Documentos de Académico
Documentos de Profesional
Documentos de Cultura
.
El protocolo ICMP es el que se utiliza para la comunicacin de mensajes de control de
flujo en las comunicaciones (si la red est congestionada, si la direccin de destino no
existe o es inalcanzable...) y tiene una cabecera de 8 bytes.
De esta forma tenemos que para enviar un mensaje ICMP tenemos disponibles 65535 -
20 - 8 = 65507 Bytes.
Como se ha explicado en puntos anteriores, en el caso de enviar ms de 65535 bytes el
paquete se fragmenta y se reconstruye en el destino utilizando un mecanismo de
posicin y desplazamiento relativo.
No obstante, si enviamos ordenes al sistema operativo para que enve un datagrama con
una longitud de 65510 bytes (correcto, puesto que es inferior a 65507 bytes):
ping -l 65510 direcion_ip [Windows]
ping -s 65510 direccion_ip [Unix]
.
La explicacin dada a que inmediatamente despus de bloquear el primer ataque
continuara atacado el WWW es que este segundo ataque se lanz simultneamente con
el primero, sin embargo, debido a que el primero proviene de ISPs con una gran
capacidad de ancho de banda, haban enmascarado el segundo.
A continuacin en la figura 2-17 se pueden observar algunas muestras tomadas de las
peticiones de TCP SYN Flood obtenidas del segundo ataque. Se puede observar que
muchas de ellas provienen de ordenadores conectados a redes que tienen grandes
conexiones a Internet (.nasa.gov o .yahoo.com)
Direccin IP Nombre (DNS)
64.152.4.80
128.121.223.161
131.103.248.119
164.109. 18.251
171. 64. 14.238
205.205.134.1
206.222.179.216
208. 47.125. 33
216. 34. 13.245
216.111.239.132
216.115.102. 75
216.115.102. 76
216.115.102. 77
216.115.102. 78
216.115.102. 79
216.115.102. 80
216.115.102. 82
www.wwfsuperstars.com
veriowebsites.com
www.cc.rapidsite.net
whalenstoddard.com
www4.Stanford.edu
shell1.novalinktech.net
forsale.txic.net
gary7.nsa.gov
channelserver.namezero.com
www.jeah.net
w3.snv.yahoo.com
w4.snv.yahoo.com
w5.snv.yahoo.com
w6.snv.yahoo.com
w7.snv.yahoo.com
w8.snv.yahoo.com
w10.snv.yahoo.com
FIG. 2-17: Anlisis real de los paquetes del segundo ataque.
Despus de aplicar los filtros correspondientes, el ISP de GRC.COM (Verio) descart
un total de 1.072.519.399 paquetes maliciosos de TCP SYN Flood.
En [WWW58] se puede obtener una lista completa de los servicios asociados a los puertos TCP y UDP.
http://tau.uab.es/~gaby Gabriel Verdejo Alvarez SEGURIDAD EN REDES IP: DOS/DDOS
70
2.7 RESUMEN
En este captulo hemos comentado la evolucin histrica de los ataques sobre redes en
Internet y su evolucin final a los ataques de denegacin de servicio. Se han comentado
profundamente los modelos de funcionamiento de los ataques DOS y DDOS as como
los fundamentos de los protocolos bsicos de Internet que posibilitan este tipo de
ataques (IP, TCP e ICMP).
En la primera parte del captulo dedicada a la denegacin de servicio (DOS), se han
analizado los principales ataques documentados (IP Flooding, Broadcast, Smurf...) as
como su impacto en las redes de ordenadores.
En la segunda parte se explican los motivos de la evolucin de los ataques de
denegacin de servicio a ataques distribuidos (DDOS) as como las principales
herramientas existentes que permiten la realizacin de estos ataques (TFN, TFN2K...).
Posteriormente se realiza una explicacin sobre los posibles mtodos anti-DOS/DDOS
(D-WALL, Reverse Firewall, SOS) y las dificultades e implicaciones que conlleva la
aplicacin de estas medidas.
Finalmente se describe un ataque de DDOS real documentado por GRC.COM dnde se
analizan los pormenores de la tcnica "Reflection-DDOS" empleada por el atacante para
mantener el WWW fuera de servicio durante varias horas.