reto de seguridad informática. ataques ddos y defacemen. · 2020-03-01 · lo cual supone una...

Reto de seguridad Informática.

Ataques DDoS y defacemen.

Guillermo Cantón Torotosa.

@GuillermoCanton

@GESI_AL

Evolucion de las herramientas DDoS. Distributed Denial

of Service

1ª Generación – DDoS Bots

• Infección de Computadores personales.

• Requeria una red de control – los bots bajaban instrucciones.

• Requería de 10 – 30,000 nodos para generar ataques grandes.

(40 Gbps)

• Los taques se incrementaban lentamente.

Evolucion de las herramientas DDoS.

2ª Generación–DDoS Bots (Brobot) Enero 2012

• Infección de Servidores Web.

• La red de control cambio a un modelo PUSH(más rápido)

• Solo requiere de 1-3,000 nodos para generar ataques.

(190 Gbps)

• Los taques se incrementaban rápidamente de 50-100Gbps en

menos de 10 minutos.

Evolucion de las herramientas DDoS.

3ª Generación–DDoS Bots (Brobot) Enero 2012

• Largo volumen de +350Gbps.

• Abuso de servidores legítimos(DNs Reflactión, Chargen, NTP

Amplificatión)

• Mayor uso de una combinación de diferentes vectores, para

complejidad adicional (3 a 5 vectores de ataque)

• Abuso de dispositivos Consumer, y el internet de las cosas.

¿Cómo afecta un DDoS a una web?

Depende del ataque y del servidor. Los servidores se pueden proteger contra estos ataques

con filtros que rechacen los paquetes mal formados o modificados con IPs falsas, de forma que

al servidor sólo le llegan los paquetes legítimos. Por supuesto, las medidas no son infalibles y el

servidor siempre puede acabar saturado si el ataque es suficientemente masivo y está bien

preparado.

¿Y qué ocurre cuando el servidor se satura?

Simplemente deja de estar disponible durante un tiempo hasta que el ataque para. Es muy difícil que se

produzcan daños físicos en el servidor. Además, el DDoS por sí sólo no permite entrar en el servidor:

para ello es necesario aprovechar alguna vulnerabilidad, y eso no es nada fácil.

Así que, básicamente, un DDoS sólo puede provocar la caída de la web, nada más. Dependiendo del

tipo de web esto puede ser una catástrofe o no. Si la web genera dinero (venta online, publicidad), el

propietario deja de ganar dinero mientras esa web está caída. Imaginaos las pérdidas que puede llegar

a tener Amazon, por ejemplo, si su página está caída durante un día.

DDoS Análisis de Ataques Coordinados.

El concepto de “Distribuido” es concerniente a que estas peticiones son

realizadas desde cientos, miles de máquinas infectadas (comúnmente llamadas

“zombies” ) las cuales son gobernadas a través de “Botnets”

(http://en.wikipedia.org/wiki/Botnet) de manera coordinada al mismo tiempo,

lo cual supone una sumatoria de ancho de banda, uso de memoria y

procesamiento en el objetivo que, por lo general, ningún servidor podría

soportar, terminando en un colapso del servicio atacado por no poder

responder cada petición.

Herramientas que vamos a utilizar para realizar un

DDoS.

Kali Linux es una distribución basada en Debian GNU/Linux diseñada principalmente para la auditoría y seguridad

informática en general. Fue fundada y es mantenida por Offensive Security Ltd. Mati Aharoni and Devon Kearns, ambos

pertenecientes al equipo de Offensive Security, desarrollaron la distribución a partir de la reescritura de BackTrack,que

se podría denominar como la antecesora de Kali Linux.

Kali Linux trae preinstalados numerosos programas incluyendo Nmap (un escáner de puertos), Wireshark (un sniffer),

John the Ripper (Un crackeador de passwords) y la suite Aircrack-ng (Software para pruebas de seguridad en redes

inalámbricas). Kali puede ser usada desde un Live CD, live-usb y también puede ser instalada como sistema operativo

principal.

Tipos de ataque. SYN Flood Attack 1/2

El ataque de “SYN Flood” consiste en enviarle paquetes

manipulados a la máquina target, activando el bit SYN (S

flag) en la conexión TCP y alterando la IP origen

(mediante técnica de spoofing), la víctima responde con

un SYN/ACK (SA flags) considerando que se trata de una

conexión legítima y espera por un ACK (A flag) por parte

del cliente. Al tratarse de direcciones falsas, la respuesta

nunca llegará y la secuencia no llega a completarse

ocasionando que la víctima se sature de conexiones no

dejando lugar a conexiones genuinas.


Este es sin dudas uno de los ataques mas conocidos por su simplicidad-efectividad y famoso dado

que es la técnica principal utilizada por el ya mundialmente conocido grupo hacktivista

“Anonymous” que si bien ellos mismos lo emplean como herramienta de “protesta”, está quedando

en evidencia que esto no siempre se aplica para el común de los ciberdelincuentes que, en su

mayoría, lo emplean como herramienta de extorsión en perjuicio de empresas o gobiernos y en

otras ocasiones para obtener ganancias económicas.

Existe gran cantidad de herramientas para efectuar un SYN Flood Attack, entre ellos las armas

principales de “Anonymous”, llamadas LOIC (Low Orbit Ion Cannon) y HOIC (High Orbit Ion

Cannon). Estas herramientas pueden ser manejadas por el usuario o bien utilizando el modo

“Hivemind”, a través de un canal de IRC en un ataque distribuido y coordinado. Son herramientas

muy potentes y deben ser utilizadas responsablemente.


Tres maquinas (corriendo Backtrack 5 R2) que

simularán ser muchas más para atacar un

servidor vulnerable y desprotegido (corriendo

Fedora release 15 (Lovelock)).

La idea es inundar de paquetes manipulados

(utilizando el flag SYN) a la víctima, simulando

un ataque desde cientos de hosts diferentes.


HPING3 es una excelente herramienta con la posibilidad de utilizarla en muchas situaciones, recomiendo ejecutar

la ayuda (hping3 -h) para ver las diversas opciones.

Para el caso de esta demostración, desde cada una de las máquinas atacantes, ejecutamos HPING con los

siguientes parámetros:


Se podrían utilizar otras variantes y valores, pero a los efectos de la prueba, con estos parámetros es más que

suficiente para causar un DDoS.

Es importante contar con privilegios de superusuario, es por eso que utilizamos “sudo” para correr el comando.

Teniendo en cuenta que el target entonces es 192.168.1.109, que utilizaremos el flag SYN, que lo haremos en modo

“flooding”, con cada request con un origen diferente y al puerto HTTP, el comando quedaría conformado así:


Y lanzamos el ataque simultáneamente en las 3 maquinas atacantes!

Mientras tanto, veamos que ocurre en el servidor target. Para ello utilizaré el analizador de tráfico

“IPTRAF”, pero bien usted puede utilizar el que desee (wireshark o tcpdump por ejemplo).


El flujo de tráfico se ve más o menos así:

Al cabo de unos pocos segundos, el sitio se volverá inaccesible dada la cantidad de requests que el servidor tiene que procesar.


Esta prueba esta realizada en una red interna,

simulando un ambiente similar a internet pero sin

intermediarios (routers, proxies, etc) que puedan

ayudar a mitigar el riesgo aplicando algunas

contramedidas, pero si tenemos en cuenta lo

mencionado en la primera parte (“Entendiendo

DDoS”), ante un ataque masivo, coordinado a

nivel mundial, sin dudas esos controles pueden

verse desbordados o poco efectivos.

Tipos de ataque. Slow HTTP DDoS Attacks 2/2

También es conocido como “Slowloris” por ser la primera herramienta liberada para explotar una falla de diseño en el

manejo de conexiones concurrentes.

Se trata de una técnica que afecta a servidores web (en su mayoría Apache, pero otros también) que tiene la particularidad

de provocar un gran impacto utilizando un mínimo de ancho de banda, incluso utilizando unas pocas conexiones hogareñas

xDSL.

La idea principal esta basada en como Apache maneja los hilos de conexiones, y a diferencia de otros ataques (como por

ejemplo el tratado anteriormente “SYN Flood”) en los cuales son necesarios cientos, miles de paquetes para saturar la

víctima, se trata de mantener abiertas las conexiones el mayor tiempo posible enviando una respuesta parcial al servidor.

Dado que el pool de hilos disponibles es finito, el colapso se produce cuando éste se ve saturado, ocasionando así una

Denegación de Servicio.

Cabe aclarar que este ataque no afecta al servidor entero sino al servicio web solamente, y el servicio se restablece

inmediatamente una vez finalizado el ataque.


Funcionamiento del ataque:

Un cliente realiza una petición GET con una cabecera manipulada, la cual no

se enviará por completo al servidor, quien, por diseño del protocolo HTTP, se

quedará esperando por el resto de los datos. Para ello se suprime el envío

del CRLF (señal de finalización) de la cabecera.

Si se producen muchas conexiones al mismo tiempo, el servidor mantendrá

esos recursos ocupados hasta dejar de responder a nuevos requests,

algunos posiblemente legítimos.


Esta herramienta de capa siete desarrollada por

Sergey Shekyan, llamada “Slowhttptest”, la cual es útil

para simular (y hacer efectivos) ataques Slow HTTP

DoS.

Esta herramienta dada su flexibilidad para realizar

otros tipos de pruebas (como por ejemplo “Apache

Range Header Attacks”), da la posibilidad de generar

gráficos y por ser la más actualizada de las

herramientas disponibles para ataques/tests de Slow

HTTP DoS.


Utilizaremos el

módulo de monitoreo

de Apache (server-

status) en el servidor

target para monitorear

la actividad antes y

durante un ataque.


Lanzamos el ataque de tipo “Slow Down Headers”, es decir, haremos los requests

al servidor pero no completaremos los mismos, forzando al servidor a mantener

esas conexiones en estado de lectura generando hasta 1000 conexiones

concurrentes.

En la máquina atacante, ejecutamos el siguiente comando:

Tipos de ataque. Slow HTTP DDoS Attacks 2/2• -c number of connections (limited to 65539)

• -H tipo de ataque que realizaremos (en este caso Slow Down en Headers)

• -g generate statistics in CSV and HTML formats

• -o output file

• -i Seconds. Interval between follow up data in seconds, per connection

• -r connections per second

• -t header/verb to use

• -u target URL, the same format you type in browser, e.g https://host[:port]/

• -x max length of follow up data

• -p timeout to wait for HTTP response on probe connection, after which server isconsidered inaccesible


Como podemos observar en el proceso de

ataque de slowhttptest, luego de 5 segundos

de lanzado el mismo, el servicio ya no estaba

más disponible, lo cual es fácilmente

comprobable al intentar navegar el sitio

atacado y luego de unos minutos sin lograr

acceder se obtendrá un timeout.

Luego finalizado el ataque, la herramienta

slowhttptest nos entrega el reporte del

ataque.

Tipos de ataque. Slow HTTP DDoS Attacks 2/2Como hemos puesto opción generar un archivo

HTML para posterior análisis del ataque.

Desde el servidor target, capturé el estado de las

conexiones:


Como se puede observar, es una herramienta muy potente la cual debe usarse

con mucha responsabilidad. También es muy útil para realizar “Stress Testings”

contra servidores propios y poder así testear la carga que soportan los

mismos.

Información obtenida de:

http://www.expresionbinaria.com/ddos-analisis-de-ataques-coordinados/

Contramedidas para defenderse.

Desafortunadamente no existe una manera de defenderse completamente

contra miles y miles de máquinas atacando, lo que si puedo hacer es brindar

algunos consejos para mitigar el riesgo y no estar tan expuestos.

Para no entrar en demasiados tecnicismos, ya que hay muchos productos y

variedad de sistemas operativos, etc, daré algunos tips generalizados que los

administradores de sistemas deberán tener en cuenta para defenderse de

ataques DDoS.

A tener en cuenta

Desde ya, estar al día con las actualizaciones de software en uso que esté expuesto a internet.

Sin dudas una de las técnicas más recomendadas es la implementación mixta de

• Firewall

• Balanceo de carga

• Proxy reverso

Limitar la cantidad de conexiones permitidas por cada IP individual (100 estaría bien, una vez superado ese límite, las conexiones se

rechazan)

Limitar el número de conexiones por segundo.

Limitar el tiempo en que cada cliente permanece conectado.

Teniendo que el servidor web Apache es uno de los más usados en internet, seguir las recomendaciones de la documentación

oficial: http://httpd.apache.org/docs/trunk/misc/security_tips.html

Si su aplicación tiene una audiencia específica, por ejemplo, si el servicio es solamente para personas residentes en Ecuador, las

peticiones provenientes desde Rusia o China podrían ser blockeadas mediante uso de blacklists de rangos.

http://httpd.apache.org/docs/trunk/misc/security_tips.html

Caso práctico que vamos a seguir.

https://drive.google.com/file/d/0Bztg

M39DOyIORWkzVXVSclFscW8/view?

usp=sharing

FIN

GRACIAS POR ASISTIR

@GuillermoCanton

@GESI_AL

reto de seguridad informática. ataques ddos y defacemen. · 2020-03-01 · lo cual supone una...

Documents