Revista de tecnologa de la informacin Educacin: Volumen 12, 2013

Innovaciones en la Prctica

Citar como: Trabelsi, Z., y Ibrahim, W. (2013). Un enfoque prctico para la enseanza de ataques de denegacin de servicio: Un estudio de caso.
Revista de tecnologa de la informacin Educacin: innovaciones en la prctica, 12, 299-319. Obtenido
http://www.jite.org/documents/Vol12/JITEv12IIPp299-319Trabelsi1193.pdf

Un enfoque prctico para la enseanza de denegacin de

Los ataques del servicio: Un estudio de caso

Zouheir Trabelsi y Walid Ibrahim

Facultad de Tecnologa de la Informacin, Universidad de EAU, Al-Ain, UAE

trabelsi@uaeu.ac.ae , walidibr@uaeu.ac.ae

Resumen ejecutivo
Hoy en da, muchas instituciones acadmicas estn incluyendo hacking tico en su seguridad de la informacin y programas informticos.
seguridad de la informacin a los estudiantes necesitan experimentar tcnicas de hacking cal ethi- comn con el fin de ser capaz de
implementar las soluciones de seguridad apropiadas. Esto permitir que se protejan de manera ms eficiente la confidencialidad, integridad
y disponibilidad de los sistemas de orde- nador y activos.

En este trabajo se presenta un estudio de caso de la ejecucin de amplios manos libres hacking tico en ejercicios de laboratorio, que son fundamentales

para la educacin de seguridad. Los ejercicios son alrededor de tres negacin comn de Servicio (DoS) ataques, a saber, la Tierra, el TCP (control de la

transmisin col proto) SYN (sincronizacin) de inundaciones, y los ataques de lgrima. Los ataques DoS son temas importantes para los cursos de

seguridad que ensean tcnicas de piratera y de deteccin de intrusos ticos. El documento analiza tambin las tcnicas de defensa comunes para la

deteccin de ataques de denegacin de servicio, incluyendo TEMS de Deteccin de Intrusos (IDS) Systematic y herramientas de software. Resoplido

herramienta se utiliza como la solucin IDS defensa durante los ejercicios prcticos de laboratorio. El objetivo de aprendizaje de los ejercicios prcticos

de laboratorio es que los estudiantes aprendan cmo implementar y detectar los ataques de denegacin de servicio en un entorno de laboratorio aislado

de la red. La adicin de hacking tico a un plan de estudios de seguridad de la informacin plantea una serie de cuestiones ticas y legales. Algunos

estudiantes usarn las manos a la ofensiva adquiridas habilidades de manera ilegal y algunas veces inapropiados. Por lo tanto, los estudiantes pueden

poner en peligro sus carreras, dao a los dems, y poner todo el programa de seguridad de la informacin de su ins- titucin en riesgo. Asimismo, las

escuelas y los educadores pueden ser consideradas responsables de las acciones de sus estudiantes. Para contribuir a la mejora de las posibilidades de

tener un programas de seguridad de xito y el problema de informacin libre que ensean tcnicas de hacking tico, el documento enumera una serie de

medidas que deben ser tomadas por las escuelas y los educadores para asegurar que los estudiantes son responsables de sus acciones y educar a los

estudiantes en las consecuencias de cualquier mala conducta. Tambin se discute el impacto de ofrecer a los ejercicios sobre el rendimiento de los

estudiantes en cuanto al logro de los resultados del curso. Los resultados de la evaluacin muestran que los supuesto prctico que ofrece

ejercicios de laboratorio permite a los estudiantes a

El material publicado como parte de esta publicacin, ya sea en lnea o en la impresin,
diseccionar mejor los ataques y asimilar los conceptos
tiene derechos de autor por el Instituto de Ciencias Informando. Permiso para hacer copia
digital o en papel de una parte o la totalidad de estas obras para uso personal o en el aula aprendidos a partir de la conferencia. Los estudiantes
se concede sin cuota siempre que las copias no se hacen o se distribuyen con fines de han aprendido mejor con los ejercicios que tuvo un
lucro o de ventajas comerciales y que las copias 1) llevan este aviso en su totalidad y 2) dar
efecto positivo en su rendimiento. Un cuestionario
la cita completa en la primera pgina. Es missible per- abstraer estas obras, siempre y
annimo se ad- ministr a los estudiantes que
cuando se d crdito. Para copiar en todos los dems casos, o volver a publicar o escribir
en un servidor o redistribuir en las listas requiere el permiso y el pago de una tarifa participaron en los ejercicios prcticos de laboratorio
especfica. Contacto Publisher@InformingScience.org para solicitar el permiso de para medir su nivel de satisfaccin y recoger sus
redistribucin.

Editor: Thomas Connolly

La enseanza de denegacin de servicio

comentarios acerca de los ejercicios prcticos de laboratorio discutidos. Los resultados del cuestionario mostraron que ms del 85% de
los estudiantes que contestaron el cuestionario cree que los ejercicios sean tiles y les ayud a comprender mejor los conceptos tericos
subyacentes asociados con ataques de denegacin de servicio.

palabras clave: plan de estudios de seguridad de la informacin, los ataques de denegacin de servicio, ejercicios prcticos de laboratorio, ING cortar metal

tico, escuelas y educadores de responsabilidad.

Introduccin
tcnicas defensivas con prcticas en laboratorio de ejercicios son inclusiones populares en la educacin de seguridad. Sin embargo, existe un
creciente inters en las tcnicas ofensivas que fueron desarrollados originalmente por los piratas informticos (Bishop, 1997; Bruto, Shubina,
y Locasto, 2010; Hill, Carver, Humphries, y del chucho, 2001; Ledin, 2011; Mullins et al., 2002 ; Trabelsi, 2011; Yuan y Zhong, 2008). De
hecho, las tcnicas de hacking tico son fundamentales para entender mejor las formas en que los sistemas de seguridad fallan. La
enseanza de tcnicas de hacking tico se est convirtiendo en un componente necesario del plan de estudios de la seguridad informtica,
ya que da mejores profesionales de la seguridad que otros planes de estudio la enseanza de tcnicas de defensa solo (Arce y McGraw,
2004; Arnett y Schmidt, 2005; Dornseif, Grtner, Holz, y Mink, 2005; Frincke, 2003; Mink y Freiling, 2006; Vigna, 2003). Muchos acadmicos y
profesionales de la industria creen que la mejor manera de preparar las defensas del sistema es entender los ataques que los sistemas se
enfrentarn (Arce y McGraw, 2004). Los estudiantes con habilidades de hacking tico entendern cmo los ataques se han diseado y
puesto en marcha y estarn mejor preparados para trabajar como admi- nistradores de seguridad. Esto les proporcionar mejores
oportunidades de trabajo que aquellos sin atacar habilidades (Logan y Clarkson, 2005).

Hoy en da, existe una necesidad notable de los libros de texto de seguridad informtica y documentos tcnicos que describen la ejecucin de ejercicios prcticos

de laboratorio sobre tcnicas de hacking tico. Para con- homenaje a satisfacer la necesidad mencionada anteriormente, este documento propone prctica

integrales de hacking tico ejercicios de laboratorio que son esenciales para la educacin de seguridad. Los ejercicios describen en detalle cmo implementar

prcticamente tres ataques de denegacin de servicio comunes. Aunque, hay muchas herramientas listas para el uso de ataques DoS disponibles en el mercado,

la mayora de ellos no tienen un componente educativo. Por el contrario, los ejercicios descritos en este documento tienen un propsito educativo, ya que su

principal obje- tivo es ensear a los estudiantes cmo construir su propio trfico ataque DoS. Los ejercicios permiten a los estudiantes a diseccionar mejor los

ataques de denegacin de servicio en un entorno de laboratorio aislado de la red. Los ejercicios propuestos se pueden ofrecer a los estudiantes en los cursos de

seguridad principalmente en tcnicas de hacking tico y deteccin de intrusos, y estn diseados para acompaar y complementar cualquier texto prensa

acadmica existente. Los ejercicios se han integrado en nuestro curso deteccin y respuesta de intrusiones (SEC455) se ofrece a los estudiantes de alto nivel de

seguridad de la informacin. El objetivo de los ejercicios de laboratorio es proporcionar a los estudiantes con la experiencia prctica necesaria para mejorar su

comprensin de los diferentes ataques de denegacin de servicio. Los ejercicios se han integrado en nuestro curso deteccin y respuesta de intrusiones (SEC455)

se ofrece a los estudiantes de alto nivel de seguridad de la informacin. El objetivo de los ejercicios de laboratorio es proporcionar a los estudiantes con la

experiencia prctica necesaria para mejorar su comprensin de los diferentes ataques de denegacin de servicio. Los ejercicios se han integrado en nuestro curso

deteccin y respuesta de intrusiones (SEC455) se ofrece a los estudiantes de alto nivel de seguridad de la informacin. El objetivo de los ejercicios de laboratorio

es proporcionar a los estudiantes con la experiencia prctica necesaria para mejorar su comprensin de los diferentes ataques de denegacin de servicio.

El documento est organizado como sigue. La siguiente seccin describe la puesta en prctica de los ejercicios prcticos de laboratorio. La
tercera seccin se analizan las soluciones de defensa comn disponibles para detectar los ataques de denegacin de servicio. La cuarta seccin
analiza surgieron algunas preocupaciones ticas en la enseanza de tcnicas de hacking tico y enumera los pasos que deben ser tomadas por
las escuelas y los maestros para mejorar las posibilidades de tener un programa de seguridad exitoso y un problema de informacin libre. En la
quinta seccin, el documento evala el impacto de los ejercicios prcticos propuestos en la satisfaccin de los estudiantes y el logro de los
resultados de aprendizaje de un curso de alto nivel de seguridad de la informacin. Por ltimo, la sexta seccin concluye el artculo.

300
 Trabelsi y Ibrahim

ticos manos sobre la piratera ejercicios de laboratorio

Los siguientes tres subsecciones describen tres ataques de denegacin de servicio comunes, a saber, la Tierra, la inundacin TCP SYN, y los

ataques de lgrima. Para cada ataque DoS, se describen las correspondientes manos a la aplicacin prctica de laboratorio. El objetivo de

aprendizaje de los ejercicios de laboratorio es que los estudiantes aprendan cmo implementar y detectar los ataques de denegacin de servicio en

la red aislada entorno de laboratorio. La aplicacin de los ejercicios prcticos de laboratorio requiere intensa participacin de los estudiantes. Al

comienzo de cada prctica de laboratorio ejercer el instructor resume brevemente los conceptos tericos relacionados con los ataques de denegacin

de servicio que ya han sido enseados en la conferencia. A continuacin, la instruccin tor proporciona a los estudiantes con la configuracin de la

arquitectura de red necesaria, las herramientas necesarias para generar y escuchar el trfico ataque DoS, los dispositivos de red (switch y / o

routers), y la herramienta de sistema de deteccin de trusion In- (IDS) que se utiliza para detectar los ataques DoS generados. Durante los ejercicios

prcticos de laboratorio, los estudiantes trabajan en pequeos grupos (tres o cuatro estudiantes en cada grupo) y se les pide para realizar

principalmente las siguientes tareas dentro de una hora:

1. Configurar la arquitectura de red necesaria

2. Generar los ataques de denegacin de servicio utilizando herramientas de desarrollo de paquetes

3. Interceptar el trfico ataque DoS generado utilizando herramientas sniffer

4. Configurar la herramienta de IDS para detectar los ataques de denegacin de servicio generados

5. Cada grupo, presentar un informe que incluye principalmente:

a. Las capturas de pantalla para el trfico de ataque DoS generada en los que muestran la con-
tiendas de campaa de los campos de los paquetes correspondientes a los ataques de denegacin de servicio

segundo. Las capturas de pantalla de los registros de eventos generados por la herramienta IDS.

Land Attack
ataque de la tierra se produce cuando un atacante enva paquetes TCP SYN falseado (iniciacin) con conexin a la direccin IP de un host
de destino y un puerto abierto como origen y destino. El host de destino re-ponde enviando el paquete SYN-ACK a s mismo creando una
conexin vaca que dura hasta que se alcanza el valor de tiempo de espera de inactividad. Inundando un sistema con las solicitudes de
conexin vacas caer sobre ella y hacer que se niegan los servicios que ofrece (Figura 1).

Figura 1: El ataque Tierra

301
La enseanza de denegacin de servicio

Ejercicio prctico de laboratorio en el ataque Tierra

El objetivo de este ejercicio de aprendizaje prctica de laboratorio es que los alumnos aprendan a realizar el ataque de tierra utilizando una
herramienta de creacin de paquetes IP. Una red LAN sencilla se usa en este ejercicio. Es decir, tres mquinas estn conectadas a un conmutador y
cada husped se le asigna una direccin IP esttica, como se muestra en la Figura 2. Suponemos que host A es el anfitrin ataque, y anfitrin B es
el host vctima. Host C est conectado en un puerto de supervisin del interruptor (conocido como puerto SPAN) para supervisar la red traf- FIC
intercambiada entre hosts A y B utilizando CommView sniffer (tor CommView Red Moni-, 2013), como se una herramienta de analizador de
paquetes. Adems, el anfitrin C utiliza Snort (Snort, 2011), como una herramienta de software IDS, para detectar ataques al trfico.

El ejercicio de laboratorio consiste en los siguientes tres pasos:

Paso 1: Configurar un puerto SPAN en el conmutador

Paso 2: Generar trfico de ataque del terreno mediante una herramienta de constructor de paquetes IP

Paso 3: ataques al trfico sniff Tierra

Figura 2: Red de arquitectura

Paso 1: Configurar un puerto SPAN en el conmutador

Puesto que cada fabricante del interruptor define su conjunto especfico de pasos y los comandos para configurar un puerto SPAN, en este
documento Cisco Catalyst 4500 Switch Series (Cisco, 2013) se utiliza como un ejemplo. En el entorno de Windows XP, para configurar un
puerto SPAN en un switch Cisco, slo tiene que realizar los siguientes pasos:

Conectar un host al puerto de consola en el conmutador.

Iniciar un programa Terminal aplicacin (por ejemplo: HyperTerminal) en el husped.

Ejecute los siguientes comandos para configurar un puerto SPAN y guardar la configuracin:

Switch> enable // introducir el comando enable para acceder al modo EXEC privilegiado terminal de interruptor #

configure

Switch (config) sesin # 1 monitor de interfaz de origen fastethernet 0/2 tanto Switch (config) # 1

Monitor de Sesiones interfaz de origen fastethernet 0/4 tanto Switch (config) # 1 Monitor de

Sesiones interfaz de destino fastethernet 0/6 Switch (config) #exit

Interruptor # copy running-config startup-config

Los comandos anteriores configuran el interruptor de Cisco para:

1. Supervisar todo el trfico de las dos fuentes siguientes:

Anfitrin A [Fastethernet 0/2] - [Ambos]: Trfico entrantes y salientes

Anfitrin B [Fastethernet 0/4] - [Ambos]: Trfico entrantes y salientes

2. Entregar una copia de los mismos a un destino: Host C [Fastethernet 0/6]

302
 Trabelsi y Ibrahim

Paso 2: Generar trfico de ataque del terreno mediante una herramienta de constructor de paquetes IP

trfico de ataque de la tierra se construye a partir falsificados paquetes TCP SYN con la direccin IP del host de destino y el puerto TCP abierto
como origen y destino. La Figura 3 muestra los valores de ejemplo de los campos principales de un paquete de ataque Land.

Figura 3: Un ejemplo de un paquete de ataque de la tierra

Una herramienta de generacin de paquetes puede ser usado para construir habitualmente los paquetes de trfico de ataque de la tierra. Esto se puede hacer

mediante el uso de una herramienta de comandos en lnea, tales como FrameIP Generador de Paquetes ( FrameIP Generador de Paquetes, 2013), o de una

manera ms amigable y fcil herramienta de interfaz grfica de usuario de usar, tales como Constructor de paquetes participar

(Engage Paquete Constructor, 2013) o CommView constructor visual de paquetes ( CommView Red Moni- tor, 2013). Por ejemplo,
desde el host ataque A y el uso de CommView Constructor Visual de paquetes, la Figura 4 muestra un paquete TCP SYN falso
utilizado para generar trfico de ataque Land. El paquete tiene la direccin IP de origen es igual a la direccin IP de destino (host IP de
B: 192.168.2.4), y el puerto de origen es igual al puerto de destino 80. La direccin MAC de destino se establece en la direccin MAC
del host de destino "SEGUNDO".

Figura 4: Falso paquete TCP SYN para la generacin de trfico de ataque Tierra

303
La enseanza de denegacin de servicio

Paso 3: ataques al trfico Sniff Tierra

El objetivo de este paso es verificar que el trfico destinado ha sido generado de manera adecuada. Host C utiliza sniffer CommView para
capturar el trfico intercambiado entre los hosts A y B. La figura 5 es una captura de pantalla que muestra el trfico de ataque Tierra
capturado generado en el paso 1. Se muestra claramente que el host vctima B (192.168.2.4) se ha inundado con paquetes de ataque
Tierra.

Figura 5: trfico de ataque de la tierra capturada por CommView sniffer

TCP SYN ataque de inundacin

Un ataque de inundacin TCP SYN se produce cuando un husped se vuelve tan abrumado por los paquetes TCP SYN ini- tiating
peticiones de conexin incompletas de manera que el husped ya no puede procesar cualquier nuevas peticiones de conexin
legtimas. Cuando el cliente intenta establecer una conexin TCP con un servidor, el cliente y el servidor de intercambio de una
secuencia de mensajes y el proceso se conoce como el enlace de tres vas. El sistema cliente inicia mediante el envo de un
mensaje SYN al servidor. El servidor reconoce el mensaje SYN mediante el envo de un mensaje SYN-ACK al cliente. Luego, el
cliente termina el establecimiento de la conexin al responder con un mensaje ACK. Entonces se abre la conexin entre el cliente y
el servidor, y los datos especficos del servicio puede ser ex cambi entre el cliente y el servidor.

El potencial de abuso surge en el momento en que el sistema de servidor enva el mensaje SYN-ACK al cliente y antes
de que reciba el mensaje ACK final. Esta situacin se conoce como una conexin de medio abierto. El servidor por lo
general mantiene en su memoria una estructura de datos que describe todas las conexiones pendientes. Dado que esta
estructura de datos tiene un tamao finito, que puede ser fcilmente desbordado por crear intencionalmente demasiadas
conexiones parcialmente abiertas (Figura 6). La creacin de la conexin entreabierta se logra fcilmente con IP spoofing.
El anfitrin de la atacante enva mensajes SYN al servidor de la vctima. Los mensajes parecen ser legtima al servidor;
sin embargo, el vestido ad- sea simulada a un anfitrin que no est conectado a la red. Esto significa que el servidor
vctima nunca recibir el mensaje ACK final. Dado que la direccin sea simulada

304
 Trabelsi y Ibrahim

Figura 6: El ataque de inundacin TCP SYN

Ejercicio prctico de laboratorio en ataque de inundacin TCP SYN

El objetivo de este ejercicio de aprendizaje prctica de laboratorio es que los estudiantes aprenden a realizar ataque de inundacin TCP SYN
utilizando una herramienta de creacin de paquetes IP. El ejercicio utiliza la misma arquitectura de red descrita en el ejercicio anterior, y consta
de los siguientes pasos:

Paso 1: Generar TCP SYN ataques al trfico de inundacin.

Paso 2: Sniff TCP SYN ataques al trfico de inundacin.

Paso 1: Generar TCP SYN ataques al trfico de inundacin

Desde Host B (192.168.2.4) es el anfitrin vctima, el TCP y cabeceras IP de TCP SYN paquetes de ataque de inundacin se debe establecer
en los valores mostrados en la figura 7. Es decir, la direccin IP de origen se debe establecer en un falso o la direccin IP al azar, y el puerto de
destino deben establecerse en un nmero de un puerto TCP abierta en el husped vctima.

Figura 7: Un ejemplo de un paquete TCP SYN ataque de inundacin

El atacante en el host A puede utilizar cualquier herramienta de escner de puertos para identificar la lista de puertos TCP abiertas en el host vctima. A

continuacin, el atacante puede seleccionar un nmero de puerto TCP abierto y utilizarlo como el nmero de puerto de destino en los paquetes de ataque de

inundacin TCP SYN. Por ejemplo, la Figura 8 es una captura de pantalla que muestra el resultado de una exploracin de puertos TCP del host de destino B,

usando la herramienta avanzada Port Scanner (Rad- min avanzada Port Scanner, 2013): Hay 8 puertos TCP abiertas en el host B .

305
La enseanza de denegacin de servicio

Figura 8: Puerto resultado de la digitalizacin usando la herramienta de puertos avanzado escner

Para generar TCP SYN paquetes de ataque de inundacin, el atacante tiene que utilizar una herramienta de creacin de paquetes IP que permite la

insercin de direcciones IP aleatorias en el campo IP de origen y la generacin de altas tasas de paquetes. Sin embargo, slo unas pocas herramientas de

desarrollo de paquetes compatibles con esta funcin. Por ejemplo, la herramienta Generador de Paquetes FrameIP tiene la capacidad de generar paquetes

con direcciones IP aleatorias y / o nmeros de puertos y ofrece alta velocidad de paquetes. La figura 9 es una captura de pantalla que muestra los

resultados de la ejecucin herramienta FrameIP. Es decir, el host de destino con la direccin IP 192.168.2.4 se inunda con ets Pack-TCP SYN. Cada

paquete TCP SYN generado tiene un nmero de puerto de origen falsa aleatoria y una direccin IP de origen falsa aleatoria.

Figura 9: el trfico de inundacin TCP SYN generada por la herramienta FrameIP

Paso 2: trfico de ataque de inundacin SYN TCP Sniff

En Host C, un sniffer puede ser usado para capturar el trfico generado. El objetivo de este paso es ana- lizar y verificar que el
trfico destinado ha sido generado de manera adecuada. Por ejemplo, usando

306
 Trabelsi y Ibrahim

CommView Sniffer, la Figura 10 muestra que la vctima Host B (192.168.2.4) est bajo ataque de inundacin TCP SYN, y el puerto
TCP de destino es 80.

Figura 10: TCP SYN ataques al trfico de inundacin capturados por CommView sniffer

Por otra parte, en la vctima Host B, el comando de lnea de DOS netstat puede ser tambin utilizado para de- ataque de inundacin TCP
SYN tect. El comando muestra las conexiones que se encuentran actualmente en el estado entreabierta. El estado medio abierto se describe
como SYN_RECEIVED en Windows y como SYN_RECV en sistemas Unix.

Ataque de lgrima
ataque de la lgrima se dirige vulnerabilidad en la forma paquetes IP fragmentados se vuelven a montar. fragmentacin es necesaria cuando los
datagramas IP son ms grandes que la unidad mxima de transmisin (MUT) de un segmento de red a travs del cual los datagramas deben
atravesar. Con el fin de reas- con xito paquetes semble en el extremo receptor, la cabecera IP para cada fragmento debe incluir una compensacin
para identificar la posicin del fragmento en el paquete un-fragmentada originales. En un ataque en forma de lgrima, fragmentos de paquetes estn
configurados de forma deliberada con la superposicin de campos de compensacin causando el anfitrin para colgar o accidente cuando se trata de
volver a unirlos. La Figura 12 muestra que el segundo paquete de fragmento (Packet

# 2) que pretende comenzar 20 bytes antes (en 800) que el primer paquete de fragmento (Packet 1) extremos # (en
820). El desplazamiento de Paquete # 2 no est alineada con la longitud del paquete de Paquete # 1. Esta discrepancia puede causar algunos sistemas
se bloquee durante el intento de volver a montar.

307
La enseanza de denegacin de servicio

Figura 12: El ataque de la lgrima

Ejercicio prctico de laboratorio en forma de lgrima ataque

El objetivo de este ejercicio de aprendizaje prctica de laboratorio es que los estudiantes aprenden a realizar Tear ataque de gota usando una herramienta de

creacin de paquetes IP.

El ejercicio utiliza la misma arquitectura de red descrita en el primer ejercicio, y consta de los siguientes pasos:

Paso 1: Generar trfico de ataques en forma de lgrima.

Paso 2: ataques al trfico Sniff Lgrima

Paso 1: Generar trfico de ataques en forma de lgrima

Para generar un ataque en forma de lgrima, dos paquetes fragmentados se construyen. Los paquetes tienen ID de la misma IP, lo que significa que
pertenecen al mismo paquete un-fragmentada originales. Sin embargo, valores de desplazamiento se solapan. La Figura 13 ilustran un ejemplo de los
valores de encabezado IP para dos paquetes de ataque de la lgrima. Para generar estos paquetes, el atacante tiene que utilizar una herramienta de
creacin de paquetes IP que permite enviar simultneamente ms de un paquete. Sin embargo, algunas herramientas de desarrollo de paquetes, como
el Generador de Paquetes FrameIP, ofrecen esta capacidad.

Figura 13: Un ejemplo de paquetes de ataque de la lgrima

Paso 2: ataques al trfico Sniff Lgrima

El objetivo de este paso es verificar que el trfico de ataque previsto se ha generado de manera adecuada. El anfitrin de seguimiento C
utiliza CommView sniffer para capturar el trfico intercambiado entre hosts A y B. Figura 14 y 15 son capturas de pantalla de los dos
paquetes de la lgrima de ataque capturados (Paquete # 1

308
 Trabelsi y Ibrahim

y Paquete # 2) enviado a la vctima Host B (192.168.2.4). Los dos paquetes fragmentados pertenecen al mismo paquete un-fragmentada
original (ID de IP = 200) y han superposicin de valores, 0 y 20 de desplazamiento respectivamente.

Figura 14: El primer paquete de un ataque de la lgrima (Paquete # 1)

Figura 15: El segundo paquete de un ataque de la lgrima (Paquete # 2)

Soluciones de defensa
soluciones de defensa contra los ataques de denegacin de servicio son de un gran inters debido a que estos tipos de ataques son altamente intencional y por lo

general tienen que ser iniciado, mantenido y controlado por los seres humanos. SIN EMBARGO, los ataques de denegacin no se puede prevenir totalmente.

Siempre existe la posibilidad de que el atacante puede enviar a un sistema de ordenador de la vctima demasiados datos que no poda manejar. Sin embargo, la

amenaza de ataques de denegacin de servicio puede ser minimizado mediante el aumento del ancho de banda de la red y mediante el uso de los parches del

fabricante, cortafuegos, sistemas de deteccin / prevencin de intrusiones (IDS / IPS) herramientas de software o hardware ANCES apli- y la configuracin de red

adecuada. sistemas operativos ofrecen tambin mtodos para el endurecimiento de la pila de protocolos TCP / IP, lo que reduce la vulnerabilidad de los servidores

a muchos ataques de denegacin de servicio comunes. Una modificacin de la configuracin de la pila TCP / IP por defecto se recomienda durante el proceso de

asegurar que el sistema operativo. Por ejemplo, las medidas necesarias para proteger la pila de protocolos TCP / IP para que los servidores

309
La enseanza de denegacin de servicio

ms resistente al ataque por inundacin TCP SYN se detallan en Burdach (2010) y Microsoft (2011). Sin embargo, un atacante puede utilizar
siempre los recursos adicionales para inundar un sistema de destino o en el trabajo NET y / o inventar nuevos y desconocidos tipos de ataques de
denegacin de servicio. Los siguientes dos subsecciones describieran brevemente los IDS comunes / IPS de soluciones de defensa.

IDS / IPS dispositivos de hardware

IDS / IPS dispositivos de hardware estn diseados para detectar y prevenir el trfico y las actividades malicioso en las redes de ordenadores. Ellos pueden

ser fcilmente configurados para detectar y prevenir ataques de denegacin de servicio comunes. Por ejemplo, la Figura 16 es una captura de pantalla que

muestra que la proteccin contra ataques de la tierra y opciones de proteccin de ataque de la lgrima se habilitan al dispositivo de Juniper Networks SSG20

(Juniper Networks, 2013).

Figura 16: La tierra y la lgrima ataca las opciones de proteccin en el dispositivo de Juniper Networks SSG20

La figura 17 es una captura de pantalla que muestra el contenido del registro de eventos en Juniper Networks dispositivo SSG20 despus de detectar trfico de

ataque de la lgrima. registro de eventos muestra que los ataques al trfico de la lgrima se ha generado a partir de un host con la direccin IP 192.168.1.133,

apuntando a un host con la direccin IP 192.168.2.4.

Figura 17: el contenido del registro de eventos en el dispositivo despus de Juniper Networks SSG20

la deteccin de ataques al trfico de la lgrima

Herramientas de software IDS

Snort, una red fuente del sistema de deteccin de intrusos abierto (NIDS), es un buen ejemplo de una herramienta de software IDS. Se puede
realizar el anlisis de protocolo y la bsqueda de contenido / coincidente. Tambin se puede usar para detectar una variedad de ataques y sondas
tales como ataques DoS, desbordamientos de bfer, anlisis de puertos de sigilo, ataques CGI, sondas de SMB, intentos de OS de huellas
dactilares, y mucho ms. El host que ejecuta Snort debe estar instalado en el puerto SPAN de un interruptor para poder supervisar y analizar el
trfico del trabajo NET intercambiados.

310
 Trabelsi y Ibrahim

Snort utiliza una base de datos de reglas para detectar ataques y trfico malicioso. reglas de Snort son las condiciones especificadas por el
administrador de la red que diferenciar entre las actividades de Internet normales y actividades maliciosas. Resoplido reglas se componen de
dos partes bsicas:

cabecera regla: Esta es la parte en la que se identifican las acciones de la regla. Alerta, Entrar, Pass, tivate Ac, dinmica, etc., son algunas

acciones importantes que se utilizan en las reglas de Snort.

opciones de la regla: Esta es la parte en la que se identifican los mensajes de alerta de la regla. Por ejemplo, la

siguiente regla de Snort se utiliza para detectar el trfico TCP SYN ataque de inundacin:

tcp alerta alguna a cualquier -> cualquier ninguna (msg: "TCP ataque SYN detectado"; flujo:; banderas sin estado: S, 12; umbral: umbral tipo,
Pista by_src, cuenta 3, segundo 1; ClassType: intento-de reconocimiento; sid : 10002; rev1;).

La siguiente captura de pantalla muestra un ejemplo de registro de eventos de Snort despus de detectar el trfico de inundacin TCP SYN:

basados Snort IDS ejercicios prcticos de laboratorio

Snort es ampliamente utilizado en el mundo acadmico como herramienta para la enseanza de conceptos de red de seguridad (chek Sharma y Sef-, 2007; Xu,

Zhang, Gadipalli, Yaun, y Yu, 2011). Durante los ejercicios prcticos de laboratorio, los grupos Student utilizan Snort como una solucin de defensa. Para cada

ejercicio prctico de laboratorio, se les pide a los grupos de estudiantes para escribir las reglas de Snort apropiados para detectar el correspondiente ataque

DoS. Cada grupo presenta a continuacin un informe que incluye principalmente:

1. Resoplido reglas escritas para detectar los ataques de denegacin de servicio

2. Las capturas de pantalla de los registros de eventos de Snort generan despus de la deteccin de los ataques de denegacin de servicio.

La preocupacin tica
Los ejercicios prcticos de laboratorio se han ofrecido en nuestra deteccin de intrusos y por supuesto la respuesta (SECB 455)
durante los ltimos tres aos. Una preocupacin tica importante ha sido identificado, mientras que analyz- ing los archivos de
registro de los sensores IDS instalados en los segmentos de la red de la universidad. Durante un perodo de tres aos, durante
cada semestre utilizamos archivos de registro de los sensores IDS para recolectar el nmero de ataques de denegacin de
servicio detectadas por da dirigidas a los servidores universitarios. La coleccin se centra principalmente en la web, mensajes de
correo electrnico, FTP y servidores DNS. Los datos recogidos muestra claramente un aumento significativo (300% a 750%) en el
nmero medio de ataques DoS detectada por sensores IDS de la universidad durante los pocos das siguientes a la prctica de
laboratorio ejercicios de prctica (Figura 18).

311
La enseanza de denegacin de servicio

Figura 18: Evolucin del nmero de ataques DoS detectado por sensores IDS de la Universidad

Al mismo tiempo, se realiz una encuesta para investigar el comportamiento de los estudiantes despus de la ejecucin de los ejercicios de laboratorio

tachuela At-. Los resultados del estudio muestran que la mayora de los estudiantes (85%) reconocieron que haban tratado los ataques DoS aprendido

fuera del entorno del laboratorio de red aislada, Tar que consigue principalmente a los servidores universitarios. La Tabla 1 muestra el resultado de la

encuesta realizada durante el ltimo perodo de tres aos en alrededor de 110 estudiantes matriculados en el curso SECB455.

Tabla 1: Resultados de la encuesta

Despus de que el laboratorio de ejercicios prcticos prcticas, qu 85% de los estudiantes dijo S el 12% de
experimentar los ataques de denegacin de servicio fuera del entorno de
los estudiantes dijo No 3% se abstuvo
laboratorio aislado de la red?

En caso afirmativo, cules fueron sus principales sistemas de destino? servidores Web universitarios (56%) de los servidores

de correo electrnico de la universidad (14%) Otros

servidores universitarios (9%) sistemas en el exterior

(21%)

Cules eran los objetivos de los ataques? Para la diversin (89%) El intento de frenar los

sistemas de destino (11%)

Este es un dilema cuando se ofrecen ejercicios prcticos de laboratorio en tcnicas ofensivas. El hecho de add-hacking tico ing al plan de
estudios plantea una serie de cuestiones ticas y legales. Algunos estudiantes usarn las manos a la ofensiva adquiridas habilidades de
manera inadecuada ya veces ilegales. Existe la preocupacin de que la enseanza de habilidades peligrosas para inmaduro y estudiantes
incompetente puede ser socialmente irresponsable. Adems, el mal uso de los conocimientos seguridad de la informacin es un asunto serio
y podra resultar en un proceso penal, mala publicidad, lesiones personales, acoso ciberntico, y termina- cin de los programas educativos,
entre numerosos otros resultados negativos. El estudio de Cook, Conti, y Raymond (2012) analiza en detalle el problema del mal uso de las
habilidades de seguridad de la informacin y proporciona detalles de los incidentes del mundo real que los estudiantes.

Adems, manos a la ofensiva sin control ejercicios de laboratorio pueden ser una violacin de la ley. Asimismo, las escuelas y los educadores pueden ser

consideradas responsables de las acciones de sus estudiantes. Por lo tanto, los estudiantes pueden poner en peligro sus carreras, dao a los dems, y poner todo

el programa de seguridad de la informacin de su institucin en riesgo.

312
 Trabelsi y Ibrahim

A menudo se critica que los mtodos ofensivos no se les debe ensear a los estudiantes ya que solo modo, se aumenta la poblacin de
hackers. Hay quienes consideran que la enseanza de tcnicas ofensivas no son ticas (Harris, 2004), ya que siempre hay un potencial que
algunos estudiantes usarn las herramientas y tcnicas de una manera irresponsable. Por lo tanto instructores no deben asumir la
responsabilidad de ensear a los nuevos piratas informticos. Algunos educadores estn preocupados de que la enseanza de habilidades
PELIGRO- unidades organizativas para inmaduro y estudiantes incompetente puede ser socialmente irresponsable. Para una buena dis-
cusin sobre las preocupaciones ticas y legales en cuanto a la enseanza de las tcnicas ofensivas en el entorno acad- mica, los lectores
pueden referirse a Caltagirone, Ortman, Melton, Manz, Rey, y Omn (2006) y para Livermore (2007) .

No estamos de acuerdo con esta lnea de argumentacin. La tendencia hacia las pruebas de penetracin en Los negocios corporativos muestra
que tcnicas ofensivas se pueden utilizar para aumentar el nivel de seguridad de un premio enter-. En consecuencia, los estudiantes formados en
tcnicas ofensivas no necesariamente se convierten en piratas informticos maliciosos, sino que ms bien se convierten en profesionales de
seguridad competentes. El hecho de no estudiar y apply- ing las tcnicas, tcticas y metodologas de atacantes podran dejar grandes huecos en
la base El conocimiento de los graduados (Bruto et al, 2010;. Ledin, 2011). Sin embargo, es obvio que no hay garanta de que muy pocos de los
estudiantes que se han enseado tcnicas ofensivas en las escuelas ser hackers en el futuro y llevar a cabo actividades de piratera informtica
contra los sistemas y redes. Una encuesta de los miembros de la facultad de seguridad se ha llevado a cabo para determinar sus actitudes hacia
la enseanza de las pruebas de la piratera y la penetracin de tica en las escuelas (Livermore, 2007). Los resultados del estudio mostraron ms
del 71% de los miembros de la facultad de seguridad de acuerdo en que las escuelas deberan ensear hacking tico. Adems, los estudiantes
con habilidades de hacking tico estarn mejor preparados para trabajar como administradores de seguridad con mejores posibilidades de empleo
de aterrizaje que aquellos sin estas habilidades (Arce y McGraw, 2004; Logan y Clarkson, 2005; Wulf, 2003).

Hoy en da, muchas instituciones acadmicas estn incluyendo hacking tico y pruebas de penetracin en su seguridad de la informacin y
programas informticos. Para ejemplos, la Universidad de Carolina del Norte (UNC) en la Facultad de Computacin e Informtica de
Charlotte est ofreciendo un curso llamado Evaluacin de la vulnerabilidad y el Sistema de Aseguramiento. tcnicas de hacking tico, la
bsqueda de nuevos exploits, el descubrimiento de vulnerabilidades, y que penetran en los permetros de red son algunos de los temas
tratados en el curso. El curso se basa en estudios de casos de hacking tico con un componente de laboratorio fuerte. La Universidad de
Abertay Dundee en Escocia tambin est ofreciendo un curso de hacking tico llamada Ethical Hacking y Seguridad Informtica. El curso
proporciona un conocimiento detallado de los ataques electrnicos y los mtodos que usan los delincuentes para acceder y explotar un
sistema. Est claro que hay una serie de problemas con la enseanza de hacking tico. Sin embargo, tambin hay una serie de pasos que
las escuelas y los educadores pueden tomar para reducir sus pasivos, para evitar la mala conducta del estudiante, y para ayudar a los
estudiantes a no portarse mal y ser responsables, incluyendo:

1. tcnicas ofensivas no deben ser ofrecidos exclusivamente, pero en un contexto en el em-

phasis es en la mejora de las tcnicas de defensa por el aprendizaje de cmo se implementan las tcnicas ofensivas.

2. Los estudiantes deben ser conscientes de las implicaciones legales y la tica de los ataques ofensivos y
hackeo tico. Los estudiantes deben ser informados con regularidad sobre el uso tico de las herramientas y tcnicas ofensivas. Los
instructores deben proporcionar de manera deliberada y con frecuencia contexto para estu- diantes de por qu estn aprendiendo el
material peligroso. Los resultados de la encuesta en (Livermore,

2007) muestran que el 75% de los miembros de la facultad de seguridad sienten que sus escuelas deben ofrecer un curso de tica
como parte del plan de seguridad de la informacin. Un nmero similar de ulty fac- siente que la tica debe ser parte de cada curso
de seguridad de la informacin en el plan de estudios.

3. Los educadores deben comunicarse regularmente las desventajas de las acciones maliciosas para su estu-
abolladuras. Los estudiantes corren el riesgo de expulsin, persecucin penal, y podran poner en peligro la existencia del programa de seguridad

de la informacin de su institucin.

313
La enseanza de denegacin de servicio

4. Las escuelas deben comunicar a los estudiantes el lmite entre apropiado y inap-
apro- comportamiento, incluyendo el conocimiento de las leyes locales e internacionales.

5. Para limitar su responsabilidad, las escuelas que ofrecen tcnicas ofensivas como parte de su seguridad
plan de estudios debera ordenar a los estudiantes a firmar un cdigo de conducta durante el curso Matricu- cin. El cdigo de conducta
debe explicar en detalle los lmites de comportamiento de los estudiantes y las consecuencias para el comportamiento inaceptable.

6. Las escuelas que construyen laboratorios de computacin para la enseanza de tcnicas ofensivas en su infor-

programas de seguridad cin deben tomar precauciones para asegurar que sus laboratorios estn aislados de las redes fuera del
aula, para reducir al mnimo las posibilidades de abuso accidental o intencional.

7. Escuelas la enseanza de tcnicas ofensivas deben establecer un proceso para seleccionar a los estudiantes para

antecedentes penales, el comportamiento inestable y actividades maliciosas antes de la admisin a un programa de seguridad de la
informacin (Livermore, 2011). Adems, las escuelas pueden requerir una ESCRIBI la aprobacin de los padres del estudiante antes
de realizar cualquier deteccin de antecedentes criminales. Adems, las escuelas no deben violar la ley local con respecto a la
realizacin de la investigacin criminal sobre los individuos.

8. Las escuelas pueden pedir a los estudiantes regularmente matriculados en un programa de seguridad de la informacin

proporcionar las direcciones MAC de sus computadoras porttiles personales y dispositivos mviles. En caso de una tachuela, no despachado estas

direcciones MAC pueden ayudar a los especialistas en informtica forense para identificar los dispositivos que iniciaron los ataques.

Las escuelas que toman los pasos anteriores mejoran las posibilidades de tener un xito los programas de seguridad y el problema de
informacin libre que ensean tcnicas de hacking tico.

Evaluacin de resultados de aprendizaje y

Satisfaccin del estudiante
En esta seccin se analiza el efecto de la introduccin de las nuevas ataque prcticas de laboratorio en el logro de los resultados del curso SECb455
(COS). El curso SECB455 tiene cinco oficinas en los pases, como se muestra en la Tabla 2. Desde SECB455 es un curso avanzado de seguridad
de la informacin, los resultados se han seleccionado cuidadosamente para reflejar los tres niveles superiores en la taxonoma de dominio cognitivo
de Bloom (anlisis, la tesis sin- y evaluacin) . Despus de crear los resultados del curso, se identificaron 12 temas del curso y se asignan a los
resultados del curso. Cuatro herramientas de evaluacin tambin se seleccionan para evaluar los logros de las OP incluyendo cuestionarios,
exmenes (intermedia y final), informes de laboratorio, y proyecto a largo plazo.

Tabla 2: Asignacin de los resultados del curso a Blooms Taxonoma

Nivel de taxn de Bloom

Resultado
Omy

CO1: Identificar los ataques de red ms comunes Anlisis (4)

CO2: Analizar las medidas contra de los ataques de red Anlisis (4)

CO3: Realizar la auditora de seguridad y vulnerabilidad sessment AS. Evaluacin (6)

CO 4: crear nuevas firmas de ataques. Sntesis (5)

CO 5: Integrar IDS / sensores de IPS. Sntesis (5)

314
 Trabelsi y Ibrahim

Para evaluar los resultados del curso que siguen el proceso de evaluacin del curso adoptado por nuestra ins- titucin. Un
coordinador del curso nominado rene un comit de curso que incluye todos los instructores de clase y de laboratorio que ensean el
curso de un semestre dado. Durante la primera semana del semestre, el comit curso se rene para decidir sobre los instrumentos de
evaluacin que se utilizarn para evaluar las OP. Tambin deciden sobre las acciones correctivas que se aplicarn para hacer frente
a las recomendaciones de la evaluacin del ciclo anterior. A lo largo del semestre, el comit curso aplica las herramientas de
evaluacin para recoger datos de la evaluacin. Al final del semestre, los datos de evaluacin recogidos se asignan a las OP. El nivel
de logro de cada CO se calcula entonces en trminos de media y la desviacin estndar utilizando (1) y (2).

norte
tti

( CO ) =
norte
tt
t
, (1)

2
tti

( CO ) = , (2)
nntt
t

dnde t y yo denotan, respectivamente, la media y la desviacin estndar normalizada de las marcas de los estudiantes cuando la
herramienta de evaluacin t se utiliza, y norte t denota el nmero de alumnos. Por ejemplo, si se utilizan tres pruebas y dos preguntas del
examen final para evaluar CO yo, la media normalizada y desvia- cin estndar de las marcas de los estudiantes se calculan por separado
para cada herramienta, entonces (1) y (2) se utilizan para calcular el nivel de logro para CO yo. Despus de calcular el nivel de logro para
cada CO, el comit curso se rene de nuevo para discutir los resultados de la evaluacin y decidir sobre las recomendaciones necesarias
para subsanar las deficiencias descubiertas. Para cerrar el ciclo de evaluacin, el comit curso tambin discute la efectividad de las
acciones correctivas aplicadas durante los Mesters Se- sobre los nuevos resultados de la evaluacin.

Durante los aos 2005/2006 y 2007/2008, acadmicas, los estudiantes en SECB455 no se les ofreci ningn ataque en manos de
laboratorio. Slo la parte terica de los ataques se describe habitualmente durante el tiempo de lectura. Sin embargo, a partir de
otoo de 2008 el comit supuesto decidi ofrecer las manos en hacking tico propuestos ejercicios de laboratorio como una accin
correctiva para mejorar los niveles de rendimiento de las OP. Tres pruebas se utilizan para comparar el logro de los CO antes y
despus se introducen las nuevas ataque laboratorios prcticos. Estas pruebas se asignan directamente a CO1, CO2, y CO5
muestran en la Tabla 2. Se miden los grados de los estudiantes en las tres pruebas, normalizada, y luego agregadas usando (1) y
(2) para calcular el nivel de logro de los tres OC.

resultados de la evaluacin
La figura 19 muestra los estudiantes de los grados promedio de las tres pruebas que se van a evaluar la comprensin de los tres ataques de
los estudiantes. Muestra claramente que a partir del 08/09 acadmico la nota media total se ha empezado a mejorar. Esto se debe
principalmente al hecho de que los ejercicios prcticos de laboratorio que se ofrecen a los estudiantes les permite diseccionar mejor los
ataques y asimilar los conceptos aprendidos a partir de la conferencia. Los estudiantes han aprendido mejor con los ejercicios que tuvo un
efecto positivo en su rendimiento. Por ejemplo, en el caso de la prueba 2, la introduccin de los ejercicios de laboratorio mejor la calificacin
promedio de los estudiantes en un 11,2% a partir de 0,7 a 0,79 y mantuvo la mejora para el seguimiento ing dos aos acadmicos.

315
La enseanza de denegacin de servicio

Figura 19: rendimiento de los estudiantes en las tres pruebas antes y despus de la introduccin de
el ataques de denegacin de laboratorios

La figura 20 ilustra la consecucin de los tres resultados del curso durante seis aos consecutivos desde 05/06 hasta 10/11. Se
muestra una mejora considerable en los CO logros nivel despus que dan origen a las manos de ataque laboratorios. Por ejemplo, la
introduccin de los laboratorios propuestos en 08/09 aca- aos demica mejor los logros nivel de CO por 8,7%, 5,8%, y 6% para
CO1, CO2, y CO5, respectivamente, en comparacin con los niveles de rendimiento en el ao anterior.

Figura 20: El uso de herramientas de evaluacin para asignar los nuevos laboratorios de ataque a los resultados del curso

La Tabla 3 compara los niveles de rendimiento de CO de los 06/07 y los 10/11 aos acadmicos en detalle. Se muestra que la mejora del
9% en el nivel de logro de CO1, del 75% al 82,3% (vase la Figura 20), puede ser interpretado como el 14,9% y el aumento de 5,8% en el
nmero de estudiantes obtuvo por encima del 90% y 80% respectivamente, y 13,8% y 6,3% de cada en el nmero de estudiantes obtuvo
por debajo de 60% y 70%, respectivamente. Un comportamiento similar se observa tambin para el CO2 y CO5.

Tabla 3: Descripcin detallada de la realizacin COs

CO-1 CO-2 CO-5

06/07 10/11 06/07 10/11 06/07 10/11

CO <60% 20,8% 7,0% 14,8% 8,1% 25,9% 15,9%

60% de CO <70% 19,0% 12,7% 18,9% 12,8% 21,8% 18,2% 70% CO <80% 21,9% 21,3%

24,4% 20,3% 22,5% 23,0% 80% CO <90% 18,6% 24,5% 21,6 % 23,1% 16,6% 20,8%

90% CO 19,7% 34,6% 20,4% 35,7% 13,2% 22,2%

316
 Trabelsi y Ibrahim

Satisfaccin del estudiante

La tabla 4 muestra los resultados de un cuestionario annimo que fue administrado a 110 estudiantes, que participaron en los ejercicios de
laboratorio, para medir su nivel de satisfaccin y recoger sus comentarios con respecto a los ejercicios prcticos de laboratorio discutidos.
Los resultados del cuestionario mostraron que ms del 85% de todos los estudiantes que respondieron el cuestionario cree que los
ejercicios de laboratorio que sean tiles y les ayud a comprender mejor los conceptos tericos subyacentes asociados con tachuelas DoS
en- (Tabla 4). El cuestionario tambin revel que el 87% de los estudiantes estaban interesados en ejercicios simi- lar en otras clases de
seguridad de red, y el 86% recomendara encarecidamente el CISE laboratorio cio a otros estudiantes.

Tabla 4: Estudiante cuestionario de satisfaccin

respuestas
preguntas Totalmente de
De acuerdo En desacuerdo Neutral
acuerdo

Le gust los laboratorios? 87% 10% 2% 1%

Cree usted que los laboratorios son fciles de seguir y 82% 10% 5% 3%
directo?

Se siente a entender los conceptos de denegacin de mejora despus de ejecutar los 85% 13% 1% 1%
laboratorios?

Qu probabilidades hay de que recomiende los laboratorios a los dems? 86% 11% 2% 1%
Le gustara ver laboratorios similares ofrecidos en sus clases de 87% 8% 4% 1%
seguridad de la red?

ejercicios de laboratorio me ayud a aprender cmo aplicar los principios y 85% 8% 5% 2%

herramientas de seguridad en la prctica.

Conclusin
Es necesario que los estudiantes saben cmo atacar y disecar tcnicas ofensivas a compren- dan verdaderamente in- cmo defender las redes y
sistemas informticos, y fortalecer sus habilidades de seguridad. En este trabajo se describe en manos ofensivos ejercicios prcticos sobre cmo
realizar prcticamente tres ataques de denegacin de servicio comunes. Los ejercicios estn diseados para ser utilizados como parte de un curso
de nivel de grado de seguridad de la red y deteccin de intrusiones. Los ejercicios permiten a los estudiantes a diseccionar mejor los ataques de
denegacin de servicio en un entorno de laboratorio aislado de la red.

Una preocupacin tica importante ha sido identificado despus de analizar los registros de alertas generadas por los sensores IDS instalados en los

segmentos de la red de la universidad. Este es un dilema cuando los estudiantes de seguridad estn expuestos a ejercicios prcticos de laboratorio en

tcnicas ofensivas. Sin embargo, las preocupaciones ticas de los estudiantes de enseanza piratera son pequeos comparados con la necesidad de

conocimiento, competente y, sobre todo, los profesionales de seguridad informtica con experiencia en la industria y el gobierno. resultados de la

evaluacin supuesto tambin muestran una mejora significativa en el nivel de logro de los resultados de los cursos relacionados. Adems, el documento se

trat una serie de pasos que las escuelas que ensean tcnicas ofensivas pueden tomar para reducir su responsabilidad, educar a los estudiantes acerca

de sus responsabilidades ticas, e impedir la enseanza de habilidades peligrosas para los estudiantes equivocadas.

Reconocimiento
Los autores reconocen el apoyo de la Fundacin Unidos por medio de Ayuda de Investigacin (2011/161).

317
La enseanza de denegacin de servicio

referencias
Arce, I., y McGraw, G. (2004). introduccin editores invitados: Por qu los sistemas de ataque es una buena idea. IEEE
Seguridad y privacidad, 2 ( 4), 17-19.

Arnett, KP, y Schmidt, MB (2005). Revienta el fantasma en la mquina. Comunicaciones de la ACM-

Software espa, 48 ( 8), 92-95.

Bishop, M. (1997). El estado de la educacin en el mundo acadmico infosec: direcciones actuales y futuras. Actas
del Coloquio Nacional de Educacin de Seguridad Sistema de Informacin, 19-33. Bruto, S., Shubina, A., y Locasto, M. (2010). La

enseanza de los principios del plan de estudios hacker para univer-

Ates. Actas del 41 Simposio ACM Tcnica sobre Educacin Ciencias de la Computacin, 122-126. Burdach, M. (2010). El

endurecimiento de la pila TCP / IP a ataques SYN. Obtenido de

http://www.symantec.com/connect/articles/hardening-tcpip-stack-syn-attacks

Caltagirone, S., Ortman, P., Melton, S., Manz, D., King, K., y Omn P. (2006). Diseo e implementacin
de un multi-uso-ataque defender laboratorio de seguridad informtica. Actas de la 39 Conferencia Anual cional Hawaii Interna- en
Ciencias de Sistemas, ( 9), 220c.

Cisco Catalyst 4500 Series Switches Gua de configuracin. (2013), Obtenido de http://www.cisco.com

CommView Monitor de red y analizador. (2013). Obtenido de http://www.tamos.com

Cook, T., Conti, G., y Raymond, D. (2012). Cuando los buenos Ninjas vuelven malas: La prevencin de sus estudiantes de
convertirse en la amenaza. Actas del Coloquio 16a para la Educacin de Seguridad Sistema de Informacin,
61-67.

Dornseif, M., Grtner, FC, Holz, T., y Mink, M. (2005). Un enfoque ofensivo para la enseanza de la informacin
Seguridad: la escuela de verano Aachen informtica aplicada seguridad. Informe tcnico AIB-2005-02, RWTH Aachen. Constructor de paquetes

participar. (2013). Obtenido de http://www.engagesecurity.com

FrameIP Generador de Paquetes. (2013). Obtenido de http://www.frameip.com

Frincke, D. (2003). Quin vigila a los educadores de seguridad? IEEE Seguridad y Privacidad, 1 ( 3), 56-58. Harris, J. (2004). El mantenimiento
de las normas ticas de plan de estudios de seguridad informtica. Actas de la 1 st

Conferencia sobre Desarrollo Curricular seguridad de la informacin, 46-48.

Hill, JM, Carver, CA, Jr., Humphries, JW, y del chucho, Universidad de Washington (2001). El uso de una red aislada labora-
toria para ensear a las redes avanzadas y la seguridad. Actas de la 32 Dakota del Norte Simposio tcnico SIGCSE sobre la Educacin Ciencias de la
Computacin, 36-40.

Juniper Networks SSG5 y SSG20 Secure Services Gateways. (2013). Obtenido de

http://www.juniper.net/us/en/local/pdf/datasheets/1000176-en.pdf

Ledin, G. (2011). La creciente dao de no ensear el malware. Comunicaciones de la ACM, 54 ( 2), 32-34. Livermore, J. (2007). Cules son las

actitudes del profesorado hacia la enseanza de hacking tico y pruebas de penetracin?

Actas del Coloquio 11 para Sistemas de Informacin de la Educacin de Seguridad, 111-116. Livermore, J. (2011). La deteccin

de los estudiantes IA antecedentes criminales. Actas del Coloquio 15a

Educacin para la seguridad del sistema de informacin, 81-86.

Logan, P., y Clarkson, A. (2005). Ensear a los estudiantes a Hack: temas del plan de estudios en seguridad de la informacin.
Actas de la 36 Simposio tcnico SIGSE sobre la Educacin Ciencias de la Computacin, 157-161. Microsoft. (2011). Cmo proteger

la pila TCP / IP frente a ataques de denegacin de servicio en Windows Server

2003. Obtenido de http://support.microsoft.com/kb/324270

Visn, M., y Freiling, FC (2006). Es mejor que el ataque de defensa? La enseanza de seguridad de la informacin de la derecha
camino. Actas de la Conferencia sobre el Desarrollo Curricular seguridad de la informacin, 44-48.

318
 Trabelsi y Ibrahim

Mullins, P., Wolfe, J., Fry, M., Wynters, E., Calhoun, W., Montante, R., y Oblitey, W. (2002). Panel sobre in-
tegrar los conceptos de seguridad en cursos de computacin existentes. Actas de la 33 rd Simposio tcnico SIGCSE de

Computacin Educacin, 365-366. Radmin puertos avanzado escner. (2013). Obtenido de http://www.radmin.com

Sharma, SK, y Sefchek, J. (2007). La enseanza de cursos de seguridad de sistemas de informacin: Un enfoque prctico.
Computadoras y Diario de Seguridad, 26 (4), 290-299. Resoplido Manual del usuario.

(2011). Obtenido de http://www.snort.org

Trabelsi, Z. (2011). Ejercicios prcticos de laboratorio ejecucin de ataques de denegacin de servicio y MiM utilizando venenos ARP cach
soning. Actas de la Conferencia de Desarrollo 2011 Seguridad de la Informacin Plan de estudios, 74-83. Vigna, G. (2003). La enseanza de manos a

la seguridad de la red: bancos de pruebas y ejercicios en vivo. Cuadernos de Informacin

Guerra, 2 ( 3), 8-24.

Xu, J., Zhang, J., Gadipalli, T., Yaun, X., y Yu H. (2011). Aprender las reglas de Snort mediante la captura de intrusiones en
vivo repeticin trfico de la red. Actas de la 15 Coloquio de los Sistemas de Informacin de Seguridad de Edu- cacin, 145-150.

Yuan, D., y Zhong, J. (2008). Una implementacin del laboratorio de ataque de inundacin TCP SYN y defensa. Actas de
el 9 Conferencia SIGITE ACM sobre Tecnologa de la Informacin de Educacin, 57-58. Wulf, T. (2003). la tica en cursos de grado de

seguridad de red de enseanza: La advertencia de Randal

Schwartz. Journal of Computing Sciences en los colegios, 19 ( 1), 90-93.

biografas
El Dr. Zouheir Trabelsi recibi su Ph.D. en Ciencias de la Computacin de la Universidad de
Tecnologa de Tokio y la Agricultura, Japn, en 1994. A partir de abril de 1994 hasta diciembre de
1998, fue investigador de la informtica en el Laboratorio Central de Investigacin de Hitachi en
Tokio, Japn. Desde noviembre de 2001 hasta octubre de 2002, que era un visitante sor Asistente
Profe- en la Pace University, Nueva York, EE.UU.. En septiembre de 2005, se incorpor a la Facultad
de Tecnologa de la Informacin, Emiratos rabes Unidos Uni- versidad, donde actualmente es
Profesor Asociado de Informacin segu- ridad y el coordinador de programas de maestra. La
investigacin del Dr. inter Zouheir

EST incluyen: Seguridad de la red, la deteccin y prevencin de intrusiones, cortafuegos, TCP / IP canales encubiertos, educacin
seguridad de la informacin y el desarrollo curricular.

El Dr. Walid Ibrahim recibi su Ph.D. en los sistemas informticos y Inge- niera de la Universidad de
Carleton (Ottawa, Canad) en 2002. En sep- tiembre de 2004 se incorpor a la Facultad de
Tecnologa de la Informacin, Universidad de Emiratos rabes Unidos, donde actualmente es el
coordinador Assessment acadmico y profesor asociado con la pista de Ingeniera Informtica sis-
tema. Antes de unirse al versidad Emiratos rabes Unidos Uni, el Dr. Ibrahim llev a cabo varias
posiciones software de I + D en todo el mundo principales compaas de telecomunicaciones y
semiconductores. Los intereses de investigacin incluyen el Dr. Ibrahim: Fiabilidad habilitado
herramientas EDA, diseos de muy bajo consumo, topologas de interconexin escalables y fiables,
pruebas de VLSI y el diseo de la capacidad de prueba, aplica tcnicas de optimizacin.

319