ANEXO 5 : DoS DENEGACION DE SERVICIO

En trminos muy simples, un Denial of Service es un tipo de ataque cuyo objetivo final es la de negar el acceso del equipo atacado a un recurso determinado (o a sus propios recursos); colapsando, saturando y/ sobrecargando el Servicio; y puede provocar la cada total del Sistema (del equipo de la vctima por supuesto). En seguridad en redes informticas, un ataque de denegacin de servicio, tambin llamado ataque DoS (de las siglas en ingls Denial of Service), es un ataque a un sistema de computadores en red que causa que un servicio o recurso sea inaccesible a los usuarios legtimos. Normalmente provoca la prdida de la conectividad de la red por el consumo del ancho de banda (BW) de la red de la vctima o sobrecarga de los recursos computacionales del sistema de la vctima. Se genera mediante la saturacin de los puertos con flujo de informacin, haciendo que el Servidor se sobrecargue y no pueda seguir prestando servicios, por eso se le denomina "denegacin", pues hace que el servidor no d abasto a la cantidad de solicitudes. Esta tcnica es usada para dejar fuera de servicio a servidores objetivo. Un ejemplo tpico es el denominado ataque e-mail bombing; el cual consiste en enviar muchas veces un correo idntico a una misma direccin (usuarios), tratando de saturar el mailbox del destinatario. Una ampliacin del ataque DoD es el llamado ataque distribuido de denegacin de servicio, tambin llamado ataque DDoS (de las siglas en ingls Distributed Denial of Service) el cual lleva a cabo generando un gran flujo de informacin desde varios puntos de conexin. Este tipo de ataque siempre han sido una pesadilla para los administradores de IT y seguridad; ya que desde su popularizacin como principal herramienta de "protesta", miles de organizaciones pblicas y privadas de todo el mundo han tenido que comenzar a pensar seriamente en alternativas para detectar, mitigar y/o bloquear la tormenta de trfico desatada por estos ataques. En caso de una entidad pblica o gubernamental este tipo de ataques puede afectar seriamente a las operaciones que la entidad brinda a los ciudadanos y por eso se utiliza como medio de reclamo y protesta ya que el impacto es pblico, masivo y multiplicador. En ocasiones, esta herramienta ha sido utilizada como un buen mtodo para comprobar la capacidad de trfico que un ordenador puede soportar sin volverse inestable y afectar a los servicios que presta. Un administrador de redes puede as conocer la capacidad real de cada mquina. Un ataque de "Denegacin de servicio" impide el uso legtimo de los usuarios al usar un servicio de red. El ataque se puede dar de muchas formas. Pero todas tienen algo en comn: utilizan el protocolo TCP-IP para conseguir su propsito. Un ataque DoS puede ser perpetrado de varias formas. Aunque bsicamente consisten en : Consumo de recursos computacionales escasos (o limitados), tales como ancho de banda, espacio de disco, o tiempo de procesador. Alteracin (o destruccin) de informacin de configuracin, tales como informacin de rutas de encaminamiento.

Alteracin de informacin de estado, tales como interrupcin de sesiones TCP (TCP reset). Interrupcin de componentes fsicos de red. Obstruccin de medios de comunicacin entre usuarios de un servicio y la vctima, de manera que ya no puedan comunicarse adecuadamente.

Metodologas: 1. Inundacin tipo SYN (SYN Flood) 2. Inundacin tipo ICMP (ICMP Flood) 3. Inundacin tipo UDP (UDP Flood) 4. Ataque SMURF

Figura 1: Esquema general Ataque DDoS.

La eficiencia de un ataque tipo DoS se basa en la cantidad de atacantes y en el ancho de banda utilizado por cada uno de ellos. En un ejemplo publicado por Microsoft (ver en http://technet.microsoft.com/en-us/library/cc722931.aspx). Supone lo siguiente: se tienen 500 mquinas atacantes cada una de ellas tiene una conexin DSL y utiliza un ancho de 128 Kb/seg. (de subida) Con esto se puede generar (500 * 128)Kb/seg. = 64000 Kb/seg. = 62,5 MB/seg. Esto es aproximadamente el tamao de 40 lneas T1 (1,544 MB/seg.). Por supuesto variando el nmero de atacantes y su ancho de banda promedio, se producen cambios en el volumen de trfico y as se podra inundar fcilmente redes de cualquier tamao. El trmino inundacin viene de IP spoofing (broma), basado en la suplantacin de IP. Consiste bsicamente en sustituir la direccin IP origen de un paquete TCP-IP por otra direccin IP a la cual se desea suplantar. Esto se consigue generalmente gracias a programas destinados a ello y puede ser usado para cualquier protocolo dentro de TCP/IP como son el ICMP, el UDP y el TCP. Hay que tener en cuenta que las respuestas del equipo host que reciba los paquetes alterados irn dirigidas a la IP falsificada. Por ejemplo si enviamos un ping (paquete ICMP "echo request") suplantado, la respuesta ser recibida por el host al que pertenece la IP legalmente. Este tipo de spooofing unido al uso de peticiones tipo broascast a diferentes redes es usado en un tipo de ataque de flood conocido como ataque Smurf. Para poder realizar Suplantacin de IP en sesiones TCP, se debe tener en cuenta el comportamiento de dicho protocolo con el envo de paquetes SYN y ACK. Tambin hay que tener en cuenta que los routers actuales no admiten el envo de paquetes con IP origen no perteneciente a una de las redes que administra (los paquetes suplantados no sobrepasarn el enrutador). 1.- Inundacin SYN (SYN Flood). Cuando una mquina se comunica con otra mediante el protocolo TCP-IP, enva una serie de datos junto a la peticin real. Estos datos forman la cabecera de la solicitud (paquete). Dentro de la cabecera se encuentran unas sealizaciones llamadas Flags ; que son sealizaciones (banderas) que permiten iniciar una conexin, cerrarla, indicar que una solicitud es urgente, reiniciar una conexin, etc. Las banderas se incluyen tanto en la solicitud (cliente) como en la respuesta (del servidor). Una inundacin SYN enva un flujo de paquetes TCP/SYN (varias peticiones con Flags SYN en la cabecera), muchas veces con la direccin de origen falsificada. Cada uno de los paquetes recibidos es tratado por el destino como una peticin de conexin, causando que el servidor intente establecer una conexin al responder con un paquete TCP/SYNACK y esperando el paquete de respuesta TCP/ACK (tpico proceso de establecimiento de una conexin TCP). Sin embargo, debido a que la direccin de origen es falsa o la direccin IP real no ha solicitado la conexin, nunca llega la respuesta (quedando en un loop esperando respuesta por un tiempo). Estos intentos de conexin consumen recursos en el servidor y copan el nmero de conexiones que se pueden establecer, reduciendo la disponibilidad del servidor para responder peticiones legtimas de conexin.

Las conexiones semiabiertas van caducando tras un tiempo, pero el atacante consigue una tasa de establecimientos de conexin de tal manera que el nmero de conexiones establecidas por minuto sea superior al nmero de conexiones liberadas por minuto, con lo que se consigue saturar el pool de conexiones.

Figura 2: Ataque IP Flooding.

2.- Inundacin ICMP (ICMP Flood) Es una tcnica DoS que pretende agotar el ancho de banda del equipo de la vctima. Consiste en enviar de forma continuada un nmero elevado de paquetes ICMP Echo request (el tpico ping) de tamao considerable a la vctima, de forma que sta ha de responder con paquetes ICMP Echo reply (pong), lo que supone una sobrecarga tanto en la red como en el sistema de la vctima. Dependiendo de la relacin entre capacidad de procesamiento de los equipos de la vctima y el atacante, el grado de sobrecarga vara, es decir, si un atacante tiene una capacidad mucho mayor, la vctima no puede manejar el trfico generado. 3.- Inundacin UDP (UDP Flood) Bsicamente este ataque consiste en generar grandes cantidades de paquetes UDP contra el equipo de la vctima elegida. Debido a la naturaleza sin conexin del protocolo UDP, este tipo de ataques suele venir acompaado de IP spoofing. Es usual dirigir este ataque contra mquinas que ejecutan el servicio Echo, de forma que se generan mensajes Echo de un elevado tamao.

Figura 3: Ataque Broadcast.

4.- Ataque SMURF Existe una variante a ICMP Flood denominado Ataque Smurf que amplifica considerablemente los efectos de un ataque ICMP. Existen tres partes en un Ataque Smurf: El atacante, el intermediario y la vctima. En el ataque Smurf, el atacante dirige paquetes ICMP tipo "echo request" (ping) a una direccin IP de broadcast, usando como direccin IP origen, la direccin de la vctima (spoofing). Se espera que los equipos conectados respondan a la peticin, usando mensajes Echo reply, a la mquina origen (vctima). Se dice que el efecto es amplificado, debido a que la cantidad de respuestas obtenidas, corresponde a la cantidad de equipos en la red que puedan responder. Todas estas respuestas son dirigidas a la vctima intentando colapsar sus recursos de red. De esta forma, los equipos intermediarios tambin sufren los mismos problemas que las propias vctimas.

Figura 4: Ataque Smurf.

Todo servicio de Internet orientado a la conexin (la mayora) tiene un lmite mximo en el nmero de conexiones simultneas que puede tolerar. Una vez que se alcanza ese lmite, no se admitirn ms conexiones nuevas (hasta que se liberen algunas). Por ejemplo, un Servidor Web puede tener capacidad para atender a mil usuarios simultneamente; pero si un atacante estable mil conexiones, y no realiza ninguna peticin sobre ellas, monopolizar la capacidad del equipo Servidor.