Download - ATACS DDOS
![Page 1: ATACS DDOS](https://reader036.vdocuments.net/reader036/viewer/2022062721/568137ce550346895d9f6eca/html5/thumbnails/1.jpg)
CONCEPTES AVANÇATS DE SISTEMES OPERATIUS Departament d’Arquitectura de Computadors
(Seminaris de CASO)
Autors
ATACS DDOS
Jose María Casado Cabezas
Oriol C. García-Alzórriz i Espeig
![Page 2: ATACS DDOS](https://reader036.vdocuments.net/reader036/viewer/2022062721/568137ce550346895d9f6eca/html5/thumbnails/2.jpg)
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
2
Atacs DDOS Els atacs DDOS (Distributed Denial Of Service) utilitzen
diversos computadors per a llençar un atac coordinat sobre un o més objectius amb la finalitat de reduïr-lo a un estat d’incapacitat per a prestar els serveis que normalment ofereix.
Utilitza tecnologia client/servidor per a augmentar l’efectividad de l’atac DOS (Denial Of Service).
Apareixen a finals de 1999
![Page 3: ATACS DDOS](https://reader036.vdocuments.net/reader036/viewer/2022062721/568137ce550346895d9f6eca/html5/thumbnails/3.jpg)
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
3
Atacs DOS Atacs a la connectivitat
– Saturen a un computador amb una sobrecàrrega de peticions de connexió
– Exemples: Mail-bombing,Smurfing, SYN Flood Atacs a l’ample de banda
– Enfonsen la xarxa amb un tràfic molt elevat de paquets, fent que tots els recursos es consumeixin.
– Conseqüència: les peticions de servei dels usuaris no poden ser ateses.
– Exemples: UDP flood
![Page 4: ATACS DDOS](https://reader036.vdocuments.net/reader036/viewer/2022062721/568137ce550346895d9f6eca/html5/thumbnails/4.jpg)
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
4
Mail Bombing Primer sistema de DOS
Consisteix en l’enviament massiu de correu a una màquina fins a saturar el servei
En origen atac empleat contra els “malfactors”
![Page 5: ATACS DDOS](https://reader036.vdocuments.net/reader036/viewer/2022062721/568137ce550346895d9f6eca/html5/thumbnails/5.jpg)
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
5
Smurfing Es canvia la direcció origen de la trama (IP Spoofing) S’envia una trama ICMP corresponent a una petició de ping
amb direcció origen la direcció de la víctima i direcció destí broadcast
Contesten a la víctima els sistemes que tinguin habilitat la replica a peticions broadcast
Factor d’amplificació de xarxa
Solució: No contestar a trames ICMP amb direcció origen broadcast
![Page 6: ATACS DDOS](https://reader036.vdocuments.net/reader036/viewer/2022062721/568137ce550346895d9f6eca/html5/thumbnails/6.jpg)
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
6
SYN Flood
Enviament de múltiples trames SYN utilitzant una direcció inexistent o inoperant
La cua de sol·licituds pendents es satura Solució : SYN cookies
Sistema 1 Sistema 2SYN
SYN ACK
ACK
![Page 7: ATACS DDOS](https://reader036.vdocuments.net/reader036/viewer/2022062721/568137ce550346895d9f6eca/html5/thumbnails/7.jpg)
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
7
UDP Flood
L’atacant envia trames UDP amb direcció origen falsa El servei chargen (generació de caràcters) del sistema 1
amb el servei d’echo del sistema 2 El volum de tràfic s’incrementa La xarxa acaba inundada
Sistema 1
Sistema 2Demoni
Tràfic Chargen
Tràfic Echo
![Page 8: ATACS DDOS](https://reader036.vdocuments.net/reader036/viewer/2022062721/568137ce550346895d9f6eca/html5/thumbnails/8.jpg)
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
8
Trinoo Components d’una xarxa Trinoo:
– Atacant (Controla un o més mestres)– Mestre (Controla una gran quantitat de Dimonis)– Dimoni (Rep l’odre de realitzar l’atac)
Atacant Atacant
Mestre MestreMestre
DimoniDimoni Dimoni Dimoni
![Page 9: ATACS DDOS](https://reader036.vdocuments.net/reader036/viewer/2022062721/568137ce550346895d9f6eca/html5/thumbnails/9.jpg)
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
9
Trinoo
Comunicació està protegida mitjançant claus d’accés Claus simètriques d’accés
MestreAtacant Demoni
27444/UDP
31335/UDP
27665/TCP
Basat en UDP Flood 17/08/99 : A partir d’una xarxa de Trinoo de 227 sistemas
s’ataca la xarxa de la Universitat de Minnessota Comunicació:
![Page 10: ATACS DDOS](https://reader036.vdocuments.net/reader036/viewer/2022062721/568137ce550346895d9f6eca/html5/thumbnails/10.jpg)
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
10
Mstream
Cilent
ConductorConductor
AgentAgent Agent
Atac basat en Streams Estructura similar a la de Trinoo
– Client– Conductor– Agent
![Page 11: ATACS DDOS](https://reader036.vdocuments.net/reader036/viewer/2022062721/568137ce550346895d9f6eca/html5/thumbnails/11.jpg)
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
11
Streams
L’atacant envia TCP ACK a ports aleatoris amb direcció origen falsa La víctima contesta TCP RST al remitent mitjançant el router El router envia ICMP a la victima indicant que el destinatari no
existeix
Atacant Víctima
ICMP
RSTACK
@Or FALSA
ROUTER
Amb un únic origen es produeixen pocs efectes Amb múltiples origens la xarxa acaba inundada
![Page 12: ATACS DDOS](https://reader036.vdocuments.net/reader036/viewer/2022062721/568137ce550346895d9f6eca/html5/thumbnails/12.jpg)
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
12
Mstreams
Els agents s’executen en mode Root per utilitzar sockets del tipus SOCK_RAW
Cada conductor manté una llista d’agents actius
ConductorClient Agent
7983/UDP
9325/UDP
6723/TCP
Comunicació:
![Page 13: ATACS DDOS](https://reader036.vdocuments.net/reader036/viewer/2022062721/568137ce550346895d9f6eca/html5/thumbnails/13.jpg)
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
13
Altres atacs DDOS
– Tribe Flood Network (TFN) – Tribe Flood Network 2000 (TFN2K)– Stacheldraht– Shaft
Utilitzen una estructura similar a Trinoo
Empleen tècniques de SYN Flood, UDP Flood o Smurfing
![Page 14: ATACS DDOS](https://reader036.vdocuments.net/reader036/viewer/2022062721/568137ce550346895d9f6eca/html5/thumbnails/14.jpg)
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
14
Detecció de DDOS
No existeix solució definitiva, ja que IP no proporciona mecanismes vàlids per autentificar l’origen d’un paquet
Utilitzar filtres d’entrada a la nostra xarxa– Pot facilitar l’anàlisi i el seguiment de l’atac
Limitar l’ample de banda dels serveis Utilitzar antivirus
– Queden ràpidament obsolets Utilitzar aplicacions de monitorització de la xarxa
– Búsqueda de possibles forats
![Page 15: ATACS DDOS](https://reader036.vdocuments.net/reader036/viewer/2022062721/568137ce550346895d9f6eca/html5/thumbnails/15.jpg)
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
15
Bibliografia
Document DDOS de Juan Manuel Pérez Diego http://www.fi.upm.es/~flimon/DDoS Link d’interes:
– http://www.cert.org