Laboratorio 1 ataques - Nota: 8.5 PDF

Preview

Summary

El informe presenta el proceso de implementación de tres tipos diferentes de ataques de denegación de servicio (DoS), que se logran mediante máquinas virtuales y así simular cada uno de los equipos que se atacaron. ...

Description

CRIPTOGRAFIA Y SEGURIDAD EN REDES

LABORATORIO N° 1 ATAQUE DE DENEGACIÓN DE SERVICIO

RESUMEN: El siguiente informe presenta el



proceso de implementación de tres tipos diferentes de ataques de denegación de servicio (DoS), que se logran mediante máquinas virtuales y así simular cada uno de los equipos que se atacaron.

Implementar tres tipos diferentes de ataques de denegación de servicio.

3 ATAQUE DE SERVICIO DoS

DENEGACIÓN

DE

En seguridad informática y redes un ataque de denegación de servicios, también llamado ataque DoS (de las siglas en inglés Denial of Service), es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos. Normalmente provoca la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima. [1]

1 INTRODUCCIÓN Para el mundo actual, las redes de comunicaciones juegan un papel vital dentro del mundo de las telecomunicaciones, ya que son las responsables desde el ámbito técnico de trasmitir los datos y la información a través de diversos medios, ya sea alámbricos o inalámbricos. Los datos o información que se transfieren por las redes generalmente suelen ser de alta importancia o confidencialidad, por ello se debe mantener algún tipo de seguridad en cada una de las redes, el objetivo es mantener el intercambio de información libre de riesgo y proteger los recursos informáticos de los usuarios y de las organizaciones.

Se genera mediante la saturación de los puertos con flujo de información, haciendo que el servidor se sobrecargue y no pueda seguir prestando servicios; por eso se le denomina “denegación”, pues hace que el servidor no dé abasto a la cantidad de solicitudes. Esta técnica es usada por los llamados crackers para dejar fuera de servicio servidores objetivos. [1][2]

Ante el aumento del uso del internet en organizaciones e instituciones de todos los ámbitos se encuentra así mismo el crecimiento de riesgos y amenazas como ataques de virus, códigos maliciosos, gusanos, caballos de Troya y hackers. Así que en la actualidad se ofrecen diferentes tipos de herramientas para garantizar la seguridad, tales como antivirus, antispyware, filtrado de firewall, cifrados de archivo y mecanismos adicionales que pueden ser físicos, teniendo en cuenta que ninguna de las anteriores herramientas provee un sistema 100% seguro en todos los entornos.

En ocasiones, esta herramienta ha sido utilizada como un buen método para comprobar la capacidad de tráfico que un ordenador puede soportar sin volverse inestable y afectar a los servicios que presta. Un administrador de redes puede así conocer la capacidad real de cada máquina.

3.1 ATAQUE DE DENEGACIÓN SERVICIO DISTRIBUIDO DDoS

2 OBJETIVOS

1

DE

CRIPTOGRAFIA Y SEGURIDAD EN REDES

Una ampliación del ataque DoS es el llamado ataque distribuido de denegación de servicio, también llamado ataque DDoS (de las siglas en inglés Distributed Denial of Service) el cual se lleva a cabo generando un gran flujo de información desde varios puntos de conexión. La forma más común de realizar un DDoS es a través de una botnet, siendo esta técnica el ciberataque más usual y eficaz por su sencillez tecnológica. [2][3]

TCP, el cual requiere una conexión de tres pasos, si el paso final nunca llega se queda una conexión abierta en el servidor por un lapso de tiempo. [3]

Para que el ataque sea realmente efectivo se debe contar con muchas máquinas que envíen peticiones a la página Web. Existen personas que se dedican a infectar equipos y crear grandes redes de equipos “zombie” (botnets) y posteriormente rentarlas. En la figura 1 se aprecia el esquema general de un ataque DDoS, sabiendo que un sitio Web es como una puerta de acceso, sólo puede dar servicio a un número limitado de personas al mismo tiempo, por tanto, si recibe más solicitudes de las que puede atender, el servicio se bloquea, nada entra ni sale. [2]



Connection Flood: significa inundación de conexión, explota la dificultad del servidor para atender un gran número de peticiones al mismo tiempo, si un atacante realiza 10,000 peticiones al servidor este estará ocupado por un período de tiempo, conforme caduquen las conexiones el atacante vuelve a establecer más conexiones impidiendo así que los clientes utilicen el servicio. [3]



ICMP Flood: este ataque es conocido como “Ping-Pong”, o inundación ICMP, la conexión se lleva a cabo, pero se desperdicia el recurso. Lo mismo pasa con los servidores, se satura la línea con conexiones correctas pero todas ellas de tipo “basura”, las cuales impiden que las conexiones de clientes verdaderos se concreten. [3]



UDP Flood: se utiliza el protocolo de conexión UDP para enviar una gran cantidad de paquetes al servidor utilizando muchas conexiones al mismo tiempo, ocasionando que los recursos (Memoria RAM, Procesador) del servidor sean insuficientes para manipular y procesar tal cantidad de información, en consecuencia, el sistema se bloquea. [3]

Figura

1. Esquema general de un ataque DDoS. [2]

TIPOS DE ATAQUES DDOS 

4 IMPLEMENTACIÓN

Syn Flood: significa inundación de paquetes este ataque se basa en la esencia del protocolo de conexión 2

CRIPTOGRAFIA Y SEGURIDAD EN REDES

todos) y nos permiten realizar una intrusión a la máquina desde metasploit.

A partir de la instalación del software de virtualización VirtualBox utilizado para instalar sistemas operativos adicionales, conocidos como sistemas invitados, dentro de otro sistema operativo anfitrión. 

Hping3: generador y analizador de paquetes de código abierto para el protocolo TCP/IP, es un tipo de comprobador de red para la seguridad de la red. La versión 3 que es la que se utiliza, es programable usando el lenguaje Tci, e implementando un motor para la descripción legible de TCP.



Slowloris: herramienta de ataque de negación de servicio, que permite que una sola maquina derribe el servidor web de otra máquina con un ancho de

Como sistemas operativos invitados se tiene el Kali Linux que es una distribución basada en GNU/Linux diseñada principalmente para la auditoria y seguridad informática en general, y Windows 7, sistema operativo de la familia de Microsoft Windows como se muestran en las figuras 2 y 3, mientras que la maquina física utiliza el Windows 10 como sistema operativo anfitrión.

banda mínima y efectos secundarios en servicios y puertos no relacionados.



Figura 2. Kali Linux en VirtualBox.

4.1 Ataque Syn Flood

Figura 3. Windows 7 en VirtualBox.

Adicional a lo anterior, se utilizaron cinco herramientas más para poder implementar cada uno de los ataques. 

Wireshark: analizador de protocolos utilizado para análisis y solución en problemas de redes de comunicación, para desarrollo de software y protocolos, mas como una herramienta dinámica. Al ser de software libre se ejecuta en la mayoría de los sistemas operativos libres como lo es el utilizado, el Kali Linux.

Se realiza mediante la inundación de paquetes mediante la herramienta Metasploid como se muestra en la figura 4.

Metasploit: herramienta pensada para testear todas las opciones que nos ofrece metasploit. son máquinas las cuales poseen determinados puertos abiertos corriendo determinados servicios. Puertos los cuales por estar corriendo servicios no actualizados o diversos motivos son vulnerables (no 3

CRIPTOGRAFIA Y SEGURIDAD EN REDES

Wireshark se observa el monitoreo de paquetes como se observa en la figura 6.

Figura 6. Monitor de paquetes con Wireshark.

Se observa un aumento en él envió de paquetes de tcp lo cual lleva a que la pagina no esté disponible hasta que resuelva todas las peticiones pendientes y así se genera la caída del servicio por inundación de mensajes como se aprecia en la figura 7.

Figura 4. Página del servidor Metasploid.

Para este primer ataque se utiliza el sistema operativo Kali Linux que es de donde se van a originar los ataques, y dentro de la herramienta Metasploid se utiliza el siguiente código como se aprecia en la figura 5. -

use auxiliary/dos/tcp/synflood show options set RHOST 192.168.0.15 exploit

Figura 7. Pagina caída por el ataque Syn Flood.

4.2 Ataque DNS Flood Para el segundo tipo de ataque se sigue utilizando el sistema operativo Kali Linux como origen del ataque. Para este tipo de ataque utilizamos la herramienta Slowloris, que es un tipo de script y se utiliza el código con la siguiente sintaxis. Figura 5.Consola de comandos de Metasploid.

-

Llamamos un exploit que se encarga de crear y enviar los paquetes tcp a nuestra victima mientras se muestran las opciones y aparece el espacio donde se debe poner la IP de la víctima en este caso de la página será 192.168.0.10, y al ejecutarlo se observa un aumento de paquetes tcp del pc atacante hacia la página.

perl slowloris.pl -dns [VULNERABLE WEBSITE URL] -port 80 -timeout 2 = Attack

Se insertan la IP o la página de la víctima el puerto de salida y el tiempo que tomar en enviar los paquetes al servidor antes del ataque, mientras se monitorea como se muestra en la figura 8.

Al ejecutar el exploit le asigna una IP diferente para enmascarar el atacante y usa el puerto 80 para el ataque, mientras que en el software 4

CRIPTOGRAFIA Y SEGURIDAD EN REDES

Por último, el puerto por donde enviaremos los paquetes, y así podemos visualizar el monitoreo de paquetes después del ataque UDP Flood como se muestra en la siguiente figura.

Figura 8. Monitoreo sin exposición al ataque DNS Flood.

Cuando se realiza el ataque el programa nos dice que envía de 1400 a 1600 paquetes, y en el monitor se observa lo mostrado en la figura siguiente.

Figura 9. Monitoreo después del ataque UDP Flood

5 CONCLUSIONES 

Los ataques mencionados anteriormente tienen el común que se basan en el envío masivo de paquetes los cuales saturan al servidor ya que no se realiza el handcheck de 3 vías (excepto el udp que es más usado para tirar transmisiones donde solo se envía paquetes sin verificar si llegaron)



Existe diversidad de programas para hacer ataques, con el slowloris el comando –a logra ocultar la IP del atacante ya que como se aprecia en el monitor sin este comando la IP del atacante está al descubierto.



Cuanto más robusto sea el hardware, los ataques pueden ser más grande ya que logran mayores capacidades de procesamiento.

Figura 8.Monitoreo después del ataque DNS Flood.

4.3 Ataque UDP Flood Para este tipo de ataque se utiliza el protocolo UDP para poder enviar una gran cantidad de paquetes al servidor y así agotar los recursos físicos, utilizando la herramienta Hping3, para enviar una masiva cantidad de datos desde diferentes IP’s, haciendo su localización complicada de hallar y permitiendo al atacante esconderse de diferentes maneras. El comando que se usa para este tipo de ataque en la herramienta Hping3, es el siguiente -

6 BIBLIOGRAFIA

hping3 --flood --rand-source --udp -p 445 (Victim IP)

[1] Delitos informáticos; Ataque DoS Disponible en: https://www.informaticaforense.com.co/ataque -dos/ [Acceso: septiembre 7 de 2018].

Llamamos al Hping3 y se le indica que será una inundación mediante el rand- source indicamos que cambié la IP por cada paquete que envié mientras el udp es el tipo de paquete que se envía.

[2] ¿Qué es y cómo funciona un ataque DDoS? Disponible en:

5

CRIPTOGRAFIA Y SEGURIDAD EN REDES

https://revista.seguridad.unam.mx/numero12/que-es-y-como-funciona-un-ataque-ddos [Acceso: Septiembre 7 de 2018].

[3] Seguridad en Redes Disponible en: https://www.certsuperior.com/SeguridadenRed es.aspx. [Acceso: Septiembre 7 de 2018]. [4] Ataque de denegación de servicio (DDoS) Disponible en: https://searchdatacenter.techtarget.com/es/def inicion/Ataque-de-denegacion-de-servicio. [Acceso: Septiembre 7 de 2018].

6...