DDOS: TCNICAS DE DEFENSA

En los ltimos meses se ha visto como los ataques de DoS (Denegacin del Servicio) han aumentado

considerablemente contra empresas, organismo pblicos o institucionales como mtodo de protesta por

decisiones polticas, la situacin financiera, etc

La eficacia de estos ataques DoS reside en el carcter distribuido de los mismos, estos son realizados

desde mltiples lugares del mundo, gracias a la propagacin y distribucin de las herramientas de ataque a

travs de las redes sociales e Internet.

Referencia a la Web (URL) que proporciona los medios para atacar a un determinado objetivo en este ejemplo: www.casareal.es

Por ejemplo, una de las tcnicas de propagacin de este tipo de ataques DDoS (Denegacin de Servicio

Distribuido) es el que pone en prctica el grupo Anonymous, ste consisten en transmitir un tweet con un

mensaje reivindicativo, normalmente con fines polticos (hacktivismo), acompaado de una direccin URL.

Esta direccin URL proporciona la herramienta necesaria para realizar el ataque de DoS por inundacin (TCP

Flood), es decir mientras tengas abierta (visualizando) la pgina web a la que te lleva dicha URL, se estar

produciendo un ataque desde tu direccin IP al objetivo particular elegido para ese momento.
 Aspecto de la pgina WEB desde donde se realizan los ataques DoS que Anonymous pone a disposicin de todo el mundo.

Adems, desde la propia pgina WEB te ensean a ocultar tu IP para evitar "males" mayores.

Cmo se puede proteger una aplicacin WEB ante

ataques de Denegacin de Servicio (DoS)?

La denegacin de servicio consiste en intentar consumir los recursos del servicio evitando el funcionamiento

normal del mismo. El ataque ms comn y ampliamente utilizado es el que se conoce con el nombre de

inundacin (Flood), es un ataque que consiste en solicitar la informacin a una pgina web (HTTP Request) de

manera masiva y sin esperar a la respuesta (HTTP_Response).

Una manera efectiva es bloquear la IP origen desde la que se esta produciendo un comportamiento anmalo en

cuanto al nmero de peticiones por segundo que se realizan a la pgina WEB, sin embargo esta prctica tan

simple que resulta muy efectiva contra ataques DoS puntuales y centralizados, no surge efecto en el momento

que se utilizan tcnicas de ataque distribuidas (DDoS), pues el nmero de peticiones que se reciben

masivamente provienen desde mltiples direcciones IP.

No podemos bloquear todos una por una? Si el volumen de equipo (atacando al mismo tiempo es excesivo

podra ahogar los recursos hardware (CPU / Memoria) del dispositivo cortafuegos que se encuentra bloqueando
miles de direcciones IP. Pero sin embargo, suponiendo que se dispone de la capacidad suficiente para ello,

Quin nos asegura que no estamos bloqueando peticiones legitimas de usuarios del portal Web?

Se recomienda, llevar a cabo otro tipo de prcticas adicionales, como por ejemplo:

- Utilizar balanceadores de carga e incrementar los recursos activando servidores WEB auxiliares para hacer

frente a la demanda de trfico, as como el caudal de ancho de banda necesario.

- Si con ello no es suficiente, se puede realizar un ajuste en la configuracin TCP (Hardening TCP/IP

Stack) del Sistema Operativo que soporta al servicio WEB para aumentar los tiempos de respuesta a un valor

lo suficientemente largo, como para minimizar (ralentizar el funcionamiento del servicio) los efectos sobre el

servicio que se ofrece a sus usuarios mientras dure el ataque.

Las tcnicas ms efectivas son aquellas que disponen de un modelo combinado en cuanto a las medidas de

proteccin, es decir, disponen de sistema de proteccin automtico para bloquear direcciones IP en los sistema

de seguridad perimetral (FW), activacin de recursos latentes y ajustes de configuracin para controlar algunos

parmetros en particular del protocolo TCP, como por ejemplo:

En Sistemas Windows:

Para hacer frente a los ataques de DoS (TCP Flood, mediante SYN Attack) Microsoft proporciona una sera de

recomendaciones (gua) de seguridad para configurar adecuadamente los parametros de la torre de protocolos

TCP/IP.

Esta configuracin se lleva a cabo mediante el acceso al registro de windows, concretamente bajo la clave de

registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpIp\Parameters

Lo primero es activar la proteccin frente ataques TCP-SYN (Peticiones incompletas del protocolo TCP) para

ello se dispone de un parametro especifico para activar la medidas de proteccion: SynAttackProtect con

valor 2.

Este parmetro realiza un reajuste en el valor de "tiempo de espera", es decir, realiza una reduccin del tiempo

(timeout) para responder ms rpidamente a este tipo de eventos / peticiones. La activacin de este reajuste se

controla mediante los umbrales definidos en los parmetros: TcpMaxHalfOpen

y TcpMaxHalfOpenRetried. Los valores recomendados para esos parmetros son 500 y 400
respectivamente. Si se exceden los valores umbrales se activar la proteccin SYN-Attack y reajustar

automticamente los valores para tratar de hacer frente a este tipo de ataques.

Adems se puede configurar otros parmetros que ayudan a proteger el sistema y evitar el consumo excesivo

de recursos (CPU, Ancho de banda, Memoria RAM) ante este tipo de ataques:

TcpMaxConnectResponseRetransmissions (2) : 2 significa el nmero de reintentos de envio

SYN-ACK antes de cancelar la respuesta SYN-Request.

TcpMaxDataRetransmissions (2): 2 significa el nmero de reintentos antes de abortar la

conexin.

EnablePMTUDiscovery (0)
KeepAliveTime (300000)

Ms informacin al respecto en: How To: Harden the TCP/IP Stack

Otras soluciones

Va: Twitter de Alejandro Ramos he encontrado un modulo PHP que actua como modulo de proteccin frente a

los ataques ms comunes de denegacin de servicio (DoS) sobre las aplicaciones WEB, estoy hablando de

HTTP-Flood y Brute Force Attacks for PHP.

Se trata de HTTP Anti Flood Security Gateway Module, un modulo PHP que proporciona proteccin frente a

crawling/scanning tools, HTTP flood tools siendo capaz de detectar este tipo de ataques y bloquear la direccin

IP del atacante mediante IPtables, htaccess, etc.

El modo de uso es muy sencillo, tan solo se tiene que incluir el mdulo (iosec.php) en todos los ficheros PHP

que se quieran proteger frente a este tipo de ataques y/o herramientas. Adems existe una versin especial

para Wordpress (IOSEC Wordpress Plugin @ Downloads (v.1.4))

Para probar como funciona podis acceder a la pgina WEB: http://www.iosec.org/test.php y presionar F5 ms

de una vez, os aparecer un mensaje de advertencia indicando que se encuentra activa una proteccin.
 Funcionamiento del modulo PHP Anti HTTP Flood.

Este tipo de mdulo, puede ser una solucin rpida y efectiva, aunque muy intrusiva para el usuario, que puede

propiciar prdida de usuarios / clientes, si no se configura adecuadamente puesto que se producen bloqueos

de conexiones totalmente legitimas.

Lo ideal es ajustar la torre de protocolos TCP/IP, y combinar esta configuracin con tcnicas de balanceo de

carga, proteccin perimetral y flexibilidad en el uso de herramientas que bloquean la direccin IP.

Hasta aqu el artculo de hoy, un Saludo.