Ataques

Ping of Death (ataque DOS) El atacante manda un paquete IP dividido en fragmentos Los fragmentos en total exceden la longitud máxima de un paqute IP (65535 bytes) Al ensamablarse en el destinatario (víctima) da un paquete con una longitud ilegal causando un desborde (overflow) en memoria Las respuestas dependen de las diferentes implementaciones de TCP/IP Comenzó con ping pero no está restringido a eso –ping -l

SYN Flood (Ataque DOS)‏ Descubierto en 1994 Publicado en 1996 (Phrack Mag.) Ataques múltiples en sept CERT publica medidas inmediatamente

SYN Flood. Características A un proceso TCP en unservidor Envía ráfagas de segmentos SYN desde direcciones IP “falsas” que no generarán respuesta (SYN+ACK) Al recibir SYN el servidor mantiene estado de la conexión, reservando los recursos necesarios por un rato –TCB (Transmission Control Block) –Dir Ips, # puertos, apuntadores a los buffers de recepción/transmisión, etc. Mucho más peligroso que otros DOS porque no necesita una gran cantidad de paquetes No intenta sobrecargar la red Tampoco acabar con la memoria de la máquina

SYN Flood. Parámetros en el servidor TCB –1300+ bytes en Linux –Otros 280+ bytes Se establecen límites (backlog) para mantener TCB activos y no acaberse la memoria Backlog –Número máximo de conexiones a medias (half- open) permitidas La espera para desechar la petición de conexión (SYN-RECEIVED timer) en algunos sistemas era de 511 segundos! El cálculo del backlog depende del servidor

SYN Flood. Parámetros del ataque Tamaño de la ráfaga –Mayor que el backlog, depende de la víctima Frecuencia de la ráfaga –Cubrir el cronómetro SYN-RECEIVED Selecciones de direcciones IP origen –No activas para que no respondan (no RST) –Diferentes para no llamar la atención –Privadas /24, /24, /12, /16

SYN Flood. Defensas Filtrar tráfico –De direcciones privadas –Verificar dirección origen y ruteador de entrada Incrementar backlog –Cuidado. Más memoria y CPU para búsquedas Reducción del cronómetro SYN-RECEIVED –Se pueden eliminar conexiones válidas pero “distantes” Reutilización del TCB más viejo –Idem SYN Cache –Minimizar la cantidad de información guardada del estado hasta que se reciba el ACK –Se puede incrementar el backlog

DDOS

Ataque pimpón Quote Of The Day (RFC 865) –Servicio que escucha en puerto 17 (UDP y TCP) –Envía al emisor una cita notable En TCP al abrir una conexión al puerto 17 se manda la cita, inmediatamente después el servidor cierra la conexión En UDP al recibir un datagrama en el puerto 17 se manda la cita Entre dos máquinas → ciclo infinito También se puede correr en la misma máquina

Ataque pimpón (QOTD) Dest: A/17 Org: B/17 “ ” A B E “ ” Org: A/17 Dest: B/17 Org: A/17 Dest B/17 QOTD Puerto 17 QOTD Puerto 17

Echo-Chargen Echo (RFC 862) –Servicio que escucha en puerto 7 (UDP y TCP) –Reenvía al emisor lo que le llegue Chargen (RFC 864) –Character Generator –Servidor chargen escucha en puerto 19 (UDP y TCP) –Al recibir un paquete genera entre 0 y 512 caracters aleatorios y los envía al emisor Entre dos máquinas → ciclo infinito También se puede correr en la misma máquina

Ataque Echo-Chargen Dest: A/7 Org: B/ cars A B E Cars repetidos Org: A/7 Dest: B/19 Org: A/7 Dest: B/19 ECHO Puerto 7 CHAR-GEN Puerto 19

ICMP Flood (Smurf Attack)‏ A VAtacante A envía pings broadcast (echo request de ICMP) a una red, pero con la dirección IP origen de la víctima V VTodas las máquinas de la red contestan con echo reply a la víctima V A V

Secuestro de Sesion ( Session Hijacking )‏ Se toma el control de una conexión insertando paquetes IP manufacturados por el agresor en el canal de comunicación legítimo. El agresor excluye a una de las dos partes de la conexión y se hace pasar por esta sin que se altere o se cierre la conexión.

Inicio de sesión y Conversación TCP SYN(ISN C ) ACK(ISN S ) SYN(ISN S ), ACK(ISN C ) Datos CS

Secuestro de sesión TCP SYN(ISN C ) ACK(ISN S ) SYN(ISN S ), ACK(ISN C ) Datos CS X Necesita: - Ser local - Combinación con ARP poissoning

Predicción de números de secuencia TCP SYN(ISN X ), org= T ACK(ISN S ), org=T SYN(ISN S ), ACK(ISN X ) ACK(ISN S ), org=T, datos malos XS T

ARP Poisoning (Man in the Middle)‏ <<< < ABCD R ARP Reply: mi IP es C y mi MAC es IPMAC C30 B20 IPMAC C10 B20

HUBHUB

SWITCH Switch (conmutador)

Construcción tabla MAC en un Switch

MAC spoofing en un Switch

MAC flood en un Switch

DNS Cliente

DNS (ataque al servidor, registros) Cliente Atacante 1 Cambia ip de a

DNS Spoofing (con sniffing) Cliente

DHCP Servidor DHCP DNS Spoofing (con DHCP) Cliente