1 / 15

ATACS DDOS

Jose María Casado Cabezas Oriol C. García-Alzórriz i Espeig. ATACS DDOS. Atacs DDOS.

timon-mcmahon
Download Presentation

ATACS DDOS

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Jose María Casado Cabezas Oriol C. García-Alzórriz i Espeig ATACS DDOS

  2. Atacs DDOS • Els atacs DDOS (Distributed Denial Of Service) utilitzen diversos computadors per a llençar un atac coordinat sobre un o més objectius amb la finalitat de reduïr-lo a un estat d’incapacitat per a prestar els serveis que normalment ofereix. • Utilitza tecnologia client/servidor per a augmentar l’efectividad de l’atac DOS (Denial Of Service). • Apareixen a finals de 1999

  3. Atacs DOS • Atacs a la connectivitat • Saturen a un computador amb una sobrecàrrega de peticions de connexió • Exemples: Mail-bombing,Smurfing, SYN Flood • Atacs a l’ample de banda • Enfonsen la xarxa amb un tràfic molt elevat de paquets, fent que tots els recursos es consumeixin. • Conseqüència: les peticions de servei dels usuaris no poden ser ateses. • Exemples: UDP flood

  4. Mail Bombing • Primer sistema de DOS • Consisteix en l’enviament massiu de correu a una màquina fins a saturar el servei • En origen atac empleat contra els “malfactors”

  5. Smurfing • Es canvia la direcció origen de la trama (IP Spoofing) • S’envia una trama ICMP corresponent a una petició de ping amb direcció origen la direcció de la víctima i direcció destí broadcast • Contesten a la víctima els sistemes que tinguin habilitat la replica a peticions broadcast • Factor d’amplificació de xarxa • Solució: No contestar a trames ICMP amb direcció origen broadcast

  6. Sistema 1 Sistema 2 SYN ACK SYN ACK SYN Flood • Enviament de múltiples trames SYN utilitzant una direcció inexistent o inoperant • La cua de sol·licituds pendents es satura • Solució : SYN cookies

  7. Sistema 1 Sistema 2 Demoni UDP Flood • L’atacant envia trames UDP amb direcció origen falsa • El servei chargen (generació de caràcters) del sistema 1 amb el servei d’echo del sistema 2 • El volum de tràfic s’incrementa • La xarxa acaba inundada Tràfic Chargen Tràfic Echo

  8. Atacant Atacant Mestre Mestre Mestre Dimoni Dimoni Dimoni Dimoni Trinoo • Components d’una xarxa Trinoo: • Atacant (Controla un o més mestres) • Mestre (Controla una gran quantitat de Dimonis) • Dimoni (Rep l’odre de realitzar l’atac)

  9. Mestre Atacant Demoni 27444/UDP 27665/TCP 31335/UDP Trinoo • Comunicació està protegida mitjançant claus d’accés • Claus simètriques d’accés • Basat en UDP Flood • 17/08/99 : A partir d’una xarxa de Trinoo de 227 sistemas s’ataca la xarxa de la Universitat de Minnessota • Comunicació:

  10. Cilent Conductor Conductor Agent Agent Agent Mstream • Atac basat en Streams • Estructura similar a la de Trinoo • Client • Conductor • Agent

  11. ACK @Or FALSA ROUTER Atacant Víctima RST ICMP Streams • L’atacant envia TCP ACK a ports aleatoris amb direcció origen falsa • La víctima contesta TCP RST al remitent mitjançant el router • El router envia ICMP a la victima indicant que el destinatari no existeix • Amb un únic origen es produeixen pocs efectes • Amb múltiples origens la xarxa acaba inundada

  12. Conductor Client Agent 7983/UDP 6723/TCP 9325/UDP Mstreams • Els agents s’executen en mode Root per utilitzar sockets del tipus SOCK_RAW • Cada conductor manté una llista d’agents actius • Comunicació:

  13. Altres atacs DDOS • Utilitzen una estructura similar a Trinoo • Empleen tècniques de SYN Flood, UDP Flood o Smurfing • Tribe Flood Network (TFN) • Tribe Flood Network 2000 (TFN2K) • Stacheldraht • Shaft

  14. Detecció de DDOS • No existeix solució definitiva, ja que IP no proporciona mecanismes vàlids per autentificar l’origen d’un paquet • Utilitzar filtres d’entrada a la nostra xarxa • Pot facilitar l’anàlisi i el seguiment de l’atac • Limitar l’ample de banda dels serveis • Utilitzar antivirus • Queden ràpidament obsolets • Utilitzar aplicacions de monitorització de la xarxa • Búsqueda de possibles forats

  15. Bibliografia • Document DDOS de Juan Manuel Pérez Diego • http://www.fi.upm.es/~flimon/DDoS • Link d’interes: • http://www.cert.org

More Related