PDF de programación - Capítulo 2 - Estado del arte de los DDOS

Imágen de pdf Capítulo 2 - Estado del arte de los DDOS

Capítulo 2 - Estado del arte de los DDOSgráfica de visualizaciones

Publicado el 20 de Julio del 2018
1.852 visualizaciones desde el 20 de Julio del 2018
405,0 KB
26 paginas
Creado hace 16a (14/06/2004)
http://tau.uab.es/~gaby



Gabriel Verdejo Alvarez – “Estado del arte de los DDOS”



CAPITULO 2

Estado del arte de los DDOS



En este capítulo presentaremos brevemente el contexto actual en el que se encuentra el
estudio de los ataques de denegación de servicio distribuido o DDOS. Primero
presentaremos el esquema típico utilizado en este tipo de ataques así como las
principales herramientas utilizadas por los atacantes.

A continuación realizaremos un rápido repaso de los diferentes grupos de trabajo así
como de las distintas propuestas que se han realizado para conseguir la detección y
minimización de los ataques DDOS.



16

http://tau.uab.es/~gaby



Gabriel Verdejo Alvarez – “Estado del arte de los DDOS”

Obviamente un entorno real es el único fiable al cien por cien para la comprobación o
refutación de teorías, algoritmos y comportamientos. Sin embargo, en nuestro contexto
(DDOS) resulta del todo imposible realizar las pruebas en real, ya que nuestro ámbito
de estudio es toda Internet.

Una vez expuestas las limitaciones existentes en las soluciones propuestas en la
actualidad, pasaremos a ubicar el nuevo ámbito de estudio de las redes de ordenadores:
los simuladores de redes.

Describiremos brevemente los distintos simuladores que se han contemplado para el
estudio sobre ataques DDOS así como el candidato seleccionado para el trabajo de la
tesis.

Finalmente esbozaremos el cambio de los ataques DOS/DDOS y hacia dónde pueden la
evolucionar en un plazo corto o medio.



2.1 Ataques de denegación de servicio distribuido

Tal y como ya se ha comentado, este tipo de ataques se basan en coordinar una serie de
nodos conectados a Internet de forma que concentren su ataque simultáneamente y
desde diferentes lugares sobre un mismo objetivo.

Pese a que los distintos ataques DDOS se centran en aspectos distintos, por ejemplo
colapsar un servicio simulando la conexión de miles de usuarios a la vez o degradando
el tiempo de respuesta generando tráfico espurio, el gran consumo del ancho de banda
es su característica común.

Precisamente esta característica es la que les convierte en un inmenso peligro. No sólo
pueden focalizar su ataque en cualquier nodo conectado a Internet, sino que
colateralmente producen una ralentización del tiempo de respuesta para todos los



17

http://tau.uab.es/~gaby



Gabriel Verdejo Alvarez – “Estado del arte de los DDOS”

usuarios. No debemos olvidar que los paquetes de distintas comunicaciones comparten
las mismas rutas.

Por un lado tenemos que las tecnologías ofrecen cada vez conexiones más rápidas y con
mayor ancho de banda disponible. Por otro lado tenemos el constante crecimiento de
nodos conectados a Internet, lo que nos conduce a que cada vez se utilice un mayor
número de nodos en este tipo de ataques.

Obviamente puede darse el caso que de forma voluntaria y consciente varios centenares
de usuarios se coordinen en un ataque concreto. Sin embargo, la realidad documentada
nos enseña que generalmente los ordenadores implicados en un ataque lo son de forma
involuntaria. Por otro lado, si un atacante utiliza su propio ordenador, tarde o temprano
será localizado y sancionado por los organismos competentes.

De esta forma, uno o varios atacantes (hackers) se dedican a buscar sistemas
vulnerables (sin el último parche de Windows, o con versiones antiguas de programas o
sistemas operativos) dónde instalan un programa que les permite obtener un control
remoto del ordenador (ver figura 2-1).



MASTERS (Origen)



...................



ATACANTE / S



...



....



SLAVES

FIG. 2-1: Esquema de control utilizado en ataques DDOS.



En una red con millones de ordenadores conectados, la probabilidad de encontrar
sistemas vulnerables o que nos permitan su uso ilícito aumenta enormemente al
socializarse las conexiones permanentes. Simplemente es cuestión de tiempo.



18

http://tau.uab.es/~gaby



Gabriel Verdejo Alvarez – “Estado del arte de los DDOS”

Una vez que el atacante o atacantes han conseguido un cierto número de ordenadores
bajo su control, los gestionan formando una estructura jerárquica que les permite por un
lado mantener su anonimato y por otro controlar un gran número de nodos de forma
sencilla y eficiente. Para más información de los métodos utilizados consultar la
bibliografía [Far96][VM01][MP03][Ver03].

El atacante o atacantes controlan de forma directa una serie de nodos denominados
“masters” que a su vez replican las órdenes recibidas a los nodos “slave” que tienen a su
cargo (ver figura 2-1).

Actualmente las herramientas más utilizadas para este tipo de ataques son [Ver03]:


• Tribe Flood Network / TFN [Dit99-3].

• El proyecto TRINOO [Dit99] también conocido como TRIN00.

• SHAFT [DDL00].

• STACHELDRAHT [Dit99-2], basada en código del TFN.

• El TFN2K [BT00], revisión de la herramienta TFN.


Además, también se utilizan técnicas de ataque indirecto o reflexión (reflection DDOS)
[Gib02][Lar03][MP03][MP03-1] consistentes en falsear la dirección de origen de los
datagramas (ver figura 2-2).

La idea subyacente en este tipo de ataques es aprovechar varios cientos de ordenadores
con una conexión “lenta” para lanzar masivamente peticiones falsas a servidores con un
gran ancho de banda disponible.

De esta forma, al substituir la dirección real del origen por la del nodo que deseamos
atacar logramos que todas las respuestas inunden al nodo atacado hasta colapsarlo
mediante el consumo de todo su ancho de banda.



19

http://tau.uab.es/~gaby



Gabriel Verdejo Alvarez – “Estado del arte de los DDOS”



FIG. 2-2: Esquema del ataque DRDOS.



El último paso, una vez decidido el tipo de ataque a realizar, consiste en lanzar el ataque
sincronizado y simultáneo sobre la víctima, que suele verse desbordada por completo
mientras dura el ataque.



2.2 Respuestas actuales a los ataques DDOS

Una vez enumerados los principales ataques de denegación de servicio o DDOS
realizaremos una breve introducción a los sistemas anti-DDOS existentes actualmente.

En un ataque de denegación de servicio podemos diferenciar de forma clara tres
entidades distintas (ver figura 2-3):



20

http://tau.uab.es/~gaby



Gabriel Verdejo Alvarez – “Estado del arte de los DDOS”

1. Sistemas de origen: Hace referencia a los múltiples puntos dónde se origina la

generación masiva de datagramas IP.


2. Sistemas intermedios: Son los sistemas pasivos por dónde circulan los paquetes

IP hasta llegar a su destino.

3. Sistema final: Destino final del ataque.



Sistemas de origen



Sistema final



………..



Sistemas intermedios

FIG. 2-3: Esquema de ataque DOS/DDOS.

Si analizamos el problema de la denegación de servicio en profundidad veremos que no
hay recetas o soluciones mágicas que nos permitan evitar este tipo de ataques. Sin
embargo, la bibliografía actual recoge cinco requisitos básicos que debería cumplir
cualquier solución propuesta [MP03-2]:


1. Debemos utilizar una solución distribuida para solventar un problema
distribuido. Las soluciones locales carecen de sentido puesto que no alcanzarán
nunca la visión global que un ataque distribuido genera.


2. La solución propuesta no debe en ningún caso penalizar el tráfico de los usuarios
legítimos. Muchas propuestas se basan en complejos sistemas de informes y
filtros que mantienen listas y cuentas de todos los paquetes recibidos. Estos
sistemas penalizan al global de los usuarios ralentizando el sistema.



21

http://tau.uab.es/~gaby



Gabriel Verdejo Alvarez – “Estado del arte de los DDOS”

3. Esta solución debe de ser robusta y universal. Debe ser válida para amenazas
externas e internas. El sistema debe identificarℜ los nodos y usuarios legítimos
así como detectar y aislar si fuera necesario los nodos comprometidos o
maliciosos.



4. El sistema propuesto debe de ser viable en su aplicación. La medida debe de ser
adoptada por toda Internet, lo que implica que debe de ser sencilla y realizable
con un coste razonable de recursos.

5. Debe de ser una solución incremental. Internet es un sistema heterogéneo dónde
es imposible forzar la aplicación de un nuevo protocolo. El sistema propuesto
debe permitir su aplicación gradual y ser compatible con el resto de los sistemas
dónde aún no esté implementada.


La mayoría de las soluciones existentes en la actualidad están basadas en sistemas
clásicos de defensa como los firewalls y sistemas de detección de Intrusos (IDS
[Nor99][Car00][Des03] [Ver03]). Estos programas se encargan de filtrar todo el tráfico
existente en nuestra red buscando mediante patrones y heurísticas indicios de actividad
maliciosa para bloquearla.

Las recomendaciones de los fabricantes de equipos de comunicaciones como Cisco en
su documento “Defining strategies to project against TCP SYN denial of service
attacks” [WWW37] simplemente pueden recomendar acciones simples como aumentar
el tamaño de la pila TCP, disminuir el tiempo de espera para el establecimiento de una
conexión y filtrar el tráfico de salida para evitar el uso de direcciones IP falsas [Tan03].

Multops [GP01], Reverse Firewall [WWW154] o D-WARD [Obr01] son soluciones de
este tipo que se encuentran instalados al final de la cadena de ataque (sistema atacado).

De esta forma, su eficacia es mínima debido a que si bien si que
  • Links de descarga
http://lwp-l.com/pdf12635

Comentarios de: Capítulo 2 - Estado del arte de los DDOS (0)


No hay comentarios
 

Comentar...

Nombre
Correo (no se visualiza en la web)
Valoración
Comentarios...
CerrarCerrar
CerrarCerrar
Cerrar

Tienes que ser un usuario registrado para poder insertar imágenes, archivos y/o videos.

Puedes registrarte o validarte desde aquí.

Codigo
Negrita
Subrayado
Tachado
Cursiva
Insertar enlace
Imagen externa
Emoticon
Tabular
Centrar
Titulo
Linea
Disminuir
Aumentar
Vista preliminar
sonreir
dientes
lengua
guiño
enfadado
confundido
llorar
avergonzado
sorprendido
triste
sol
estrella
jarra
camara
taza de cafe
email
beso
bombilla
amor
mal
bien
Es necesario revisar y aceptar las políticas de privacidad