Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Un Enfoque Práctico para La Enseñanza de Denegación de
Un Enfoque Práctico para La Enseñanza de Denegación de
Innovaciones en la Prctica
Citar como: Trabelsi, Z., y Ibrahim, W. (2013). Un enfoque prctico para la enseanza de ataques de denegacin de servicio: Un estudio de caso.
Revista de tecnologa de la informacin Educacin: innovaciones en la prctica, 12, 299-319. Obtenido
http://www.jite.org/documents/Vol12/JITEv12IIPp299-319Trabelsi1193.pdf
trabelsi@uaeu.ac.ae , walidibr@uaeu.ac.ae
Resumen ejecutivo
Hoy en da, muchas instituciones acadmicas estn incluyendo hacking tico en su seguridad de la informacin y programas informticos.
seguridad de la informacin a los estudiantes necesitan experimentar tcnicas de hacking cal ethi- comn con el fin de ser capaz de
implementar las soluciones de seguridad apropiadas. Esto permitir que se protejan de manera ms eficiente la confidencialidad, integridad
y disponibilidad de los sistemas de orde- nador y activos.
En este trabajo se presenta un estudio de caso de la ejecucin de amplios manos libres hacking tico en ejercicios de laboratorio, que son fundamentales
para la educacin de seguridad. Los ejercicios son alrededor de tres negacin comn de Servicio (DoS) ataques, a saber, la Tierra, el TCP (control de la
transmisin col proto) SYN (sincronizacin) de inundaciones, y los ataques de lgrima. Los ataques DoS son temas importantes para los cursos de
seguridad que ensean tcnicas de piratera y de deteccin de intrusos ticos. El documento analiza tambin las tcnicas de defensa comunes para la
deteccin de ataques de denegacin de servicio, incluyendo TEMS de Deteccin de Intrusos (IDS) Systematic y herramientas de software. Resoplido
herramienta se utiliza como la solucin IDS defensa durante los ejercicios prcticos de laboratorio. El objetivo de aprendizaje de los ejercicios prcticos
de laboratorio es que los estudiantes aprendan cmo implementar y detectar los ataques de denegacin de servicio en un entorno de laboratorio aislado
de la red. La adicin de hacking tico a un plan de estudios de seguridad de la informacin plantea una serie de cuestiones ticas y legales. Algunos
estudiantes usarn las manos a la ofensiva adquiridas habilidades de manera ilegal y algunas veces inapropiados. Por lo tanto, los estudiantes pueden
poner en peligro sus carreras, dao a los dems, y poner todo el programa de seguridad de la informacin de su ins- titucin en riesgo. Asimismo, las
escuelas y los educadores pueden ser consideradas responsables de las acciones de sus estudiantes. Para contribuir a la mejora de las posibilidades de
tener un programas de seguridad de xito y el problema de informacin libre que ensean tcnicas de hacking tico, el documento enumera una serie de
medidas que deben ser tomadas por las escuelas y los educadores para asegurar que los estudiantes son responsables de sus acciones y educar a los
estudiantes en las consecuencias de cualquier mala conducta. Tambin se discute el impacto de ofrecer a los ejercicios sobre el rendimiento de los
estudiantes en cuanto al logro de los resultados del curso. Los resultados de la evaluacin muestran que los supuesto prctico que ofrece
comentarios acerca de los ejercicios prcticos de laboratorio discutidos. Los resultados del cuestionario mostraron que ms del 85% de
los estudiantes que contestaron el cuestionario cree que los ejercicios sean tiles y les ayud a comprender mejor los conceptos tericos
subyacentes asociados con ataques de denegacin de servicio.
palabras clave: plan de estudios de seguridad de la informacin, los ataques de denegacin de servicio, ejercicios prcticos de laboratorio, ING cortar metal
Introduccin
tcnicas defensivas con prcticas en laboratorio de ejercicios son inclusiones populares en la educacin de seguridad. Sin embargo, existe un
creciente inters en las tcnicas ofensivas que fueron desarrollados originalmente por los piratas informticos (Bishop, 1997; Bruto, Shubina,
y Locasto, 2010; Hill, Carver, Humphries, y del chucho, 2001; Ledin, 2011; Mullins et al., 2002 ; Trabelsi, 2011; Yuan y Zhong, 2008). De
hecho, las tcnicas de hacking tico son fundamentales para entender mejor las formas en que los sistemas de seguridad fallan. La
enseanza de tcnicas de hacking tico se est convirtiendo en un componente necesario del plan de estudios de la seguridad informtica,
ya que da mejores profesionales de la seguridad que otros planes de estudio la enseanza de tcnicas de defensa solo (Arce y McGraw,
2004; Arnett y Schmidt, 2005; Dornseif, Grtner, Holz, y Mink, 2005; Frincke, 2003; Mink y Freiling, 2006; Vigna, 2003). Muchos acadmicos y
profesionales de la industria creen que la mejor manera de preparar las defensas del sistema es entender los ataques que los sistemas se
enfrentarn (Arce y McGraw, 2004). Los estudiantes con habilidades de hacking tico entendern cmo los ataques se han diseado y
puesto en marcha y estarn mejor preparados para trabajar como admi- nistradores de seguridad. Esto les proporcionar mejores
oportunidades de trabajo que aquellos sin atacar habilidades (Logan y Clarkson, 2005).
Hoy en da, existe una necesidad notable de los libros de texto de seguridad informtica y documentos tcnicos que describen la ejecucin de ejercicios prcticos
de laboratorio sobre tcnicas de hacking tico. Para con- homenaje a satisfacer la necesidad mencionada anteriormente, este documento propone prctica
integrales de hacking tico ejercicios de laboratorio que son esenciales para la educacin de seguridad. Los ejercicios describen en detalle cmo implementar
prcticamente tres ataques de denegacin de servicio comunes. Aunque, hay muchas herramientas listas para el uso de ataques DoS disponibles en el mercado,
la mayora de ellos no tienen un componente educativo. Por el contrario, los ejercicios descritos en este documento tienen un propsito educativo, ya que su
principal obje- tivo es ensear a los estudiantes cmo construir su propio trfico ataque DoS. Los ejercicios permiten a los estudiantes a diseccionar mejor los
ataques de denegacin de servicio en un entorno de laboratorio aislado de la red. Los ejercicios propuestos se pueden ofrecer a los estudiantes en los cursos de
seguridad principalmente en tcnicas de hacking tico y deteccin de intrusos, y estn diseados para acompaar y complementar cualquier texto prensa
acadmica existente. Los ejercicios se han integrado en nuestro curso deteccin y respuesta de intrusiones (SEC455) se ofrece a los estudiantes de alto nivel de
seguridad de la informacin. El objetivo de los ejercicios de laboratorio es proporcionar a los estudiantes con la experiencia prctica necesaria para mejorar su
comprensin de los diferentes ataques de denegacin de servicio. Los ejercicios se han integrado en nuestro curso deteccin y respuesta de intrusiones (SEC455)
se ofrece a los estudiantes de alto nivel de seguridad de la informacin. El objetivo de los ejercicios de laboratorio es proporcionar a los estudiantes con la
experiencia prctica necesaria para mejorar su comprensin de los diferentes ataques de denegacin de servicio. Los ejercicios se han integrado en nuestro curso
deteccin y respuesta de intrusiones (SEC455) se ofrece a los estudiantes de alto nivel de seguridad de la informacin. El objetivo de los ejercicios de laboratorio
es proporcionar a los estudiantes con la experiencia prctica necesaria para mejorar su comprensin de los diferentes ataques de denegacin de servicio.
El documento est organizado como sigue. La siguiente seccin describe la puesta en prctica de los ejercicios prcticos de laboratorio. La
tercera seccin se analizan las soluciones de defensa comn disponibles para detectar los ataques de denegacin de servicio. La cuarta seccin
analiza surgieron algunas preocupaciones ticas en la enseanza de tcnicas de hacking tico y enumera los pasos que deben ser tomadas por
las escuelas y los maestros para mejorar las posibilidades de tener un programa de seguridad exitoso y un problema de informacin libre. En la
quinta seccin, el documento evala el impacto de los ejercicios prcticos propuestos en la satisfaccin de los estudiantes y el logro de los
resultados de aprendizaje de un curso de alto nivel de seguridad de la informacin. Por ltimo, la sexta seccin concluye el artculo.
300
Trabelsi y Ibrahim
ataques de lgrima. Para cada ataque DoS, se describen las correspondientes manos a la aplicacin prctica de laboratorio. El objetivo de
aprendizaje de los ejercicios de laboratorio es que los estudiantes aprendan cmo implementar y detectar los ataques de denegacin de servicio en
la red aislada entorno de laboratorio. La aplicacin de los ejercicios prcticos de laboratorio requiere intensa participacin de los estudiantes. Al
comienzo de cada prctica de laboratorio ejercer el instructor resume brevemente los conceptos tericos relacionados con los ataques de denegacin
de servicio que ya han sido enseados en la conferencia. A continuacin, la instruccin tor proporciona a los estudiantes con la configuracin de la
arquitectura de red necesaria, las herramientas necesarias para generar y escuchar el trfico ataque DoS, los dispositivos de red (switch y / o
routers), y la herramienta de sistema de deteccin de trusion In- (IDS) que se utiliza para detectar los ataques DoS generados. Durante los ejercicios
prcticos de laboratorio, los estudiantes trabajan en pequeos grupos (tres o cuatro estudiantes en cada grupo) y se les pide para realizar
4. Configurar la herramienta de IDS para detectar los ataques de denegacin de servicio generados
a. Las capturas de pantalla para el trfico de ataque DoS generada en los que muestran la con-
tiendas de campaa de los campos de los paquetes correspondientes a los ataques de denegacin de servicio
segundo. Las capturas de pantalla de los registros de eventos generados por la herramienta IDS.
Land Attack
ataque de la tierra se produce cuando un atacante enva paquetes TCP SYN falseado (iniciacin) con conexin a la direccin IP de un host
de destino y un puerto abierto como origen y destino. El host de destino re-ponde enviando el paquete SYN-ACK a s mismo creando una
conexin vaca que dura hasta que se alcanza el valor de tiempo de espera de inactividad. Inundando un sistema con las solicitudes de
conexin vacas caer sobre ella y hacer que se niegan los servicios que ofrece (Figura 1).
301
La enseanza de denegacin de servicio
El objetivo de este ejercicio de aprendizaje prctica de laboratorio es que los alumnos aprendan a realizar el ataque de tierra utilizando una
herramienta de creacin de paquetes IP. Una red LAN sencilla se usa en este ejercicio. Es decir, tres mquinas estn conectadas a un conmutador y
cada husped se le asigna una direccin IP esttica, como se muestra en la Figura 2. Suponemos que host A es el anfitrin ataque, y anfitrin B es
el host vctima. Host C est conectado en un puerto de supervisin del interruptor (conocido como puerto SPAN) para supervisar la red traf- FIC
intercambiada entre hosts A y B utilizando CommView sniffer (tor CommView Red Moni-, 2013), como se una herramienta de analizador de
paquetes. Adems, el anfitrin C utiliza Snort (Snort, 2011), como una herramienta de software IDS, para detectar ataques al trfico.
Puesto que cada fabricante del interruptor define su conjunto especfico de pasos y los comandos para configurar un puerto SPAN, en este
documento Cisco Catalyst 4500 Switch Series (Cisco, 2013) se utiliza como un ejemplo. En el entorno de Windows XP, para configurar un
puerto SPAN en un switch Cisco, slo tiene que realizar los siguientes pasos:
Ejecute los siguientes comandos para configurar un puerto SPAN y guardar la configuracin:
Switch> enable // introducir el comando enable para acceder al modo EXEC privilegiado terminal de interruptor #
configure
Switch (config) sesin # 1 monitor de interfaz de origen fastethernet 0/2 tanto Switch (config) # 1
Monitor de Sesiones interfaz de origen fastethernet 0/4 tanto Switch (config) # 1 Monitor de
302
Trabelsi y Ibrahim
Paso 2: Generar trfico de ataque del terreno mediante una herramienta de constructor de paquetes IP
trfico de ataque de la tierra se construye a partir falsificados paquetes TCP SYN con la direccin IP del host de destino y el puerto TCP abierto
como origen y destino. La Figura 3 muestra los valores de ejemplo de los campos principales de un paquete de ataque Land.
Una herramienta de generacin de paquetes puede ser usado para construir habitualmente los paquetes de trfico de ataque de la tierra. Esto se puede hacer
mediante el uso de una herramienta de comandos en lnea, tales como FrameIP Generador de Paquetes ( FrameIP Generador de Paquetes, 2013), o de una
manera ms amigable y fcil herramienta de interfaz grfica de usuario de usar, tales como Constructor de paquetes participar
(Engage Paquete Constructor, 2013) o CommView constructor visual de paquetes ( CommView Red Moni- tor, 2013). Por ejemplo,
desde el host ataque A y el uso de CommView Constructor Visual de paquetes, la Figura 4 muestra un paquete TCP SYN falso
utilizado para generar trfico de ataque Land. El paquete tiene la direccin IP de origen es igual a la direccin IP de destino (host IP de
B: 192.168.2.4), y el puerto de origen es igual al puerto de destino 80. La direccin MAC de destino se establece en la direccin MAC
del host de destino "SEGUNDO".
Figura 4: Falso paquete TCP SYN para la generacin de trfico de ataque Tierra
303
La enseanza de denegacin de servicio
El objetivo de este paso es verificar que el trfico destinado ha sido generado de manera adecuada. Host C utiliza sniffer CommView para
capturar el trfico intercambiado entre los hosts A y B. La figura 5 es una captura de pantalla que muestra el trfico de ataque Tierra
capturado generado en el paso 1. Se muestra claramente que el host vctima B (192.168.2.4) se ha inundado con paquetes de ataque
Tierra.
El potencial de abuso surge en el momento en que el sistema de servidor enva el mensaje SYN-ACK al cliente y antes
de que reciba el mensaje ACK final. Esta situacin se conoce como una conexin de medio abierto. El servidor por lo
general mantiene en su memoria una estructura de datos que describe todas las conexiones pendientes. Dado que esta
estructura de datos tiene un tamao finito, que puede ser fcilmente desbordado por crear intencionalmente demasiadas
conexiones parcialmente abiertas (Figura 6). La creacin de la conexin entreabierta se logra fcilmente con IP spoofing.
El anfitrin de la atacante enva mensajes SYN al servidor de la vctima. Los mensajes parecen ser legtima al servidor;
sin embargo, el vestido ad- sea simulada a un anfitrin que no est conectado a la red. Esto significa que el servidor
vctima nunca recibir el mensaje ACK final. Dado que la direccin sea simulada
304
Trabelsi y Ibrahim
El objetivo de este ejercicio de aprendizaje prctica de laboratorio es que los estudiantes aprenden a realizar ataque de inundacin TCP SYN
utilizando una herramienta de creacin de paquetes IP. El ejercicio utiliza la misma arquitectura de red descrita en el ejercicio anterior, y consta
de los siguientes pasos:
Desde Host B (192.168.2.4) es el anfitrin vctima, el TCP y cabeceras IP de TCP SYN paquetes de ataque de inundacin se debe establecer
en los valores mostrados en la figura 7. Es decir, la direccin IP de origen se debe establecer en un falso o la direccin IP al azar, y el puerto de
destino deben establecerse en un nmero de un puerto TCP abierta en el husped vctima.
El atacante en el host A puede utilizar cualquier herramienta de escner de puertos para identificar la lista de puertos TCP abiertas en el host vctima. A
continuacin, el atacante puede seleccionar un nmero de puerto TCP abierto y utilizarlo como el nmero de puerto de destino en los paquetes de ataque de
inundacin TCP SYN. Por ejemplo, la Figura 8 es una captura de pantalla que muestra el resultado de una exploracin de puertos TCP del host de destino B,
usando la herramienta avanzada Port Scanner (Rad- min avanzada Port Scanner, 2013): Hay 8 puertos TCP abiertas en el host B .
305
La enseanza de denegacin de servicio
Para generar TCP SYN paquetes de ataque de inundacin, el atacante tiene que utilizar una herramienta de creacin de paquetes IP que permite la
insercin de direcciones IP aleatorias en el campo IP de origen y la generacin de altas tasas de paquetes. Sin embargo, slo unas pocas herramientas de
desarrollo de paquetes compatibles con esta funcin. Por ejemplo, la herramienta Generador de Paquetes FrameIP tiene la capacidad de generar paquetes
con direcciones IP aleatorias y / o nmeros de puertos y ofrece alta velocidad de paquetes. La figura 9 es una captura de pantalla que muestra los
resultados de la ejecucin herramienta FrameIP. Es decir, el host de destino con la direccin IP 192.168.2.4 se inunda con ets Pack-TCP SYN. Cada
paquete TCP SYN generado tiene un nmero de puerto de origen falsa aleatoria y una direccin IP de origen falsa aleatoria.
En Host C, un sniffer puede ser usado para capturar el trfico generado. El objetivo de este paso es ana- lizar y verificar que el
trfico destinado ha sido generado de manera adecuada. Por ejemplo, usando
306
Trabelsi y Ibrahim
CommView Sniffer, la Figura 10 muestra que la vctima Host B (192.168.2.4) est bajo ataque de inundacin TCP SYN, y el puerto
TCP de destino es 80.
Figura 10: TCP SYN ataques al trfico de inundacin capturados por CommView sniffer
Por otra parte, en la vctima Host B, el comando de lnea de DOS netstat puede ser tambin utilizado para de- ataque de inundacin TCP
SYN tect. El comando muestra las conexiones que se encuentran actualmente en el estado entreabierta. El estado medio abierto se describe
como SYN_RECEIVED en Windows y como SYN_RECV en sistemas Unix.
Ataque de lgrima
ataque de la lgrima se dirige vulnerabilidad en la forma paquetes IP fragmentados se vuelven a montar. fragmentacin es necesaria cuando los
datagramas IP son ms grandes que la unidad mxima de transmisin (MUT) de un segmento de red a travs del cual los datagramas deben
atravesar. Con el fin de reas- con xito paquetes semble en el extremo receptor, la cabecera IP para cada fragmento debe incluir una compensacin
para identificar la posicin del fragmento en el paquete un-fragmentada originales. En un ataque en forma de lgrima, fragmentos de paquetes estn
configurados de forma deliberada con la superposicin de campos de compensacin causando el anfitrin para colgar o accidente cuando se trata de
volver a unirlos. La Figura 12 muestra que el segundo paquete de fragmento (Packet
# 2) que pretende comenzar 20 bytes antes (en 800) que el primer paquete de fragmento (Packet 1) extremos # (en
820). El desplazamiento de Paquete # 2 no est alineada con la longitud del paquete de Paquete # 1. Esta discrepancia puede causar algunos sistemas
se bloquee durante el intento de volver a montar.
307
La enseanza de denegacin de servicio
El objetivo de este ejercicio de aprendizaje prctica de laboratorio es que los estudiantes aprenden a realizar Tear ataque de gota usando una herramienta de
El ejercicio utiliza la misma arquitectura de red descrita en el primer ejercicio, y consta de los siguientes pasos:
Para generar un ataque en forma de lgrima, dos paquetes fragmentados se construyen. Los paquetes tienen ID de la misma IP, lo que significa que
pertenecen al mismo paquete un-fragmentada originales. Sin embargo, valores de desplazamiento se solapan. La Figura 13 ilustran un ejemplo de los
valores de encabezado IP para dos paquetes de ataque de la lgrima. Para generar estos paquetes, el atacante tiene que utilizar una herramienta de
creacin de paquetes IP que permite enviar simultneamente ms de un paquete. Sin embargo, algunas herramientas de desarrollo de paquetes, como
el Generador de Paquetes FrameIP, ofrecen esta capacidad.
El objetivo de este paso es verificar que el trfico de ataque previsto se ha generado de manera adecuada. El anfitrin de seguimiento C
utiliza CommView sniffer para capturar el trfico intercambiado entre hosts A y B. Figura 14 y 15 son capturas de pantalla de los dos
paquetes de la lgrima de ataque capturados (Paquete # 1
308
Trabelsi y Ibrahim
y Paquete # 2) enviado a la vctima Host B (192.168.2.4). Los dos paquetes fragmentados pertenecen al mismo paquete un-fragmentada
original (ID de IP = 200) y han superposicin de valores, 0 y 20 de desplazamiento respectivamente.
Soluciones de defensa
soluciones de defensa contra los ataques de denegacin de servicio son de un gran inters debido a que estos tipos de ataques son altamente intencional y por lo
general tienen que ser iniciado, mantenido y controlado por los seres humanos. SIN EMBARGO, los ataques de denegacin no se puede prevenir totalmente.
Siempre existe la posibilidad de que el atacante puede enviar a un sistema de ordenador de la vctima demasiados datos que no poda manejar. Sin embargo, la
amenaza de ataques de denegacin de servicio puede ser minimizado mediante el aumento del ancho de banda de la red y mediante el uso de los parches del
fabricante, cortafuegos, sistemas de deteccin / prevencin de intrusiones (IDS / IPS) herramientas de software o hardware ANCES apli- y la configuracin de red
adecuada. sistemas operativos ofrecen tambin mtodos para el endurecimiento de la pila de protocolos TCP / IP, lo que reduce la vulnerabilidad de los servidores
a muchos ataques de denegacin de servicio comunes. Una modificacin de la configuracin de la pila TCP / IP por defecto se recomienda durante el proceso de
asegurar que el sistema operativo. Por ejemplo, las medidas necesarias para proteger la pila de protocolos TCP / IP para que los servidores
309
La enseanza de denegacin de servicio
ms resistente al ataque por inundacin TCP SYN se detallan en Burdach (2010) y Microsoft (2011). Sin embargo, un atacante puede utilizar
siempre los recursos adicionales para inundar un sistema de destino o en el trabajo NET y / o inventar nuevos y desconocidos tipos de ataques de
denegacin de servicio. Los siguientes dos subsecciones describieran brevemente los IDS comunes / IPS de soluciones de defensa.
ser fcilmente configurados para detectar y prevenir ataques de denegacin de servicio comunes. Por ejemplo, la Figura 16 es una captura de pantalla que
muestra que la proteccin contra ataques de la tierra y opciones de proteccin de ataque de la lgrima se habilitan al dispositivo de Juniper Networks SSG20
Figura 16: La tierra y la lgrima ataca las opciones de proteccin en el dispositivo de Juniper Networks SSG20
La figura 17 es una captura de pantalla que muestra el contenido del registro de eventos en Juniper Networks dispositivo SSG20 despus de detectar trfico de
ataque de la lgrima. registro de eventos muestra que los ataques al trfico de la lgrima se ha generado a partir de un host con la direccin IP 192.168.1.133,
Figura 17: el contenido del registro de eventos en el dispositivo despus de Juniper Networks SSG20
310
Trabelsi y Ibrahim
Snort utiliza una base de datos de reglas para detectar ataques y trfico malicioso. reglas de Snort son las condiciones especificadas por el
administrador de la red que diferenciar entre las actividades de Internet normales y actividades maliciosas. Resoplido reglas se componen de
dos partes bsicas:
cabecera regla: Esta es la parte en la que se identifican las acciones de la regla. Alerta, Entrar, Pass, tivate Ac, dinmica, etc., son algunas
opciones de la regla: Esta es la parte en la que se identifican los mensajes de alerta de la regla. Por ejemplo, la
siguiente regla de Snort se utiliza para detectar el trfico TCP SYN ataque de inundacin:
tcp alerta alguna a cualquier -> cualquier ninguna (msg: "TCP ataque SYN detectado"; flujo:; banderas sin estado: S, 12; umbral: umbral tipo,
Pista by_src, cuenta 3, segundo 1; ClassType: intento-de reconocimiento; sid : 10002; rev1;).
La siguiente captura de pantalla muestra un ejemplo de registro de eventos de Snort despus de detectar el trfico de inundacin TCP SYN:
Snort es ampliamente utilizado en el mundo acadmico como herramienta para la enseanza de conceptos de red de seguridad (chek Sharma y Sef-, 2007; Xu,
Zhang, Gadipalli, Yaun, y Yu, 2011). Durante los ejercicios prcticos de laboratorio, los grupos Student utilizan Snort como una solucin de defensa. Para cada
ejercicio prctico de laboratorio, se les pide a los grupos de estudiantes para escribir las reglas de Snort apropiados para detectar el correspondiente ataque
2. Las capturas de pantalla de los registros de eventos de Snort generan despus de la deteccin de los ataques de denegacin de servicio.
La preocupacin tica
Los ejercicios prcticos de laboratorio se han ofrecido en nuestra deteccin de intrusos y por supuesto la respuesta (SECB 455)
durante los ltimos tres aos. Una preocupacin tica importante ha sido identificado, mientras que analyz- ing los archivos de
registro de los sensores IDS instalados en los segmentos de la red de la universidad. Durante un perodo de tres aos, durante
cada semestre utilizamos archivos de registro de los sensores IDS para recolectar el nmero de ataques de denegacin de
servicio detectadas por da dirigidas a los servidores universitarios. La coleccin se centra principalmente en la web, mensajes de
correo electrnico, FTP y servidores DNS. Los datos recogidos muestra claramente un aumento significativo (300% a 750%) en el
nmero medio de ataques DoS detectada por sensores IDS de la universidad durante los pocos das siguientes a la prctica de
laboratorio ejercicios de prctica (Figura 18).
311
La enseanza de denegacin de servicio
Figura 18: Evolucin del nmero de ataques DoS detectado por sensores IDS de la Universidad
Al mismo tiempo, se realiz una encuesta para investigar el comportamiento de los estudiantes despus de la ejecucin de los ejercicios de laboratorio
tachuela At-. Los resultados del estudio muestran que la mayora de los estudiantes (85%) reconocieron que haban tratado los ataques DoS aprendido
fuera del entorno del laboratorio de red aislada, Tar que consigue principalmente a los servidores universitarios. La Tabla 1 muestra el resultado de la
encuesta realizada durante el ltimo perodo de tres aos en alrededor de 110 estudiantes matriculados en el curso SECB455.
Despus de que el laboratorio de ejercicios prcticos prcticas, qu 85% de los estudiantes dijo S el 12% de
experimentar los ataques de denegacin de servicio fuera del entorno de
los estudiantes dijo No 3% se abstuvo
laboratorio aislado de la red?
En caso afirmativo, cules fueron sus principales sistemas de destino? servidores Web universitarios (56%) de los servidores
(21%)
Cules eran los objetivos de los ataques? Para la diversin (89%) El intento de frenar los
Este es un dilema cuando se ofrecen ejercicios prcticos de laboratorio en tcnicas ofensivas. El hecho de add-hacking tico ing al plan de
estudios plantea una serie de cuestiones ticas y legales. Algunos estudiantes usarn las manos a la ofensiva adquiridas habilidades de
manera inadecuada ya veces ilegales. Existe la preocupacin de que la enseanza de habilidades peligrosas para inmaduro y estudiantes
incompetente puede ser socialmente irresponsable. Adems, el mal uso de los conocimientos seguridad de la informacin es un asunto serio
y podra resultar en un proceso penal, mala publicidad, lesiones personales, acoso ciberntico, y termina- cin de los programas educativos,
entre numerosos otros resultados negativos. El estudio de Cook, Conti, y Raymond (2012) analiza en detalle el problema del mal uso de las
habilidades de seguridad de la informacin y proporciona detalles de los incidentes del mundo real que los estudiantes.
Adems, manos a la ofensiva sin control ejercicios de laboratorio pueden ser una violacin de la ley. Asimismo, las escuelas y los educadores pueden ser
consideradas responsables de las acciones de sus estudiantes. Por lo tanto, los estudiantes pueden poner en peligro sus carreras, dao a los dems, y poner todo
312
Trabelsi y Ibrahim
A menudo se critica que los mtodos ofensivos no se les debe ensear a los estudiantes ya que solo modo, se aumenta la poblacin de
hackers. Hay quienes consideran que la enseanza de tcnicas ofensivas no son ticas (Harris, 2004), ya que siempre hay un potencial que
algunos estudiantes usarn las herramientas y tcnicas de una manera irresponsable. Por lo tanto instructores no deben asumir la
responsabilidad de ensear a los nuevos piratas informticos. Algunos educadores estn preocupados de que la enseanza de habilidades
PELIGRO- unidades organizativas para inmaduro y estudiantes incompetente puede ser socialmente irresponsable. Para una buena dis-
cusin sobre las preocupaciones ticas y legales en cuanto a la enseanza de las tcnicas ofensivas en el entorno acad- mica, los lectores
pueden referirse a Caltagirone, Ortman, Melton, Manz, Rey, y Omn (2006) y para Livermore (2007) .
No estamos de acuerdo con esta lnea de argumentacin. La tendencia hacia las pruebas de penetracin en Los negocios corporativos muestra
que tcnicas ofensivas se pueden utilizar para aumentar el nivel de seguridad de un premio enter-. En consecuencia, los estudiantes formados en
tcnicas ofensivas no necesariamente se convierten en piratas informticos maliciosos, sino que ms bien se convierten en profesionales de
seguridad competentes. El hecho de no estudiar y apply- ing las tcnicas, tcticas y metodologas de atacantes podran dejar grandes huecos en
la base El conocimiento de los graduados (Bruto et al, 2010;. Ledin, 2011). Sin embargo, es obvio que no hay garanta de que muy pocos de los
estudiantes que se han enseado tcnicas ofensivas en las escuelas ser hackers en el futuro y llevar a cabo actividades de piratera informtica
contra los sistemas y redes. Una encuesta de los miembros de la facultad de seguridad se ha llevado a cabo para determinar sus actitudes hacia
la enseanza de las pruebas de la piratera y la penetracin de tica en las escuelas (Livermore, 2007). Los resultados del estudio mostraron ms
del 71% de los miembros de la facultad de seguridad de acuerdo en que las escuelas deberan ensear hacking tico. Adems, los estudiantes
con habilidades de hacking tico estarn mejor preparados para trabajar como administradores de seguridad con mejores posibilidades de empleo
de aterrizaje que aquellos sin estas habilidades (Arce y McGraw, 2004; Logan y Clarkson, 2005; Wulf, 2003).
Hoy en da, muchas instituciones acadmicas estn incluyendo hacking tico y pruebas de penetracin en su seguridad de la informacin y
programas informticos. Para ejemplos, la Universidad de Carolina del Norte (UNC) en la Facultad de Computacin e Informtica de
Charlotte est ofreciendo un curso llamado Evaluacin de la vulnerabilidad y el Sistema de Aseguramiento. tcnicas de hacking tico, la
bsqueda de nuevos exploits, el descubrimiento de vulnerabilidades, y que penetran en los permetros de red son algunos de los temas
tratados en el curso. El curso se basa en estudios de casos de hacking tico con un componente de laboratorio fuerte. La Universidad de
Abertay Dundee en Escocia tambin est ofreciendo un curso de hacking tico llamada Ethical Hacking y Seguridad Informtica. El curso
proporciona un conocimiento detallado de los ataques electrnicos y los mtodos que usan los delincuentes para acceder y explotar un
sistema. Est claro que hay una serie de problemas con la enseanza de hacking tico. Sin embargo, tambin hay una serie de pasos que
las escuelas y los educadores pueden tomar para reducir sus pasivos, para evitar la mala conducta del estudiante, y para ayudar a los
estudiantes a no portarse mal y ser responsables, incluyendo:
2. Los estudiantes deben ser conscientes de las implicaciones legales y la tica de los ataques ofensivos y
hackeo tico. Los estudiantes deben ser informados con regularidad sobre el uso tico de las herramientas y tcnicas ofensivas. Los
instructores deben proporcionar de manera deliberada y con frecuencia contexto para estu- diantes de por qu estn aprendiendo el
material peligroso. Los resultados de la encuesta en (Livermore,
2007) muestran que el 75% de los miembros de la facultad de seguridad sienten que sus escuelas deben ofrecer un curso de tica
como parte del plan de seguridad de la informacin. Un nmero similar de ulty fac- siente que la tica debe ser parte de cada curso
de seguridad de la informacin en el plan de estudios.
3. Los educadores deben comunicarse regularmente las desventajas de las acciones maliciosas para su estu-
abolladuras. Los estudiantes corren el riesgo de expulsin, persecucin penal, y podran poner en peligro la existencia del programa de seguridad
de la informacin de su institucin.
313
La enseanza de denegacin de servicio
4. Las escuelas deben comunicar a los estudiantes el lmite entre apropiado y inap-
apro- comportamiento, incluyendo el conocimiento de las leyes locales e internacionales.
5. Para limitar su responsabilidad, las escuelas que ofrecen tcnicas ofensivas como parte de su seguridad
plan de estudios debera ordenar a los estudiantes a firmar un cdigo de conducta durante el curso Matricu- cin. El cdigo de conducta
debe explicar en detalle los lmites de comportamiento de los estudiantes y las consecuencias para el comportamiento inaceptable.
6. Las escuelas que construyen laboratorios de computacin para la enseanza de tcnicas ofensivas en su infor-
programas de seguridad cin deben tomar precauciones para asegurar que sus laboratorios estn aislados de las redes fuera del
aula, para reducir al mnimo las posibilidades de abuso accidental o intencional.
7. Escuelas la enseanza de tcnicas ofensivas deben establecer un proceso para seleccionar a los estudiantes para
antecedentes penales, el comportamiento inestable y actividades maliciosas antes de la admisin a un programa de seguridad de la
informacin (Livermore, 2011). Adems, las escuelas pueden requerir una ESCRIBI la aprobacin de los padres del estudiante antes
de realizar cualquier deteccin de antecedentes criminales. Adems, las escuelas no deben violar la ley local con respecto a la
realizacin de la investigacin criminal sobre los individuos.
8. Las escuelas pueden pedir a los estudiantes regularmente matriculados en un programa de seguridad de la informacin
proporcionar las direcciones MAC de sus computadoras porttiles personales y dispositivos mviles. En caso de una tachuela, no despachado estas
direcciones MAC pueden ayudar a los especialistas en informtica forense para identificar los dispositivos que iniciaron los ataques.
Las escuelas que toman los pasos anteriores mejoran las posibilidades de tener un xito los programas de seguridad y el problema de
informacin libre que ensean tcnicas de hacking tico.
CO2: Analizar las medidas contra de los ataques de red Anlisis (4)
314
Trabelsi y Ibrahim
Para evaluar los resultados del curso que siguen el proceso de evaluacin del curso adoptado por nuestra ins- titucin. Un
coordinador del curso nominado rene un comit de curso que incluye todos los instructores de clase y de laboratorio que ensean el
curso de un semestre dado. Durante la primera semana del semestre, el comit curso se rene para decidir sobre los instrumentos de
evaluacin que se utilizarn para evaluar las OP. Tambin deciden sobre las acciones correctivas que se aplicarn para hacer frente
a las recomendaciones de la evaluacin del ciclo anterior. A lo largo del semestre, el comit curso aplica las herramientas de
evaluacin para recoger datos de la evaluacin. Al final del semestre, los datos de evaluacin recogidos se asignan a las OP. El nivel
de logro de cada CO se calcula entonces en trminos de media y la desviacin estndar utilizando (1) y (2).
norte
tti
( CO ) =
norte
tt
t
, (1)
2
tti
( CO ) = , (2)
nntt
t
dnde t y yo denotan, respectivamente, la media y la desviacin estndar normalizada de las marcas de los estudiantes cuando la
herramienta de evaluacin t se utiliza, y norte t denota el nmero de alumnos. Por ejemplo, si se utilizan tres pruebas y dos preguntas del
examen final para evaluar CO yo, la media normalizada y desvia- cin estndar de las marcas de los estudiantes se calculan por separado
para cada herramienta, entonces (1) y (2) se utilizan para calcular el nivel de logro para CO yo. Despus de calcular el nivel de logro para
cada CO, el comit curso se rene de nuevo para discutir los resultados de la evaluacin y decidir sobre las recomendaciones necesarias
para subsanar las deficiencias descubiertas. Para cerrar el ciclo de evaluacin, el comit curso tambin discute la efectividad de las
acciones correctivas aplicadas durante los Mesters Se- sobre los nuevos resultados de la evaluacin.
Durante los aos 2005/2006 y 2007/2008, acadmicas, los estudiantes en SECB455 no se les ofreci ningn ataque en manos de
laboratorio. Slo la parte terica de los ataques se describe habitualmente durante el tiempo de lectura. Sin embargo, a partir de
otoo de 2008 el comit supuesto decidi ofrecer las manos en hacking tico propuestos ejercicios de laboratorio como una accin
correctiva para mejorar los niveles de rendimiento de las OP. Tres pruebas se utilizan para comparar el logro de los CO antes y
despus se introducen las nuevas ataque laboratorios prcticos. Estas pruebas se asignan directamente a CO1, CO2, y CO5
muestran en la Tabla 2. Se miden los grados de los estudiantes en las tres pruebas, normalizada, y luego agregadas usando (1) y
(2) para calcular el nivel de logro de los tres OC.
resultados de la evaluacin
La figura 19 muestra los estudiantes de los grados promedio de las tres pruebas que se van a evaluar la comprensin de los tres ataques de
los estudiantes. Muestra claramente que a partir del 08/09 acadmico la nota media total se ha empezado a mejorar. Esto se debe
principalmente al hecho de que los ejercicios prcticos de laboratorio que se ofrecen a los estudiantes les permite diseccionar mejor los
ataques y asimilar los conceptos aprendidos a partir de la conferencia. Los estudiantes han aprendido mejor con los ejercicios que tuvo un
efecto positivo en su rendimiento. Por ejemplo, en el caso de la prueba 2, la introduccin de los ejercicios de laboratorio mejor la calificacin
promedio de los estudiantes en un 11,2% a partir de 0,7 a 0,79 y mantuvo la mejora para el seguimiento ing dos aos acadmicos.
315
La enseanza de denegacin de servicio
Figura 19: rendimiento de los estudiantes en las tres pruebas antes y despus de la introduccin de
el ataques de denegacin de laboratorios
La figura 20 ilustra la consecucin de los tres resultados del curso durante seis aos consecutivos desde 05/06 hasta 10/11. Se
muestra una mejora considerable en los CO logros nivel despus que dan origen a las manos de ataque laboratorios. Por ejemplo, la
introduccin de los laboratorios propuestos en 08/09 aca- aos demica mejor los logros nivel de CO por 8,7%, 5,8%, y 6% para
CO1, CO2, y CO5, respectivamente, en comparacin con los niveles de rendimiento en el ao anterior.
Figura 20: El uso de herramientas de evaluacin para asignar los nuevos laboratorios de ataque a los resultados del curso
La Tabla 3 compara los niveles de rendimiento de CO de los 06/07 y los 10/11 aos acadmicos en detalle. Se muestra que la mejora del
9% en el nivel de logro de CO1, del 75% al 82,3% (vase la Figura 20), puede ser interpretado como el 14,9% y el aumento de 5,8% en el
nmero de estudiantes obtuvo por encima del 90% y 80% respectivamente, y 13,8% y 6,3% de cada en el nmero de estudiantes obtuvo
por debajo de 60% y 70%, respectivamente. Un comportamiento similar se observa tambin para el CO2 y CO5.
60% de CO <70% 19,0% 12,7% 18,9% 12,8% 21,8% 18,2% 70% CO <80% 21,9% 21,3%
24,4% 20,3% 22,5% 23,0% 80% CO <90% 18,6% 24,5% 21,6 % 23,1% 16,6% 20,8%
316
Trabelsi y Ibrahim
respuestas
preguntas Totalmente de
De acuerdo En desacuerdo Neutral
acuerdo
Se siente a entender los conceptos de denegacin de mejora despus de ejecutar los 85% 13% 1% 1%
laboratorios?
Qu probabilidades hay de que recomiende los laboratorios a los dems? 86% 11% 2% 1%
Le gustara ver laboratorios similares ofrecidos en sus clases de 87% 8% 4% 1%
seguridad de la red?
Conclusin
Es necesario que los estudiantes saben cmo atacar y disecar tcnicas ofensivas a compren- dan verdaderamente in- cmo defender las redes y
sistemas informticos, y fortalecer sus habilidades de seguridad. En este trabajo se describe en manos ofensivos ejercicios prcticos sobre cmo
realizar prcticamente tres ataques de denegacin de servicio comunes. Los ejercicios estn diseados para ser utilizados como parte de un curso
de nivel de grado de seguridad de la red y deteccin de intrusiones. Los ejercicios permiten a los estudiantes a diseccionar mejor los ataques de
denegacin de servicio en un entorno de laboratorio aislado de la red.
Una preocupacin tica importante ha sido identificado despus de analizar los registros de alertas generadas por los sensores IDS instalados en los
segmentos de la red de la universidad. Este es un dilema cuando los estudiantes de seguridad estn expuestos a ejercicios prcticos de laboratorio en
tcnicas ofensivas. Sin embargo, las preocupaciones ticas de los estudiantes de enseanza piratera son pequeos comparados con la necesidad de
conocimiento, competente y, sobre todo, los profesionales de seguridad informtica con experiencia en la industria y el gobierno. resultados de la
evaluacin supuesto tambin muestran una mejora significativa en el nivel de logro de los resultados de los cursos relacionados. Adems, el documento se
trat una serie de pasos que las escuelas que ensean tcnicas ofensivas pueden tomar para reducir su responsabilidad, educar a los estudiantes acerca
de sus responsabilidades ticas, e impedir la enseanza de habilidades peligrosas para los estudiantes equivocadas.
Reconocimiento
Los autores reconocen el apoyo de la Fundacin Unidos por medio de Ayuda de Investigacin (2011/161).
317
La enseanza de denegacin de servicio
referencias
Arce, I., y McGraw, G. (2004). introduccin editores invitados: Por qu los sistemas de ataque es una buena idea. IEEE
Seguridad y privacidad, 2 ( 4), 17-19.
Bishop, M. (1997). El estado de la educacin en el mundo acadmico infosec: direcciones actuales y futuras. Actas
del Coloquio Nacional de Educacin de Seguridad Sistema de Informacin, 19-33. Bruto, S., Shubina, A., y Locasto, M. (2010). La
Caltagirone, S., Ortman, P., Melton, S., Manz, D., King, K., y Omn P. (2006). Diseo e implementacin
de un multi-uso-ataque defender laboratorio de seguridad informtica. Actas de la 39 Conferencia Anual cional Hawaii Interna- en
Ciencias de Sistemas, ( 9), 220c.
Cisco Catalyst 4500 Series Switches Gua de configuracin. (2013), Obtenido de http://www.cisco.com
Cook, T., Conti, G., y Raymond, D. (2012). Cuando los buenos Ninjas vuelven malas: La prevencin de sus estudiantes de
convertirse en la amenaza. Actas del Coloquio 16a para la Educacin de Seguridad Sistema de Informacin,
61-67.
Dornseif, M., Grtner, FC, Holz, T., y Mink, M. (2005). Un enfoque ofensivo para la enseanza de la informacin
Seguridad: la escuela de verano Aachen informtica aplicada seguridad. Informe tcnico AIB-2005-02, RWTH Aachen. Constructor de paquetes
Frincke, D. (2003). Quin vigila a los educadores de seguridad? IEEE Seguridad y Privacidad, 1 ( 3), 56-58. Harris, J. (2004). El mantenimiento
de las normas ticas de plan de estudios de seguridad informtica. Actas de la 1 st
Hill, JM, Carver, CA, Jr., Humphries, JW, y del chucho, Universidad de Washington (2001). El uso de una red aislada labora-
toria para ensear a las redes avanzadas y la seguridad. Actas de la 32 Dakota del Norte Simposio tcnico SIGCSE sobre la Educacin Ciencias de la
Computacin, 36-40.
Ledin, G. (2011). La creciente dao de no ensear el malware. Comunicaciones de la ACM, 54 ( 2), 32-34. Livermore, J. (2007). Cules son las
Logan, P., y Clarkson, A. (2005). Ensear a los estudiantes a Hack: temas del plan de estudios en seguridad de la informacin.
Actas de la 36 Simposio tcnico SIGSE sobre la Educacin Ciencias de la Computacin, 157-161. Microsoft. (2011). Cmo proteger
Visn, M., y Freiling, FC (2006). Es mejor que el ataque de defensa? La enseanza de seguridad de la informacin de la derecha
camino. Actas de la Conferencia sobre el Desarrollo Curricular seguridad de la informacin, 44-48.
318
Trabelsi y Ibrahim
Mullins, P., Wolfe, J., Fry, M., Wynters, E., Calhoun, W., Montante, R., y Oblitey, W. (2002). Panel sobre in-
tegrar los conceptos de seguridad en cursos de computacin existentes. Actas de la 33 rd Simposio tcnico SIGCSE de
Computacin Educacin, 365-366. Radmin puertos avanzado escner. (2013). Obtenido de http://www.radmin.com
Sharma, SK, y Sefchek, J. (2007). La enseanza de cursos de seguridad de sistemas de informacin: Un enfoque prctico.
Computadoras y Diario de Seguridad, 26 (4), 290-299. Resoplido Manual del usuario.
Trabelsi, Z. (2011). Ejercicios prcticos de laboratorio ejecucin de ataques de denegacin de servicio y MiM utilizando venenos ARP cach
soning. Actas de la Conferencia de Desarrollo 2011 Seguridad de la Informacin Plan de estudios, 74-83. Vigna, G. (2003). La enseanza de manos a
Xu, J., Zhang, J., Gadipalli, T., Yaun, X., y Yu H. (2011). Aprender las reglas de Snort mediante la captura de intrusiones en
vivo repeticin trfico de la red. Actas de la 15 Coloquio de los Sistemas de Informacin de Seguridad de Edu- cacin, 145-150.
Yuan, D., y Zhong, J. (2008). Una implementacin del laboratorio de ataque de inundacin TCP SYN y defensa. Actas de
el 9 Conferencia SIGITE ACM sobre Tecnologa de la Informacin de Educacin, 57-58. Wulf, T. (2003). la tica en cursos de grado de
biografas
El Dr. Zouheir Trabelsi recibi su Ph.D. en Ciencias de la Computacin de la Universidad de
Tecnologa de Tokio y la Agricultura, Japn, en 1994. A partir de abril de 1994 hasta diciembre de
1998, fue investigador de la informtica en el Laboratorio Central de Investigacin de Hitachi en
Tokio, Japn. Desde noviembre de 2001 hasta octubre de 2002, que era un visitante sor Asistente
Profe- en la Pace University, Nueva York, EE.UU.. En septiembre de 2005, se incorpor a la Facultad
de Tecnologa de la Informacin, Emiratos rabes Unidos Uni- versidad, donde actualmente es
Profesor Asociado de Informacin segu- ridad y el coordinador de programas de maestra. La
investigacin del Dr. inter Zouheir
EST incluyen: Seguridad de la red, la deteccin y prevencin de intrusiones, cortafuegos, TCP / IP canales encubiertos, educacin
seguridad de la informacin y el desarrollo curricular.
El Dr. Walid Ibrahim recibi su Ph.D. en los sistemas informticos y Inge- niera de la Universidad de
Carleton (Ottawa, Canad) en 2002. En sep- tiembre de 2004 se incorpor a la Facultad de
Tecnologa de la Informacin, Universidad de Emiratos rabes Unidos, donde actualmente es el
coordinador Assessment acadmico y profesor asociado con la pista de Ingeniera Informtica sis-
tema. Antes de unirse al versidad Emiratos rabes Unidos Uni, el Dr. Ibrahim llev a cabo varias
posiciones software de I + D en todo el mundo principales compaas de telecomunicaciones y
semiconductores. Los intereses de investigacin incluyen el Dr. Ibrahim: Fiabilidad habilitado
herramientas EDA, diseos de muy bajo consumo, topologas de interconexin escalables y fiables,
pruebas de VLSI y el diseo de la capacidad de prueba, aplica tcnicas de optimizacin.
319