ÍNDICE

DENEGACIÓN DISTRIBUIDA DE SERVICIOS (DDoS) - DEEP/DARK WEB ......................................... 3

1.- Cliente ................................................................................................................................................ 3

2.- Servidor .............................................................................................................................................. 3
3.- Resumen acerca de los ataques ......................................................................................................... 3
4.- ¿Por qué son efectivos los ataques de protocolo DDoS? ................................................................... 5
Estrategias de mitigación ......................................................................................................................... 7

Curso Ataque Informático Denegación Distribuida de Servicios - DDoS | 2

DENEGACIÓN DISTRIBUIDA DE SERVICIOS (DDoS) -
DEEP/DARK WEB
Carlos Gerardo Said
cgsaid@ucasal.edu.ar
Linkedin: https://ar.linkedin.com/in/carlosgerardosaid

Trataremos los ataques DDoS que explotan las debilidades en protocolos específi-
cos principalmente en la Capa 3 y la Capa 4 del modelo OSI.

1.- Cliente
En el modelo cliente/servidor, el cliente es el sistema informático que está iniciando
una nueva conexión a otro sistema (el servidor).

2.- Servidor
En el modelo cliente servidor, el servidor es un servicio informático que espera reci-
bir una conexión y solicitud de otro sistema (el cliente).

3.- Resumen acerca de los ataques

Los ataques de protocolo son una colección de diversos ataques destinados a cau-
sar la interrupción de un entorno, al explotar una debilidad o ineficiencia específica
en el protocolo. Muchos de estos ataques explotan las debilidades de los protocolos
de Capa 3 y 4 tales como TCP, IP y UDP. A diferencia de los ataques volumétri-
cos, la intención no es saturar la conexión a Internet, sino causar interrupcio-
nes con una cantidad relativamente pequeña de tráfico de red.

La mayoría de las comunicaciones en Internet utilizan un modelo cliente / servidor.

En este modelo, un dispositivo o sistema de red que presenta un recurso a Internet
espera las conexiones de los clientes.

El cliente inicia una conexión y, una vez establecida, la comunicación puede co-
menzar.

Para cada conexión, los recursos se asignan y consumen tanto en el cliente como
en el servidor.

Como ejemplo, cuando se crea una conexión TCP entre el navegador web de un
usuario y un servidor web, el servidor web asignará diversas áreas de memoria pa-
ra rastrear la comunicación y mantener los datos del estado de la conexión.

Además, la mayoría de los sistemas operativos tienen límites finitos en el tamaño

de las tablas de conexión y otras tablas de estado de la red interna. Los ataques de
protocolo intentan interrumpir la comunicación agotando estos recursos en el siste-
ma atacado.

Como regla general, mientras más recursos use un protocolo específico, más sus-
ceptible será al ataque DDoS. Los ataques DDoS de protocolo son posibles debido

Curso Ataque Informático Denegación Distribuida de Servicios - DDoS | 3

a la cantidad limitada de recursos del servidor en comparación con los recursos
totales de los clientes disponibles en todo Internet.

La Figura ilustra el ataque DDoS a la conexión TCP, uno de los ataques de protoco-
lo más triviales.

El sistema de destino tiene un límite de configuración finito dentro del sistema ope-
rativo que le permite admitir hasta 20.000 conexiones TCP. Esto significa que una
red de bots de 20 nodos podría llenar el conjunto de conexiones (20 nodos x 1000
conexiones / nodo = 20.000 conexiones).

Una red de bots de 100.000 nodos es bastante común, y se han observado redes
de bots grandes con más de 10 millones de nodos en los últimos años. Con las co-
nexiones DDoS haciendo uso de todas las “threads” de conexión en el objetivo, no
se pueden establecer conexiones legítimas.

3.1.- Impacto del ataque

Mayor uso de memoria en dispositivos de red

Los dispositivos que “hacen seguimiento” del estado de la conexión de red como
firewalls, IPS / IDS o balanceadores de carga a menudo usan más memoria cuando
experimentan un ataque DDoS de protocolo. Cada nueva conexión o flujo de datos
requiere la asignación de recursos en estos dispositivos. Si la magnitud del ataque
es lo suficientemente significativa, puede resultar en memoria agotada en estos
dispositivos.

Curso Ataque Informático Denegación Distribuida de Servicios - DDoS | 4

3.2.- Mayor carga en dispositivos de red

Los dispositivos que “hacen seguimiento” del estado de la conexión de red como
firewalls, IPS / IDS o balanceadores de carga pueden usar más recursos de CPU.
Este comportamiento es común en ataques de protocolo relacionados con TLS /
SSL donde los dispositivos de destino o intermedios pueden descifrar el tráfico a un
costo considerable de la CPU.

3.3.- Alcanzar límites arbitrarios

La mayoría de las pilas o “stacks” de red del sistema operativo contienen límites
específicos codificados que controlan el tamaño de varios buffers y tablas almace-
nadas en la memoria física. Entonces, aunque el objetivo puede parecer normal o
inactivo, uno de estos límites arbitrarios puede haberse excedido, lo que resulta en
el rechazo de conexiones adicionales.

4.- ¿Por qué son efectivos los ataques de protocolo DDoS?

4.1.- Difícil de diagnosticar

Los ataques DDoS de protocolo son a menudo ataques de bajo consumo de ancho
de banda, que pueden pasar desapercibidos fácilmente. Los ataques de protocolo
que explotan límites codificados en dispositivos de red pueden pasar desapercibi-
dos ya que los dispositivos pueden aparecer inactivos. Estos ataques a veces se
pueden diagnosticar erróneamente como una interrupción de la red en lugar de un
ataque.

Información complementaria

Transport Layer Security (TLS), and its now-deprecated predecessor, Secure

Sockets Layer (SSL), are cryptographic protocols designed to provide communica-
tions security over a computer network. Several versions of the protocols find wide-
spread use in applications such as web browsing, email, instant messaging, and
voice over IP (VoIP). Websites can use TLS to secure all communications between
their servers and web browsers.

The TLS protocol aims primarily to provide privacy and data integrity between two or
more communicating computer applications. When secured by TLS, connections
between a client (e.g., a web browser) and a server (e.g., wikipedia.org) should
have one or more of the following properties:

The connection is private (or secure) because symmetric cryptography is used to

encrypt the data transmitted. The keys for this symmetric encryption are generated
uniquely for each connection and are based on a shared secret that was negotiated
at the start of the session. The server and client negotiate the details of which en-
cryption algorithm and cryptographic keys to use before the first byte of data is
transmitted. The negotiation of a shared secret is both secure (the negotiated secret
is unavailable to eavesdroppers and cannot be obtained, even by an attacker who
places themselves in the middle of the connection) and reliable (no attacker can
modify the communications during the negotiation without being detected).

The identity of the communicating parties can be authenticated using public-key

cryptography. This authentication can be made optional, but is generally required for
at least one of the parties (typically the server).

Curso Ataque Informático Denegación Distribuida de Servicios - DDoS | 5

Información complementaria

The connection is reliable because each message transmitted includes a message

integrity check using a message authentication code to prevent undetected loss or
alteration of the data during transmission.

In addition to the properties above, careful configuration of TLS can provide addi-
tional privacy-related properties such as forward secrecy, ensuring that any future
disclosure of encryption keys cannot be used to decrypt any TLS communications
recorded in the past.

TLS supports many different methods for exchanging keys, encrypting data, and
authenticating message integrity. As a result, secure configuration of TLS involves
many configurable parameters, and not all choices provide all of the privacy-related
properties described in the list above.

Attempts have been made to subvert aspects of the communications security that
TLS seeks to provide, and the protocol has been revised several times to address
these security threats.

Developers of web browsers have also revised their products to defend against po-
tential security weaknesses after these were discovered.

The TLS protocol comprises two layers: the TLS record and the TLS handshake
protocols.

Recursos finitos

Con pocas excepciones, la mayoría de las organizaciones tienen una cantidad limi-
tada de CPU y memoria en sus dispositivos y servidores de red. Un ataque DDoS
de protocolo destinado a agotar la CPU o la memoria en estos dispositivos aprove-
cha este hecho. El aumento de la capacidad de la CPU o la memoria en los servido-
res y dispositivos de red a menudo requerirá el pedido de hardware con un tiempo
asociado de instalación y configuración.

Internet es un recurso de ataque masivo

Independientemente del tamaño del entorno de una organización, los recursos de

Internet lo minimizan. Una organización grande puede tener 10.000 servidores con
160.000 cores de CPU y 320TB de memoria, pero esta misma capacidad se podría
lograr con una red de bots de tamaño medio de 100.000 nodos.

Entonces, aunque la mayoría de los ataques de protocolo agotan casi la misma

cantidad de recursos en el lado del atacante, el conjunto de recursos disponible “en
el pool de ataque” es mucho más grande.

Fuentes falsificadas

Algunos ataques de protocolo no requieren el establecimiento de una conexión per-

sistente, por lo que la dirección IP de origen a menudo se falsifica. Para hacer que
la detección y la mitigación sean más desafiantes, los atacantes a menudo configu-
ran la dirección IP de origen en una dirección IP completamente aleatoria. Esto ha-
ce que las estrategias de mitigación DDoS que dependen de la identificación y el
bloqueo de las direcciones IP abusivas sean ineficaces.

Curso Ataque Informático Denegación Distribuida de Servicios - DDoS | 6

Estrategias de mitigación
Bloqueo con dispositivos locales

Los ataques DDoS de protocolo con estrategias de bloqueo en dispositivos locales

como IDS / IPS y firewalls pueden ser exitosos debido a la baja naturaleza de an-
cho de banda de estos ataques. Esto contrasta con los ataques DDoS volumétricos
en los que el cuello de botella está en el sentido ascendente y fuera del control de
la organización. Además, a diferencia de los ataques volumétricos, una gran parte
de los ataques de protocolo no tienen direcciones IP de origen falsificadas. Como
resultado, los ataques simples se pueden bloquear con reglas de firewall. Los ata-
ques más avanzados, particularmente aquellos que provienen de redes de bots
muy grandes, requerirán un hardware de mitigación DDoS diseñado específicamen-
te para identificar y bloquear automáticamente el tráfico de ataques.

Bloqueo upstream por el ISP

Este método de mitigación a menudo es inefectivo para los ataques DDoS de pro-
tocolo. Si se lo contacta, el soporte técnico de la mayoría de los ISP agregará re-
glas para bloquear el tráfico específico antes de que llegue a la red de destino. Este
enfoque puede ser eficaz para mitigar los ataques simplistas, pero a menudo será
incapaz de mitigar escenarios más complejos. La limitación está relacionada con las
capacidades de filtrado mínimas ofrecidas por la mayoría de los ISP. Por ejemplo,
la mayoría de los ISP podrán e filtrar todo el tráfico hacia o desde una dirección IP
específica, o todo el tráfico usando un protocolo determinado. Pero esta es una
herramienta muy radical y puede que no sea lo suficientemente granular para blo-
quear el tráfico DDoS y al mismo tiempo permitir el tráfico legítimo. El mismo nivel
de filtrado está disponible en los firewalls y routers locales con el beneficio adicional
de estar bajo el control de la organización.

Analítica de tráfico

Debido a la naturaleza de bajo consumo de ancho de banda de la mayoría de los

ataques de protocolo, uno de los mayores desafíos es identificar que un ataque
está realmente en marcha. Las herramientas que analizan los patrones de tráfico y
buscan anomalías basadas en datos históricos pueden ser de valor para hacer esta
determinación.

Routing “nulo” en la IP de destino

Este método de mitigación generalmente no se recomienda para los ataques DDoS

de protocolo, ya que bloquea todo el tráfico hacia el objetivo. Esta opción es impre-
cisa y afectará el tráfico legítimo y de ataque destinado a la IP de destino.

Curso Ataque Informático Denegación Distribuida de Servicios - DDoS | 7

Ocultar detrás de un CDN

https://info.corsa.com/hubfs/PDFs/Corsa-Whitepaper-DDoS-Mitigation-RevH-2017-07-
07.pdf?utm_campaign=Security&utm_source=hs_automation&utm_medium=email&utm_content=5543
1422&_hsenc=p2ANqtz-
_shufY3tfIMd9oh09VMf6jvFTmJ1cshGxoSAHNDJ6ootPpnrfkuu9DqDX6GHi_7mRl5MS9568pCDPBIQ
6Dvva4sGb-ZA&_hsmi=55431422

https://info.corsa.com/hubfs/PDFs/Corsa-Whitepaper-DDoS-Mitigation-RevH-2017-07-
07.pdf?utm_campaign=Security&utm_source=hs_automation&utm_medium=email&utm_content=5543
1422&_hsenc=p2ANqtz-
_shufY3tfIMd9oh09VMf6jvFTmJ1cshGxoSAHNDJ6ootPpnrfkuu9DqDX6GHi_7mRl5MS9568pCDPBIQ
6Dvva4sGb-ZA&_hsmi=55431422

Las redes de entrega de contenido (CDN) funcionan al ubicar cachés de servidores

web en múltiples lugares para entregar contenido a Internet. Una CDN funciona
como un proxy HTTP (s) donde todas las solicitudes se realizan al servidor CDN,
que posteriormente inicia una conexión privada al servidor de la organización para
obtener los datos. Con respecto a los ataques de protocolo, el uso de una CDN a
menudo protege implícitamente a una red de este tipo de ataques porque el tráfico

Curso Ataque Informático Denegación Distribuida de Servicios - DDoS | 8

se envía al CDN (Figura previa), que a menudo se compone de una red masiva
distribuida globalmente. Este tipo de solución de mitigación solo protegerá los servi-
cios admitidos por el CDN (generalmente HTTP y HTTPS).

Servicios de mitigación dedicados

Un servicio dedicado de mitigación de DDoS suele ser el más efectivo. Estos servi-
cios son similares al enfoque CDN (Figura previa) mencionado anteriormente pero
con capacidades avanzadas específicas para identificar y bloquear el tráfico DDoS.
Al igual que un CDN, un servicio de mitigación de buena reputación tiene una red
masiva de centros de depuración / “filtrado” distribuidos globalmente capaces de
bloquear ataques DDoS de magnitud.

Ejemplos:

Flood SYN clásico y moderno

TCP normal 3-way Handshake

El clásico SYN flood es un ataque DDoS de protocolo, de bajo ancho de banda,

destinado a agotar los recursos en el dispositivo de destino.

Esto se logra al no completar el protocolo de enlace normal TCP de 3 pasos.

El protocolo de enlace normal de 3 pasos (Figura) hace que el cliente envíe un pa-
quete SYN inicial al servidor. El servidor agrega la conexión semi-abierta a su tabla
interna de estado de conexiones (cola de sincronización) y luego responde con un
SYN-ACK.

En una conexión normal, el cliente responde con un ACK. En este punto, la cone-
xión se establece y la comunicación puede ocurrir. En flood SYN, este proceso se
interrumpe (Figura). Al igual que en una conexión normal, el atacante envía un pa-
quete SYN inicial. Para ocultar al atacante, la dirección IP de origen a menudo se
falsifica.

Curso Ataque Informático Denegación Distribuida de Servicios - DDoS | 9

Al recibir el paquete SYN, el servidor agrega la conexión medio abierta a su tabla
interna de estados de conexión (cola de sincronización) y luego responde con un
SYN-ACK. Este SYN-ACK va a la dirección de origen falsificada y generalmente se
descarta, lo que significa que el servidor nunca recibirá el ACK final como lo haría
en un establecimiento de conexión normal.

El servidor mantiene la información de estado de conexión medio abierta por un

tiempo de espera específico. Si se inicia un gran número de conexiones y perma-
necen medio abiertas, la tabla de estados de conexión (cola de sincronización) se
llenará y no se permitirán más conexiones al servidor.

https://www.researchgate.net/publication/283621673_Vulnerability_of_Network_Traffic_in_Data_Cente
rs_under_Various_kinds_of_Attacks/figures?lo=1&utm_source=google&utm_medium=organic

En muchos aspectos, la inundación clásica de SYN se ha mitigado con el uso de

cookies de SYN, el aumento del tamaño de la tabla de estados y otras técnicas de
mitigación. La inundación (flood) moderna de SYN envía los mismos paquetes pero
es sustancialmente diferente de su antecesor. La principal diferencia es el número
de paquetes por segundo enviados por el atacante. En la inundación SYN clásica,
fue trivial llenar la tabla de estado de conexión, ya que por defecto solo contaba con
1024 entradas en muchas pilas de red (stacks). Un atacante podría efectivamente
hacer DDoS a un objetivo enviando unos cientos de paquetes por minuto. La inun-
dación SYN moderna genera paquetes SYN medidos en millones de paquetes por
segundo (PPS). Este gran volumen de paquetes SYN crea dos efectos.

El primero es que los balanceadores de carga, los firewalls y otros dispositivos que
gestionan el estado de conexión utilizarán excesiva CPU y pueden desbordar las
tablas de estado. El segundo, y el comportamiento más dañino, es que muchas
redes no tienen el tamaño adecuado para un gran volumen de paquetes SYN. Por
ejemplo, un router anunciado como que maneja 1Gbps de datos solo podría mane-
jar 100Mbps de paquetes SYN pequeños.

Entonces, aunque la conexión de red del objetivo parece poco utilizada, el hardware
de la red en sí puede estar bajo una presión extrema y no puede atender el tráfico
de manera oportuna. La siguiente captura de paquetes es una inundación de TCP

Curso Ataque Informático Denegación Distribuida de Servicios - DDoS | 10

SYN con direcciones IP de origen aleatorias, dirigidas al puerto HTTPS en
192.168.10.10. La marca de tiempo y el tamaño del paquete se pueden usar para
estimar la intensidad del ataque (aproximadamente 60.000 PPS)

17:55:29.246821 IP 222.32.64.150.49755 > 192.168.10.10.443: Flags [S], seq 306851430, win 512, length 0
17:55:29.246833 IP 148.200.242.234.49756 > 192.168.10.10.443: Flags [S], seq 1332043940, win 512, length 0
17:55:29.246858 IP 35.11.224.126.49758 > 192.168.10.10.443: Flags [S], seq 899324917, win 512, length 0
173:55:29.246880 IP 21.38.29.36.49759 > 192.168.10.10.443: Flags [S], seq 1208062333, win 512, length 0

Flood de conexión TCP

La inundación de la conexión TCP es un ataque DDoS de protocolo de bajo ancho

de banda que intenta superar las limitaciones de conexión del dispositivo de des-
tino. Este ataque es específico de servicios orientados a la conexión, como los que
usan el protocolo TCP (es decir, HTTP, HTTPS, SSH, SMTP, etc.). La inundación
de la conexión TCP es simplista, ya que el cliente realiza el protocolo de enlace de
3 vías TCP de manera completa para dejar una conexión ESTABLECIDA completa.
Al hacer esto, un atacante puede completar todas las entradas de la tabla de cone-
xión disponibles, evitando así que los clientes legítimos se conecten. Dado que este
ataque completa el protocolo de enlace de 3 vías, no suele ser falsificado, y la di-
rección IP de origen suele ser la dirección IP de un sistema en una red de bots.

Un indicador típico de este tipo de ataque es un alto número de conexiones en el

estado ESTABLECIDO en la salida de netstat (Linux y Windows). A menudo, una
única dirección IP de origen puede tener cientos o miles de conexiones abiertas, y
generalmente las conexiones se dejan inactivas, es decir, no se envían / reciben
datos de ninguna aplicación que esté siendo atacada. Un ejemplo podría ser un
servidor web con 20.000 conexiones en el estado ESTABLECIDO, sin embargo, los
archivos de registro no muestran que se estén realizando solicitudes reales.

17:58:46.952764 IP 10.11.10.250.50587 > 192.168.10.10.http:. ack 1 win 141 <nop,nop,timestamp 1386647252

2753318855>

17:58:46.956170 IP 10.11.10.250.50588 > 192.168.10.10.http: S 3263953535:3263953535(0) win 17922 <mss

8961,sackOK,timestamp 1386647253 0,nop,wscale 7>

17:58:46.956189 IP 192.168.0.10.http > 10.11.10.250.50588: S 2495715443:2495715443(0) ack 3263953536 win

5792 <mss 1460,sackOK,timestamp 2753318935 1386647253,nop,wscale 7>

17:58:47.025264 IP 10.11.10.250.50587 > 192.168.10.10.http:. ack 2 win 141 <nop,nop,timestamp 1386647270

2753318925>

17:18:47.029859 IP 10.11.10.250.50588 > 192.168.10.10.http:. ack 1 win 141 <nop,nop,timestamp 1386647271

2753318935>

tcp 0 0 10.1.10.250:51944 192.168.10.10:80 ESTABLISHED

tcp 0 0 10.1.10.250:28632 192.168.10.10:80 ESTABLISHED
tcp 0 0 10.1.10.250:58742 192.168.10.10:80 ESTABLISHED
tcp 0 0 10.1.10.250:58205 192.168.10.10:80 ESTABLISHED

Curso Ataque Informático Denegación Distribuida de Servicios - DDoS | 11

SlowLoris - ‘R U Dead Yet?’

Los ataques SlowLoris y ‘R U Dead Yet?’ DDoS son ataques de ancho de banda
bajo que intentan agotar los recursos de conexión del destino al enviar solicitudes
que nunca se completan.

Esto mantiene la conexión abierta indefinidamente, agotando lentamente la capaci-

dad del objetivo para recibir nuevas conexiones de clientes legítimos. Ambos ata-
ques son extensiones del ataque de conexión TCP y funcionan intentando comple-
tar todas las entradas de la tabla de conexiones disponibles. Lo que diferencia a los
ataques SlowLoris / ‘R U Dead Yet?’ de una inundación de conexión TCP clásica es
que la conexión no está inactiva.

En su lugar, el cliente de la conexión envía lentamente una solicitud que nunca se

completará. Al enviar datos lentamente al servidor, el atacante puede mantener la
conexión abierta y evitar las mitigaciones que funcionan al cerrar las conexiones
inactivas.

Los indicadores de estos ataques son casi idénticos a los de la inundación de la

conexión TCP.

Curso Ataque Informático Denegación Distribuida de Servicios - DDoS | 12

 Sistema de Educación a Distancia - SEAD

Dirección de Diseño y Desarrollo Instruccional

Edición © UCASAL

Este material fue elaborado por el Mg. Carlos Said en conjunto a la Dirección de Diseño y Desarrollo Instruccional del Sistema de Educación a
Distancia con exclusivos fines didácticos. Todos los derechos de uso y distribución son reservados. Cualquier copia, edición o reducción, co-
rrección, alquiles, intercambio o contrato, préstamo, difusión y/o emisión de exhibiciones públicas de este material o de alguna parte del mismo
sin autorización expresa, están terminantemente prohibidos y la realización de cualquiera de estas actividades haría incurrir en responsabilida-
des legales y podrá dar lugar a actuaciones penales. Ley 11.723 - Régimen Legal de la Propiedad Intelectual; Art. 172 C.P.