Libre,  Seguridad

TUTORIAL. ATAQUE DE DENEGACIÓN DE SERVICIO (DoS)

¿Qué es DoS Attack?

DOS es un ataque que se usa para denegar a los usuarios legítimos el acceso a un recurso, como un sitio web, una red, correos electrónicos, etc. o bien hacerlo extremadamente lento. DoS es el acrónimo de Denial of Service. Este tipo de ataque generalmente se implementa al golpear el recurso de destino, como un servidor web con demasiadas solicitudes al mismo tiempo. Esto hace que el servidor no responda a todas las solicitudes. El efecto de esto puede ser estrellar los servidores o ralentizarlos.

Cortar algunos negocios de internet puede llevar a pérdidas significativas de dinero e imagen. Internet y las redes de computadoras impulsan a muchas empresas. Algunas organizaciones, como las pasarelas de pago o los sitios de comercio electrónico dependen completamente de Internet para hacer negocios.

En este tutorial, te presentaremos qué es un ataque de denegación de servicio, cómo se realiza y cómo puedes protegerte contra tales ataques.

Tipos de ataques DoS

Hay dos tipos de ataques DoS:

  • DoS: este tipo de ataque es realizado por un solo host.

  • DoS distribuido: este tipo de ataque se realiza mediante una serie de máquinas comprometidas que atacan a la misma víctima. Inunda la red con paquetes de datos.

Cómo funcionan los ataques DoS

Veamos cómo se realizan los ataques DoS y las técnicas utilizadas. Vamos a ver cinco tipos comunes de este ataque:

«Ping de la muerte»

El comando ping se usa generalmente para probar la disponibilidad de un recurso de red. Funciona enviando pequeños paquetes de datos al recurso de red. El ping de la muerte se aprovecha de esto y envía paquetes de datos por encima del límite máximo (65,536 bytes) que TCP / IP permite. La fragmentación de TCP / IP divide los paquetes en pequeños fragmentos que se envían al servidor. Dado que los paquetes de datos enviados son más grandes de lo que el servidor puede manejar, el servidor puede congelarse, reiniciarse o bloquearse.

Smurf

Este tipo de ataque utiliza grandes cantidades de tráfico de ping del Protocolo de mensajes de control de Internet (ICMP) en una dirección de transmisión de Internet. La dirección IP de respuesta es falsificada a la de la víctima prevista. Todas las respuestas se envían a la víctima en lugar de la IP utilizada para los pings. Dado que una única Dirección de transmisión de Internet puede admitir un máximo de 255 hosts, un ataque de pitufo amplifica un solo ping 255 veces. El efecto de esto es ralentizar la red hasta un punto donde es imposible usarla.

Buffer overflow

Un búfer es una ubicación de almacenamiento temporal en la RAM que se utiliza para almacenar datos, de modo que la CPU pueda manipularlos antes de volver a escribirlos en el disco. Los tampones tienen un límite de tamaño. Este tipo de ataque carga el búfer con más datos que puede contener. Esto hace que el búfer se desborde y dañe los datos que contiene. Un ejemplo de un desbordamiento de búfer es enviar correos electrónicos con nombres de archivo que tienen 256 caracteres.

Teardrop

Este tipo de ataque utiliza paquetes de datos más grandes de tipo TCP / IP , los divide en fragmentos que se ensamblan en el host receptor. El atacante manipula los paquetes a medida que se envían para que se superpongan entre sí. Esto puede hacer que la víctima se bloquee cuando intenta volver a ensamblar los paquetes.

SYN attack

SYN es una forma corta de sincronizar. Este tipo de ataque aprovecha el protocolo de enlace de tres vías para establecer la comunicación mediante TCP. El ataque SYN funciona inundando a la víctima con mensajes SYN incompletos. Esto hace que la máquina víctima asigne recursos de memoria que nunca se usan y niega el acceso a usuarios legítimos.

Herramientas de ataque DoS

Las siguientes son algunas de las herramientas que se pueden usar para realizar ataques DoS.

Nemesy: esta herramienta se puede utilizar para generar paquetes aleatorios. Se puede descargar desde http://packetstormsecurity.com/files/25599/nemesy13.zip.html. Debido a la naturaleza del programa, si tienes un antivirus, lo más probable es que se detecte como un virus.

Land y LaTierra: esta herramienta se puede utilizar para falsificar IP y abrir conexiones TCP

Blast: esta herramienta se puede descargar desde http://www.opencomm.co.uk/products/blast/features.php

Panther: se puede usar para inundar la red de una víctima con paquetes UDP.

Botnets: son multitudes de computadoras comprometidas en Internet que pueden usarse para realizar un ataque distribuido de denegación de servicio.

DoS Protection: prevenir un ataque

Una organización puede adoptar la siguiente política para protegerse contra los ataques de denegación de servicio.

Los ataques como la inundación SYN aprovechan los errores en el sistema operativo. La instalación de parches de seguridad puede ayudar a reducir las posibilidades de tales ataques.

Los sistemas de detección de intrusos también se pueden usar para identificar e incluso detener actividades ilegales.

Los cortafuegos se pueden usar para detener ataques DoS simples al bloquear todo el tráfico proveniente de un atacante al identificar su IP.

Los enrutadores se pueden configurar a través de la Lista de control de acceso para limitar el acceso a la red y eliminar el tráfico sospechoso ilegal.

Actividad de piratería: ‘ping de la muerte’.

Asumiremos que estás utilizando Windows para hacer esta prueba. También asumiremos que tienes al menos dos computadoras que están en la misma red. Los ataques de DOS son ilegales en redes para las que no estés autorizado. Es por esto que necesitarás configurar tu propia red para este ejercicio.

Abre el símbolo del sistema (cmd) en el equipo de destino.

Ingresa el comando ipconfig. Obtendrás resultados similares a los que se muestran a continuación:

Para este ejemplo, estamos usando detalles de conexión de banda ancha móvil. Toma nota de la dirección IP. Nota: para que este ejemplo sea más efectivo, debes de usar una red LAN.

Cambia a la computadora que deseas usar para el ataque y abre el símbolo del sistema.

Haremos ping a nuestra computadora víctima con paquetes de datos infinitos de 65500.

Ingresa el siguiente comando:

ping 10.128.131.108 –t |65500

«Ping» envía los paquetes de datos a la víctima
“10.128.131.108” es la dirección IP de la víctima
«-T» significa que los paquetes de datos deben enviarse hasta que el programa se detenga
“-L” especifica la carga de datos que se enviará a la víctima

Obtendrás resultados similares a los que se muestran a continuación:

Inundar la computadora de destino con paquetes de datos no tiene mucho efecto en la víctima. Para que el ataque sea más efectivo, debes de atacar la computadora de destino con pings de más de una computadora.

El ataque anterior se puede utilizar para enrutadores de atacantes, servidores web, etc.

Si deseas ver los efectos del ataque en el equipo de destino, puedes abrir el administrador de tareas y ver las actividades de red.

Haz clic derecho en la barra de tareas
Selecciona iniciar administrador de tareas
Haz clic en la pestaña de red
Obtendrás resultados similares a los siguientes:

Si el ataque tiene éxito, deberías de poder ver un aumento en las actividades de la red.

Actividad de pirateo: lanzar un ataque de DOS

En este escenario práctico, usaremos Nemesy para generar paquetes de datos e inundar la computadora, el enrutador o el servidor de destino.

Como se indicó anteriormente, Nemesy será detectado como un programa ilegal por tu antivirus. Tendrás que desactivar el antivirus para este ejercicio.

Descarga Nemesy desde http://packetstormsecurity.com/files/25599/nemesy13.zip.html
Descomprímelo y ejecuta el programa Nemesy.exe.
Obtendrás la siguiente interfaz:

Introduce la dirección IP de destino, en este ejemplo; hemos utilizado la IP de destino que usamos en el ejemplo anterior.

0 como el número de paquetes significa infinito. Puede configurarlo en el número deseado si no desea enviar, paquetes de datos infinitos
El campo de tamaño especifica los bytes de datos que se enviarán y el retraso especifica el intervalo de tiempo en milisegundos.

Haz clic en el botón enviar

Debes poder ver los siguientes resultados:

La barra de título te mostrará el número de paquetes enviados

Haz clic en el botón de detener para evitar que el programa envíe paquetes de datos.

Puedes supervisar el administrador de tareas de la computadora de destino para ver las actividades de la red.

Si pruebas alguna de estas actividades , no dudes en dejar tu comentario.

Dejar una respuesta