trafico ataque.ddos

1 De 10 I10.34 Trafico Malicioso en Internet

Trfico Malicioso en la Internet

1. Introduccin Casi desde los inicios de la Internet, algunas de las actividades en la red han perseguido fines negativos, en contra del espritu abierto y de confianza (thrust) en que se bas la Internet. La grfica del CERT muestra las diferentes herramientas que fueron apareciendo en el tiempo, junto con el conocimiento necesario de los intrusos para manejarlas (y crearlas). No obstante, salvo excepciones, los primeros hackers perseguan fines no destructivos y su motivacin fundamental era de naturaleza intelectual y satisfaccin del ego, penetrando sistemas informticos y dejando su marca en ellos. Con el tiempo y particularmente desde los inicios de la Internet comercial (desde 1992), nuevos hackers con menos preparacin y conciencia comenzaron a utilizar herramientas de hacking disponibles en la propia Internet para atentar contra usuarios, sitios y recursos de la red en una forma ms maliciosa: dao intencional pero recuperable. La disponibilidad de herramientas cada vez ms poderosas y accesibles en IT, junto con el crecimiento explosivo de la Internet comercial desde 1996 hasta la fecha dieron lugar a una tercera generacin de hackers que directamente persiguen actividades criminales, ya sea en forma individual en redes mafiosas. Desde el primer ataque DoS (Denial of Service) registrado por el CERT en 1996 contra un sitio WEB hasta el da de hoy, las actividades criminales se consolidaron conceptualmente bajo el criterio de acciones extorsivas contra empresas, las que cesan si estas se avienen a pagar al atacante grandes sumas de dinero. Adems del chantaje por robo de informacin (Ej.: robo de datos de tarjetas en VISA vs. pago de 10 MMU$S, 2001) que se extiende a todas las reas de actividad comercial que involucre sistemas informticos, los hackers

Herramientas de Ataque en el Tiempo

han perfeccionado amenazas que dejan fuera de servicio sitios comerciales y parte o un todo de las redes de los ISP, tambien bajo el mecanismo de chantaje. Esto se utiliza tambien como arma contra sitios ISP que promueven herramientas antispam, y han obligado a cerrar sitios WEB. Con tcnicas cada vez ms sofisticadas, estas organizaciones criminales tienen la capacidad de coordinar ataques distribuidos en decenas de miles de mquinas contra un recurso nico, acumulando varios miles de Mbps de trfico y millones de paquetes/segundo, de ser necesario para poner el sitio la red en overflow por minutos u horas.


En el caso de perseguir fines comerciales, luego del primer ataque, se enva un email pidiendo dinero por una proteccin anual. Si no se accede, los ataques se reinician en forma aleatoria. Esta tcnica es tambien utilizada por grupos de presin politica (Ej.: ataque reciente contra el sitio de la cadena Aljazeera, la CNN rabe). Debido a la alta carga de trfico, muchas de las herramientas de mitigacin de ataques (hardware, software) se ven desbordadas y ceden a la presin del trfico distribuido. Si bien la Argentina no es todava blanco de estas prcticas, coopera involuntariamente en su implementacin debido a las mquinas infectadas, y adems recibe ataques a menor escala desde diferentes partes del mundo. Una clase especial de trfico de ataque son los gusanos (worms), que pueden ser muy destructivos y costosos (Computer Economics: Code Red U$S 2.6 millardos y Sircam U$S 1.3 millardos). Es un cdigo auto-propagable que inunda las redes con emails y agrega entradas en el registro de los sistemas operativos de las vctimas. Los gusanos (worms) pueden ser transmitidos por email, compartiendo archivos infectados via el chat de Internet. Los gusanos aprovechan fallas (bugs, backdoors, holes) en software de email o sistemas operativos. Los gusanos maliciosos tambien pueden borrar u ocultar ciertos tipos de archivos. Algunos de los worms ms rpidos son: CodeRed, Nimda, Sapphire, Blaster, Witty y Sasser. Una saturacin global puede lograrse en unas 18 horas.

2. El trfico de ataque DoS/DDoS El trfico de ataque tiene por objetivo hacer el servicio inoperable, con sobrecargas a los servers, routers y enlaces del ISP. Sus formas ms letales, DoS (Denial of Service) yDDoS (Distributed DoS), se han convertido hoy en el mayor problema de seguridad en la Internet, con una aproximacin de 2.000 ataques semanales en el mundo. Las figuras que siguen muestran los picos de ancho de banda que causan los ataques sobre un sitio WEB de bajo trfico, desde una perspectiva diaria, semanal y anual.

Un da 1 Semana 1 Ao

La caracterstica del ataque se aprecia en una escala de tiempo ampliada, y cada vez es ms dificil predecir que existe un ataque en curso, hasta que se establece, porque tiende a mimetizarse con el trfico normal. Los ataques duran poco tiempo (decenas de minutos a horas), suficiente para hacer colapsar un host la propia red del ISP. Los ataques DoS/DDoS se caracterizan por lo siguiente:

Buscan consumir todos los recursos (bandwidth, CPU, memoria, etc) para hacer un servicio lento inaccesible, atacando por ejemplo:

o Descriptores de archivos, sockets, memoria de estados, PID. o Sesiones SSL, IPsec encrypted VPNs o Paginas WEB dinmicas (php, asp, etc), SQL requests, downloads, SPAM o Saturacin de los Logs (para hacer searching/parsing complejo). o Corrompiendo los caches DNS y ARP.

Buscan tirar abajo el servicio (continuamente) explotando un bug en la red, el sistema, el servicio la aplicacin, incluso destruyendo informacin.

Las herramientas son negociadas y los ataques coordinados desde redes IRC (chat) . Los actores son participantes involuntarios (mquinas infectadas con bots/zombies). Los streams DDoS no tienen patrones caractersticos, lo que dificulta anlisis por signature. La falsificacin de direcciones IP (IP spoofing) dificulta el filtrado de direcciones IP (black lists). Las variantes actuales de ataque se enfocan en la fuerza bruta. El enorme nmero de direcciones IP que

deben ser bloqueadas (blacklisted) satura el hardware de mitigacin. Los ataques masivos acumulan payloads UDP e ICMP desde 100 Mbps hasta 4 Gbps, y utilizan tanto paquetes largos como cortos para causar overflow en el ancho de banda y en la capacidad de conmutacin (PPS).


Este tipo de ataque de consumo de ancho de banda es el que ms afecta a EmpXXX por su frecuencia y la dificultad de identificar su aparicin, origen, destino y la toma de medidas correctivas.

3. Clases de Trfico de Ataque DoS/DDoS Los antecedentes del trfico de ataque DoS/DDoS pueden resumirse como sigue:

1996 DoS Punto a punto 1997 DoS Combinado 1998 DoS Distribuido (DdoS) 1999 Agrega encriptado, features de shell, autoupdate, cliente embebido en raiz del OS y ataques

mltiples (TCP SYN flood, TCP ACK flood, UDP flood, ICMP flood, Smurf) 2000 Aceleracin de difusin, utiliza redes IRC para comunicacin y control 2001 Agrega scanning, hopping de canal IRC, BNC. Incluyen sincronizacin temporal. 2002 Agrega reflectado del ataque, puertas traseras (Trojans), Worms.

Los siguientes cuadros muestran las clases ms comunes, segn su objetivo: explotar vulnerabilidades de aplicaciones de red, consumir los recursos de red y hosts y explotar vulnerabilidades de los sistemas operativos.

Ataque Descripcin

HTTP GETSe utiliza una red zombie para crear HTTP/1.0 o 1.1 GET requests, hasta

lograr consumir los recursos de red y server de la vctima

SIP Chopping

Un nica PC con un UDP Flooding Engine inyecta SIP requests inundando

el server SIP. La calidad de las llamadas se degrada y la voz aparece

entrecortada (chooping)

DNS

Un server BIND standart opera con 10.000 queries/seg. Si bien los request

falsos son identificables facilmente, cuando el ataque es masivo (cientos de

miles a millones) los servers DNS entran en overflow.

SMTP

Los servers de mail son objeto de toda clase de ataques TCP. Una

emulacin de email a 1 Gbps con 1 milln de mails por segundo puede

crear facilmente overflow.

SSLEl protocolo SSL demanda muchos recursos. Segun la intensidad del

ataque, puede debilitarse sacar de linea al server SSL.

VPNLos dispositivos de concentracin e interconexin de VPNs pueden ser

blanco de DoS, inutilizando las comunicaciones de una empresa.

Ataques a Blancos Especficos (Targeted Attacks)

Ataque Descripcin

SYN Flooding

Un mtodo de SYN flooding, famoso en 1996. El atacante inicia la primer

parte del handshake TCP de 3 pasos, con IP falso. La PC victima retorna

SYN-ACK al host y queda a medio camino esperando el paquete ACK. La

conexin es rechazada mientras que la vctima espera a medio camino sin

respuesta.

SYN-ACK FloodingSimilar al SYN flooding, excepto que el blanco es tambin el sitio de relay

adems de la mquina de la vctima

RESET Flooding

Similar al SYN flooding, excepto que el blanco es tambin el sitio de relay

adems de la mquina de la vctima. Paquetes spoofing especficos son

enviados al sitio de relay.

ACK FloodingUtilizado en sitios protegidos contra SYN flooding. Puede permitir llegar al

corazn de la red, detrs de los dispositivos de seguridad

Fragmentation

Flooding

Explota el overhead causado por la desfragmentacin de paquetes en los

dispositivos de seguridad y servers

ICMP Flooding

Tiene numerosas variantes, desde el uso de spoofed ping (smurf) en ms.

Los paquetes pueden ser randomizados en IP address y tipo de ICMP,

esperando evadir las ACL (Access Control Lists) y se utilizan como el

mtodo ms comn de DoS en gran escala.

UDP Flooding

UDP es stateless y no requiere handshakes conexiones establecidas

(datagramas). No puede ser visto en la herramienta netstat, y su uso por

DNS hace dificil deshabilitar su uso en una red.

Ataques de Overflow (Comsumption Attacks)


Los diferentes mecanismos de defensa en routers, firewalls, IDS (Intrusion Detection Systems), servers y otros elementos utilizados en una red de un ISP para proteger sus propios recursos y los de sus clientes pueden ser sobrepasados con ataques coordinados en gran escala los cuales no solamente son cada vez ms sofisticados, sino que pueden generar ataques con enormes capacidades en el orden de los Gigabits/segundo, para lo que muy pocas redes y hosts estn preparados. Los siguientes cuadros y diagramas esquematizan la visin de Cisco sobre el problema:

Ataque Descripcin

Teardrop

Algunas implementaciones del reeensamblado IP de fragmentos TCP no

manejan correctamente el solapamiento de fragmentos IP. Tearddrop

aprovecha esta vulnerabilidad.

Land

Algunas implementaciones de TCP/IP son vulnerables a paquetes

especiales (un paquete SYN con iguales ports e IP addresses en origen y

destino). Land aprovecha esta vulnerabilidad.

Ataques a Bugs en Sistemas Operativos (Exploitative Attacks)

Distribucion Management Nmero Atacantes Tipo de Ataque Proteccion

Downloads involuntarios ACL

Va chat ICQ, AIM,

MSN, IRCSoluciones DDoS

Anycast

ISP/IDC

Email attachment < 10. 000 atacantes Blackhole

ACL

Spoofed SYN DDoS solutions

Manual < 100 atacantes ICMP Firewalls

(hack to servers) < 10 Mbps Spoofed SYN

Access routers con

ACL (Access

Control Lists)

Va chat ICQ, AIM,

MSN, IRC

Interpretacin de Cisco sobre la evolucin del Trfico de Ataque

Email attachment

Worms

Requests legtimos Blackhole

Todo tipo de aplicaciones

(HTTP, DNS, SMTP)

Elementos de

Infraestructura (DNS,

SMTP, HTTP)

Bootnets /

zombies

Hasta 10 Gbps

Hasta 100.000 atacantes

Manualmente

Manualmente< 1000 Mbps


4. Redes de ataque DoS y DDoS Existen tres arquitecturas bsicas, que se presentan en los diagramas siguientes. En todos los casos, el atacante se protege ocultando su identidad (direccin IP) a travs de uno varios hosts comprometidos (direcciones IP reales) y, para mayor efectividad se elige una sola vctima, aunque pueden ser un conjunto de vctimas en una WEB farm. Desde 1996, y particularmente desde que en varios pases asiticos como China, se dispone de altas capacidades de ancho de banda, numerosas organizaciones mafiosas se han creado para utilizar las redes de ataque como un mecanismo de extorsin en la Internet comercial. Tambin se persiguen fnes polticos, en ataques a sitios y redes de diferentes gobiernos. La figura del hacker amateur sigue existiendo, pero las medidas de proteccin de las redes actuales hacen que sus ataques tengan poca ninguna eficacia. El Ataque Bsico es de baja capacidad, y el atacante es un hacker amateur. Las herramientas utilizadas se obtienen fcilmente en la Internet, por ejemplo a travs de canjes en la redes IRC (chats) en sitios WEB protegidos contra intrusos desprevenidos (Ej.: redes Warez). El mtodo es directo, sin agentes, y no pueden operar con ms de un par de Mbps. Si bien existen todava, y consumen recursos de seguridad, tienen poco xito.

El Ataque Amplificado puede operar con grandes capacidades, aunque es una variante amplificada del Ataque Bsico. Los recursos que implica disponer no son facilmente disponibles para un hacker amateur, y por ello es realizado por organizaciones que persiguen diferentes fines polticos y econmicos. Su eficacia se basa en la gran capacidad de inundacin que pueden tener, de varios centenares de Mbps, suficiente para causar overflows.


El Ataque Distribuido (DoS, DDoS) no tiene un lmite preciso de capacidades de ataque (ancho de banda y paq/seg). Se han contabilizado ataques de ms de 4 Gbps y de ms de 1 milln de paq/seg en los ltimos dos aos, y sus capacidades y sofisticacin crecen con cada generacin. Opera con agentes (master y slaves), que se propagan por contaminacin va email, archivos infectados, chat, bugs en browsers al visitar sitios no seguros y numerosas otras formas. Los agentes slave son pequeas piezas de cdigo que pueden residir en PC de usuarios (preferentemente) en servers de alta capacidad de la red. Tienen capacidad de ocultarse, borrando su identidad en los registros de los sistemas operativos y permanecer dormidos (zombies, netbots) por mucho tiempo hasta que sean activados. Varios de ellos son tan persistentes, que evaden las medidas de seguridad y descontaminacin de los antiviruses ms avanzados. Utilizando criptografa, se mimetizan con partes de programas y datos y no son registrados. Una descontaminacin de la mquina eliminar la imagen del agente, pero esta se recrear en cualquier momento posterior. El trabajo en aplicaciones de descontaminacin va a la par del trabajo de desarrollo de viruses que contrarestan estas acciones. Las actividades polticas y extorsivas detrs de estas organizaciones proveen de fondos suficientes para el desarrollo de contramedidas, muy particularmente en pases asiticos (China).

Los agentes Slave pueden ser pequeos (Ej.: 400 bytes), son difciles de detectar y se introducen en practicamente todos los elementos de las redes. Algunas consideraciones de estos agentes Slave son:

Operan en servers modificados, servicios y an equipos de red (Ej.: routers) Cada agente Slave puede aportar picos de trfico entre 100 y 500 Kbps. Los servers comprometidos corren un agente (D)DoS que existen por centenares de clases, como:

o Trinoo, TFN{(2,3)k}, omega, Stacheldrat, Carko, Trinity, etc. o Trojan horse

Ultimamente se utilizan herramientas P2P (peer-to-peer) para el transporte. Los agentes son distribuidos en diferentes niveles geogrficos:

o En la misma red: ISP, empresa, universidad, rea de acceso de cable/xDSL, etc. o En el mismo pas o continente. o En el mismo tipo de redes: islas IPv6, mbone, Internet2, etc o Pueden estar completamente distribuidos en la Internet.

El agente Master opera como catalizador de los ataques, y como proxy de la red de ataque. Puede coordinar la accin de decenas y centenares de miles de agentes Slave. El atacante est siempre protegido detrs de IP falsos.

Las formas de despliegue y comunicaciones de los agentes Slave y Master (DoS/DDoS) ms comunes son:

A mano (complicidad de ambas partes) Servers Warez FTP Falsificando el upgrade de una aplicacin muy conocida. Chat IRC, P2P tools, instant messaging, etc.


Script automatizado (data downloading desde un server central sobre HTTP/FTP/DCC/etc) Desplegados utilizando un gusano (worm) un virus y ocultos utilizando {tool,root}kit (adore, t0rn, etc)

o Facilita coleccionar y adquirir numerosos sistemas o Es la primer seal de un ataque a ser lanzado proximamente o VBS/*, Win32/*, Code*, Nimda, 1i0n/ramen, slapper, etc.

As como se modifican las arquitecturas y los clientes se vuelven ms sofisticados, tambi se adecan las tcnicas de ataque DdoS. Por ejemplo:

Ayer: Abuso de ancho de banda, explotacin de bugs, floods TCP SYN, UDP e ICMP (amplifiers)

Hoy: PPS (paq/seg) contra la infraestructura del ISP, orgenes IP reales (no importa ms, con > 150.000 boots activos) y reflectores. Rutas de corta vida (usualmente para SPAM). El vector de ataque en el 2005 ha cambiado, ya que los ataques se centran menos en la capa 3 y TCP y ms en los dispositivos de mitigacin de DDoS (Prolexic). Mayor velocidad en descubrimiento de vulnerabilidades.

Maana: QoS, CPU (crypto intensive tasks como IPsec/SSL/TLS/etc), ataques mezclados con trfico normal en protocolos complejos, tems no cacheados en redes DCN.

5. El problema del Malware El Malware (Malicious Software) comprende una gran cantidad de aplicaciones maliciosas difundidas en toda la Internet, con avanzadas tcnicas de ocultamiento y autoinstalacin. Una gran categora del Malware son los viruses y worms que afectan las aplicaciones locales de las PC de los usuarios. Puede ser introducido en los sistemas de numerosas formas, desde un sitio WEB, un archivo compartido, un email, va chat, pero siempre aprovechando bajas defensas en el sistema objetivo. Muchas aplicaciones Malware provienen de sitios legtimos infectados. El Malware facilita la instalacin de agentes Slave para netbots y zombies, en forma directa (con tcnicas de ocultamiento y borrado de trazas) indirecta (abriendo un agujero de seguridad en las mquinas que luego es explotado para la carga posterior de agentes). El grado de sofisticacin alcanzado actualmente es muy grande, ya que el Malware ms avanzado no puede ser eliminado por programas de desinfeccin (ni siquiera detectado) y debe ser removido manualmente. Es comn que solo se destruya una imagen del programa, que puede ser muy pequeo, mientras que el Malware real cambia de lugar en la mquina, con tcnicas de ocultamiento y encriptado que los hace invisibles a la deteccin de patterns. Las formas ms comunes del Malware son: Trojan Horse: Tiene caractersticas de software legtimo, y no puede replicarse a si mismo, a diferencia de viruses worms. Residente en la mquina del usuario es, com su nombre lo indica, un mecanismo indirecto para el ingreso activacin de otras aplicaciones Malware, ya que toma control del background del sistema operativo y puede iniciar (o recibir) comunicaciones con agentes que instalan diferentes aplicaciones Malware. Backdoor: Es Malware que, como el Trojan Horse, permite acceso al sistema puenteando los procedimientos de autenticacin del sistema operativo. Un grupo importante (Ratware) es generado por worms que los acarrean y convierten a la PC en un zombie que enva spam. El software instalado va Backdoors puede ser utilizado para el relay de trfico annimo, ruptura de passwords y encriptado y ataques DDoS. Spyware: generalmente trabaja y se disemina como Trorjan Horses. El colecciona y enva informacin de la PC, desde utilizacin de browsers hasta informacin personal y de tarjetas de crdito (en los peores casos). La informacin se dirige a sitios de gran capacidad que luego generan listas para spam, entre otras ilegalidades. Exploit: Un Exploit es una aplicacin que ataca una vulnerabilidad particular en el sistema. No son necesariamente maliciosos, y generalmente son diseados por investigadores en seguridad para probar fallas. No obstante, son un componente comn de Malware como los network worms. Rootkit: Software introducido en el sistema luego de que el atacante lo tiene bajo su control. Contiene funciones para borrar trazas del ataque y pueden incluir backdoors, permitiendo nuevos accesos en el futuro. Se intalan en el


kernetl del sistema operativo, en forma oculta y mutante y pueden ser imposibles de eliminar, por lo que la comunidad de expertos aconseja el borrado completo de los discos rgidos y la reinstalacin de las aplicaciones. Key Logger: Es una aplicacin que copia el ingreso de datos por teclado del usuario y lo enva a un hacker, generalmente cuando el usuario se conecta a un sitio securizado (HTTS). Dialers: Un discador es una aplicacin que toma control del modem dial up, y puede ser utilizado por un Key Logger en horas nocturnas, para llamadas de larga distancia a ser pagadas por el usuario desprevenido. Browser Hijacker: Este Malware altera la configuracin del browser, inhibiendo cambios desde el registro del sistema operativo. Puede cambiar el home page, instalar toolbars, redireccionar bsquedas hacia un sitio dado, cambiar las condiciones de seguridad del browser para que acepte numerosos plug-ins que pueden contener otras aplicaciones Malware.

5. Organizaciones de Control de Seguridad en la Internet Las operaciones sobre seguridad en redes y sistemas, adems de constituirse en una industria per-se, tiene el apoyo de gobiernos, organizaciones comerciales y no gubernamentales y los usuarios de Internet y operan on-line, generando permanentes alertas de vulnerabilidades y fallas de seguridad detectadas en aplicaciones, sistemas operativos y elementos de red. Tambien tienen grandes databases con listas de agentes y mtodos de limpieza. Entre algunas de las organizaciones ms relevantes se pueden citar: http://www.us-cert.gov/ United States Computer Emergency Readiness Team (CERT)

http://www.first.org/ Forum of Incident Reports and Security Teams (nivel Global)

http://www.symantec.com/index.htm WEB Site comercial de USA, lider en seguridad en redes de PC (Veritas)

http://www.securite.org/ WEB Site Francs, de gran importancia referencial y acadmica.

http://www.prolexic.com/ WEB Site USA, comercial, con redes de anlisis y control a nivel mundial.

Protege redes multicarrier en tres continentes, con 20 Gbps y 40 MM de paq/seg de capacidad. Opera un supercomputador de mas de 1 Teraflop para real-time Deep Packet Inspection.

http://www.sans.org/index.php SANS Institute. El sitio ms grande de informacin de seguridad y certificacin.

http://www.networm.org/ Organizacin dedicada al relevo de informacin global sobre worms. En cooperacin con agencias de seguridad gubernamentales y privadas, estas organizaciones mantienen bases de datos actualizadas en tiempo real con todas las clases posibles de amenazas de seguridad, no solo en la Internet, sino en contextos informticos privados. Por ejemplo, el instituto SANS mantiene una lista actualizada de las 10 reas ms vulnerables de Windows y Unix. Desde luego, no puede faltar Microsoft en la lista de empresas. Para el caso de este documento, DoS/DDoS se ha convertido en la regla en ataques a la seguridad de sistemas y redes. Segn el insituto SANS, la frecuencia de los ataques (D)DoS crece sin cesar y, para el ao 2002, el nmero de zombies utilizados para estos ataques ha crecido unas 100 veces, as como su sofisticacin. Segn la empresa Prolexic, los ataques DDoS (Distributed Denial of Service) son los ms comunes en la Internet. Con ms de 2.000 ataques relevantes por semana, DoS se ha convertido en la forma ms costosa del cibercrimen en el rea de negocios de la Internet. Grandes sitios como Microsoft, CERT, E-Trade, SCO, Yahoo, Akamai y similares, quienes han perdido en total ms de 1.000 MMU$S en ataques recientes, no son los nicos blancos de DDoS. Los ataques se han extendido a miles de sitios de tamao y actividad variable. En el perodo Mayo-Septiembre 2004 se registraron ataques sobre redes europeas con valores crecientes en consumo de ancho de banda (cerca de 3 Gbps, 13 Agosto 2004) y de recursos (ms de 1 MM PPS, 6 Sep 2004). En Francia, actualmente, se verifican cerca de 40 anomalas (D)DoS relevantes por da. La existencia de zombies puede ser relevada contabilizando las direcciones IP nicas en los ataques actuales, en los que el gran volumen de zombies no requiere IP spoofing, ya que se superan rapidamente las capacidades de bloqueo de los elementos de seguridad en las redes de los ISPs (Black Lists).


Por ello, el reporte de zombies de Prolexic, para la primer mitad del ao 2005, muestra que en los ataques contra redes y hosts de USA y Europa, la Argentina contribuy con el 1.4% de los zombies (lugar 19). Si la lista se reagrupa utilizando valores per capita (Prolexic), la Argentina ocupa el lugar 14 en el mundo.

En un documento del FBI, del ao 2003, se refleja la importancia de (D)DoS en una encuesta en 269 empresas de USA, sobre sus problemas de seguridad. El trfico de ataque revel ser el que mayores costos infringe a estas empresas, an por encima de robo de informacin propietaria, elementos y sabotajes.

2004 CSI/FBI Computer Crime and Security Survey

6. Mitigacin del trfico de ataque No existen, hasta el momento, soluciones completas (en un box) para el trfico de ataque. La diversidad de mtodos de ataque, protocolos y comportamiento de la red que un ISP debe contemplar es enorme y, debido a

The Prolexic Zombie Report Q1 - Q2 2005

Top Infected Networks * Infected US Networks Infected EU Networks Infection by Country

1 aol.com 5.3% 1 aol.com 11.7% 1 t-dialin.net 10.2% 1 United States 18.0%

2 t-dialin.net 3.6% 2 comcast.net 10.7% 2 wanadoo.fr 9.3% 2 China 11.2%

3 wanadoo.fr 3.3% 3 bellsouth.net 7.5% 3 aol.com 9.2% 3 Germany 9.6%

4 ne.jp 2.5% 4 verizon.net 7.4% 4 rima-tde.net 5.1% 4 United Kingdom 5.2%

5 comcast.net 1.9% 5 ameritech.net 5.1% 5 t-ipconnect.de 3.2% 5 France 5.2%

6 rima-tde.net 1.8% 6 rr.com 4.5% 6 interbusiness.it 2.9% 6 Brazil 4.2%

7 net.br 1.7% 7 pacbell.net 4.1% 7 btcentralplus.com 2.7% 7 Japan 3.4%

8 ctinets.com 1.5% 8 swbell.net 3.9% 8 pppool.de 2.2% 8 Philippines 3.2%

9 com.br 1.4% 9 cox.net 3.8% 9 bluewin.ch 1.7% 9 Russia 2.6%

10 bellsouth.net 1.3% 10 sprint-hsd.net 3.0% 10 arcor-ip.net 1.5% 10 Malaysia 2.4%

11 verizon.net 1.3% 11 Level3.net 2.5% 11 pol.co.uk 1.4% 11 Hong Kong 2.4%

12 hinet.net 1.2% 12 adelphia.net 2.3% 12 net.tr 1.3% 12 Spain 2.3%

13 t-ipconnect.de 1.1% 13 optonline.net 1.9% 13 blueyonder.co.uk 1.3% 13 Italy 2.0%

14 interbusiness.it 1.0% 14 qwest.net 1.7% 14 tpnet.pl 1.3% 14 Taiwan 1.7%

15 btcentralplus.com 1.0% 15 charter.com 1.4% 15 club-internet.fr 1.2% 15 Canada 1.7%

16 ameritech.net 0.9% 16 uu.net 1.4% 16 tiscali.de 1.1% 16 Vietnam 1.5%

17 rr.com 0.8% 17 mindspring.com 1.3% 17 ntli.net 1.1% 17 Australia 1.3%

18 pppool.de 0.8% 18 frontiernet.net 0.6% 18 axelero.hu 1.0% 18 India 1.2%

19 pacbell.net 0.7% 19 insightBB.com 0.5% 19 libero.it 0.9% 19 Argentina 1.1%

20 swbell.net 0.7% 20 icehouse.net 0.4% 20 btopenworld.com 0.9% 20 Hungary 1.0%

Las listas representan una parte de la suma de los ataques en los primeros 6 meses del ao 2005.

Los porcentajes estan basados en la contabilizacin de direcciones IP nicas (no repetidas) de cada red/pas

China est pobremente representada por falta de espacios de resolucin inversa de IP.


que el trfico de ataque no tiene un patrn definido, es imposible diferenciarlo del trfico normal sino hasta que el ataque est en pleno curso. Las soluciones ms avanzadas del mercado, como Prolexic, operan sobre el trfico global a nivel multicapa y multiprotocolo, llevando en tiempo real el estado de todas las conexiones establecidas hasta el nivel de aplicacin. Esto requiere un enorme poder de computo en tiempo real (utiliza 1 Teraflop) para realizar la inspeccin de cada paquete cursado en ambos sentidos y llevar la cuenta del estado y uso de los diferentes protocolos por cada direccin IP de la red bajo control. Se requiere, adems, hardware, software y procedimientos adicionales en el NOC del ISP para controlar no solo el trfico entrante a su red, que puede contener trfico de ataque a uno de sus elementos sino tambien el control en igual grado del trfico saliente, ya que diferentes elementos de su red pueden estar involucrados en un ataque remoto (netbots/zombies). Es por ello que se trata de la mitigacin del trfico de ataque, y no su prevencin. A nivel acadmico y de laboratorios existen numerosas iniciativas para operar en forma predictiva en tiempo real y evitar el ataque desde el comienzo, pero ningn producto comercial existe hasta el momento. El diagrama inferior muestra un ejemplo de la mitigacin de un ataque DDoS por Prolexic, que llega a picos de 1.6 Gbps casi instantaneamente, y luego decae por accin de la mitigacin. Prolexic menciona que el sitio WEB bajo el ataque no sudri degradaciones de performance. El trfico de ataque fue redireccionado a black-holes dentro de la red, que son zonas de la red especficamente preparadas para absorber el trfico de ataque.

Cisco provee algunas soluciones como limitacin de bitrate y Reverse Path Forwarding (RPF) el que bsicamente consiste en analizar en las tablas de enrutamiento si el IP de origen es vlido. Esto se hace a expensas de elevados consumos en las CPUs de los routers, por lo que un ataque a gran escala (decenas de miles de PC infectadas actuando simultaneamente) directamente no es manejable. Por tal motivo, en Junio 2005, Cisco realiz una alianza con Arbor para utilizar el monitor de trfico Peakflow SP en conjunto con adaptaciones de los routers de las series 7600 y switches Catalyst 6500 y ofrecerlo como servicio.

Nuevo software para el appliance Traffic Anomaly Detector XT y el monitor Traffic Anomaly Detector Service Module junto con la tecnologa Cisco DDoS Guard (Riverhead, 2004) embebida en los routers Catalyst 6500 permiten separar el trfico de ataque del legtimo, el cual se reenva a su destino.

La solucin est en el mismo plano que la de Prolexic: anlisis del trfico en tiempo real, por cada paquete (Arbor), contabilidad de estados por direccin IP y redireccin a una zona de red, que Cisco llama scrubbing center.

Algunas de las tcnicas de mitigacin en uso son:

Utilizacin de ACL en servers y routers (Access Control Lists Black Lists). Limitacin del nmero de sesiones (flujos) por direcciones IP de destino. Limitacin del bitrate de sesiones (flujos) por direcciones IP de destino. Reenrutamiento y limpieza de trfico en el acceso de la red (blackholing, sinkholes, shunts, etc). Deep Packet Inspection, anlisis stateful de aplicaciones de usuario y control de comportamientos.

trafico ataque.ddos

Documents