Professional Documents
Culture Documents
OBJETIVOS:
Objetivo General
Objetivos Específicos
Definir que es un ataque DDoS y cuáles son los perjuicios que puede causar.
Especificar las cuatro diferentes técnicas a utilizar para realizar los ataques
DDoS las distintas topologías de red.
Simular una topología de red la cual contenga un servidor y poner en marcha el
ataque DDoS.
INTRODUCCIÓN:
Ataque DoS
Ataque DDoS
Esta técnica de ataque apareció por primera vez en junio de 1998 y actualmente es la
técnica más eficiente y difícil de detectar por su naturaleza distribuida. En un ataque
de este tipo, el atacante compromete un gran número de computadores conectados a
la red mediante la explotación de vulnerabilidades de software de red posteriormente,
el software de ataque es instalado en estos sistemas a través de canales seguros. Un
gran número de los equipos comprometidos en los que está insta lado el software de
ataque envía paquetes inútiles hacia una víctima al mismo tiempo. El volumen de
tráfico malicioso generado por tales huéspedes es tan alto que una víctima no puede
gestionar y se paraliza al instante el servicio. [2]
En forma general así es como funcionan un ataque DDoS, sin embargo, existe una
clasificación de este tipo de ataques los cuales toman en cuenta el objetico del ataque,
el método de realizar el mismo o el efecto que se quiere causar. A continuación, se
muestra la clasificación de este tipo de ataque.
Figura 2.- Clasificación de los ataques DDoS. [2]
Como resultado en el primer trimestre de 2018 se pudo obtener los siguientes datos:
Figura 3.- Duración de los ataques DDoS en el primer trimestre de 2018. [3]
¿Qué es FTP?
El servicio FTP está basado en el protocolo FTP, del inglés File Transfer Protocol o en
español protocolo de transferencia de ficheros en redes de tipo TCP/IP. El nombre se
presta a confusión en tanto en cuanto no es un servicio exclusivo de transferencia de
ficheros entre clientes y servidor de forma bidireccional, sino que más bien es un
servicio de administración de ficheros que permite multitud de acciones (subirlos,
bajarlos, borrarlos, renombrarlos, moverlos, crear carpetas, borrar carpetas, etc),
independientemente de que los sistemas de archivos sean distintos (DOS: FAT16;
Windows: FAT32, NTFS; KINUX: Ext3, etc.).
Por defecto, el servicio FTP utiliza el puerto TCP 20 para la transferencia de datos y el
puerto TCP 21 para el control. La forma de transmisión es muy rápida, pero no es
segura (ver unidad sobre SSH para el modo cifrado de FTPS). [4]
Vulnerabilidad en el servidor FTP.
El fallo de seguridad consiste en introducir como nombre de usuario /:)/ (el famoso
smile) y nos dará acceso total y ejecución de comandos en el servidor, únicamente
está afectada la versión 2.3.4. Mas especifico se comprobó que el software en el
fichero compilado vsftpd-2.3.4.tar.gz hospedado en su sitio principal contenía una
puerta trasera, en la que escribiendo como nombre de usuario del servidor FTP el
símbolo de la sonrisa o smile ( :) ) se conseguía acceso total y ejecución de comandos
en el servidor al devolver una shell del sistema. [5]
Analizando el código diff (comparación con versiones anteriores) del servidor FTP
comprometido que fue volcado a un pastebin, apreciamos claramente la puerta
trasera.
También se denominan ataques inteligentes de DDOS y se los caracteriza por que usa
mucho menor ancho de banda, por su bajo nivel de trabajo son difíciles de detectar,
apunta hacia aplicaciones específicas y a la infraestructura de una red para saturar
lentamente los recursos. [8]
Figura 3.
Los servidores HTTP y de DNS son los blancos más comunes para los ataques a nivel
de aplicación, como se pude observar en la siguiente gráfica estadística.
Figura 4.
Una tabla mostrada en [9] describe algunas de las posibilidades de ataques DDOS,
como descripción sobre la capa 7 se menciona que la creación de mensaje y paquete
comienza. El acceso a DB está en este nivel. Los protocolos de usuario final como
FTP, SMTP, Telnet y RAS funcionan en esta capa. Algunos de los ejemplos de ataque
a la camada 7 son PDF GET request, HTTP GET, HTTP POST, en sitios web (inicio
de sesión, carga de foto / video, envío de comentarios); llegando a sobrepasar los
limites de recursos de los servicios. Sin embargo, los atacantes DDoS pueden ser
aleatorios o cambiar repetidamente las firmas de un ataque de Capa 7, por lo que es
más difícil de detectar y mitigar.
HTTPS POST Flood es una inundación HTTPS POST enviada a través de una
sesión SSL (Secure Sockets Layer). Debido al uso de SSL,
es necesario descifrar esta solicitud para inspeccionarla.
HTTPS POST es una versión cifrada de una solicitud HTTPS POST. Los
Request datos reales transferidos de ida y vuelta están encriptados.
HTTPS GET Flood es una inundación HTTPS GET enviada a través de una
sesión SSL. Debido al SSL, es necesario descifrar las
solicitudes para mitigar la inundación.
HTTPS GET Request es una solicitud HTTPS GET enviada a través de una sesión
SSL. Debido al uso de SSL, es necesario descifrar las
solicitudes para inspeccionarlas.
Tabla 1. Posibles tipos de tráfico DDOS para HTTPS [9]
A. HPing
Todo esto quiere decir que, con esta herramienta, podemos generar paquetes TCP/IP
a medida, que contengan la información que queramos. Esto puede resultar muy
interesante para poder efectuar auditorías de red y poder así prevenir ataques
malintencionados. [11]
OPCIONES BASE
-q –quiet -v –version
-c –count contar paquetes respuesta
-d tamaño del paquete
–fast 10 paquetes / seg
–master 1 paquete / μs
–flood lo más rápido posible
Este tipo de ataque resulta de botnets orientados a las conexiones que inundan los
servidores afectando el tráfico de la red en puertos de servicio como el HTTP, mientras
se hacen pasar por usuarios legítimos. Los firewalls, switches y ruteadores tampoco
los detendrán. Para hacerlo, la organización víctima deberá reforzar su estructura de
seguridad con soluciones más resistentes.
GET se codifica como parte de una URL, se puede cortar y pegar el URL y compartirla
con otras personas. Las peticiones GET también se pueden marcar. Al agregar
"example.com/weather.php?zipcode=12345" a la barra "Favoritos" del navegador, y al
hacer clic en ese enlace automáticamente cargas tu página meteorológica
personalizada. Debido a que las peticiones GET son visibles (y editables) por el
usuario, también pueden ser pirateadas. [15]
Las llamadas GET pueden ser cacheadas (historial del navegador), indexadas por
buscadores, agregar los enlaces a nuestros favoritos o hasta pasar una url completa a
otra persona para que directamente ingrese a esa página. Con el método POST sin
embargo no se puede hacer esto.[15]
Las opciones de respuesta para las víctimas de las inundaciones SYN son muy
limitadas. El sistema bajo ataque es generalmente un servicio importante, y el bloqueo
del acceso al sistema logra generalmente lo que quiere el atacante. Mucho el router y
los productos de escudo de protección, incluyendo Cisco, tienen características que se
puedan utilizar para reducir el impacto de las inundaciones SYN. Pero, la eficacia de
estas características depende del entorno. [13]
1. GNS3
GNS3 es un simulador gráfico de red el cual es usado para diseñar topologías de red
complejas y poner en marcha simulaciones sobre ellos, el cual es gratuito y capaz de
emular dispositivos de red. Lo cual hace posible que cualquier persona pueda utilizar
el hardware de red de forma rápida y sencilla para fines educativos y no tener un gasto
elevado en la adquisición del hardware físico. Dentro de los dispositivos de GNS3
podemos encontrar enrutadores y cortafuegos Cisco, Juniper, HP, Mickotik y frame-
relay.
2. SLOWLORIS
Finalmente, todas las conexiones se utilizarán y ningún otro servidor podrá conectarse
hasta que al menos se liberen algunas de las conexiones retenidas. Esto hace posible
que los hackers utilizando recursos limitados de tráfico puedan montar un ataque con
éxito. [11]
3. KALI LINUX
4. METAEXPLOIT FRAMEWORK
A. Generación de ataques
El cliente que está conectado al servidor que va hacer atacado ingresara a esta red de
forma normal como un usuario que requiere del servicio.
Una vez que el usuario está conectado al servidor podemos verificar la dirección ip
que arroja el servidor al ser un usuario de manera normal como cualquiera servidor de
red; en este caso podemos ver que la dirección otorgada al cliente es 192.168.137.231
Al tener una dirección ip dada por el servidor revisamos si posee comunicación con el
a través de la dirección default Gateway la cual es 192.168.137.1 y que este a su vez
tiene acceso a internet de manera que lo comprobamos realizando un envió ICMP a la
dirección de Google la cual es 8.8.8.8, arrojando como resultado que ambas
comunicaciones son realizadas con éxito.
Ping sostenido
Para comprobar la constante conexión con el default Gateway se realiza un ping ICMP
sostenido para ver esta conexión.
Como al realizar un ping hacia el servidor de Google se está enviando paquetes ICMP,
mediante la herramienta para capturar tráfico Wireshark, podemos validar nuestra
prueba de conectividad.
Figura . Captura de tráfico del cliente-atacante.
Como podemos ver existe una cantidad de 54 bytes enviados, el cual es muy poco al
realizar el ataque, para esto comenzamos a modificar el tamaño del paquete a enviar,
además como podemos ver la IP de origen es la misma es decir la 192.168.137.164,
esto puede ser muy sospechoso, detectado y negar el servicio inmediato al cliente-
atacante, procedemos a detener el ataque y a configurar para el envió de paquetes
con un tamaño de 500 bytes con el comando -d 500.
Una vez realizado el ataque el primer indicio que algo paso en la red es que se pierde
totalmente el contacto con el cliente el cual está atacando siendo un destino
totalmente inalcanzable, mientras la comunicación con el servidor sigue estando en
marcha hasta que empieza a caer la comunicación no se comunica como acceso
inalcanzable pero las solicitudes ya no son respondidas dando, así como exitoso el
ataque realizado.
Figura . Colapso de la comunicación entre el cliente de la red.
El cliente que está conectado al servidor que va a ser atacado ingresara a esta red de
forma normal usando el sistema operativo Kali Linux como un usuario que requiere del
servicio. Y entonces, Lo primero que realiza es un ping a la página que desea atacar
en este caso es: www.seguridadpent.blogspot.com. Como se puede observar en la
captura del terminal de Kali Linux.
use auxiliary/dos/tcp/synflood
exploit
Como resultado de esta inundación SYNflood se podrá ver que la página web no
permite el acceso y tampoco se cargan sus complementos:
Se puede observar que el ataque fue al puerto 80 usando 65535 bytes para capturar
LINKS DE CONSULTA
[2] Molina, Lorena., Furfaro, Angelo., Malena, Giovanna., y Parise, Andrea. (2015).
Ataques Distribuidos de Denegación de Servicios: modelación y simulación con
eventos discretos. Conferencia: XV Jornada Internacional de Seguridad Informática –
ACIS. Bogotá Colombia. Doi: 10.13140/RG.2.1.5123.5687
[4] Andreu, J., (2011), Servicios en Red, Argentina, Buenos Aires: Editex. Pp 82-83.
[5] Guasch, José A., (2018). El Smile de la Muerte: Puerta Trasera en VSFTPD 2.3.4.
SBD. Recuperado de: http://www.securitybydefault.com/2011/07/el-smile-de-la-muerte-
puerta-trasera-en.html
[6] Patani, N. Rajan, P., (2017) A Mechanism for Prevention of Flooding based DDoS
Attack. Recuperado de: https://www.ripublication.com/ijcir17/ijcirv13n1_09.pdf
[7] Cloudflare Advanced DDoS Protection - Denial-of-service (DoS) attacks are on the
rise and have evolved into complex and overwhelming security challenges.
Recuperado de: https://www.cloudflare.com/media/pdf/cloudflare-whitepaper-ddos.pdf
[12] Rubén Velasco (ruvelro) (2014) Hping3: Manual de utilización de esta herramienta
para manipular paquetes TCP/IP.
ANEXOS
Actas de asistencia a las reuniones
Reunión N.-1
Reunión N.-1
Reunión N.-2
Conceptos básicos de cada técnica de ataque, recursos necesarios tanto físico como digital.
Reunión N.-3
Reunión N.-4
Realización del informe y practica del tiempo adecuado para la presentación del día jueves
14 de junio de 2018.
FOTOGRAFÍAS DE LA ASISTENCIA