Jose María Casado Cabezas Oriol C. García-Alzórriz i Espeig

Presentación del tema: "Jose María Casado Cabezas Oriol C. García-Alzórriz i Espeig"— Transcripción de la presentación:

1 Jose María Casado Cabezas Oriol C. García-Alzórriz i Espeig
ATACS DDOS Jose María Casado Cabezas Oriol C. García-Alzórriz i Espeig

2 Atacs DDOS Els atacs DDOS (Distributed Denial Of Service) utilitzen diversos computadors per a llençar un atac coordinat sobre un o més objectius amb la finalitat de reduïr-lo a un estat d’incapacitat per a prestar els serveis que normalment ofereix. Utilitza tecnologia client/servidor per a augmentar l’efectividad de l’atac DOS (Denial Of Service). Apareixen a finals de 1999

3 Atacs DOS Atacs a la connectivitat Atacs a l’ample de banda
Saturen a un computador amb una sobrecàrrega de peticions de connexió Exemples: Mail-bombing,Smurfing, SYN Flood Atacs a l’ample de banda Enfonsen la xarxa amb un tràfic molt elevat de paquets, fent que tots els recursos es consumeixin. Conseqüència: les peticions de servei dels usuaris no poden ser ateses. Exemples: UDP flood

4 Mail Bombing Primer sistema de DOS
Consisteix en l’enviament massiu de correu a una màquina fins a saturar el servei En origen atac empleat contra els “malfactors”

5 Smurfing Es canvia la direcció origen de la trama (IP Spoofing)
S’envia una trama ICMP corresponent a una petició de ping amb direcció origen la direcció de la víctima i direcció destí broadcast Contesten a la víctima els sistemes que tinguin habilitat la replica a peticions broadcast Factor d’amplificació de xarxa Solució: No contestar a trames ICMP amb direcció origen broadcast

6 SYN Flood Sistema 1 Sistema 2 SYN SYN ACK ACK Enviament de múltiples trames SYN utilitzant una direcció inexistent o inoperant La cua de sol·licituds pendents es satura Solució : SYN cookies

7 UDP Flood L’atacant envia trames UDP amb direcció origen falsa
Demoni Sistema 2 Tràfic Chargen Sistema 1 Tràfic Echo L’atacant envia trames UDP amb direcció origen falsa El servei chargen (generació de caràcters) del sistema 1 amb el servei d’echo del sistema 2 El volum de tràfic s’incrementa La xarxa acaba inundada

8 Trinoo Components d’una xarxa Trinoo:
Atacant (Controla un o més mestres) Mestre (Controla una gran quantitat de Dimonis) Dimoni (Rep l’odre de realitzar l’atac) Atacant Mestre Dimoni

9 Trinoo Basat en UDP Flood
17/08/99 : A partir d’una xarxa de Trinoo de 227 sistemas s’ataca la xarxa de la Universitat de Minnessota Comunicació: Mestre Atacant Demoni 27444/UDP 31335/UDP 27665/TCP Comunicació està protegida mitjançant claus d’accés Claus simètriques d’accés

10 Mstream Atac basat en Streams Estructura similar a la de Trinoo Client
Conductor Agent Cilent Conductor Agent

11 Streams Atacant Víctima RST ROUTER ACK @Or FALSA ICMP L’atacant envia TCP ACK a ports aleatoris amb direcció origen falsa La víctima contesta TCP RST al remitent mitjançant el router El router envia ICMP a la victima indicant que el destinatari no existeix Amb un únic origen es produeixen pocs efectes Amb múltiples origens la xarxa acaba inundada

12 Mstreams Comunicació:
Conductor Client Agent 7983/UDP 9325/UDP 6723/TCP Els agents s’executen en mode Root per utilitzar sockets del tipus SOCK_RAW Cada conductor manté una llista d’agents actius

13 Altres atacs DDOS Utilitzen una estructura similar a Trinoo
Empleen tècniques de SYN Flood, UDP Flood o Smurfing Tribe Flood Network (TFN) Tribe Flood Network 2000 (TFN2K) Stacheldraht Shaft

14 Detecció de DDOS No existeix solució definitiva, ja que IP no proporciona mecanismes vàlids per autentificar l’origen d’un paquet Utilitzar filtres d’entrada a la nostra xarxa Pot facilitar l’anàlisi i el seguiment de l’atac Limitar l’ample de banda dels serveis Utilitzar antivirus Queden ràpidament obsolets Utilitzar aplicacions de monitorització de la xarxa Búsqueda de possibles forats

15 Bibliografia Document DDOS de Juan Manuel Pérez Diego
Link d’interes: