DDoS Análisis de Ataques Coordinados
sep13

DDoS Análisis de Ataques Coordinados

Este artículo fue publicado originalmente en ingles para la revista Pentest Magazine y su autor Ramiro Caire con gusto lo comparto en español para La Comunidad DragonJAR, en el se cubrirán algunos conceptos acerca de un tipo de ataque conocido llamado “DDoS (Denegación de Servicio Distribuido, por sus siglas en ingles) con algunas demostraciones en laboratorio como “Prueba de Concepto” con algunas contramedidas. En este paper, nos enfocaremos en dos tipos de ataques: SYN Flood” y “Slow HTTP DDoS Attack”. Entendiendo DDoS Es muy probable que ud ya conozca el Ataque de Denegación de Servicio Distribuido (DDoS) el cual es una extensión del ya conocido DoS (Denial of Service) que sucede cuando el servidor objetivo se ve saturado de peticiones TCP o UDP a determinado servicio (por lo general, servicio web al puerto 80, pero esto depende de las intenciones del atacante, cualquier servicio puede ser vulnerable) dejando de responder incluso a peticiones genuinas. El concepto de “Distribuido” es concerniente a que estas peticiones son realizadas desde cientos, miles de máquinas infectadas (comúnmente llamadas “zombies” ) las cuales son gobernadas a través de “Botnets” (http://en.wikipedia.org/wiki/Botnet) de manera coordinada al mismo tiempo, lo cual supone una sumatoria de ancho de banda, uso de memoria y procesamiento en el objetivo que, por lo general, ningún servidor podría soportar, terminando en un colapso del servicio atacado por no poder responder cada petición. En este articulo haremos foco en dos tipos de ataques, los mismos son “SYN flood” y “Slow HTTP DDoS Attack”. La clave del éxito para los ataques de DDoS es la cantidad de “zombies” con que cuenta cada Botnet. Podemos afirmar que mayor es el número de máquinas atacantes, mayor es la efectividad del ataque. A modo de ejemplo, hagamos el siguiente cálculo rápido: Una “botnet” tiene 3000 máquinas zombies listas para atacar. Cada máquina utiliza una conexión hogareña (generalmente xDSL) con un promedio de 128 Kib/s de ancho de banda de subida (upstream): 3000 hosts * 128 KiB/s (upstream) = 384000 KiB/s = 375,00 MiB/s Es decir, se genera un tráfico resultante de 375,00 MiB/s, el cual es un ancho de banda mas que suficiente para colapsar prácticamente cualquier sistema (aún estando protegido) ya que los vínculos que los ISP le otorgan a los servidores target son claramente inferiores a este valor. Pero este no es el único factor que influye en el éxito de un ataque DDoS, también podemos mencionar la variante de ataque que se realizará (descriptos anteriormente), la buena o mala configuración de los servidores target, la duración del ataque, etc… SYN Flood Attack Este es uno de los dos tipos de ataques de DDoS que...

Leer Más

Manos negras en la red – Extras – Videos de Phishing y DoS

Como ya saben, hace poco realice una entrevista para el programa Testigo Directo hablando sobre seguridad informática y el reciente caso de “Sophie Germain”, para ese video (que pensaba era mas largo) me pidieron realizar algunas guías visuales, sobre temas específicos en los que querían profundizar ya que están siendo muy utilizados en Colombia. El primero de ellos es el Phishing, del que se hablo un poco en el programa y querían tener material extra un poco mas largo: Les recomiendo visitar el apartado Anti Phishing de nuestra comunidad, donde encontraras herramientas para complementar los consejos expuestos en el video. Y el segundo eran los ataques de denegación de servicio, ya que están siendo utilizados masivamente como forma de “protesta” en el país y querían saber que tan sencillo seria realizarlos: Espero que a alguien les sea de utilidad, se que no son gran cosa, pero fue lo que me pidieron y como ya estaban hechos, no quería dejar de...

Leer Más

¿Cómo mitigar un DDoS o una Botnet?

Los ataque de denegación de servicio distribuidos, también llamado ataque DDoS (de las siglas en inglés Distributed Denial of Service), son ataques realizados a sistemas informáticos o redes, con el objetivo de dejar inaccesible un recurso o servicio a los usuarios legítimos. Por lo general estos ataques se realizan desde un gran numero de equipos Zombies o Botnet, provocando la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima y grandes perdidas económicas a los afectados. En el siguiente vídeo (grabado en la pasada CCC numero 26) Andrew Strutt mas conocido en Internet como rodent, nos enseñará como mitigar un ataque distribuido de denegación de servicios, sin dejar de atender a los usuarios legítimos de nuestro sistema. Descargar Charla en MP4 Espero que esta información les sea de...

Leer Más

reDoS – Denegación de Servicios con Expresiones Regulares

Últimamente el termino Denegación de Servicio, cada vez se vuelve mas popular, posiblemente la masificación de las famosas botnets sean causantes de esto. Existen muchos tipos de ataques de Denegación de Servicio o DoS (Denial of Service), cuyo principal objetivo es atentar contra uno de los 3 pilares sobre los que se basa la seguridad de la información. La Disponibilidad. En esta ocasión les traigo un texto bastante interesante que nos habla sobre un nuevo tipo de DoS, la Denegación de Servicio en la validación de Expresiones Regulares, o lo que se conoce por reDoS. El reDoS, fue presentado por primera vez en el año 2009 durante la Open Web Application Security Project (OWASP) Israel Conference. En esa presentación se explicaba como una expresión regular pobremente escrita podía ser explotada para realizar un DoS. Los dejo entonces con el paper sobre reDoS, escrito por David Kotriksnov, mas conocido en la red como SH4V Si deseas descargar este paper, puedes hacerlo por medio de este enlace. Mas Información: Regular expression Denial of Service –...

Leer Más

Registraduría Nacional de Colombia.. ¿DoS o Negligencia?

En este articulo hablaremos sobre el supuesto ataque de “hackers” que sufrió la Registraduría Nacional de Colombia el día de elecciones, para entender mejor lo sucedido pongámonos en contexto: El pasado domingo 14 de marzo se realizaron en Colombia las elecciones para el Senado de la República, Cámara de Representantes, los representantes de Colombia en el Parlamento Andino y las consultas interpartidistas. En años pasados los resultados parciales o “boletines” de las elecciones se generaban desde la Registraduría y eran entregados inmediatamente a medios de comunicación y a veedores internacionales unicamente, este año quisieron ademas de esto, ofrecer a todos los ciudadanos esta información también en “tiempo real” desde el sitio de la Registraduría nacional. Para cumplir con la labor de divulgación de estos boletines, se contrató a la empresa UNE, que a su vez subcontrato a la empresa “Arolen” quienes serian los encargados de implementar toda la infraestructura tecnológica necesaria para cumplir con la demanda de información que tendría la pagina de la Registraduría. El dia de elecciones, varios medios de comunicación reportaban fallos constantes en el portal de la Registraduría nacional, impidiendo así el acceso a la información, no solo para los ciudadanos sino para todos los medios que deseaban informar a la población, después de los fallos “Arolen” admite los problemas y habla sobre ello en la siguiente rueda de prensa echándole la culpa de los fallos a un ataque informático: En el vídeo habla Iván Ribón, gerente de “Arolen” donde explica que los fallos se debieron a un ataque informático, por esto contrataron una empresa llamada “Adalid” para investigar el caso y llegaron a la conclusión que se trataba de un ataque de denegación de servicios (DoS) y afirman que “casos como estos normalmente no son obra de un hacker, sino son obra de una empresa de delincuentes que esta tratando de tumbar un servicio como el de la Registraduría o como el de la información”. El Registrador Nacional del Estado Civil Carlos Ariel Sánchez en una entrevista para el programa de televisión “El Radar”, nos da un poco mas de información sobre el tema: Como pueden ver el problema fue debido a un ataque de denegación de servicio hacia la pagina de la Registraduría, pero les recuerdo que estas paginas no necesitan un ataque de este tipo para caerse, se caen solas, es como decir que a la pagina del ICFES le hacen un DoS cada que salen los resultados de los estudiantes. Personalmente pienso que la empresa “Arolen” no supo anticipar la cantidad de personas que consultarían la pagina de la Registraduría este día y el sistema les colapsó (como pasa con el...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES