sistemas llenan su
tabla de conexiones
esperando un ACK
Google: site:cisco.com +"syn flooding"
8. Teardrop (CA-1997-28)
• Envío de paquetes mal formados fragmentados.
– Error en el ensamblado de estos fragmentos
inconsistentes
• Sistemas afectados: Windows 95, NT, Linux,
HPUX
9. Land (CA-1997-28)
• Envío de paquete con ip.src igual a ip.dst, y
port.src igual a port.dst.
• Afectó a múltiples sistemas: Windows, HPUX,
AIX, NetBSD, Linux, Cisco, …
/* land.c by m3lt, FLC crashes a win95 box */
[…]
ipheader->saddr=sin.sin_addr.s_addr;
ipheader->daddr=sin.sin_addr.s_addr;
tcpheader->th_sport=sin.sin_port;
tcpheader->th_dport=sin.sin_port;
[…]
10. Smurf (CA-1998-01)
• Denegación de servicio
Distribuida
• Se genera un paquete ICMP
echo_request con origen la
victima y destino broadcast de
la red.
• Cada uno de los sistemas
responde con ICMP
echo_reply a la victima.
11. Trin00, TFN2K y Stacheldraht (CA-1999-17,
CA-2000-01)
• Denegación Distribuida mediante el uso de sistemas “zombie”
• Se instala un master que controla distintos esclavos.
• Uso de exploits para su distribución
• Distintos tipos de ataque: UDP Flood, TCP Synflood, ICMP Flood…
• Victimas: Yahoo, Amazon, Buy.com, eBay y CNN
12. CodeRed (CA-2001-19)
• Gusano que explota vulnerabilidad en servidor web IIS
• Modifica la página web.
• Infectados más de 359.000 servidores web en menos de 14 horas
(fuente caida.org)
• Programado para lanzar una denegación de servicio contra la casa
blanca (198.137.240.91).
– Los administradores cambiaron los DNS
13. Aplicaciones Web.
• Denegaciones de servicio basadas en la consumición de recursos:
– CPU/memoria: realizando múltiples peticiones a una página
“pesada”, y es muy dinámica, evidenciando que realiza
consultas a otros sistemas backend.
• Ej: %% en un buscador.
– CPU/memoria: bucles infinitos.
– Disco: inundación de registros mediante consultas masivas.
– Disco: formularios que permiten subida de ficheros.
14. AgoBot(Gaobot) / SDBot
• Permite el control del sistema: sniffers, keyloggers, rootkits, cliente
smtp (spam), http (fraude de clicks), etc.
• Capacidad de DDoS
• Posibilidad de realizar peticiones HTTP
• Las redes se administran mediante comandos de IRC.
• Usa vulnerabilidades conocidas: rpc-dcom, lsass, upnp, asn.1,
webdav, recursos compartidos.
• Miles de variantes (+4000 para sdbot)
• Redes con 20k-80k sistemas.
• Venta de Botnets.
15. Reinicio de conexiones TCP en BGP (TA04-
111A)
• BGP (Border Gateway Protocol) usa TCP como protocolo de
transmisión.
• Vulnerabilidad en TCP, permite reiniciar una conexión mediante la
inundación de paquetes RST, si se conoce el número “aproximado”
de secuencia.
• BGP usa ventanas (acknowledge number) altos, lo que permite que
este sea adivinado.
16. ¿sockstress? CVE-2008-4609
• Nueva vulnerabilidad similar a TCP Syn Flood (manipulación de
tabla de estados)
• No se han publicado detalles técnicos.
• No existe herramienta.
• Cisco ha confirmado su existencia.
• Se prevé que se publique la herramienta o una prueba de concepto
de un tercero.
• http://www.cisco.com/warp/public/707/cisco-sr-20081017-tcp.shtml
• http://tools.cisco.com/security/center/viewAlert.x?alertId=16773
17. Botnets, estado actual
• +52.000 infecciones diarias.
• Más de 5.000.000 de sistemas infectados.
• Propagados por vulnerabilidades en navegadores, adjuntos de
correo, exploits para OS y descargas de ficheros.
• Uso de paneles de control avanzados (web)
• Uso de tecnología P2P para su gestión
21. Estonia
Estonia:
Capital: Tallinn
Habitantes: 1,4M
Territorio: 45,226 km²
TLD: .ee
22. Otros datos de interés
• Alta aceptación de banca online (~99%)
• Identificaciones nacionales con tecnología PKI (similar al
DNI-e)
• Voto electrónico desde el domicilio
• Ataques sufridos durante el 27 de abril del 2007 al 19 de
mayo del 2007
24. Objetivos
• Denegación de servicio distribuida contra los principales
servicios de Internet.
– Webs oficiales y servidores de correo
– Servidores DNS
– Routers Backbones
– Banca
• Modificación de páginas web oficiales.
27. Denegación de servicio
• Comparado a otros DDoS, el trafico contra Estonia es pequeño.
• Comienza por ataques centralizados en la blogsfera rusa y
continua con botnets
• No se conoce quien ejecuta los ataques
• Inundaciones de ICMP echo, ataques DNS, SYN floods y UDP
Floods
• Ataque contra el servidor de correo del parlamento = dos días sin
servicio.
• Botnet sin panel de control
28. Prevención
• Publicación de plan estratégico para la seguridad:
– Desarrollo e implantación de medidas de seguridad
– Incremento de las competencias en sistemas de
información
– Desarrollo de marco legal para la ciber seguridad
– Desarrollo de cooperación internacional
– Sensibilización de la ciber seguridad
• Análisis de vulnerabilidades
29. Conclusiones
• Realizar un ciberataque es sencillo y no es necesario
equipamiento específico.
• Un DDoS puede dañar infraestructura crítica: energía,
banca, sanidad, etcétera.
• La previsión y correcta gestión de la seguridad en los
sistemas de información minimiza los riesgos.