PDF de programación - Capítulo 3 - Objetivos de la tesis sobre DDOS

http://tau.uab.es/~gaby


Gabriel Verdejo Alvarez – “Objetivos de la tesis sobre DDOS”



CAPITULO 3

Objetivos de la tesis sobre DDOS



En este tercer capítulo y una vez ubicado el contexto actual o estado del arte sobre los
ataques DDOS, realizaremos una breve descripción de los objetivos iniciales que nos
plantearemos en nuestra tesis.

Obviamente estos objetivos son simples indicaciones que nos permitirán enmarcar
nuestro trabajo dentro del ambiente de investigación existente. También servirán como
punto de partida y nos permitirán marcarnos unas metas para la aportación a al
comunidad científica.



42

Gabriel Verdejo Alvarez – “Objetivos de la tesis sobre DDOS”

http://tau.uab.es/~gaby

3.1 Objetivos

El objetivo principal de nuestra tesis será el de proporcionar una solución práctica y
eficiente que permita minimizar el impacto de los ataques de denegación de servicio
distribuido.

De esta forma nos planteamos como una premisa inicial la imposibilidad real de evitar
totalmente este tipo de ataques. En la coyuntura actual, tanto tecnológica como
socialmente, los siguientes aspectos influyen determinantemente en la inviabilidad de
una solución total:


1. Internet es una red heterogénea que se extiende por todo el mundo. La cantidad
de países y gobiernos implicados imposibilitan la posibilidad de una legislación
común.


2. La gran variedad de sistemas existentes tanto en software como en hardware
conectados a Internet imposibilita el despliegue eficaz de cualquier tipo de
medida universal.



3. Resulta del todo imposible la administración eficiente de todos los nodos
conectados a Internet. El aumento diario de puntos de conexión y las tecnologías
sin cable (wireless) hacen extremadamente difícil controlar las conexiones
existentes en todo momento.

4. La posibilidad de falsear las direcciones IP o los ataques de tipo “reflection”
imposibilita cualquier tipo de identificación del origen real del ataque. De esta
forma no podemos tomar contra-medidas para aislar los focos reales de ataque.


De la bibliografía existente y de los trabajos realizados hasta el momento podemos
concluir una serie de seis premisas que si bien no proporcionan la solución buscada si
nos permitirán acotar el conjunto de soluciones posibles [Gib02][MP03][MP03-
1][MP03-2] [Tan3][Ver03][Wat4][WWW19]…



43

http://tau.uab.es/~gaby


Gabriel Verdejo Alvarez – “Objetivos de la tesis sobre DDOS”

I. Debemos utilizar una solución distribuida para atacar un problema distribuido.


II. La solución propuesta no debe penalizar el tráfico de los usuarios legítimos.



III. Debe ser común a todos los nodos de Internet y permitir su implantación con un

coste razonable de recursos.



IV. También deberá ser incremental permitiendo su aplicación gradual manteniendo la
compatibilidad con el resto de los sistemas dónde aún no haya sido implementada.



V. Debe integrar desde su diseño mecanismos de seguridad para la autentificación de

los mensajes y mecanismos de cifrado para mantener la confidencialidad.


VI. Proporcionará adaptabilidad y proactividad ante el tráfico existente en cada

momento.



3.2 Clasificación de los ataques DDOS

Podemos realizar decenas de clasificaciones para agrupar los distintos ataques DDOS
existentes en la actualidad. Sin embargo, si profundizamos en su estudio vemos dos
características fundamentales que comparten todos los ataques DOS/DDOS:


1. La finalidad principal de todo ataque de denegación de servicio simple o
distribuido es conseguir el cese temporal de la actividad proporcionada por el
objetivo.



Todo y que se pueda alcanzar mediante el uso de distintas técnicas [Ver03]
(ataques SYN Flood / IP Flood, Smurf, DRDOS…) en la práctica siempre acaba
mostrando un consumo total de todo el ancho de banda que dispone el nodo
atacado.



44

http://tau.uab.es/~gaby


Gabriel Verdejo Alvarez – “Objetivos de la tesis sobre DDOS”

Las mínimas medidas de seguridad ante ataques DOS/DDOS actualmente
consisten por un lado en ampliar la capacidad de la pila IP para poder absorber
mas peticiones de conexión, y por otro en añadir mas servidores para que las
conexiones se distribuyan de forma balanceada y no colapsen al servidor.


2. Los ataques DOS/DDOS que se registran pueden realizarse de forma directa
(dónde el datagrama utilizado en el ataque ha sido creado en la dirección de
origen), indirecta (dónde la dirección de origen ha sido falseada directamente o
mediante técnicas de reflexión) o híbrida.


De esta forma podemos clasificar los ataques de denegación de servicio, y por tanto sus
soluciones, en dos grupos (ver figura 3-1):


A. Ataques directos. Son aquellos en que los datagramas o peticiones recibidas por
el objetivo del ataque provienen realmente de la dirección de origen
especificada.



Estos ataques son realizados desde ordenadores satélite o esclavos (slaves)
dónde un atacante ha conseguido acceso de forma ilegal, ya sea infectándolo
mediante un virus/troyano (MyDoom por ejemplo) o mediante un exploit o root
kit, y los utiliza como plataforma de ataque remota.


B. Ataques indirectos. En este grupo ubicaremos los distintos ataques que falsean
la dirección de origen con el objetivo de esconder su ubicación real y minimizar
las posibles contra-medidas adoptadas por el objetivo del ataque.



En este grupo también podemos incluir los híbridos o mixtos ya que presentan
direcciones de origen falsificadas en mayor o menor grado.

Contrariamente a lo que las estadísticas de ataques DOS/DDOS muestran, para
este tipo de ataques si que existe una solución en la actualidad que permite su
desactivación de forma efectiva, rápida y sin un coste adicional de recursos.

45

http://tau.uab.es/~gaby


ATAQUES DIRECTOS



IP falsa X

IP falsa X


……..



IP falsa X

IP real X



Servidor Atacado

Gabriel Verdejo Alvarez – “Objetivos de la tesis sobre DDOS”

ATAQUES INDIRECTOS



…….



……..



Hacker



Virus

/

Troyano

FIG 3-1: Ataques DOS/DDOS Directos e Indirectos.



3.2.1 Egress filtering

El filtrado de tráfico de salida o “egress filtering” [Hoe00][BK02][Sch03][UVS+03]
[WWW47] tiene por objetivo el control de las direcciones IP utilizadas en la red dónde
esté aplicado.

La idea subyacente consiste en que nosotros conocemos a priori el rango de direcciones
IP válidas en nuestra red. De esta forma podemos poner un filtro que compruebe todo el
tráfico de salida y elimine todos aquellos paquetes que no pertenezcan al rango de IP
válido (ver figura 3-2).

El uso de este simple tipo de filtrado de red por parte de ISP, universidades y grandes
organizaciones conectadas a Internet eliminaría todos los ataques de denegación de
servicio indirectos. Desgraciadamente la permisividad o incompetencia de los
administradores lleva a que no sólo millones de conexiones particulares carezcan de este
filtrado, sino que los mismos proveedores o ISP muchas veces no lo implementan.



46

http://tau.uab.es/~gaby


Gabriel Verdejo Alvarez – “Objetivos de la tesis sobre DDOS”


La Universidad Autónoma de Barcelona dispone de la clase B 158.109.0.0 / 255.255.0.0. De esta forma, en todo su
tráfico de salida debería filtrar cualquier paquete IP que no contenga esta dirección IP de

En un router CISCO esto se transforma en:

access-list 150 permit ip 158.109.0.0 0.0.0.255 any
access-list 150 deny ip any any log

ip access-group 150 out ; Es importante que sea solo al tráfico de salida, ya que

sino NO permitirá la entrada de ningún paquete!

FIG 3-2: Ejemplo de filtro de salida (egress filtering) en la UAB.



Si bien el filtrado de salida no puede evitar que en la red interna o local un ordenador
falsee su dirección IP, si que evita el uso de nuestras redes (en caso de ser
comprometidas por un atacante o virus) como trampolín de ataques DOS/DDOS a
terceros.



3.2.2 Ingress filtering

El filtrado de tráfico de entrada o “ingress filtering” [CB94][WWW47][RFC2267] tiene
como objetivo asegurar que todos los datagramas que entran a nuestra red provienen de
direcciones IP rutables/reales o existentes.

El protocolo IP [RFC791] define su direccionamiento como un conjunto de 32 bits
subdivididos en conjuntos o clases (ver figura 3-3). Cada una de estas clases presenta un
rango reservado, también denominado en la bibliografía privado o no rutable, que se
destina a redes IP que no se encuentran directamente conectadas a Internet.

El objetivo de estos rangos reservados es el de permitir su reutilización en todo tipo de
redes privadas de forma que no fuera necesario utilizar direcciones únicas para redes
que no debían estar conectadas a Internet.



47

http://tau.uab.es/~gaby


CLASE

A
B
C
D
E

Gabriel Verdejo Alvarez – “Objetivos de la tesis sobre DDOS”

0.0.0.0
128.0.0.0
192.0.0.0
224.0.0.0
240.0.0.0

RANGO
Hasta
Hasta
Hasta
Hasta
Hasta

127.255.255.255
191.255.255.255
223.255.255.255
239.255.255.255
247.255.255.255

DIRECCIÓN PRIVADA



127.0.0.0
172.16.0.0
192.168.0.0
N/A
N/A

FIG. 3-3: Clases de direcciones IP en Internet.



En los ataques de DOS/DDOS indirectos las direcciones de origen se falsean de forma
que no sea posible la detec