Explotando DDoS usando servidores SNMP
jun03

Explotando DDoS usando servidores SNMP

El objetivo de esta entrada es presentar una herramienta que denomine snmpddos.  Esta  herramienta permite utilizar servidores SNMP V2c para realizar un ataque de denegación de servicio distribuido basado en reflexión (SNMP reflected attack);   Antes de enfocarnos en la práctica de este ataque  vamos  a  explicar en qué consiste y como funciona. Funcionamiento del ataque: Bueno antes de entender la técnica de DDoS basada en reflexión SNMP, vamos recordar que SNMP es un protocolo de administración, su uso ha sido muy extendido para el monitoreo y supervisión de los dispositivos de red en entornos corporativos, existen tres versiones SNMP V1 (no recomendada), V2c (no recomendada)  y V3 (recomendada), las dos primeras versiones  tienen  autenticación débil (basado en el valor de la comunidad)  y no cifran la información, SNMP utiliza típicamente UDP como protocolo de transporte, utiliza los puertos  UDP/161 y UDP/162 (traps). Los dos factores determinantes para ejecutar el ataque son los siguientes: En una comunicación basada en protocolo UDP (no orientada a la conexión) y por motivos de eficiencia, los datos se envían y se reciben sin verificar la conexión con el origen o destino de la misma y se da por hecho la correcta entrega o recepción de datos. Esto nos permite modificar la dirección IP origen dando pie al “IP spoofing”. Por otra parte el protocolo SNMP permite que se realicen consultas de gran volumen a través del tipo de solicitud llamado  “GetBulkRequest”, esta solicitud  en la V2c se caracteriza por que el tamaño de su respuesta (423-1560 Bytes) es mucho más grande que el de la solicitud (0-102 Bytes), esto significa que existe un efecto de amplificación ya que la respuesta es más grande que la solicitud De acuerdo a lo explicado, a todas las solicitudes SNMP tipo GetBulkRequest que se hagan a un servidor SNMP modificando la IP origen (IP Spoofing)  por la IP de la víctima, el servidor SNMP responderá con respuestas de gran tamaño a IP la víctima. (tal como lo muestra la siguiente imagen). Si esto mismo lo masificamos obtendremos un ataque de denegación distribuido basado en reflexión SNMP, tal como se muestra en la siguiente imagen: SCRIPT snmpddos Este script se encuentra escrito en Python y hace uso de Scapy, funciona perfectamente en Bactrack 5 R3 y KALI. El código se encuentra en GitHub y se puede descargar desde https://github.com/jevalenciap/snmpddos/blob/master/snmpddos.py # Autor: Juan Esteban Valencia Pantoja jevalenciap at gmail dot com import sys import random import logging # La siguiente linea es usada para omitir los errores de IPV6 que pueden aparecer por importar scapy. logging.getLogger("scapy.runtime").setLevel(logging.ERROR) from scapy.all import * import argparse import os import urllib2 if os.getuid() != 0:...

Leer Más
DDoS Análisis de Ataques Coordinados
sep13

DDoS Análisis de Ataques Coordinados

Este artículo fue publicado originalmente en ingles para la revista Pentest Magazine y su autor Ramiro Caire con gusto lo comparto en español para La Comunidad DragonJAR, en el se cubrirán algunos conceptos acerca de un tipo de ataque conocido llamado “DDoS (Denegación de Servicio Distribuido, por sus siglas en ingles) con algunas demostraciones en laboratorio como “Prueba de Concepto” con algunas contramedidas. En este paper, nos enfocaremos en dos tipos de ataques: SYN Flood” y “Slow HTTP DDoS Attack”. Entendiendo DDoS Es muy probable que ud ya conozca el Ataque de Denegación de Servicio Distribuido (DDoS) el cual es una extensión del ya conocido DoS (Denial of Service) que sucede cuando el servidor objetivo se ve saturado de peticiones TCP o UDP a determinado servicio (por lo general, servicio web al puerto 80, pero esto depende de las intenciones del atacante, cualquier servicio puede ser vulnerable) dejando de responder incluso a peticiones genuinas. El concepto de “Distribuido” es concerniente a que estas peticiones son realizadas desde cientos, miles de máquinas infectadas (comúnmente llamadas “zombies” ) las cuales son gobernadas a través de “Botnets” (http://en.wikipedia.org/wiki/Botnet) de manera coordinada al mismo tiempo, lo cual supone una sumatoria de ancho de banda, uso de memoria y procesamiento en el objetivo que, por lo general, ningún servidor podría soportar, terminando en un colapso del servicio atacado por no poder responder cada petición. En este articulo haremos foco en dos tipos de ataques, los mismos son “SYN flood” y “Slow HTTP DDoS Attack”. La clave del éxito para los ataques de DDoS es la cantidad de “zombies” con que cuenta cada Botnet. Podemos afirmar que mayor es el número de máquinas atacantes, mayor es la efectividad del ataque. A modo de ejemplo, hagamos el siguiente cálculo rápido: Una “botnet” tiene 3000 máquinas zombies listas para atacar. Cada máquina utiliza una conexión hogareña (generalmente xDSL) con un promedio de 128 Kib/s de ancho de banda de subida (upstream): 3000 hosts * 128 KiB/s (upstream) = 384000 KiB/s = 375,00 MiB/s Es decir, se genera un tráfico resultante de 375,00 MiB/s, el cual es un ancho de banda mas que suficiente para colapsar prácticamente cualquier sistema (aún estando protegido) ya que los vínculos que los ISP le otorgan a los servidores target son claramente inferiores a este valor. Pero este no es el único factor que influye en el éxito de un ataque DDoS, también podemos mencionar la variante de ataque que se realizará (descriptos anteriormente), la buena o mala configuración de los servidores target, la duración del ataque, etc… SYN Flood Attack Este es uno de los dos tipos de ataques de DDoS que...

Leer Más

¿Cómo mitigar un DDoS o una Botnet?

Los ataque de denegación de servicio distribuidos, también llamado ataque DDoS (de las siglas en inglés Distributed Denial of Service), son ataques realizados a sistemas informáticos o redes, con el objetivo de dejar inaccesible un recurso o servicio a los usuarios legítimos. Por lo general estos ataques se realizan desde un gran numero de equipos Zombies o Botnet, provocando la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima y grandes perdidas económicas a los afectados. En el siguiente vídeo (grabado en la pasada CCC numero 26) Andrew Strutt mas conocido en Internet como rodent, nos enseñará como mitigar un ataque distribuido de denegación de servicios, sin dejar de atender a los usuarios legítimos de nuestro sistema. Descargar Charla en MP4 Espero que esta información les sea de...

Leer Más

Registraduría Nacional de Colombia.. ¿DoS o Negligencia?

En este articulo hablaremos sobre el supuesto ataque de “hackers” que sufrió la Registraduría Nacional de Colombia el día de elecciones, para entender mejor lo sucedido pongámonos en contexto: El pasado domingo 14 de marzo se realizaron en Colombia las elecciones para el Senado de la República, Cámara de Representantes, los representantes de Colombia en el Parlamento Andino y las consultas interpartidistas. En años pasados los resultados parciales o “boletines” de las elecciones se generaban desde la Registraduría y eran entregados inmediatamente a medios de comunicación y a veedores internacionales unicamente, este año quisieron ademas de esto, ofrecer a todos los ciudadanos esta información también en “tiempo real” desde el sitio de la Registraduría nacional. Para cumplir con la labor de divulgación de estos boletines, se contrató a la empresa UNE, que a su vez subcontrato a la empresa “Arolen” quienes serian los encargados de implementar toda la infraestructura tecnológica necesaria para cumplir con la demanda de información que tendría la pagina de la Registraduría. El dia de elecciones, varios medios de comunicación reportaban fallos constantes en el portal de la Registraduría nacional, impidiendo así el acceso a la información, no solo para los ciudadanos sino para todos los medios que deseaban informar a la población, después de los fallos “Arolen” admite los problemas y habla sobre ello en la siguiente rueda de prensa echándole la culpa de los fallos a un ataque informático: En el vídeo habla Iván Ribón, gerente de “Arolen” donde explica que los fallos se debieron a un ataque informático, por esto contrataron una empresa llamada “Adalid” para investigar el caso y llegaron a la conclusión que se trataba de un ataque de denegación de servicios (DoS) y afirman que “casos como estos normalmente no son obra de un hacker, sino son obra de una empresa de delincuentes que esta tratando de tumbar un servicio como el de la Registraduría o como el de la información”. El Registrador Nacional del Estado Civil Carlos Ariel Sánchez en una entrevista para el programa de televisión “El Radar”, nos da un poco mas de información sobre el tema: Como pueden ver el problema fue debido a un ataque de denegación de servicio hacia la pagina de la Registraduría, pero les recuerdo que estas paginas no necesitan un ataque de este tipo para caerse, se caen solas, es como decir que a la pagina del ICFES le hacen un DoS cada que salen los resultados de los estudiantes. Personalmente pienso que la empresa “Arolen” no supo anticipar la cantidad de personas que consultarían la pagina de la Registraduría este día y el sistema les colapsó (como pasa con el...

Leer Más

Laboratorios: Análisis de Malware, Introducción y Contenido

Laboratorios de Análisis de Malware nace como una nueva propuesta de Laboratorios virtuales y presenciales de Labs.DragonJAR.org. Esta nueva propuesta de capacitación e investigación sobre Análisis de Malware llevará a cabo diferentes Laboratorios relacionados con las Amenazas y el Software Dañino/Malicioso (Malware) al que están expuestos los usuarios de Internet y las computadoras. Se hace necesario entonces definir el concepto de Malware, pues este será el objeto de distintos análisis a travéz de cada post. Malware: Malware (del inglés malicious software, también llamado badware, software malicioso o software malintencionado) es un software que tiene como objetivo infiltrarse en el sistema y dañar la computadora sin el conocimiento de su dueño, con finalidades muy diversas, ya que en esta categoría encontramos desde un troyano a un spyware. Esta expresión es un término general muy utilizado por profesionales de la computación para definir una variedad de software o programas de códigos hostiles e intrusivos. Muchos usuarios de computadores no están aún familiarizados con este término y otros incluso nunca lo han utilizado. Sin embargo la expresión “virus informático” es más utilizada en el lenguaje cotidiano y a menudo en los medios de comunicación para describir todos los tipos de malware. Se debe considerar que el ataque a la vulnerabilidad por malware, puede ser a una aplicación, una computadora, un sistema operativo o una red. Leer Más >> Una vez definido el objetivo principal de esta serie de Laboratorios vemos el contenido temático a tratar en esta serie de publicaciones: Contenido Temático (Propuestas con ejemplos prácticos de laboratorios) Malware (Software Malicioso) / Tipos de Malware Adware Backdoor Bomba fork Bots Bug Caballo de Troya (Troyanos ó  Trojans) Cookies Crackers Cryptovirus, Ransomware o Secuestradores Dialers DoS Exploit Falso antivirus (Rogue) Hijacker Hoaxes, Jokes o Bulos Keystroke o keyloggers Pharming Phishings Pornware Rootkit Spam Spyware Ventanas emergentes/POP-UPS Worms o gusanos Contramedidas al Malware Enfoques de Anti-Malwares Técnicas de Anti-Malwares Técnicas de Análisis de Malware Programación de Malware Lenguajes de programación C/C++/Ensamblador ó ASM/VB Ingeniería Inversa / Reversing Este será entonces el contenido temático a manera de propuesta, el mismo puede ser modificado, agregando nuevo tópicos a tratar. La idea es que los post sigan realizandose de la misma manera que he publicado los anteriores Labs, es decir, de una manera didáctica y pedagógica, la cual permita que cualquier usuario independientemente de su nivel de experticia pueda seguir y desarollar los mismos. Queda abierta la invitación como siempre a colaboradores que quieran enviar sus propios laboratorios, análisis o videos. Pues este último medio de transmisión será el más utilizado en cada post. Sean entonces...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES