Ataques. Ping of Death (ataque DOS) El atacante manda un paquete IP dividido en fragmentos Los fragmentos en total exceden la longitud máxima de un paqute.

Presentación del tema: "Ataques. Ping of Death (ataque DOS) El atacante manda un paquete IP dividido en fragmentos Los fragmentos en total exceden la longitud máxima de un paqute."— Transcripción de la presentación:

1 Ataques

2 Ping of Death (ataque DOS) El atacante manda un paquete IP dividido en fragmentos Los fragmentos en total exceden la longitud máxima de un paqute IP (65535 bytes) Al ensamablarse en el destinatario (víctima) da un paquete con una longitud ilegal causando un desborde (overflow) en memoria Las respuestas dependen de las diferentes implementaciones de TCP/IP Comenzó con ping pero no está restringido a eso –ping -l 66000 www.maquina.com

3 SYN Flood (Ataque DOS)‏ Descubierto en 1994 Publicado en 1996 (Phrack Mag.) Ataques múltiples en sept. 1996 CERT publica medidas inmediatamente

4 SYN Flood. Características A un proceso TCP en unservidor Envía ráfagas de segmentos SYN desde direcciones IP “falsas” que no generarán respuesta (SYN+ACK) Al recibir SYN el servidor mantiene estado de la conexión, reservando los recursos necesarios...... por un rato –TCB (Transmission Control Block) –Dir Ips, # puertos, apuntadores a los buffers de recepción/transmisión, etc. Mucho más peligroso que otros DOS porque no necesita una gran cantidad de paquetes No intenta sobrecargar la red Tampoco acabar con la memoria de la máquina

5 SYN Flood. Parámetros en el servidor TCB –1300+ bytes en Linux 2.6.10 –Otros 280+ bytes Se establecen límites (backlog) para mantener TCB activos y no acaberse la memoria Backlog –Número máximo de conexiones a medias (half- open) permitidas La espera para desechar la petición de conexión (SYN-RECEIVED timer) en algunos sistemas era de 511 segundos! El cálculo del backlog depende del servidor

6 SYN Flood. Parámetros del ataque Tamaño de la ráfaga –Mayor que el backlog, depende de la víctima Frecuencia de la ráfaga –Cubrir el cronómetro SYN-RECEIVED Selecciones de direcciones IP origen –No activas para que no respondan (no RST) –Diferentes para no llamar la atención –Privadas 10.0.0.0/24, 127.0.0.0/24, 172.16.0.0/12, 192.168.0.0/16

7 SYN Flood. Defensas Filtrar tráfico –De direcciones privadas –Verificar dirección origen y ruteador de entrada Incrementar backlog –Cuidado. Más memoria y CPU para búsquedas Reducción del cronómetro SYN-RECEIVED –Se pueden eliminar conexiones válidas pero “distantes” Reutilización del TCB más viejo –Idem SYN Cache –Minimizar la cantidad de información guardada del estado hasta que se reciba el ACK –Se puede incrementar el backlog

8 DDOS

9 Ataque pimpón Quote Of The Day (RFC 865) –Servicio que escucha en puerto 17 (UDP y TCP) –Envía al emisor una cita notable En TCP al abrir una conexión al puerto 17 se manda la cita, inmediatamente después el servidor cierra la conexión En UDP al recibir un datagrama en el puerto 17 se manda la cita Entre dos máquinas → ciclo infinito También se puede correr en la misma máquina

10 Ataque pimpón (QOTD) Dest: A/17 Org: B/17 “...........” A B E “...............” Org: A/17 Dest: B/17 Org: A/17 Dest B/17 QOTD Puerto 17 QOTD Puerto 17

11 Echo-Chargen Echo (RFC 862) –Servicio que escucha en puerto 7 (UDP y TCP) –Reenvía al emisor lo que le llegue Chargen (RFC 864) –Character Generator –Servidor chargen escucha en puerto 19 (UDP y TCP) –Al recibir un paquete genera entre 0 y 512 caracters aleatorios y los envía al emisor Entre dos máquinas → ciclo infinito También se puede correr en la misma máquina

12 Ataque Echo-Chargen Dest: A/7 Org: B/19 0-512 cars A B E Cars repetidos Org: A/7 Dest: B/19 Org: A/7 Dest: B/19 ECHO Puerto 7 CHAR-GEN Puerto 19

13 ICMP Flood (Smurf Attack)‏ A VAtacante A envía pings broadcast (echo request de ICMP) a una red, pero con la dirección IP origen de la víctima V VTodas las máquinas de la red contestan con echo reply a la víctima V A V

14 Secuestro de Sesion ( Session Hijacking )‏ Se toma el control de una conexión insertando paquetes IP manufacturados por el agresor en el canal de comunicación legítimo. El agresor excluye a una de las dos partes de la conexión y se hace pasar por esta sin que se altere o se cierre la conexión.

15 Inicio de sesión y Conversación TCP SYN(ISN C ) ACK(ISN S ) SYN(ISN S ), ACK(ISN C ) Datos CS

16 Secuestro de sesión TCP SYN(ISN C ) ACK(ISN S ) SYN(ISN S ), ACK(ISN C ) Datos CS X Necesita: - Ser local - Combinación con ARP poissoning

17 Predicción de números de secuencia TCP SYN(ISN X ), org= T ACK(ISN S ), org=T SYN(ISN S ), ACK(ISN X ) ACK(ISN S ), org=T, datos malos XS T

18 ARP Poisoning (Man in the Middle)‏ <<< < ABCD R ARP Reply: mi IP es C y mi MAC es 10 10203040 99 IPMAC C30 B20 IPMAC C10 B20

19 HUBHUB

20 SWITCH Switch (conmutador)

21 Construcción tabla MAC en un Switch

22 MAC spoofing en un Switch

23 MAC flood en un Switch

24 DNS 1 2 3 www.linux.org 198.182.196.56 Cliente

25 DNS (ataque al servidor, registros) www.linux.org 2 207.46.232.18 3 4 www.linux.org Cliente Atacante 1 Cambia ip de www.linux.org a 207.46.232.182 www.windows.com

26 DNS Spoofing (con sniffing) Cliente 1 2 3 4 www.mibanco.com www.ratas.com

27 DHCP Servidor DHCP DNS Spoofing (con DHCP) Cliente 1 2 3 4 www.mibanco.com www.jajaja.com