[Articulo]: Sutiles formas de ataque: DoS (denegacion de servicio)

28/07/2004 - 19:33 por JM Tella Llop [MVP Windows] | Informe spam
Sutiles formas de ataque: DoS

Ataque de denegacion de servicio.

Muchas veces la seguridad de un sistema hace que un atacante inexperto tenga un sentimiento de frustación. Algunos de estos atacantes, sientose inutiles e incapaces lanzan un ataque DoS como ultimo recurso. Unas veces es simplemente por motivos personales o politicos. Otras veces los atacantes realizan un ataque DoS porque les es necesario a fin de vulnerar un sistema: puede ser que los atacantes necesiten que un sistema caiga para que un administrador de él lo reinicie. Un sistema es muy facil vulnerarlo justo durante el reinicio antes que todos los servicios esten totalmente operativos.

La accion de una caida inexplicable de un sistema conectado a internet deberia atraer la atencion del administrador sobre la posibilidad de estar sufriendo un ataque, pero por desgracia, la mayoria de los administradores no le dan importancia y reinician el sistema sin pensarlo mucho.

Aunque es imposible analizar todos los posibles motivos de un ataque, no debemos olvidar que internet no es muy diferente a la vida real. No todas las personas son normales: hay quien disfruta haciendo maldades y cualquier ataque o posible conquista le da sensacion de poder. Y recordemos tambien, que es mucho mas identico a la vida real de lo que parece: nadie regala nada por nada y por tanto, nadie nos va a reglara nada en la vida real ni en internet. Todo lo que aparentemente es gratis o de facil adquisicion, llevará "regalo" incorporado. Los usuarios finales deben ser muy precavidos con el riesgo actual que conllevan las redes P2P: nada es gratis.

Recordemos de todas formas que cualquier hacker experto detestan este tipo de ataques y detestan a quienes los realizan. Es tipico de script-kiddies (los niños script). Por desgracia estos ataques DoS son los seleccionados por los cyberterroristas que segun vamos viendo, cada dia están en aumento.

TCP/IP es un protocolo de comunicaciones abierto y totalmente documentado. No tiene seguridad: se diseñó para su empleo en una comunidad abierta y confiada y la versión que estamos usando tiene defectos inherentes y graves. No puede modificarse o implementarse otro tipo de seguridad por el simple motivo que internet dejaría de funcionar. Igualmente muchas implementacion del tcp/ip en sistemas operativos e incluso dispositivos fisicos de red tienen defectos que debilitan su capacidad para resistir ataques DoS.

Hay todavia sistemas y servidores en internet totalmente operativos en viejos sistemas unix y linux, o sistemas sin parchear por sus administradores, que se desmoronan ante un reenrutamiento de ICMP simple si se utiliza un parámetro no válido.

Existen muchas herramientas igualmente en la red para realizar de manera sistematica ataques DoS.


Variantes de ataques DoS


El mas viejo y elementas son los de "consumo de ancho de banda". Consiste simplemente en consumir todo el ancho de banda, es relativamente sencillo:

* por ejemplo un servidor de internet pequeño, un adsl tipico, con una entrada de 512 Kb. Desde un equipo malintecionado con un ancho de banda de 2 Mb se realiza el ataque. Equivale al choque frontal de un tren con un triciclo.

* o bien, y es lo mas normal, uniendo multitud de pequeñas maquinas para saturar la conexion de red de la victima. Con simples modems de 56 Kb se pueden saturar lineas de 60 Mb de una manera sencilla: puede basarse por ejemplo, en que el atacante convenza a los sistemas amplificadores para enviar trafico de red a la victima consiguiendo de esa manera con un simple modem el enviar a la victima flujos de informacion de hasta 100 Mb (megas!!). No es dificil usar estas tecnicas de amplificacion. O bien basrse en sistemas "zombies", miles, capturados previamente y en espera de ser despertados para organizar un ataque conjunto. En Internet se venden listas de miles de equipos conquistados y lo que es peor: alguien las compra, o puede comprarlas, cuando desea realizar uno de estos ataques.

Cualquier estudiante de redes sabe que el trafico ICMP es peligroso. Es necesario para realizar muchos diagnosticos pero por desgracia, es la bala que se utiliza en los ataques de consumo de ancho de banda. Es relativamente sencillo ademas falsificar la direccion origen con lo que es sumamente dificil identificar al culpable.

Un segunto tipo de ataque es por "inanicion de recursos". Esta enfocado, en vez de agotar el ancho de banda del sistema atacado, al consumo de los recursos del sistema, a la saturacion de la CPU, memoria, lo que sea, hasta que la maquina se cae. Este tipo de ataque, generalmente provoca un fallo general del sistema, o que se llene un disco de log, o procesos que se cuelgan porque necesitan CPU qe el sistema no le está proporiconando o se lo proporciona escasamente: y alguno de estos provesos puede ser critico para el sistema.

Un tercer tipo de ataque DoS es por los "errores de programacion". Envio de datos "anormales", que no cumplen las RFC (normas de definicion del protocolo) al sistema objetivo: si la pila tcp/ip no es capaz de manejar estas excepciones y los programadores no han supuesto estos casos, terminará con la caida del sistema al ser en la capa de drivers que se ejecuta en RING 0 o RING 1 de la maquina. A veces, no son defectos de programacion: son defectos del hardware, defectos de algun chip, o defectos de la propia CPU. No está de más recordar el famoso defecto existente en algun Pentium (no voy a citar modelos presentes o pasados) por el cual un proceso, incluso en modo usuario sin privilegos, podia colgar a la CPU con algo tan simple como enviarle la instruccion 0xf00fc7c8 a la CPU.

Recordemos, y no solo los administradores, sino tambien los usuarios finales, que la existencia de programas, sistemas operativos o incluso hardware y CPU libres de errores es una quimera.

Un cuarto tipo de ataque son los ataques DNS y de enrutamiento. La mayoria de los protocolos de enrutamiento como RIP (Routing Information Protocol) o BGP (Border Gateway Protocol) carcen, o tienen una autenticacion muy sencilla. Se trata por tanto de un escenario perfecto para que cualquier atacante pueda alterar las rutas correctas y falsificando su IP origen para crear una condicion DoS. Las victimas de estos ataques veran como su trafico se dirige por ejemplo hacia un agujero negro: a una red que no existe. Los ataques DoS sobre servidores de nombres de dominios (DNS) son tan problematicos como los anteriores. Estos ataques intentan convencer al servidor DNS, por ejemplo, para alamcenar direcciones falsas: cuando un servidor DNS realiza una busqueda el atacante puede redireccionar a su propio servidor o bien a un "agujero negro". En los ultimos años se ha sufrido varias veces ataques a alguno de los servidores "root" DNS de internet colapsando media red y con tiempos de normalizacion superiores a las 48 horas.



Jose Manuel Tella Llop
MVP - Windows
jmtella@XXXcompuserve.com (quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.

Preguntas similare

Leer las respuestas

#1 Peni
28/07/2004 - 19:39 | Informe spam
Gracias ... de nuevo ... y que siga la racha :-)))



Saludos. Peni


"JM Tella Llop [MVP Windows]" escribió en el mensaje
news:
Sutiles formas de ataque: DoS

Ataque de denegacion de servicio.
Respuesta Responder a este mensaje
#2 Peni
28/07/2004 - 19:39 | Informe spam
Gracias ... de nuevo ... y que siga la racha :-)))



Saludos. Peni


"JM Tella Llop [MVP Windows]" escribió en el mensaje
news:
Sutiles formas de ataque: DoS

Ataque de denegacion de servicio.
Respuesta Responder a este mensaje
#3 Anonimo
28/07/2004 - 19:43 | Informe spam
ESTO ESTA SACAO DE LA ENCICLOPEDIA ??

LES SALUDA DESDE COLONBIA

Sutiles formas de ataque: DoS

Ataque de denegacion de servicio.

Muchas veces la seguridad de un sistema hace que un


atacante inexperto tenga un sentimiento de frustación.
Algunos de estos atacantes, sientose inutiles e incapaces
lanzan un ataque DoS como ultimo recurso. Unas veces es
simplemente por motivos personales o politicos. Otras
veces los atacantes realizan un ataque DoS porque les es
necesario a fin de vulnerar un sistema: puede ser que los
atacantes necesiten que un sistema caiga para que un
administrador de él lo reinicie. Un sistema es muy facil
vulnerarlo justo durante el reinicio antes que todos los
servicios esten totalmente operativos.

La accion de una caida inexplicable de un sistema


conectado a internet deberia atraer la atencion del
administrador sobre la posibilidad de estar sufriendo un
ataque, pero por desgracia, la mayoria de los
administradores no le dan importancia y reinician el
sistema sin pensarlo mucho.

Aunque es imposible analizar todos los posibles motivos


de un ataque, no debemos olvidar que internet no es muy
diferente a la vida real. No todas las personas son
normales: hay quien disfruta haciendo maldades y
cualquier ataque o posible conquista le da sensacion de
poder. Y recordemos tambien, que es mucho mas identico a
la vida real de lo que parece: nadie regala nada por nada
y por tanto, nadie nos va a reglara nada en la vida
real ni en internet. Todo lo que aparentemente es
gratis o de facil adquisicion, llevará "regalo"
incorporado. Los usuarios finales deben ser muy
precavidos con el riesgo actual que conllevan las redes
P2P: nada es gratis.

Recordemos de todas formas que cualquier hacker experto


detestan este tipo de ataques y detestan a quienes los
realizan. Es tipico de script-kiddies (los niños script).
Por desgracia estos ataques DoS son los seleccionados por
los cyberterroristas que segun vamos viendo, cada dia
están en aumento.

TCP/IP es un protocolo de comunicaciones abierto y


totalmente documentado. No tiene seguridad: se diseñó
para su empleo en una comunidad abierta y confiada y la
versión que estamos usando tiene defectos inherentes y
graves. No puede modificarse o implementarse otro tipo de
seguridad por el simple motivo que internet dejaría de
funcionar. Igualmente muchas implementacion del tcp/ip en
sistemas operativos e incluso dispositivos fisicos de red
tienen defectos que debilitan su capacidad para resistir
ataques DoS.

Hay todavia sistemas y servidores en internet totalmente


operativos en viejos sistemas unix y linux, o sistemas
sin parchear por sus administradores, que se desmoronan
ante un reenrutamiento de ICMP simple si se utiliza un
parámetro no válido.

Existen muchas herramientas igualmente en la red para


realizar de manera sistematica ataques DoS.


Variantes de ataques DoS


El mas viejo y elementas son los de "consumo de ancho de


banda". Consiste simplemente en consumir todo el ancho de
banda, es relativamente sencillo:

* por ejemplo un servidor de internet pequeño, un adsl


tipico, con una entrada de 512 Kb. Desde un equipo
malintecionado con un ancho de banda de 2 Mb se realiza
el ataque. Equivale al choque frontal de un tren con un
triciclo.

* o bien, y es lo mas normal, uniendo multitud de


pequeñas maquinas para saturar la conexion de red de la
victima. Con simples modems de 56 Kb se pueden saturar
lineas de 60 Mb de una manera sencilla: puede basarse por
ejemplo, en que el atacante convenza a los sistemas
amplificadores para enviar trafico de red a la victima
consiguiendo de esa manera con un simple modem el enviar
a la victima flujos de informacion de hasta 100 Mb
(megas!!). No es dificil usar estas tecnicas de
amplificacion. O bien basrse en sistemas "zombies",
miles, capturados previamente y en espera de ser
despertados para organizar un ataque conjunto. En
Internet se venden listas de miles de equipos
conquistados y lo que es peor: alguien las compra, o
puede comprarlas, cuando desea realizar uno de estos
ataques.

Cualquier estudiante de redes sabe que el trafico ICMP


es peligroso. Es necesario para realizar muchos
diagnosticos pero por desgracia, es la bala que se
utiliza en los ataques de consumo de ancho de banda. Es
relativamente sencillo ademas falsificar la direccion
origen con lo que es sumamente dificil identificar al
culpable.

Un segunto tipo de ataque es por "inanicion de


recursos". Esta enfocado, en vez de agotar el ancho de
banda del sistema atacado, al consumo de los recursos del
sistema, a la saturacion de la CPU, memoria, lo que sea,
hasta que la maquina se cae. Este tipo de ataque,
generalmente provoca un fallo general del sistema, o que
se llene un disco de log, o procesos que se cuelgan
porque necesitan CPU qe el sistema no le está
proporiconando o se lo proporciona escasamente: y alguno
de estos provesos puede ser critico para el sistema.

Un tercer tipo de ataque DoS es por los "errores de


programacion". Envio de datos "anormales", que no cumplen
las RFC (normas de definicion del protocolo) al sistema
objetivo: si la pila tcp/ip no es capaz de manejar estas
excepciones y los programadores no han supuesto estos
casos, terminará con la caida del sistema al ser en la
capa de drivers que se ejecuta en RING 0 o RING 1 de la
maquina. A veces, no son defectos de programacion: son
defectos del hardware, defectos de algun chip, o defectos
de la propia CPU. No está de más recordar el famoso
defecto existente en algun Pentium (no voy a citar
modelos presentes o pasados) por el cual un proceso,
incluso en modo usuario sin privilegos, podia colgar a la
CPU con algo tan simple como enviarle la instruccion
0xf00fc7c8 a la CPU.

Recordemos, y no solo los administradores, sino tambien


los usuarios finales, que la existencia de programas,
sistemas operativos o incluso hardware y CPU libres de
errores es una quimera.

Un cuarto tipo de ataque son los ataques DNS y de


enrutamiento. La mayoria de los protocolos de
enrutamiento como RIP (Routing Information Protocol) o
BGP (Border Gateway Protocol) carcen, o tienen una
autenticacion muy sencilla. Se trata por tanto de un
escenario perfecto para que cualquier atacante pueda
alterar las rutas correctas y falsificando su IP origen
para crear una condicion DoS. Las victimas de estos
ataques veran como su trafico se dirige por ejemplo hacia
un agujero negro: a una red que no existe. Los ataques
DoS sobre servidores de nombres de dominios (DNS) son tan
problematicos como los anteriores. Estos ataques intentan
convencer al servidor DNS, por ejemplo, para alamcenar
direcciones falsas: cuando un servidor DNS realiza una
busqueda el atacante puede redireccionar a su propio
servidor o bien a un "agujero negro". En los ultimos años
se ha sufrido varias veces ataques a alguno de los
servidores "root" DNS de internet colapsando media red y
con tiempos de normalizacion superiores a las 48 horas.



Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de


ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and


confers no rights.
You assume all risk for your use.




.

Respuesta Responder a este mensaje
#4 Mr Big Dragon
28/07/2004 - 19:44 | Informe spam
Estubo mejor el de ayer pero esto no deja de estar Interesante,
Desacuerdo en muchas de las "Teorias" algunas estan muy "Fantasticas" y hasta "Alarmistas" como que se nota tu subconciente perverso
8-))))

Podria... pero la verdad que esta muy largo y tengo flojera de escribir...
Lo bueno del caso es que se te esta quitando lo vago...
;-))))
Saludos
Mr Big Dragon


"JM Tella Llop [MVP Windows]" wrote in message news:
Sutiles formas de ataque: DoS

Ataque de denegacion de servicio.

Muchas veces la seguridad de un sistema hace que un atacante inexperto tenga un sentimiento de frustación. Algunos de estos atacantes, sientose inutiles e incapaces lanzan un ataque DoS como ultimo recurso. Unas veces es simplemente por motivos personales o politicos. Otras veces los atacantes realizan un ataque DoS porque les es necesario a fin de vulnerar un sistema: puede ser que los atacantes necesiten que un sistema caiga para que un administrador de él lo reinicie. Un sistema es muy facil vulnerarlo justo durante el reinicio antes que todos los servicios esten totalmente operativos.

La accion de una caida inexplicable de un sistema conectado a internet deberia atraer la atencion del administrador sobre la posibilidad de estar sufriendo un ataque, pero por desgracia, la mayoria de los administradores no le dan importancia y reinician el sistema sin pensarlo mucho.

Aunque es imposible analizar todos los posibles motivos de un ataque, no debemos olvidar que internet no es muy diferente a la vida real. No todas las personas son normales: hay quien disfruta haciendo maldades y cualquier ataque o posible conquista le da sensacion de poder. Y recordemos tambien, que es mucho mas identico a la vida real de lo que parece: nadie regala nada por nada y por tanto, nadie nos va a reglara nada en la vida real ni en internet. Todo lo que aparentemente es gratis o de facil adquisicion, llevará "regalo" incorporado. Los usuarios finales deben ser muy precavidos con el riesgo actual que conllevan las redes P2P: nada es gratis.

Recordemos de todas formas que cualquier hacker experto detestan este tipo de ataques y detestan a quienes los realizan. Es tipico de script-kiddies (los niños script). Por desgracia estos ataques DoS son los seleccionados por los cyberterroristas que segun vamos viendo, cada dia están en aumento.

TCP/IP es un protocolo de comunicaciones abierto y totalmente documentado. No tiene seguridad: se diseñó para su empleo en una comunidad abierta y confiada y la versión que estamos usando tiene defectos inherentes y graves. No puede modificarse o implementarse otro tipo de seguridad por el simple motivo que internet dejaría de funcionar. Igualmente muchas implementacion del tcp/ip en sistemas operativos e incluso dispositivos fisicos de red tienen defectos que debilitan su capacidad para resistir ataques DoS.

Hay todavia sistemas y servidores en internet totalmente operativos en viejos sistemas unix y linux, o sistemas sin parchear por sus administradores, que se desmoronan ante un reenrutamiento de ICMP simple si se utiliza un parámetro no válido.

Existen muchas herramientas igualmente en la red para realizar de manera sistematica ataques DoS.


Variantes de ataques DoS


El mas viejo y elementas son los de "consumo de ancho de banda". Consiste simplemente en consumir todo el ancho de banda, es relativamente sencillo:

* por ejemplo un servidor de internet pequeño, un adsl tipico, con una entrada de 512 Kb. Desde un equipo malintecionado con un ancho de banda de 2 Mb se realiza el ataque. Equivale al choque frontal de un tren con un triciclo.

* o bien, y es lo mas normal, uniendo multitud de pequeñas maquinas para saturar la conexion de red de la victima. Con simples modems de 56 Kb se pueden saturar lineas de 60 Mb de una manera sencilla: puede basarse por ejemplo, en que el atacante convenza a los sistemas amplificadores para enviar trafico de red a la victima consiguiendo de esa manera con un simple modem el enviar a la victima flujos de informacion de hasta 100 Mb (megas!!). No es dificil usar estas tecnicas de amplificacion. O bien basrse en sistemas "zombies", miles, capturados previamente y en espera de ser despertados para organizar un ataque conjunto. En Internet se venden listas de miles de equipos conquistados y lo que es peor: alguien las compra, o puede comprarlas, cuando desea realizar uno de estos ataques.

Cualquier estudiante de redes sabe que el trafico ICMP es peligroso. Es necesario para realizar muchos diagnosticos pero por desgracia, es la bala que se utiliza en los ataques de consumo de ancho de banda. Es relativamente sencillo ademas falsificar la direccion origen con lo que es sumamente dificil identificar al culpable.

Un segunto tipo de ataque es por "inanicion de recursos". Esta enfocado, en vez de agotar el ancho de banda del sistema atacado, al consumo de los recursos del sistema, a la saturacion de la CPU, memoria, lo que sea, hasta que la maquina se cae. Este tipo de ataque, generalmente provoca un fallo general del sistema, o que se llene un disco de log, o procesos que se cuelgan porque necesitan CPU qe el sistema no le está proporiconando o se lo proporciona escasamente: y alguno de estos provesos puede ser critico para el sistema.

Un tercer tipo de ataque DoS es por los "errores de programacion". Envio de datos "anormales", que no cumplen las RFC (normas de definicion del protocolo) al sistema objetivo: si la pila tcp/ip no es capaz de manejar estas excepciones y los programadores no han supuesto estos casos, terminará con la caida del sistema al ser en la capa de drivers que se ejecuta en RING 0 o RING 1 de la maquina. A veces, no son defectos de programacion: son defectos del hardware, defectos de algun chip, o defectos de la propia CPU. No está de más recordar el famoso defecto existente en algun Pentium (no voy a citar modelos presentes o pasados) por el cual un proceso, incluso en modo usuario sin privilegos, podia colgar a la CPU con algo tan simple como enviarle la instruccion 0xf00fc7c8 a la CPU.

Recordemos, y no solo los administradores, sino tambien los usuarios finales, que la existencia de programas, sistemas operativos o incluso hardware y CPU libres de errores es una quimera.

Un cuarto tipo de ataque son los ataques DNS y de enrutamiento. La mayoria de los protocolos de enrutamiento como RIP (Routing Information Protocol) o BGP (Border Gateway Protocol) carcen, o tienen una autenticacion muy sencilla. Se trata por tanto de un escenario perfecto para que cualquier atacante pueda alterar las rutas correctas y falsificando su IP origen para crear una condicion DoS. Las victimas de estos ataques veran como su trafico se dirige por ejemplo hacia un agujero negro: a una red que no existe. Los ataques DoS sobre servidores de nombres de dominios (DNS) son tan problematicos como los anteriores. Estos ataques intentan convencer al servidor DNS, por ejemplo, para alamcenar direcciones falsas: cuando un servidor DNS realiza una busqueda el atacante puede redireccionar a su propio servidor o bien a un "agujero negro". En los ultimos años se ha sufrido varias veces ataques a alguno de los servidores "root" DNS de internet colapsando media red y con tiempos de normalizacion superiores a las 48 horas.



Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.
Respuesta Responder a este mensaje
#5 Mr Big Dragon
28/07/2004 - 19:44 | Informe spam
Estubo mejor el de ayer pero esto no deja de estar Interesante,
Desacuerdo en muchas de las "Teorias" algunas estan muy "Fantasticas" y hasta "Alarmistas" como que se nota tu subconciente perverso
8-))))

Podria... pero la verdad que esta muy largo y tengo flojera de escribir...
Lo bueno del caso es que se te esta quitando lo vago...
;-))))
Saludos
Mr Big Dragon


"JM Tella Llop [MVP Windows]" wrote in message news:
Sutiles formas de ataque: DoS

Ataque de denegacion de servicio.

Muchas veces la seguridad de un sistema hace que un atacante inexperto tenga un sentimiento de frustación. Algunos de estos atacantes, sientose inutiles e incapaces lanzan un ataque DoS como ultimo recurso. Unas veces es simplemente por motivos personales o politicos. Otras veces los atacantes realizan un ataque DoS porque les es necesario a fin de vulnerar un sistema: puede ser que los atacantes necesiten que un sistema caiga para que un administrador de él lo reinicie. Un sistema es muy facil vulnerarlo justo durante el reinicio antes que todos los servicios esten totalmente operativos.

La accion de una caida inexplicable de un sistema conectado a internet deberia atraer la atencion del administrador sobre la posibilidad de estar sufriendo un ataque, pero por desgracia, la mayoria de los administradores no le dan importancia y reinician el sistema sin pensarlo mucho.

Aunque es imposible analizar todos los posibles motivos de un ataque, no debemos olvidar que internet no es muy diferente a la vida real. No todas las personas son normales: hay quien disfruta haciendo maldades y cualquier ataque o posible conquista le da sensacion de poder. Y recordemos tambien, que es mucho mas identico a la vida real de lo que parece: nadie regala nada por nada y por tanto, nadie nos va a reglara nada en la vida real ni en internet. Todo lo que aparentemente es gratis o de facil adquisicion, llevará "regalo" incorporado. Los usuarios finales deben ser muy precavidos con el riesgo actual que conllevan las redes P2P: nada es gratis.

Recordemos de todas formas que cualquier hacker experto detestan este tipo de ataques y detestan a quienes los realizan. Es tipico de script-kiddies (los niños script). Por desgracia estos ataques DoS son los seleccionados por los cyberterroristas que segun vamos viendo, cada dia están en aumento.

TCP/IP es un protocolo de comunicaciones abierto y totalmente documentado. No tiene seguridad: se diseñó para su empleo en una comunidad abierta y confiada y la versión que estamos usando tiene defectos inherentes y graves. No puede modificarse o implementarse otro tipo de seguridad por el simple motivo que internet dejaría de funcionar. Igualmente muchas implementacion del tcp/ip en sistemas operativos e incluso dispositivos fisicos de red tienen defectos que debilitan su capacidad para resistir ataques DoS.

Hay todavia sistemas y servidores en internet totalmente operativos en viejos sistemas unix y linux, o sistemas sin parchear por sus administradores, que se desmoronan ante un reenrutamiento de ICMP simple si se utiliza un parámetro no válido.

Existen muchas herramientas igualmente en la red para realizar de manera sistematica ataques DoS.


Variantes de ataques DoS


El mas viejo y elementas son los de "consumo de ancho de banda". Consiste simplemente en consumir todo el ancho de banda, es relativamente sencillo:

* por ejemplo un servidor de internet pequeño, un adsl tipico, con una entrada de 512 Kb. Desde un equipo malintecionado con un ancho de banda de 2 Mb se realiza el ataque. Equivale al choque frontal de un tren con un triciclo.

* o bien, y es lo mas normal, uniendo multitud de pequeñas maquinas para saturar la conexion de red de la victima. Con simples modems de 56 Kb se pueden saturar lineas de 60 Mb de una manera sencilla: puede basarse por ejemplo, en que el atacante convenza a los sistemas amplificadores para enviar trafico de red a la victima consiguiendo de esa manera con un simple modem el enviar a la victima flujos de informacion de hasta 100 Mb (megas!!). No es dificil usar estas tecnicas de amplificacion. O bien basrse en sistemas "zombies", miles, capturados previamente y en espera de ser despertados para organizar un ataque conjunto. En Internet se venden listas de miles de equipos conquistados y lo que es peor: alguien las compra, o puede comprarlas, cuando desea realizar uno de estos ataques.

Cualquier estudiante de redes sabe que el trafico ICMP es peligroso. Es necesario para realizar muchos diagnosticos pero por desgracia, es la bala que se utiliza en los ataques de consumo de ancho de banda. Es relativamente sencillo ademas falsificar la direccion origen con lo que es sumamente dificil identificar al culpable.

Un segunto tipo de ataque es por "inanicion de recursos". Esta enfocado, en vez de agotar el ancho de banda del sistema atacado, al consumo de los recursos del sistema, a la saturacion de la CPU, memoria, lo que sea, hasta que la maquina se cae. Este tipo de ataque, generalmente provoca un fallo general del sistema, o que se llene un disco de log, o procesos que se cuelgan porque necesitan CPU qe el sistema no le está proporiconando o se lo proporciona escasamente: y alguno de estos provesos puede ser critico para el sistema.

Un tercer tipo de ataque DoS es por los "errores de programacion". Envio de datos "anormales", que no cumplen las RFC (normas de definicion del protocolo) al sistema objetivo: si la pila tcp/ip no es capaz de manejar estas excepciones y los programadores no han supuesto estos casos, terminará con la caida del sistema al ser en la capa de drivers que se ejecuta en RING 0 o RING 1 de la maquina. A veces, no son defectos de programacion: son defectos del hardware, defectos de algun chip, o defectos de la propia CPU. No está de más recordar el famoso defecto existente en algun Pentium (no voy a citar modelos presentes o pasados) por el cual un proceso, incluso en modo usuario sin privilegos, podia colgar a la CPU con algo tan simple como enviarle la instruccion 0xf00fc7c8 a la CPU.

Recordemos, y no solo los administradores, sino tambien los usuarios finales, que la existencia de programas, sistemas operativos o incluso hardware y CPU libres de errores es una quimera.

Un cuarto tipo de ataque son los ataques DNS y de enrutamiento. La mayoria de los protocolos de enrutamiento como RIP (Routing Information Protocol) o BGP (Border Gateway Protocol) carcen, o tienen una autenticacion muy sencilla. Se trata por tanto de un escenario perfecto para que cualquier atacante pueda alterar las rutas correctas y falsificando su IP origen para crear una condicion DoS. Las victimas de estos ataques veran como su trafico se dirige por ejemplo hacia un agujero negro: a una red que no existe. Los ataques DoS sobre servidores de nombres de dominios (DNS) son tan problematicos como los anteriores. Estos ataques intentan convencer al servidor DNS, por ejemplo, para alamcenar direcciones falsas: cuando un servidor DNS realiza una busqueda el atacante puede redireccionar a su propio servidor o bien a un "agujero negro". En los ultimos años se ha sufrido varias veces ataques a alguno de los servidores "root" DNS de internet colapsando media red y con tiempos de normalizacion superiores a las 48 horas.



Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.
Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente Respuesta Tengo una respuesta
Search Busqueda sugerida