Jose María Casado Cabezas Oriol C. García-Alzórriz i Espeig ATACS DDOS Jose María Casado Cabezas Oriol C. García-Alzórriz i Espeig

Atacs DDOS Els atacs DDOS (Distributed Denial Of Service) utilitzen diversos computadors per a llençar un atac coordinat sobre un o més objectius amb la finalitat de reduïr-lo a un estat d’incapacitat per a prestar els serveis que normalment ofereix. Utilitza tecnologia client/servidor per a augmentar l’efectividad de l’atac DOS (Denial Of Service). Apareixen a finals de 1999

Atacs DOS Atacs a la connectivitat Atacs a l’ample de banda Saturen a un computador amb una sobrecàrrega de peticions de connexió Exemples: Mail-bombing,Smurfing, SYN Flood Atacs a l’ample de banda Enfonsen la xarxa amb un tràfic molt elevat de paquets, fent que tots els recursos es consumeixin. Conseqüència: les peticions de servei dels usuaris no poden ser ateses. Exemples: UDP flood

Mail Bombing Primer sistema de DOS Consisteix en l’enviament massiu de correu a una màquina fins a saturar el servei En origen atac empleat contra els “malfactors”

Smurfing Es canvia la direcció origen de la trama (IP Spoofing) S’envia una trama ICMP corresponent a una petició de ping amb direcció origen la direcció de la víctima i direcció destí broadcast Contesten a la víctima els sistemes que tinguin habilitat la replica a peticions broadcast Factor d’amplificació de xarxa Solució: No contestar a trames ICMP amb direcció origen broadcast

SYN Flood Sistema 1 Sistema 2 SYN SYN ACK ACK Enviament de múltiples trames SYN utilitzant una direcció inexistent o inoperant La cua de sol·licituds pendents es satura Solució : SYN cookies

UDP Flood L’atacant envia trames UDP amb direcció origen falsa Demoni Sistema 2 Tràfic Chargen Sistema 1 Tràfic Echo L’atacant envia trames UDP amb direcció origen falsa El servei chargen (generació de caràcters) del sistema 1 amb el servei d’echo del sistema 2 El volum de tràfic s’incrementa La xarxa acaba inundada

Trinoo Components d’una xarxa Trinoo: Atacant (Controla un o més mestres) Mestre (Controla una gran quantitat de Dimonis) Dimoni (Rep l’odre de realitzar l’atac) Atacant Mestre Dimoni

Trinoo Basat en UDP Flood 17/08/99 : A partir d’una xarxa de Trinoo de 227 sistemas s’ataca la xarxa de la Universitat de Minnessota Comunicació: Mestre Atacant Demoni 27444/UDP 31335/UDP 27665/TCP Comunicació està protegida mitjançant claus d’accés Claus simètriques d’accés

Mstream Atac basat en Streams Estructura similar a la de Trinoo Client Conductor Agent Cilent Conductor Agent

Streams Atacant Víctima RST ROUTER ACK @Or FALSA ICMP L’atacant envia TCP ACK a ports aleatoris amb direcció origen falsa La víctima contesta TCP RST al remitent mitjançant el router El router envia ICMP a la victima indicant que el destinatari no existeix Amb un únic origen es produeixen pocs efectes Amb múltiples origens la xarxa acaba inundada

Mstreams Comunicació: Conductor Client Agent 7983/UDP 9325/UDP 6723/TCP Els agents s’executen en mode Root per utilitzar sockets del tipus SOCK_RAW Cada conductor manté una llista d’agents actius

Altres atacs DDOS Utilitzen una estructura similar a Trinoo Empleen tècniques de SYN Flood, UDP Flood o Smurfing Tribe Flood Network (TFN) Tribe Flood Network 2000 (TFN2K) Stacheldraht Shaft

Detecció de DDOS No existeix solució definitiva, ja que IP no proporciona mecanismes vàlids per autentificar l’origen d’un paquet Utilitzar filtres d’entrada a la nostra xarxa Pot facilitar l’anàlisi i el seguiment de l’atac Limitar l’ample de banda dels serveis Utilitzar antivirus Queden ràpidament obsolets Utilitzar aplicacions de monitorització de la xarxa Búsqueda de possibles forats

Bibliografia Document DDOS de Juan Manuel Pérez Diego http://www.fi.upm.es/~flimon/DDoS Link d’interes: http://www.cert.org