This document discusses different types of denial of service (DoS) attacks, including distributed denial of service (DDoS), permanent denial of service (PDoS), and exception denial of service (XDoS) attacks. It provides examples of specific DDoS attacks like Trinoo, TFN/TFN2K, and Stacheldraht. The document also explains that PDoS attacks exploit security flaws to remotely administer victim hardware, while XDoS attacks are content-based and aim to shut down web services. Additional DoS attack types discussed include LAND, Latteria, ping of death, teardrop attacks, and SYN floods. The document concludes with an invitation for questions and
Onion routing is an anonymous communication technique that encrypts and routes traffic through multiple network nodes, making it difficult to trace. It works by having a client connect to a Tor network node, which encrypts the connection and passes it to another node, and so on through several nodes, with each node only knowing the previous and next hops. This creates an encrypted circuit through the network that separates identification of the user from message routing to provide anonymity.
Nmap es una herramienta de código abierto que se usa para explorar redes, auditar su seguridad y administrarlas. Detecta hosts en línea, puertos abiertos, servicios y aplicaciones funcionando, sistema operativo y firewalls. Se usa principalmente para auditorías de seguridad, pruebas de red y para obtener información para futuros ataques. Existe para varios sistemas operativos y funciona escaneando puertos y analizando las respuestas para identificar servicios y características de red.
El documento describe varios sistemas distribuidos de denegación de servicio como Trinoo, Tribal Flood Network, TFN2K, Stacheldraht y Shaft. Estos sistemas permiten a un atacante controlar numerosos ordenadores comprometidos de forma remota para lanzar ataques coordinados de denegación de servicio contra víctimas objetivo. El documento explica las características técnicas clave de cada sistema, incluyendo los puertos y protocolos de comunicación utilizados entre el atacante, los controladores y los agentes.
The cyber kill chain describes cyber attacks from an attacker's perspective through distinct phases: (1) reconnaissance, (2) weaponization, (3) delivery, (4) exploitation, (5) installation, (6) command and control, and (7) actions on objectives. Each phase of the kill chain can be mapped to defensive tools and actions to prevent attacks. Understanding the kill chain stages gives analysts insight into what is being attempted and how to respond appropriately. The kill chain was developed by Lockheed Martin as a method to describe intrusions and prevent advanced persistent threats by highly trained adversaries targeting sensitive information.
Introduction to metasploit framework
01.History of metasploit
02.Metasploit Design and architecture
03.Metasploit Editions
04.Metasploit Interface
05.Basic commands and foot-printing modules
El documento describe las técnicas VLSM (Variable Length Subnet Masking) y CIDR (enrutamiento inter-dominios sin clases). VLSM permite dividir una red en subredes más pequeñas con máscaras de longitud variable para aprovechar mejor las direcciones IP. CIDR simplifica las redes o subredes en una sola dirección IP para comunicar varias subredes a través de una sola red general. Ambas técnicas permiten un uso más eficiente del espacio de direccionamiento IP.
This document discusses different types of denial of service (DoS) attacks, including distributed denial of service (DDoS), permanent denial of service (PDoS), and exception denial of service (XDoS) attacks. It provides examples of specific DDoS attacks like Trinoo, TFN/TFN2K, and Stacheldraht. The document also explains that PDoS attacks exploit security flaws to remotely administer victim hardware, while XDoS attacks are content-based and aim to shut down web services. Additional DoS attack types discussed include LAND, Latteria, ping of death, teardrop attacks, and SYN floods. The document concludes with an invitation for questions and
Onion routing is an anonymous communication technique that encrypts and routes traffic through multiple network nodes, making it difficult to trace. It works by having a client connect to a Tor network node, which encrypts the connection and passes it to another node, and so on through several nodes, with each node only knowing the previous and next hops. This creates an encrypted circuit through the network that separates identification of the user from message routing to provide anonymity.
Nmap es una herramienta de código abierto que se usa para explorar redes, auditar su seguridad y administrarlas. Detecta hosts en línea, puertos abiertos, servicios y aplicaciones funcionando, sistema operativo y firewalls. Se usa principalmente para auditorías de seguridad, pruebas de red y para obtener información para futuros ataques. Existe para varios sistemas operativos y funciona escaneando puertos y analizando las respuestas para identificar servicios y características de red.
El documento describe varios sistemas distribuidos de denegación de servicio como Trinoo, Tribal Flood Network, TFN2K, Stacheldraht y Shaft. Estos sistemas permiten a un atacante controlar numerosos ordenadores comprometidos de forma remota para lanzar ataques coordinados de denegación de servicio contra víctimas objetivo. El documento explica las características técnicas clave de cada sistema, incluyendo los puertos y protocolos de comunicación utilizados entre el atacante, los controladores y los agentes.
The cyber kill chain describes cyber attacks from an attacker's perspective through distinct phases: (1) reconnaissance, (2) weaponization, (3) delivery, (4) exploitation, (5) installation, (6) command and control, and (7) actions on objectives. Each phase of the kill chain can be mapped to defensive tools and actions to prevent attacks. Understanding the kill chain stages gives analysts insight into what is being attempted and how to respond appropriately. The kill chain was developed by Lockheed Martin as a method to describe intrusions and prevent advanced persistent threats by highly trained adversaries targeting sensitive information.
Introduction to metasploit framework
01.History of metasploit
02.Metasploit Design and architecture
03.Metasploit Editions
04.Metasploit Interface
05.Basic commands and foot-printing modules
El documento describe las técnicas VLSM (Variable Length Subnet Masking) y CIDR (enrutamiento inter-dominios sin clases). VLSM permite dividir una red en subredes más pequeñas con máscaras de longitud variable para aprovechar mejor las direcciones IP. CIDR simplifica las redes o subredes en una sola dirección IP para comunicar varias subredes a través de una sola red general. Ambas técnicas permiten un uso más eficiente del espacio de direccionamiento IP.
Find out how to threat hunt commonly found web shells in your infrastructure using the powerful Splunk querying language. Discover queries to hunt for various aspects of web shells and other malicious artifacts.
The document provides an overview and instructions for installing and using the Damn Vulnerable Web Application (DVWA). DVWA is a PHP/MySQL web application designed to be vulnerable for testing security skills. It contains vulnerabilities like SQL injection, XSS, file inclusion, and more. The document outlines how to install DVWA using XAMPP, describes the different security levels and vulnerabilities, and provides instructions for accessing the vulnerabilities and practicing attacks. It emphasizes that DVWA should only be used on localhost for legal and safe security testing.
Effective Threat Hunting with Tactical Threat IntelligenceDhruv Majumdar
How to set up a Threat Hunting Team for Active Defense utilizing Cyber Threat Intelligence and how CTI can help a company grow and improve its security posture.
Snort is an open source network intrusion detection system (IDS) that can perform real-time traffic analysis and packet logging on IP networks. It works by using rules to compare network traffic patterns to known attacks and flag any matches. Snort has four main components - the packet sniffer, preprocessors, detection engine, and output. The sniffer reads packets, preprocessors check for certain behaviors, the detection engine matches rules, and output generates alerts that can be logged or sent to external systems. Snort rules can detect a variety of attacks and are useful for monitoring networks when vulnerabilities are known but patches are not yet available.
Jornada de ciberseguridad en el Parque Tecnológico de Almería (PITA), el 29 de Noviembre de 2016 a las 10:00 con motivo del día internacional de la seguridad informática que se celebra el 30 de Noviembre.
https://indalics.com/seguridad-informatica
In this PPT you can learn a firewall and types which help you a lot and you can able to understand. So, that you must read at once I sure that you are understand
Thank you!!!
I
Suricata: A Decade Under the Influence (of packet sniffing)Jason Williams
Having just celebrated it's 10th birthday, Suricata has learned a lot about monitoring network traffic during the past decade. Suricata today is more than IDS/IPS— it is also a metadata creating, lua scripting, multi threaded, json logging, rule alerting, network security monitoring beast. Development for Suricata is funded by the non-profit Open Information Security Foundation which, along with feedback and support from the community, has made Suricata what it is today. In this talk we will discuss various aspects of modern Suricata, such as deployment, alerting, rule writing, compilation, protocols, lua, and more. Join us for a look into where Suricata has been, what it does today, and where it's going to go in the future.
Intrusion Detection Systems and Intrusion Prevention Systems Cleverence Kombe
Intrusion detection system (IDS) is software that automates the intrusion detection process. The primary responsibility of an IDS is to detect unwanted and malicious activities. Intrusion prevention system (IPS) is software that has all the capabilities of an intrusion detection system and can also attempt to stop possible incidents.
A firewall is a network security system that monitors incoming and outgoing network traffic and filters out unauthorized access based on a set of rules. It uses access control lists (ACLs) and intrusion detection/prevention systems (IDS/IPS) to monitor traffic and identify potential threats. There are different types of firewalls including packet filtering, application-level gateways, circuit-level gateways, stateful multilayer inspection, and cloud-based firewalls that operate at different layers of the network and provide varying levels of security. Firewalls are a critical component of network security but must be properly configured to balance access needs with threat protection.
These slides were presented at GDG MeetUp in Bangalore which was held on 21st September 2013. Uploading the slides to help the people who wanted the slide Deck
Suricata is an open source intrusion detection and prevention system. It can perform network security monitoring by analyzing network traffic and detecting threats through signatures. Suricata supports offline analysis of PCAP files, traffic recording, automatic protocol detection, and JSON output of events and alerts. It is configured through a YAML file and rules files, and can output logs to files, databases like MySQL, or syslog. Signatures use keywords to detect threats based on payload, HTTP, DNS, flow, file, and IP reputation attributes.
Talk on Kaspersky lab's CoLaboratory: Industrial Cybersecurity Meetup #5 with @HeirhabarovT about several ATT&CK practical use cases.
Video (in Russian): https://www.youtube.com/watch?v=ulUF9Sw2T7s&t=3078
Many thanks to Teymur for great tech dive
Tunneling is a protocol that allows for the secure movement of data from one network to another
Tunneling involves allowing private network communications to be sent across a public network, such as the Internet
In tunneling, the data are broken into smaller pieces called packets as they move along the tunnel for transport
As the packets move through the tunnel, they are encrypted and another process called encapsulation occurs
Is your company in need of a cloud penetration test on AWS, Azure, or Google? Here are some things you might want to consider before starting your cloud pentest. Also tips for pentesters getting started in the cloud.
Virtual Private Networks (VPN) allow secure connections over public networks like the Internet. VPNs use encryption to create "virtual private tunnels" between devices. This allows remote users to access resources on a private network as if they were directly connected. There are two main types - remote access VPNs for individual users and site-to-site VPNs to connect multiple office locations. VPNs work by encapsulating data packets within encrypted "tunnels" to securely transmit them between endpoints across public networks while maintaining privacy and security.
Nmap is a network scanning tool that can perform port scanning, operating system detection, and version detection among other features. It works by sending TCP and UDP packets to a target machine and examining the response, comparing it to its database to determine open ports and operating system. There are different scanning techniques that can be used like TCP SYN scanning, UDP scanning, and OS detection. Nmap also includes a scripting engine that allows users to write scripts to automate networking tasks. The presentation concludes with demonstrating Nmap's features through some examples.
This is a presentation i made about Denial of Service or a Distributed Denial of Service (DoS / DDoS) and the latest methods used to crash anything online and the future of such attacks which can disrupt the whole internet . Such attacks which are in TB's and can be launched from just single computer. And, there is not much that can be done to prevent them.
Este documento trata sobre temas relacionados con la tecnología VoIP como retardo, jitter y MOS. También cubre temas de seguridad como ataques DoS, DDoS, spoofing e implementación de VLAN. Explica diferentes tipos de ataques como inundación SYN, ICMP y UDP así como métodos para prevenirlos como SYN cookies.
Este documento describe los ataques de denegación de servicio (DoS) y ataques distribuidos de denegación de servicio (DDoS), incluyendo sus definiciones, métodos comunes como inundaciones SYN, ICMP y UDP, y cómo estos ataques sobrecargan los recursos de una víctima para hacer que un servicio sea inaccesible.
Find out how to threat hunt commonly found web shells in your infrastructure using the powerful Splunk querying language. Discover queries to hunt for various aspects of web shells and other malicious artifacts.
The document provides an overview and instructions for installing and using the Damn Vulnerable Web Application (DVWA). DVWA is a PHP/MySQL web application designed to be vulnerable for testing security skills. It contains vulnerabilities like SQL injection, XSS, file inclusion, and more. The document outlines how to install DVWA using XAMPP, describes the different security levels and vulnerabilities, and provides instructions for accessing the vulnerabilities and practicing attacks. It emphasizes that DVWA should only be used on localhost for legal and safe security testing.
Effective Threat Hunting with Tactical Threat IntelligenceDhruv Majumdar
How to set up a Threat Hunting Team for Active Defense utilizing Cyber Threat Intelligence and how CTI can help a company grow and improve its security posture.
Snort is an open source network intrusion detection system (IDS) that can perform real-time traffic analysis and packet logging on IP networks. It works by using rules to compare network traffic patterns to known attacks and flag any matches. Snort has four main components - the packet sniffer, preprocessors, detection engine, and output. The sniffer reads packets, preprocessors check for certain behaviors, the detection engine matches rules, and output generates alerts that can be logged or sent to external systems. Snort rules can detect a variety of attacks and are useful for monitoring networks when vulnerabilities are known but patches are not yet available.
Jornada de ciberseguridad en el Parque Tecnológico de Almería (PITA), el 29 de Noviembre de 2016 a las 10:00 con motivo del día internacional de la seguridad informática que se celebra el 30 de Noviembre.
https://indalics.com/seguridad-informatica
In this PPT you can learn a firewall and types which help you a lot and you can able to understand. So, that you must read at once I sure that you are understand
Thank you!!!
I
Suricata: A Decade Under the Influence (of packet sniffing)Jason Williams
Having just celebrated it's 10th birthday, Suricata has learned a lot about monitoring network traffic during the past decade. Suricata today is more than IDS/IPS— it is also a metadata creating, lua scripting, multi threaded, json logging, rule alerting, network security monitoring beast. Development for Suricata is funded by the non-profit Open Information Security Foundation which, along with feedback and support from the community, has made Suricata what it is today. In this talk we will discuss various aspects of modern Suricata, such as deployment, alerting, rule writing, compilation, protocols, lua, and more. Join us for a look into where Suricata has been, what it does today, and where it's going to go in the future.
Intrusion Detection Systems and Intrusion Prevention Systems Cleverence Kombe
Intrusion detection system (IDS) is software that automates the intrusion detection process. The primary responsibility of an IDS is to detect unwanted and malicious activities. Intrusion prevention system (IPS) is software that has all the capabilities of an intrusion detection system and can also attempt to stop possible incidents.
A firewall is a network security system that monitors incoming and outgoing network traffic and filters out unauthorized access based on a set of rules. It uses access control lists (ACLs) and intrusion detection/prevention systems (IDS/IPS) to monitor traffic and identify potential threats. There are different types of firewalls including packet filtering, application-level gateways, circuit-level gateways, stateful multilayer inspection, and cloud-based firewalls that operate at different layers of the network and provide varying levels of security. Firewalls are a critical component of network security but must be properly configured to balance access needs with threat protection.
These slides were presented at GDG MeetUp in Bangalore which was held on 21st September 2013. Uploading the slides to help the people who wanted the slide Deck
Suricata is an open source intrusion detection and prevention system. It can perform network security monitoring by analyzing network traffic and detecting threats through signatures. Suricata supports offline analysis of PCAP files, traffic recording, automatic protocol detection, and JSON output of events and alerts. It is configured through a YAML file and rules files, and can output logs to files, databases like MySQL, or syslog. Signatures use keywords to detect threats based on payload, HTTP, DNS, flow, file, and IP reputation attributes.
Talk on Kaspersky lab's CoLaboratory: Industrial Cybersecurity Meetup #5 with @HeirhabarovT about several ATT&CK practical use cases.
Video (in Russian): https://www.youtube.com/watch?v=ulUF9Sw2T7s&t=3078
Many thanks to Teymur for great tech dive
Tunneling is a protocol that allows for the secure movement of data from one network to another
Tunneling involves allowing private network communications to be sent across a public network, such as the Internet
In tunneling, the data are broken into smaller pieces called packets as they move along the tunnel for transport
As the packets move through the tunnel, they are encrypted and another process called encapsulation occurs
Is your company in need of a cloud penetration test on AWS, Azure, or Google? Here are some things you might want to consider before starting your cloud pentest. Also tips for pentesters getting started in the cloud.
Virtual Private Networks (VPN) allow secure connections over public networks like the Internet. VPNs use encryption to create "virtual private tunnels" between devices. This allows remote users to access resources on a private network as if they were directly connected. There are two main types - remote access VPNs for individual users and site-to-site VPNs to connect multiple office locations. VPNs work by encapsulating data packets within encrypted "tunnels" to securely transmit them between endpoints across public networks while maintaining privacy and security.
Nmap is a network scanning tool that can perform port scanning, operating system detection, and version detection among other features. It works by sending TCP and UDP packets to a target machine and examining the response, comparing it to its database to determine open ports and operating system. There are different scanning techniques that can be used like TCP SYN scanning, UDP scanning, and OS detection. Nmap also includes a scripting engine that allows users to write scripts to automate networking tasks. The presentation concludes with demonstrating Nmap's features through some examples.
This is a presentation i made about Denial of Service or a Distributed Denial of Service (DoS / DDoS) and the latest methods used to crash anything online and the future of such attacks which can disrupt the whole internet . Such attacks which are in TB's and can be launched from just single computer. And, there is not much that can be done to prevent them.
Este documento trata sobre temas relacionados con la tecnología VoIP como retardo, jitter y MOS. También cubre temas de seguridad como ataques DoS, DDoS, spoofing e implementación de VLAN. Explica diferentes tipos de ataques como inundación SYN, ICMP y UDP así como métodos para prevenirlos como SYN cookies.
Este documento describe los ataques de denegación de servicio (DoS) y ataques distribuidos de denegación de servicio (DDoS), incluyendo sus definiciones, métodos comunes como inundaciones SYN, ICMP y UDP, y cómo estos ataques sobrecargan los recursos de una víctima para hacer que un servicio sea inaccesible.
Ataques en el Protocolo DHCP Spoofing - Grupo2 -Redes de Computadoras (1).pptxWilsonOrellana11
El documento describe un proyecto de investigación sobre ataques DHCP Spoofing realizado por un grupo de estudiantes. El objetivo es identificar políticas de seguridad para prevenir este tipo de ataques que afectan la disponibilidad de información. Se explica qué es el protocolo DHCP, spoofing, cómo ocurre un ataque DHCP spoofing interceptando la comunicación entre cliente y servidor, y cómo se puede prevenir configurando correctamente los parámetros del servidor DHCP y utilizando DHCP Snooping.
Actividad 02 Ataques al Servidor-1.docxAndrea Gomez
El documento describe diferentes tipos de ataques a servidores, incluyendo ataques LAND, TCP SYN Flood, de diccionario, hombre en el medio, denegación de servicio, ping de la muerte, Smurf, cryptojacking y spear phishing. Explica brevemente en qué consiste cada ataque y cómo funciona para comprometer la seguridad de un servidor.
Miquel Tur presenta sobre redes Fast Flux, las cuales usan direcciones IP dinámicas para ocultar servidores centrales y evitar bloqueos. Explica que son redes que cambian rápidamente las IPs asignadas a un dominio para dificultar su detección y bloqueo. Además, describe dos tipos de redes Fast Flux y métodos para detectarlas como el análisis de tráfico DNS y herramientas como PFFDetect.
Diferencias entre ambos tipos de ataques, cuales son sus fines y métodos. También Le proporcionamos algunas solucione que usted puede implementar en su cloud server o servidor dedicado para prevenir este tipo de ataques.
Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]RootedCON
Este documento resume las técnicas y herramientas utilizadas para interceptar comunicaciones a través de ataques de falsificación de DNS y redireccionamiento de tráfico, como SSLstrip. Describe cómo estas técnicas se han mejorado para capturar más información y evadir obstáculos como HSTS, a través del uso de herramientas como DNS2proxy y SSLstrip2. Finalmente, concluye que aunque estas técnicas pueden mejorarse más, existen limitaciones como la pérdida potencial de información y la necesidad de estudiar cada objetivo.
El documento proporciona 5 tips para evitar ataques DDoS. Estos incluyen identificar temprano el ataque monitoreando el tráfico entrante, tener suficiente ancho de banda para soportar aumentos repentinos de tráfico, implementar medidas de mitigación en la red perimetral como limitar la velocidad del router, llamar al ISP o proveedor de hosting para obtener ayuda con ataques grandes, y contratar a un especialista en mitigación de DDoS para ataques muy grandes.
Un servidor de seguridad perimetral se encuentra en la red interna y actúa como un router y firewall para proporcionar mayor seguridad al enviar datos entre la red interna y Internet. Inspecciona los paquetes entrantes y bloquea aquellos considerados intrusos. Proporciona varios niveles de protección como filtros de paquetes, traducción de direcciones de red, inspección de estados e inspección de aplicaciones para evaluar el tráfico de red entrante y saliente.
Este documento presenta un cuestionario sobre los servicios de infraestructura DHCP, DNS, FTP y HTTP para estudiantes del programa de Gestión de Redes de Datos del SENA. El cuestionario contiene preguntas sobre los conceptos básicos y el funcionamiento de cada servicio, con el objetivo de afianzar los conocimientos de los estudiantes sobre estos servicios clave.
Este documento presenta un cuestionario sobre los servicios de infraestructura DHCP, DNS, FTP y HTTP para estudiantes del programa de Gestión de Redes de Datos del SENA. El cuestionario contiene 20 preguntas sobre estos servicios con el objetivo de afianzar los conceptos básicos de cada uno. Las preguntas abarcan temas como el funcionamiento de DHCP, DNS y sus componentes como ámbitos, zonas y registros, así como ejemplos claros de cada uno.
Un ataque de denegación de servicio, también llamado ataque DoS (Denial of Service) es un ataque a un sistema de red que provoca que un servicio sea inaccesible. El problema principal, y más importante, es la pérdida de conectividad de la red por el consumo del ancho de banda de la red víctima, provocando así que ese servicio esté caído hasta que se consigue controlar el ataque. ¿Quieres saber más?
Fuente: http://www.acens.com/pressroom/definicion-y-metodos-de-ataques-dos.html
Este documento describe varios ataques de red comunes como DDoS, filtración de datos y malware, así como ransomware como WannaCry que encripta datos hasta que se pague un rescate. También describe dispositivos de seguridad de red como VPN, firewall de próxima generación (NGFW), dispositivo de acceso de red (NAC) y protección de terminales para prevenir estos ataques.
Este documento discute los ataques DDoS más comunes y cómo AWS mitiga estos ataques. Los ataques DDoS más frecuentes son volumétricos que inundan las redes con tráfico y agotan los recursos. AWS protege la infraestructura mediante la detección y priorización del tráfico, así como la ingeniería del tráfico para aislar y dispersar los ataques. Los clientes pueden implementar arquitecturas resistentes a DDoS en AWS usando balanceadores de carga elásticos, comprobaciones
DDoS detection at small ISP by Wardner MaiaPavel Odintsov
Este documento trata sobre la detección y mitigación de ataques distribuidos de denegación de servicio (DDoS) en un pequeño proveedor de servicios de Internet (ISP). Explica conceptos básicos sobre DDoS, incluidos tipos de ataques y arquitectura. Luego, discute buenas prácticas de red para minimizar ataques, como la implementación de BCP-38 y la eliminación de amplificadores y bucles estáticos. Finalmente, cubre técnicas de mitigación como blackholing remoto y sol
El documento habla sobre ataques por inyección y ataques de denegación de servicio. Explica que los ataques por inyección ocurren cuando los datos de entrada no son validados y pueden ser usados para alterar las consultas o comandos ejecutados en el sistema. También describe ejemplos de código vulnerable y formas de prevenir estos ataques. Con respecto a los ataques DoS, recomienda establecer contactos con proveedores de internet y autoridades, fortalecer la infraestructura de red, y revisar el origen del
El documento describe lo que es la tecnología peer-to-peer (P2P), las amenazas asociadas con su uso como fuga de datos, violación de derechos de autor y malware, y cómo la solución Panda Cloud Internet Protection puede identificar y controlar aplicaciones P2P populares como BitTorrent, eDonkey y Skype. La suite Panda Cloud Protection ofrece protección completa contra amenazas conocidas y desconocidas a través de la nube de forma no intrusiva e instantánea.
Instalacion del servidor proxy para conectar una red lan a una pc con salid...ChanCHIMAL
Este documento proporciona instrucciones detalladas para instalar y configurar un servidor proxy i y una red LAN conectada a Internet a través de él. Explica qué es un servidor proxy, los diferentes tipos, y los pasos para instalar el software del servidor proxy i en una computadora y configurar la red LAN y los clientes para conectarse a Internet a través de él. Proporciona detalles sobre la configuración de los puertos, direcciones IP y otros parámetros de red necesarios para establecer la conexión entre el servidor proxy
En esta Conferencia explico las técnicas mas utilizadas de ataque a Barcos e Infraestructura; En la conferencia en vivo realicé muchas demostraciones que por motivos de seguridad no se colocan en estas diapositivas.
Slides de mi Conferencia: We Are Digital Puppets Actualizada (Inglés) que dicté en San Francisco CA. Hablo sobre el Tracking y el profiling de personas.
Este documento presenta una introducción a Internet de las Cosas (IoT) y sus vulnerabilidades. Explica brevemente qué es IoT, ofrece ejemplos de dispositivos IoT, describe la arquitectura de IoT incluyendo protocolos, Bluetooth de baja energía, herramientas de escucha Bluetooth y demuestra vulnerabilidades de IoT. El orador es David Pereira, experto en ciberseguridad con más de 22 años de experiencia.
Meltdown y Spectre son vulnerabilidades relacionadas con la ejecución especulativa de los procesadores que permiten a un atacante leer la memoria de otros procesos o del kernel. Meltdown permite leer directamente la memoria física, mientras que Spectre explota la predicción de saltos para filtrar datos a través del caché del procesador. Ambas vulnerabilidades afectan a procesadores Intel, AMD y ARM y han requerido parchados a nivel de sistema operativo y hardware para mitigarlas.
El documento habla sobre las vulnerabilidades en los dispositivos móviles. Explica que los smartphones son más vulnerables que los PC debido a que nunca se desconectan de Internet, y que constantemente se descubren nuevas vulnerabilidades. Identifica tres vectores principales de riesgo: el sistema de archivos, la capa de transporte y la capa de aplicaciones. Finalmente, resume los diez principales riesgos móviles según OWASP, incluyendo falta de protecciones en binarios, manejo inadecuado de sesiones e inyección del lado del cliente.
Este documento habla sobre la necesidad del control parental en internet y las redes sociales debido a los riesgos que enfrentan los niños, como el grooming y el acceso a contenido ofensivo. También cubre iniciativas en Colombia para prevenir estos casos y herramientas gratuitas de control parental. Luego, analiza los riesgos de seguridad en Internet de las Cosas debido a vulnerabilidades comunes y recomienda medidas como el uso de contraseñas seguras y actualizaciones de firmware.
Este documento discute cómo los sitios web usan varias técnicas como cookies, JavaScript, iframes y web beacons para recopilar información sobre los usuarios y rastrear su actividad en línea con el fin de influir en ellos y conocerlos mejor. Estas técnicas pueden revelar detalles como los hábitos de navegación, el tiempo que pasan en los sitios y la ubicación de los usuarios. Algunos argumentan que esto convierte a los usuarios en "marionetas informáticas", mientras que otros sostienen que ayuda a las
Este documento describe las Armas Avanzadas Persistentes (APT) utilizadas en el quinto dominio de la guerra, el ciberespacio. Explica que las APT son malware altamente sofisticado diseñado para atacar objetivos específicos como infraestructura crítica, y pasan por 6 fases para lograr su objetivo: recolección de información, obtener acceso, recibir comandos, moverse lateralmente dentro de la red, descubrir activos valiosos, y exfiltrar datos. Además, señala que las defens
El documento describe varios elementos clave de una arquitectura de ciberdefensa para enfrentar amenazas avanzadas persistentes (APT). Menciona que las defensas estándar no son efectivas contra las APT y propone implementar medidas como capacitación de usuarios, reglas fuertes en IDS/IPS, análisis de tráfico en sandbox, inspección de todo el tráfico saliente y correlación de eventos para mejorar la detección. También recomienda crear listas blancas de redes y procesos confiables para enfocar los es
Este documento presenta una introducción a David Pereira, un experto en ciberseguridad con más de 19 años de experiencia. Luego, el documento resume conceptos clave como XFS y jackpotting. Explica el modus operandi de los ciberdelincuentes, incluyendo la recopilación de inteligencia y varios tipos de ataques a cajeros automáticos. Finalmente, analiza dos malware comunes, Ploutus y Alice, otras amenazas emergentes y mecanismos de defensa recomendados.
Este documento presenta una agenda para un foro sobre amenazas reales del mundo virtual y cómo mitigarlas. La agenda incluye discusiones sobre ciberseguridad, términos comunes, vectores de ataque técnicos e ingeniería social, así como demostraciones en vivo de ataques como phishing, inyección SQL, ataques web avanzados, ataques a móviles e Internet de las Cosas. También cubrirá amenazas de alto riesgo como malware indetectable y cómo hackear al ser humano a través de técnicas como la
El documento presenta una introducción a la ciberinteligencia, describiendo su importancia para los gobiernos y la necesidad de investigar y analizar la actividad en el ciberespacio para conocer amenazas potenciales. Explica que la ciberinteligencia es una disciplina analítica que incluye la recolección y análisis de datos sobre la actividad en el ciberespacio para proveer información útil para la toma de decisiones y estrategias ante amenazas cibernéticas. Luego, describe las categorías y disciplinas de la ciberinteligencia,
Este documento presenta una introducción a varios conceptos clave relacionados con la seguridad cibernética como ciberespacio, ciberamenazas, ciberdefensa, ciberinteligencia y más. También incluye ejemplos históricos de ataques cibernéticos y recomendaciones para mejorar la postura de ciberseguridad de un país.
Encuentra ese factor X que te haga mejorar como SEO #SOB24MJ Cachón Yáñez
Llámalo X es una relfexión sobre ser mejores SEOs y enfocarnos a entender los problemas antes de decidir cuáles son las posibles soluciones para abordar.
Llámalo X pretende sensibilizar sobre la responsabilidad que tenemos comos SEOs de analizar mejor y de pasar más tiempo pensando en problemas y soluciones, más que en limpiando o procesando datos
Para mi el factor X ha sido Xpath, ¿cuál crees que puede ser tu factor X para mejorar?
2. Instructor / Consultor de Fuerzas de
Ciberdefensa, Fuerzas Militares y Policía,
en varios Países.
Hacker Ético – Pentester en diversas Entidades en el
mundo, de ámbitos como el Financiero, Energético,
Militar, Inteligencia, Diplomático, Minero, entre otros
+22 Años de experiencia en Seguridad
Informática y DFIR
CEH, ECSA/LPT, CHFI, ENSA, ECSS, ECVP, CEI,
QGSS, ECIH, EDRP, NFS, OPSEC, CICP, CND,
CCISO.
David Pereira - CEO SecPro
3. Definiciones
¿Cómo defenderse
ante ataques DDoS?
Tipos de Ataques
DDoS
Dispositivos y
Herramientas de
Defensa
Pila de
Mitigación
DDoS
Contenido
Casos de Éxito
@d4v1dp3r31r4
4. Ataque DDoS mas grande detectado hasta la fecha
Tomado de: https://thehackernews.com/2018/03/biggest-ddos-attack-
github.html#
5. ¿Que es un ataque DDoS?
Se envía una cantidad excesiva de peticiones falsas al servidor obligándolo
a contestar cada una de ellas impidiendo que responda las peticiones
reales ; estos ataques están orientados principalmente en tres clases:
volumétricos (UDP ,ICMP) , protocolos (SYN , otros) y aplicaciones
Tomado de: http://www.differencebetween.net/technology/the-difference-between-dos-and-ddos-attacks
6. ¿Por qué se logra realizar un ataque DDoS?
Un ataque DDoS se logra realizar debido a una vulnerabilidad del
protocolo TCP/IP v4 al momento de realizar una conexión (three
way handshake)
Servidor
Con Puerto abierto;
Ej: 80 http
Cliente
@d4v1dp3r31r4
7. Botnets / Puppetnets
• Las botnets son grupos de equipos infectados equipos (bots /
zombies) los cuales generalmente se utilizan para realizar
ataques DDoS – Envío de correos spam – entre otros
• Para controlar este tipo de redes se utiliza un comando y
control (C&C) el cual recibe las instrucciones por parte del
atacante y transmite hacia las estaciones
• El C&C puede estar oculto bajo una red VPN , Proxy o DNS
gratuitos
• Las botnets utilizan puertos como: 6666-6667-6668
• Las Puppetnets son un tipo especial de botnet las cuales
utilizan puertos 80 y 443 y son mas difíciles de rastrear
@d4v1dp3r31r4
8. Botnets / Puppetnets
Tomado de: https://www.cloudflare.com/learning/ddos/what-is-a-ddos-botnet/
@d4v1dp3r31r4
10. OTROS
ATAQUES
DDoS
Amplificación
NTP
Se envía trafico NTP
(udp) utilizando
servidores NTP
abiertos saturando a
las victimas
Zero-Day
Nuevos ataques
DDoS explotando
vulnerabilidades
desconocidas
P2P DDOS
Se utilizan
servidores P2P
(peer to peer)
vulnerables para
realizar los
ataques DDoS
Multivector
DDoS
Ataques DDoS que
utilizan técnicas
combinadas (TCP /
UDP flood , DNS ,
entre otros)
@d4v1dp3r31r4
11. ¿DDoS únicamente funciona en IPV4 ?
NO !!!! Existen ataques orientados hacia IPV6, aprovechando las
múltiples vulnerabilidaes de IPV6.
@d4v1dp3r31r4
12. DDoS en IPV6
• Se presento un ataque DDoS de alrededor de 1.900 hosts IPv6 nativos,
en más de 650 redes diferentes y en un servicio de DNS de la red de
Neustar en la ultima semana de febrero 2018.
• Se detecto que fue un ataque de DNS
• De las 1.900 direcciones IPv6, detectaron que 400 eran sistemas DNS
mal configurados, y aproximadamente un tercio del tráfico de
ataque provino de esos servidores.
• Un ciberdelincuente puede utilizar servidores DNS para amplificar el
tráfico de la red hacia las victimas durante el ataque.
• Internet Engineering Task Force (IETF) esta desarrollando RFC 8021,
una solución diseñada para evitar un vector de ataque de
fragmentación contra enrutadores de protocolo IPv6 en redes de
gran escala. El vector, llamado "fragmentos atómicos“ (atomic
fragments) fue mencionado por primera vez en Black Hat 2012.
@d4v1dp3r31r4
13. ¿Cómo defenderse ante ataques DDoS?
• Cambios en topología de red (WAN –DMZ)
• Adquisición de equipos / herramientas de protección
• Contratación de servicios de protección
• Absorber el ataque: Utilizar recursos adicionales para absorber
el trafico malicioso enviado durante el ataque
• Técnicas de filtrado
• Pruebas de seguridad: para identificar posibles vectores de
ataque hacia puertos , servicios o aplicaciones
• Degradar servicios: cambiar los contenidos activos del sitio por
contenidos estáticos . Esto le permite saber al atacante que
tuvo éxito
• Detener / Apagar los servicios
@d4v1dp3r31r4
14. Técnicas de Mitigación DDoS
1. Syn Proxy:
Cuando un servidor recibe peticiones de conexión SYN, responde
mediante el envío de TCP SYN / ACK adiciona las entradas de
conexión en su tabla de conexión propia.
Puesto que estas direcciones IP en realidad no existen, no
responden a los SYN / ACK y por lo tanto la tabla de conexiones
se mantiene llena de conexiones falsas a la espera de un
paquete ACK.
Esto efectivamente niega el acceso a las conexiones nuevas y
legítimas. SYN Proxy es un mecanismo, (Appliance) que se coloca
antes del servidor real y espera las respuestas. Hasta que la IP
falsa o IPs no - falsa responde con un ACK, las solicitudes de
conexión no son reenviadas.
@d4v1dp3r31r4
15. Técnicas de Mitigación DDoS
2. Aggressive Aging (envejecimiento agresivo):
• Algunos ataques de botnets implican la apertura de una
conexión legítima y no hacer nada en absoluto.
• El Aggressive Aging ayuda a manejar la tabla de conexiones y
la capacidad de consumo de memoria del servidor para
aumentar la estabilidad.
• Esta función introduce una serie de tiempos de espera cortos;
Cuando una conexión está inactiva durante más de su
tiempo de espera agresivo, se marca como elegible para su
eliminación.
• El Aggressive Aging, (dinámico) implica la eliminación de las
conexiones de las tablas y también puede implicar el envío
de un paquete TCP RST al origen de la conexión
@d4v1dp3r31r4
16. Técnicas de Mitigación DDoS
Syn Proxy & Aggressive Aging:
SYN Proxy
Syn / Ack
Ack
Cliente Legitimo
Atacante
Syn - Spoof
Syn/ Ack hacia el Spoof
Aggressive
Aging
X
@d4v1dp3r31r4
17. Técnicas de Mitigación DDoS
3. Source Rate Limiting
Cuando hay un número limitado de ip´s origen para una Botnet,
ella puede utilizar sus IP para enviar paquetes con alta carga
(agresivos). Estos paquetes consumen recursos del servidor; este
tipo de ataques reciben el nombre de Multi-threaded.
Mediante la identificación de valores atípicos en direcciones IP
que rompen las normas, se puede denegar el acceso a ancho
de banda excesivo.
Como las direcciones IP en este tipo de ataques no son
predecibles, es importante no perder de vista a millones de
direcciones IP y su comportamiento para aislar a los valores
extremos. Este aislamiento sólo se puede hacer en el hardware.
@d4v1dp3r31r4
18. Técnicas de Mitigación DDoS
3. Source Rate Limiting
Paquetes con
carga legitima
Paquetes con
alta carga
Filtrado
Source Rate
@d4v1dp3r31r4
19. Técnicas de Mitigación DDoS
4. Connection Limiting
Demasiadas conexiones pueden causar sobrecarga en un
Servidor. Limitando el numero de solicitudes de conexiones
nuevas, se le puede dar alivio al Servidor.
Esto se logra dándole preferencia a las conexiones existentes y
limitando las solicitudes de nuevas conexiones, permitiendo un
mejor uso de la memoria del Servidor.
Es decir, premiar el buen comportamiento previo.
@d4v1dp3r31r4
20. Técnicas de Mitigación DDoS
5. Dynamic Filtering
El filtrado Estático es una técnica común en firewalls, routers, etc.
y se lleva a cabo por medio de ACL.
El Filtrado Dinámico es requerido cuando el tipo de ataque y
los atacantes cambian constantemente. El Filtrado Dinámico se
logra identificando los comportamientos fuera de lo normal y
castigando este comportamiento por un periodo corto de
tiempo, creando reglas de Filtrado de corta duración durante el
ataque y eliminándolas posteriormente.
@d4v1dp3r31r4
21. Técnicas de Mitigación DDoS
6. Anomaly Recognition
Muchos ataques del tipo DDoS, se realizan por medio de Scripts
que continuamente varían algunos parámetros en los paquetes
enviados.
Realizando detección de anomalías en los encabezados,
estados y tasas un Appliance puede filtrar muchos paquetes que
de otra forma lograrían llegar hasta la red libremente.
@d4v1dp3r31r4
22. Técnicas de Mitigación DDoS
6. Anomaly Recognition
Paquetes
legítimos
Paquetes con
scripts maliciosos
Red de
protección DDoS
Encabezado
Alterado
Cookie
Alterada
@d4v1dp3r31r4
23. Técnicas de Mitigación DDoS
7. Protocol Analysis
Similar al Anomaly Recognition, pero aplicado a los protocolos
que llegan hasta los dispositivos , se centra en los encabezados
de capa 7 en busca de flujos sospechosos.
@d4v1dp3r31r4
24. Técnicas de Mitigación DDoS
7. Protocol Analysis (WAF)
SELECT * FROM usuarios WHERE usuario=‘admin’ AND contraseña =‘ ‘ or ‘‘=‘’;
Red de
protección DDoS
Inyección SQL
@d4v1dp3r31r4
25. Técnicas de Mitigación DDoS
8. Active Verification through Legitimate IP Address
Matching
A pesar de que el SYN Proxy es uno de los mejores mecanismos
para mitigar los ataques DDoS basados en spoofing, siempre se
genera un SYN Flood de corta duración.
Si el Appliance continúa enviando paquetes SYN/ACK en
contestación, se va a generar una gran cantidad de trafico, y
por ende consumo de ancho de banda.
Para eliminar esto se hace necesario que el cache identifique el
tráfico que proviene de IP legítimas, y los alimente en una tabla
temporal, permitiéndole el paso sin las verificaciones del
Proxy.
@d4v1dp3r31r4
26. Técnicas de Mitigación DDoS
9. Granular Rate Limiting
Los ataques DDoS son impredecibles y en muchas oportunidades
se dirigen por medio de BOTs y Scripting; los paquetes que llegan
al Servidor son diferentes en cada ocasión,; no obstante hay
similitudes entre los paquetes en un ataque individual.
La Técnica GRL identifica las tasas de transferencia de ataques
anteriores; Los umbrales se basan en comportamiento pasado,
durante sesiones de entrenamiento y se ajustan
adaptativamente en el tiempo.
La Granularidad se aplica a parámetros disponibles en las Capas
3, 4 y los encabezados en la Capa 7; parámetros como:
Origen – Destino – Puertos - Método HTTP – URL – Agentes -
Cookies - Host Referrer
@d4v1dp3r31r4
27. Técnicas de Mitigación DDoS
Active Verification through Legitimate IP Address Matching &
Granular Rate Limiting
190.65.180.10
MTU:1500
Internet
201.184.250.76
190.145.32.109
52.170.21.0
139.59.109.146
Lista IP Legitimas
MTU (tamaño
paquete)=1200
190.66.177.1
MTU:1200
Internet
201.184.250.76
190.145.32.109
52.170.21.0
139.59.109.146
190.166.177.1
IP veritifcada y adicionada
IP No verificada
@d4v1dp3r31r4
28. Técnicas de Mitigación DDoS
10. White-list, Black-list, Non-tracked Sources
En cualquier red siempre hay un grupo de direcciones IP que
deben ser aprobadas o negadas. Las Listas Blancas y Listas
Negras son útiles durante los ataques DDoS para reforzar los
controles adicionales.
Debido a que las anomalías son generadas por comportamiento,
estos comportamientos deben ser aprendidos basados en
experiencias previas, para poder diferenciar el comportamiento
anómalo permitido del no permitido; casos como el de las
Copias de Seguridad que generan gran cantidad de logs en
horas puntuales o CDN específico, Refrescos, etc. Así se pueden
crear excepciones para trafico que no debe ser rastreado o
debe ser incluido en las excepciones.
@d4v1dp3r31r4
29. Técnicas de Mitigación DDoS
10. White-list, Black-list, Non-tracked Sources
201.184.250.76
190.145.32.109
52.170.21.0
139.59.109.146
41.139.161.42
96.71.40.129
177.126.81.63
47.90.80.88
Red de
protección DDoS
Internet
Lista blanca
Lista negra (IP Reportadas)
@d4v1dp3r31r4
30. Técnicas de Mitigación DDoS
11. Country Based Access Control Lists (ACL)
Gran parte del tráfico Botnet se origina desde un número
limitado de Países. Estos Países probablemente no sean origen de
tráfico normal dentro de la Organización.
Por medio de Filtros basados en Países se puede reducir
significativamente el tráfico que recibe el Servidor y por ende
la Carga, incluido tráfico spoof. Es recomendable la
implementación de estos controles a nivel de Hardware y no de
Software por temas de desempeño.
@d4v1dp3r31r4
31. Técnicas de Mitigación DDoS
11. Country Based Access Control Lists (ACL)
Red de
protección DDoS
Paises permitidos
Paises Restringidos
Internet
@d4v1dp3r31r4
32. Técnicas de Mitigación DDoS
12. State Anomaly Recognition
El protocolo TCP es el mas comúnmente utilizado para
infraestructura WEB. Al ser orientado a conexión debe seguir
ciertas reglas. Tomando en cuenta que muchas Botnets utilizan
scripting, muchas veces se rompen esas reglas;
Un motor de reconocimiento de anomalías de estado, detecta
anomalías de transmisión TCP, paquetes en conexiones no
establecidas propiamente, y violaciones en el windowing de la
transmisión.
@d4v1dp3r31r4
33. Técnicas de Mitigación DDoS
12. State Anomaly Recognition
Atacante
OS: Kali Linux
Tamaño de
ventana por
defecto : 5840
Red Protección
DDoS
Paquete
detectado:
OS: Windows 10
Tamaño de
ventana:65535
Anomalía
detectada
@d4v1dp3r31r4
34. Técnicas de Mitigación DDoS
13. Stealth Attack Filtering (precursores)
Antes de un ataque, existen precursores, es decir señales de que
un ataque se avecina y normalmente se presentan en forma de
rastreos al Servidor.
El Sentido de un rastreo para un atacante es buscar que puertos
abiertos tiene un objetivo; identificando este tipo de ataques y
monitoreándolos se pueden asociar con conductas hostiles y
crear filtros o bloqueos para las ip o rangos de ip que los realicen.
@d4v1dp3r31r4
35. Técnicas de Mitigación DDoS
14. Dark Address Scan Prevention (RFC 3330)
Las direcciones obscuras son direcciones IP que no han sido
asignadas por la IANA. Estas direcciones también reciben el
nombre de direcciones bogon.
Cualquier paquete recibido de una de estas direcciones
normalmente esta asociado a un ataque que involucra spoofing.
Estas direcciones deben ser bloqueadas en el firewall o router, y
así se disminuye ampliamente el porcentaje de direcciones que
pueden atacar la infraestructura.
@d4v1dp3r31r4
36. Técnicas de Mitigación DDoS
14. Dark Address Scan Prevention (RFC 3330)
Red de
protección DDoS
IP Permitidas
Internet
IP bloqueadas
(bogon)
• 0.0.0.2
• 100.64.0.5
• 169.254.0.10
• 198.51.100.50
• 240.0.0.2
• 190.85.184.218
• 128.199.75.94
• 207.154.240
• 186.46.85.194
• 186.215.148.228
@d4v1dp3r31r4
37. Técnicas de Mitigación DDoS
15. GeoDNS
Permite redireccionar las visitas de cualquier cliente de acuerdo al lugar
geográfico donde se encuentre posicionado
@d4v1dp3r31r4
38. Técnicas de Mitigación DDoS
16. Cache de aceleración
Permite que la red de protección almacene un cache de
elementos estáticos del sitio para que sean cargados en la nube
de protección bajo unos tiempos de respuesta específicos
mejorando tiempos de respuesta , rendimiento del sitio web
protegido y mitigar posible trafico malicioso que consulte los
contenidos .
@d4v1dp3r31r4
39. Técnicas de Mitigación DDoS
16. Cache de aceleración
Red de
protección DDoS
Contenido del sitio en
cache
Sitio original
Trafico
Legitimo
Trafico
Legitimo
Respuesta
Acelerada
@d4v1dp3r31r4
40. Pila de Mitigación DDoS
Particionamiento Virtual
Filtrado Heurístico
Filtrado Algorítmico
Filtrado en
Capa de Aplicación
Filtros Granulares en Capa 3 y 4
ACL Basados en Geolocación
Inspección Stateful
Mitigación de Flood
Filtrado de Bogon
Detección de Anomalías en Protocolo
Tráfico Combinado
Tráfico Limpio@d4v1dp3r31r4