PDF de programación - Extracción de datos para clasificación y filtrado de IPs falsas en ataques DDOS

1

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA. UNAD



ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERA

PROGRAMA: INGENIERÍA DE SISTEMAS

TESIS DE GRADO



EXTRACCIÓN DE DATOS PARA CLASIFICACIÓN Y FILTRADO DE IPS FALSAS

EN ATAQUES DDOS



Yudy Angélica Ramírez Walteros

cód. 23561882



Director: Ing. (Msc) Carlos Alberto Amaya Tarazona



Duitama, Agosto de 2013







TABLA DE CONTENIDO



1. INTRODUCCIÓN


2. TEMA


3. JUSTIFICACIÓN


3.1 DEFINICIÓN DEL PROBLEMA


4. OBJETIVOS


4.1. OBJETIVO GENERAL


4.2. OBJETIVOS ESPECÍFICOS


5. ESTADO DEL ARTE

6. MARCO TEÓRICO


6.1. VULNERABILIDAD EN LA CAPA DE TRANSPORTE

6.2. SISTEMAS DE DETECCIÓN DE INTRUSOS



6.2.1. IDS Y Snort



6.3. TIPOS DE IDS


6.3.1. Hids (Host Ids)



6.3.2. Nids (Net Ids)



6.4. ARQUITECTURA DE UN IDS


6.4.1. Snort



6.5. ARP EN LA DETECCION DE REDES



6.6. LIBRERIAS TCPDUP Y WINDUMP



6.7. PCAP

6.7.1. Descripción De Logs Pcap



6.8. XPLICO



7. METODOLOGÍA


7.1. DENEGACIÓN DE SERVICIO (DOS).


7.2. DENEGACIÓN DE SERVICIO DISTRIBUIDO (DDOS).

7.3. FUENTES DE ORIGEN DE LOS ATAQUES DOS / DDOS.
7.4. PLATAFORMAS AFECTADAS.


7.5. CARACTERIZACIÓN DE LOS ATAQUES DOS.

7.5.1. Uso de IP Source Spoofing
7.5.2. Un Gran Número De Máquinas Agente


7.5.3. Similitud De Tráfico Legítimo



2

Pág

6
7
8
9

11
11
12
15
15
15
16
16
16
16
17
17
17
18
18
19
19
21
21
22

24
24
25



11



23
24



25

3

26
27

29
32
33
34
35
35
38
38
38
39
40
41
41
44
46
47
61
67
68



28



7.6. AFECTACIÓN DE LA COMUNICACIÓN EN TRES VÍAS.

7.6.1. Transmisión En El Protocolo De Control
7.6.2. Three-way Handshake


7.6.3. Función De Icmp En Los Ataques Dos

7.6.4. Exploración De Puertos
7.6.5. Exploración de puertos udp


7.6.6. Escaneo Basado En El Protocolo Icmp


7.7. TIPOS DE ATAQUES.

7.7.1 Ataque TCP/ SYN Flooding

8. PROPUESTA DE LA SOLUCIÓN


8.1 SELECCIÓN DEL SISTEMA OPERATIVO.

8.2. ESCENARIO DE PRUEBAS
8.3. CONSOLIDACIÓN DEL ATAQUE.


8.4. PARÁMETROS BÁSICOS DEL FUNCIONAMIENTO.

8.4.1. Selección de Protocolos.


8.4.2. Parámetros De Configuración Adicionales



8.4.3. Análisis con Wireshark.



8.4.4. Esquema Del Ataque


8.4.5. Tratamiento De Los Datos.



9. MARCO CONCEPTUAL



10. CONCLUSIONES

11. REFERENCIAS BIBLIOGRAFICAS






LISTA DE ANEXOS:



ANEXO 2: Reglas típicas que usan los IDS.



LISTA DE FIGURAS

Figura1. Escenario de un ataque de denegación de servicio (DoS)

4

Pág

69

Pág.

22



Figura2. Escenario de un ataque de denegación de servicio distribuido (DDoS) 23

Figura 3. Estructura de un datagrama IP V 4

Figura 4. Estructura de un mensaje ICMP

Figura 5. Cabecera de un datagrama ICMP

Figura 6. Fingerprinting

Figura 7. Mecanismo de tres vías.



Figura 8. Esquema del ataque IP Flooding.

Figura 9. Escenario de trabajo red Ethernet.



28

28

30

26
31

36

38

Figura 10. Esquema IP a usar para escenario de pruebas.

Figura 11. Ataque TCP Syn Flooding Visto en el Analizador Wireshark.



39
45

Figura 12.Ataque TCP SYN Flooding



47



Figura 13. Instalación De La Librería Pcap
48
Figura 14. El paquete tar descargado es ubicado en una carpeta del sistema. 48
48

Figura 15. Se desempaqueta los archivos de la librería.
49
Figura 16. Instalación De Xplico.

Figura 17. Se adicionan las líneas al “source” origen de los repositorios.
50
Figura 18. Se agrega el key de autorización (archivo RSA de autenticación). 50
50
Figura 19. Se actualizan repositorios del sistema.
51
Figura 20. Instalacion de la librería libssl.
Figura 21. Instalación de tcpdump para la captura del tráfico.
51
52
Figura 22. Se debe mantener el ataque DDoS TCP SYn activo (se lanza).






5



Figura 23. Se evidencia la inundación de paquetes.
52

Figura 24. Se capturan los datos.

52

Figura 25. Se evidencia el archivo guardado en el sistema.
53

Figura 26. Aplicación Xplico.

53

Figura 27. Desde un navegador se carga la interfaz gráfica.
54


Figura 28. Lectura De Archivo Pcap.

54



Figura 29. Al nuevo caso.
55



Figura 30. Interfaz Xplico.

55


Figura 31. Modificación Php.ini.

56

Figura 32. Xplico Desde Una Consola.

57
Figura 33. Capturado En Pcap.



57
Figura 34. Ya la librería ha sido ejecutada y el archivo pcap leído.
58
Figura 35. Datos filtrados que pueden ser leídos en formato texto.
58
Figura 36. Se clasifican y cuentan las iPs aleatorias generadas por el ataque (DDoS). 59



LISTA DE TABLAS

Tabla1. Instrucciones para el ataque DoS TCP SYN Flooding.



Pág
58






6



1. INTRODUCCIÓN



El trabajo dado a continuación, se enmarca dentro del tema de seguridad y
tratamiento de la información. Específicamente en uno de los ataque más comunes
hoy en día que se perpetran tanto en redes locales como en la nube. Los ataques de
denegación de servicio. Para el presente proyecto se ha tipificado un ataque
distribuido tipo (DDoS) que a diferencia de los ataques DoS, llegan a tener mayor
efectividad y son más comunes.

Dada la diferentes presentaciones de esos ataques, se ha escogido solo una variante
del mismo: en el que se afecte el tratamiento de la pilas TCP, el llamado (SYN
Flooding).

La estrategia usada para propender por los objetivos del proyecto, inicia con un
simple escenario de pruebas (en el que con solo dos máquinas) un atacante y otra
como víctima, se pueden conseguir los datos de la inundación masiva por IPs
falseadas.

Posteriormente se hace uso de librerías que permitan la captura del tráfico para su
posterior análisis.

El proyecto pretende en un escenario de pruebas real, aplicar en primera instancia
una arquitectura en aplicaciones que detecte y monitoree estos ataques y
posteriormente mediante ataques inducidos, filtrar, exportar, identificar y clasificar la
procedencia de los mismos.

Las herramientas que se aplicaron en este proyecto, son típicas y comunes en la
gestión y administración de redes. Parte del trabajo de ingeniería, es poderlas
combinar, darles un uso proactivo, dinámico y crear un conjunto de trabajo acorde a
un análisis previo al tipo de vulnerabilidad que se presentan en el nivel de transporte.
Se genera un aporte tanto temático, procedimental, de implementación y de gestión
cuando se trata la Administración de Redes y Telecomunicaciones; temática muy
amplia y enriquecedora para ahondar en trabajos futuros que aporten a la temática.







7

2. TEMA



La temática del proyecto cubre los aspectos de telecomunicaciones, redes y
transmisión de datos. Con temáticas en seguridad de la información, sistemas
operativos, y software de aplicaciones específicas para monitoreo y gestión de datos.
En el campo de la ingeniería de sistemas en aspectos básicos de programación, se
abarcan temáticas básicas en códigos scripts y ejecución de comandos desde
consola para plataformas de red.







8

3. JUSTIFICACIÓN


Dada las constantes amenazas y diferentes vulnerabilidades presentes en los
diversos sistemas de comunicación e infraestructuras tecnológica, en las que
cualquier dispositivo ya sea móvil, PC o estación de trabajo, que implemente un
protocolo de comunicación como TCP, puede presentar estas amenazas y dada la
naturaleza vulnerable y comprobada de la comunicación que se presenta en las
conversaciones del protocolo, se ha recreado un ataque de denegación de servicio.

Además de poder ver el comportamiento del ataque en una estructura de red básica,
se pretende ver en gran medida y evidenciar como las inundaciones de servicios son
causadas por gran cantidad de IPs falsas y que no son filtradas o asociadas a un
sistema de defensa típico como los que adopta los IDS (sistemas de detección de
intrusos). Estos sistemas de detección de ataques DDoS establecen técnicas y
herramientas de identificación del ataque y de bloqueo o prevención. Independiente
del tipo de ataque o denegación.

El alcance del proyecto lleva a identificar, tipificar y caracterizar el ataque para
efectos de detección y extracción de IPs masivas falsas. Dada situaciones
generalizadas en que estos IDS son efectivos en las barreras y firewalls que aplican
a los ataques pero sin clasificar o dar servicios a peticiones reales de estaciones de
trabajo que son víctimas de la inundación.

Como trabajo y como s