Trfico Malicioso en la Internet

1. Introduccin
Casi desde los inicios de la Internet, algunas de las actividades en la red han perseguido fines negativos, en contra
del espritu abierto y de confianza (thrust) en que se bas la Internet. La grfica del CERT muestra las diferentes
herramientas que fueron apareciendo en el tiempo, junto con el conocimiento necesario de los intrusos para
manejarlas (y crearlas).
No obstante, salvo excepciones, los primeros hackers perseguan fines no destructivos y su motivacin fundamental
era de naturaleza intelectual y satisfaccin del ego, penetrando sistemas informticos y dejando su marca en ellos.
Con el tiempo y particularmente desde los inicios de la Internet comercial (desde 1992), nuevos hackers con menos
preparacin y conciencia comenzaron a utilizar herramientas de hacking disponibles en la propia Internet para
atentar contra usuarios, sitios y recursos de la red en una forma ms maliciosa: dao intencional pero recuperable.
La disponibilidad de herramientas cada vez ms poderosas y accesibles en IT, junto con el crecimiento explosivo de
la Internet comercial desde 1996 hasta la fecha dieron lugar a una tercera generacin de hackers que directamente
persiguen actividades criminales, ya sea en forma individual en redes mafiosas.
Desde el primer ataque DoS (Denial of Service) registrado por el CERT en 1996 contra un sitio WEB hasta el da de
hoy, las actividades criminales se consolidaron conceptualmente bajo el criterio de acciones extorsivas contra
empresas, las que cesan si estas se avienen a pagar al atacante grandes sumas de dinero.
Adems del chantaje por robo de informacin (Ej.: robo de datos de tarjetas en VISA vs. pago de 10 MMU$S,
2001) que se extiende a todas las reas de actividad comercial que involucre sistemas informticos, los hackers

Herramientas de Ataque en el Tiempo

han perfeccionado amenazas que dejan fuera de servicio sitios comerciales y parte o un todo de las redes de los
ISP, tambien bajo el mecanismo de chantaje. Esto se utiliza tambien como arma contra sitios ISP que promueven
herramientas antispam, y han obligado a cerrar sitios WEB.
Con tcnicas cada vez ms sofisticadas, estas organizaciones criminales tienen la capacidad de coordinar ataques
distribuidos en decenas de miles de mquinas contra un recurso nico, acumulando varios miles de Mbps de trfico
y millones de paquetes/segundo, de ser necesario para poner el sitio la red en overflow por minutos u horas.

1 De 10

I10.34 Trafico Malicioso en Internet

En el caso de perseguir fines comerciales, luego del primer ataque, se enva un email pidiendo dinero por una
proteccin anual. Si no se accede, los ataques se reinician en forma aleatoria. Esta tcnica es tambien utilizada por
grupos de presin politica (Ej.: ataque reciente contra el sitio de la cadena Aljazeera, la CNN rabe).
Debido a la alta carga de trfico, muchas de las herramientas de mitigacin de ataques (hardware, software) se
ven desbordadas y ceden a la presin del trfico distribuido. Si bien la Argentina no es todava blanco de estas
prcticas, coopera involuntariamente en su implementacin debido a las mquinas infectadas, y adems recibe
ataques a menor escala desde diferentes partes del mundo.
Una clase especial de trfico de ataque son los gusanos (worms), que pueden ser muy destructivos y costosos
(Computer Economics: Code Red U$S 2.6 millardos y Sircam U$S 1.3 millardos). Es un cdigo auto-propagable
que inunda las redes con emails y agrega entradas en el registro de los sistemas operativos de las vctimas. Los
gusanos (worms) pueden ser transmitidos por email, compartiendo archivos infectados via el chat de Internet.
Los gusanos aprovechan fallas (bugs, backdoors, holes) en software de email o sistemas operativos. Los gusanos
maliciosos tambien pueden borrar u ocultar ciertos tipos de archivos.
Algunos de los worms ms rpidos son: CodeRed, Nimda, Sapphire, Blaster, Witty y Sasser. Una saturacin global
puede lograrse en unas 18 horas.

2. El trfico de ataque DoS/DDoS

El trfico de ataque tiene por objetivo hacer el servicio inoperable, con sobrecargas a los servers, routers y enlaces
del ISP. Sus formas ms letales, DoS (Denial of Service) yDDoS (Distributed DoS), se han convertido hoy en el
mayor problema de seguridad en la Internet, con una aproximacin de 2.000 ataques semanales en el mundo.
Las figuras que siguen muestran los picos de ancho de banda que causan los ataques sobre un sitio WEB de bajo
trfico, desde una perspectiva diaria, semanal y anual.

Un da

1 Semana

1 Ao

La caracterstica del ataque se aprecia en una escala de tiempo ampliada, y cada vez es ms dificil predecir que
existe un ataque en curso, hasta que se establece, porque tiende a mimetizarse con el trfico normal. Los ataques
duran poco tiempo (decenas de minutos a horas), suficiente para hacer colapsar un host la propia red del ISP.
Los ataques DoS/DDoS se caracterizan por lo siguiente:

Buscan consumir todos los recursos (bandwidth, CPU, memoria, etc) para hacer un servicio lento
inaccesible, atacando por ejemplo:
o
o
o
o
o

2 De 10

Descriptores de archivos, sockets, memoria de estados, PID.

Sesiones SSL, IPsec encrypted VPNs
Paginas WEB dinmicas (php, asp, etc), SQL requests, downloads, SPAM
Saturacin de los Logs (para hacer searching/parsing complejo).
Corrompiendo los caches DNS y ARP.

Buscan tirar abajo el servicio (continuamente) explotando un bug en la red, el sistema, el servicio la
aplicacin, incluso destruyendo informacin.
Las herramientas son negociadas y los ataques coordinados desde redes IRC (chat) .
Los actores son participantes involuntarios (mquinas infectadas con bots/zombies).
Los streams DDoS no tienen patrones caractersticos, lo que dificulta anlisis por signature.
La falsificacin de direcciones IP (IP spoofing) dificulta el filtrado de direcciones IP (black lists).
Las variantes actuales de ataque se enfocan en la fuerza bruta. El enorme nmero de direcciones IP que
deben ser bloqueadas (blacklisted) satura el hardware de mitigacin. Los ataques masivos acumulan
payloads UDP e ICMP desde 100 Mbps hasta 4 Gbps, y utilizan tanto paquetes largos como cortos para
causar overflow en el ancho de banda y en la capacidad de conmutacin (PPS).

I10.34 Trafico Malicioso en Internet

Este tipo de ataque de consumo de ancho de banda es el que ms afecta a EmpXXX por su frecuencia y la
dificultad de identificar su aparicin, origen, destino y la toma de medidas correctivas.

3. Clases de Trfico de Ataque DoS/DDoS

Los antecedentes del trfico de ataque DoS/DDoS pueden resumirse como sigue:
1996 DoS Punto a punto
1997 DoS Combinado
1998 DoS Distribuido (DdoS)
1999 Agrega encriptado, features de shell, autoupdate, cliente embebido en raiz del OS y ataques
mltiples (TCP SYN flood, TCP ACK flood, UDP flood, ICMP flood, Smurf)
2000 Aceleracin de difusin, utiliza redes IRC para comunicacin y control
2001 Agrega scanning, hopping de canal IRC, BNC. Incluyen sincronizacin temporal.
2002 Agrega reflectado del ataque, puertas traseras (Trojans), Worms.

Los siguientes cuadros muestran las clases ms comunes, segn su objetivo: explotar vulnerabilidades de
aplicaciones de red, consumir los recursos de red y hosts y explotar vulnerabilidades de los sistemas operativos.

Ataque
HTTP GET
SIP Chopping

Se utiliza una red zombie para crear HTTP/1.0 o 1.1 GET requests, hasta
lograr consumir los recursos de red y server de la vctima
Un nica PC con un UDP Flooding Engine inyecta SIP requests inundando
el server SIP. La calidad de las llamadas se degrada y la voz aparece
entrecortada (chooping)
Un server BIND standart opera con 10.000 queries/seg. Si bien los request
falsos son identificables facilmente, cuando el ataque es masivo (cientos de
miles a millones) los servers DNS entran en overflow.

DNS

Los servers de mail son objeto de toda clase de ataques TCP. Una
emulacin de email a 1 Gbps con 1 milln de mails por segundo puede
crear facilmente overflow.
El protocolo SSL demanda muchos recursos. Segun la intensidad del
ataque, puede debilitarse sacar de linea al server SSL.
Los dispositivos de concentracin e interconexin de VPNs pueden ser
blanco de DoS, inutilizando las comunicaciones de una empresa.

SMTP
SSL
VPN

Ataque

SYN Flooding

SYN-ACK Flooding
RESET Flooding
ACK Flooding
Fragmentation
Flooding
ICMP Flooding

UDP Flooding

3 De 10

Ataques a Blancos Especficos (Targeted Attacks)

Descripcin

Ataques de Overflow (Comsumption Attacks)

Descripcin
Un mtodo de SYN flooding, famoso en 1996. El atacante inicia la primer
parte del handshake TCP de 3 pasos, con IP falso. La PC victima retorna
SYN-ACK al host y queda a medio camino esperando el paquete ACK. La
conexin es rechazada mientras que la vctima espera a medio camino sin
respuesta.
Similar al SYN flooding, excepto que el blanco es tambin el sitio de relay
adems de la mquina de la vctima
Similar al SYN flooding, excepto que el blanco es tambin el sitio de relay
adems de la mquina de la vctima. Paquetes spoofing especficos son
enviados al sitio de relay.
Utilizado en sitios protegidos contra SYN flooding. Puede permitir llegar al
corazn de la red, detrs de los dispositivos de seguridad
Explota el overhead causado por la desfragmentacin de paquetes en los
dispositivos de seguridad y servers
Tiene numerosas variantes, desde el uso de spoofed ping (smurf) en ms.
Los paquetes pueden ser randomizados en IP address y tipo de ICMP,
esperando evadir las ACL (Access Control Lists) y se utilizan como el
mtodo ms comn de DoS en gran escala.
UDP es stateless y no requiere handshakes conexiones establecidas
(datagramas). No puede ser visto en la herramienta netstat, y su uso por
DNS hace dificil deshabilitar su uso en una red.

I10.34 Trafico Malicioso en Internet

Ataques a Bugs en Sistemas Operativos (Exploitative Attacks)

Ataque
Descripcin
Algunas implementaciones del reeensamblado IP de fragmentos TCP no
manejan correctamente el solapamiento de fragmentos IP. Tearddrop
aprovecha esta vulnerabilidad.
Algunas implementaciones de TCP/IP son vulnerables a paquetes
especiales (un paquete SYN con iguales ports e IP addresses en origen y
destino). Land aprovecha esta vulnerabilidad.

Teardrop

Land

Los diferentes mecanismos de defensa en routers, firewalls, IDS (Intrusion Detection Systems), servers y otros
elementos utilizados en una red de un ISP para proteger sus propios recursos y los de sus clientes pueden ser
sobrepasados con ataques coordinados en gran escala los cuales no solamente son cada vez ms sofisticados, sino
que pueden generar ataques con enormes capacidades en el orden de los Gigabits/segundo, para lo que muy
pocas redes y hosts estn preparados.
Los siguientes cuadros y diagramas esquematizan la visin de Cisco sobre el problema:
Interpretacin de Cisco sobre la evolucin del Trfico de Ataque
Distribucion

Management

Nmero Atacantes

Email attachment
Downloads involuntarios
Va chat ICQ, AIM,
MSN, IRC

Bootnets /
zombies

Email attachment
Va chat ICQ, AIM,
MSN, IRC

< 10. 000 atacantes

Manualmente

Manual
(hack to servers)

4 De 10

< 1000 Mbps

< 100 atacantes

Manualmente

Proteccion

Requests legtimos

Blackhole

Hasta 100.000 atacantes

Hasta 10 Gbps

Worms

Tipo de Ataque

< 10 Mbps

I10.34 Trafico Malicioso en Internet

ACL
Elementos de
Infraestructura (DNS,
SMTP, HTTP)

Soluciones DDoS

Anycast
ISP/IDC
Todo tipo de aplicaciones
Blackhole
(HTTP, DNS, SMTP)
ACL
Spoofed SYN
DDoS solutions
ICMP
Firewalls
Access routers con
Spoofed SYN
ACL (Access
Control Lists)

4. Redes de ataque DoS y DDoS

Existen tres arquitecturas bsicas, que se presentan en los diagramas siguientes. En todos los casos, el atacante se
protege ocultando su identidad (direccin IP) a travs de uno varios hosts comprometidos (direcciones IP reales)
y, para mayor efectividad se elige una sola vctima, aunque pueden ser un conjunto de vctimas en una WEB farm.
Desde 1996, y particularmente desde que en varios pases asiticos como China, se dispone de altas capacidades
de ancho de banda, numerosas organizaciones mafiosas se han creado para utilizar las redes de ataque como un
mecanismo de extorsin en la Internet comercial. Tambin se persiguen fnes polticos, en ataques a sitios y redes
de diferentes gobiernos. La figura del hacker amateur sigue existiendo, pero las medidas de proteccin de las redes
actuales hacen que sus ataques tengan poca ninguna eficacia.
El Ataque Bsico es de baja capacidad, y el atacante es un hacker amateur. Las herramientas utilizadas se
obtienen fcilmente en la Internet, por ejemplo a travs de canjes en la redes IRC (chats) en sitios WEB
protegidos contra intrusos desprevenidos (Ej.: redes Warez). El mtodo es directo, sin agentes, y no pueden operar
con ms de un par de Mbps. Si bien existen todava, y consumen recursos de seguridad, tienen poco xito.

El Ataque Amplificado puede operar con grandes capacidades, aunque es una variante amplificada del Ataque
Bsico. Los recursos que implica disponer no son facilmente disponibles para un hacker amateur, y por ello es
realizado por organizaciones que persiguen diferentes fines polticos y econmicos. Su eficacia se basa en la gran
capacidad de inundacin que pueden tener, de varios centenares de Mbps, suficiente para causar overflows.

5 De 10

I10.34 Trafico Malicioso en Internet

El Ataque Distribuido (DoS, DDoS) no tiene un lmite preciso de capacidades de ataque (ancho de banda y
paq/seg). Se han contabilizado ataques de ms de 4 Gbps y de ms de 1 milln de paq/seg en los ltimos dos
aos, y sus capacidades y sofisticacin crecen con cada generacin.
Opera con agentes (master y slaves), que se propagan por contaminacin va email, archivos infectados, chat,
bugs en browsers al visitar sitios no seguros y numerosas otras formas. Los agentes slave son pequeas piezas de
cdigo que pueden residir en PC de usuarios (preferentemente) en servers de alta capacidad de la red. Tienen
capacidad de ocultarse, borrando su identidad en los registros de los sistemas operativos y permanecer dormidos
(zombies, netbots) por mucho tiempo hasta que sean activados.
Varios de ellos son tan persistentes, que evaden las medidas de seguridad y descontaminacin de los antiviruses
ms avanzados. Utilizando criptografa, se mimetizan con partes de programas y datos y no son registrados. Una
descontaminacin de la mquina eliminar la imagen del agente, pero esta se recrear en cualquier momento
posterior. El trabajo en aplicaciones de descontaminacin va a la par del trabajo de desarrollo de viruses que
contrarestan estas acciones. Las actividades polticas y extorsivas detrs de estas organizaciones proveen de fondos
suficientes para el desarrollo de contramedidas, muy particularmente en pases asiticos (China).

Los agentes Slave pueden ser pequeos (Ej.: 400 bytes), son difciles de detectar y se introducen en
practicamente todos los elementos de las redes. Algunas consideraciones de estos agentes Slave son:

Operan en servers modificados, servicios y an equipos de red (Ej.: routers)

Cada agente Slave puede aportar picos de trfico entre 100 y 500 Kbps.
Los servers comprometidos corren un agente (D)DoS que existen por centenares de clases, como:
o Trinoo, TFN{(2,3)k}, omega, Stacheldrat, Carko, Trinity, etc.
o Trojan horse
Ultimamente se utilizan herramientas P2P (peer-to-peer) para el transporte.
Los agentes son distribuidos en diferentes niveles geogrficos:
o En la misma red: ISP, empresa, universidad, rea de acceso de cable/xDSL, etc.
o En el mismo pas o continente.
o En el mismo tipo de redes: islas IPv6, mbone, Internet2, etc
o Pueden estar completamente distribuidos en la Internet.

El agente Master opera como catalizador de los ataques, y como proxy de la red de ataque. Puede coordinar la
accin de decenas y centenares de miles de agentes Slave. El atacante est siempre protegido detrs de IP falsos.
Las formas de despliegue y comunicaciones de los agentes Slave y Master (DoS/DDoS) ms comunes son:

6 De 10

A mano (complicidad de ambas partes)

Servers Warez FTP
Falsificando el upgrade de una aplicacin muy conocida.
Chat IRC, P2P tools, instant messaging, etc.

I10.34 Trafico Malicioso en Internet

Script automatizado (data downloading desde un server central sobre HTTP/FTP/DCC/etc)

Desplegados utilizando un gusano (worm) un virus y ocultos utilizando {tool,root}kit (adore, t0rn, etc)
o
o
o

Facilita coleccionar y adquirir numerosos sistemas

Es la primer seal de un ataque a ser lanzado proximamente
VBS/*, Win32/*, Code*, Nimda, 1i0n/ramen, slapper, etc.

As como se modifican las arquitecturas y los clientes se vuelven ms sofisticados, tambi se adecan las tcnicas
de ataque DdoS. Por ejemplo:

Ayer: Abuso de ancho de banda, explotacin de bugs, floods TCP SYN, UDP e ICMP (amplifiers)

Hoy: PPS (paq/seg) contra la infraestructura del ISP, orgenes IP reales (no importa ms, con >
150.000 boots activos) y reflectores. Rutas de corta vida (usualmente para SPAM). El vector de ataque
en el 2005 ha cambiado, ya que los ataques se centran menos en la capa 3 y TCP y ms en los
dispositivos de mitigacin de DDoS (Prolexic). Mayor velocidad en descubrimiento de vulnerabilidades.

Maana: QoS, CPU (crypto intensive tasks como IPsec/SSL/TLS/etc), ataques mezclados con trfico
normal en protocolos complejos, tems no cacheados en redes DCN.

5. El problema del Malware

El Malware (Malicious Software) comprende una gran cantidad de aplicaciones maliciosas difundidas en toda la
Internet, con avanzadas tcnicas de ocultamiento y autoinstalacin. Una gran categora del Malware son los viruses
y worms que afectan las aplicaciones locales de las PC de los usuarios. Puede ser introducido en los sistemas de
numerosas formas, desde un sitio WEB, un archivo compartido, un email, va chat, pero siempre aprovechando
bajas defensas en el sistema objetivo. Muchas aplicaciones Malware provienen de sitios legtimos infectados.
El Malware facilita la instalacin de agentes Slave para netbots y zombies, en forma directa (con tcnicas de
ocultamiento y borrado de trazas) indirecta (abriendo un agujero de seguridad en las mquinas que luego es
explotado para la carga posterior de agentes).
El grado de sofisticacin alcanzado actualmente es muy grande, ya que el Malware ms avanzado no puede ser
eliminado por programas de desinfeccin (ni siquiera detectado) y debe ser removido manualmente. Es comn que
solo se destruya una imagen del programa, que puede ser muy pequeo, mientras que el Malware real cambia de
lugar en la mquina, con tcnicas de ocultamiento y encriptado que los hace invisibles a la deteccin de patterns.
Las formas ms comunes del Malware son:
Trojan Horse: Tiene caractersticas de software legtimo, y no puede replicarse a si mismo, a diferencia de viruses
worms. Residente en la mquina del usuario es, com su nombre lo indica, un mecanismo indirecto para el ingreso
activacin de otras aplicaciones Malware, ya que toma control del background del sistema operativo y puede
iniciar (o recibir) comunicaciones con agentes que instalan diferentes aplicaciones Malware.
Backdoor: Es Malware que, como el Trojan Horse, permite acceso al sistema puenteando los procedimientos de
autenticacin del sistema operativo. Un grupo importante (Ratware) es generado por worms que los acarrean y
convierten a la PC en un zombie que enva spam. El software instalado va Backdoors puede ser utilizado para el
relay de trfico annimo, ruptura de passwords y encriptado y ataques DDoS.
Spyware: generalmente trabaja y se disemina como Trorjan Horses. El colecciona y enva informacin de la PC,
desde utilizacin de browsers hasta informacin personal y de tarjetas de crdito (en los peores casos). La
informacin se dirige a sitios de gran capacidad que luego generan listas para spam, entre otras ilegalidades.
Exploit: Un Exploit es una aplicacin que ataca una vulnerabilidad particular en el sistema. No son necesariamente
maliciosos, y generalmente son diseados por investigadores en seguridad para probar fallas. No obstante, son un
componente comn de Malware como los network worms.
Rootkit: Software introducido en el sistema luego de que el atacante lo tiene bajo su control. Contiene funciones
para borrar trazas del ataque y pueden incluir backdoors, permitiendo nuevos accesos en el futuro. Se intalan en el

7 De 10

I10.34 Trafico Malicioso en Internet

kernetl del sistema operativo, en forma oculta y mutante y pueden ser imposibles de eliminar, por lo que la
comunidad de expertos aconseja el borrado completo de los discos rgidos y la reinstalacin de las aplicaciones.
Key Logger: Es una aplicacin que copia el ingreso de datos por teclado del usuario y lo enva a un hacker,
generalmente cuando el usuario se conecta a un sitio securizado (HTTS).
Dialers: Un discador es una aplicacin que toma control del modem dial up, y puede ser utilizado por un Key
Logger en horas nocturnas, para llamadas de larga distancia a ser pagadas por el usuario desprevenido.
Browser Hijacker: Este Malware altera la configuracin del browser, inhibiendo cambios desde el registro del
sistema operativo. Puede cambiar el home page, instalar toolbars, redireccionar bsquedas hacia un sitio dado,
cambiar las condiciones de seguridad del browser para que acepte numerosos plug-ins que pueden contener otras
aplicaciones Malware.

5. Organizaciones de Control de Seguridad en la Internet

Las operaciones sobre seguridad en redes y sistemas, adems de constituirse en una industria per-se, tiene el
apoyo de gobiernos, organizaciones comerciales y no gubernamentales y los usuarios de Internet y operan on-line,
generando permanentes alertas de vulnerabilidades y fallas de seguridad detectadas en aplicaciones, sistemas
operativos y elementos de red. Tambien tienen grandes databases con listas de agentes y mtodos de limpieza.
Entre algunas de las organizaciones ms relevantes se pueden citar:
http://www.us-cert.gov/

United States Computer Emergency Readiness Team (CERT)

http://www.first.org/

Forum of Incident Reports and Security Teams (nivel Global)

http://www.symantec.com/index.htm

WEB Site comercial de USA, lider en seguridad en redes de PC (Veritas)

http://www.securite.org/

WEB Site Francs, de gran importancia referencial y acadmica.

http://www.prolexic.com/

http://www.sans.org/index.php

http://www.networm.org/

WEB Site USA, comercial, con redes de anlisis y control a nivel mundial.
Protege redes multicarrier en tres continentes, con 20 Gbps y 40 MM de paq/seg de capacidad.
Opera un supercomputador de mas de 1 Teraflop para real-time Deep Packet Inspection.
SANS Institute. El sitio ms grande de informacin de seguridad y certificacin.
Organizacin dedicada al relevo de informacin global sobre worms.

En cooperacin con agencias de seguridad gubernamentales y privadas, estas organizaciones mantienen bases de
datos actualizadas en tiempo real con todas las clases posibles de amenazas de seguridad, no solo en la Internet,
sino en contextos informticos privados. Por ejemplo, el instituto SANS mantiene una lista actualizada de las 10
reas ms vulnerables de Windows y Unix. Desde luego, no puede faltar Microsoft en la lista de empresas.
Para el caso de este documento, DoS/DDoS se ha convertido en la regla en ataques a la seguridad de sistemas y
redes. Segn el insituto SANS, la frecuencia de los ataques (D)DoS crece sin cesar y, para el ao 2002, el nmero
de zombies utilizados para estos ataques ha crecido unas 100 veces, as como su sofisticacin.
Segn la empresa Prolexic, los ataques DDoS (Distributed Denial of Service) son los ms comunes en la Internet.
Con ms de 2.000 ataques relevantes por semana, DoS se ha convertido en la forma ms costosa del cibercrimen
en el rea de negocios de la Internet. Grandes sitios como Microsoft, CERT, E-Trade, SCO, Yahoo, Akamai y
similares, quienes han perdido en total ms de 1.000 MMU$S en ataques recientes, no son los nicos blancos de
DDoS. Los ataques se han extendido a miles de sitios de tamao y actividad variable.
En el perodo Mayo-Septiembre 2004 se registraron ataques sobre redes europeas con valores crecientes en
consumo de ancho de banda (cerca de 3 Gbps, 13 Agosto 2004) y de recursos (ms de 1 MM PPS, 6 Sep 2004).
En Francia, actualmente, se verifican cerca de 40 anomalas (D)DoS relevantes por da.
La existencia de zombies puede ser relevada contabilizando las direcciones IP nicas en los ataques actuales, en los
que el gran volumen de zombies no requiere IP spoofing, ya que se superan rapidamente las capacidades de
bloqueo de los elementos de seguridad en las redes de los ISPs (Black Lists).

8 De 10

I10.34 Trafico Malicioso en Internet

Por ello, el reporte de zombies de Prolexic, para la primer mitad del ao 2005, muestra que en los ataques contra
redes y hosts de USA y Europa, la Argentina contribuy con el 1.4% de los zombies (lugar 19). Si la lista se
reagrupa utilizando valores per capita (Prolexic), la Argentina ocupa el lugar 14 en el mundo.

The Prolexic Zombie Report Q1 - Q2 2005

Top Infected Networks *

Infected US Networks

Infected EU Networks

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

aol.com
t-dialin.net
wanadoo.fr
ne.jp
comcast.net
rima-tde.net
net.br
ctinets.com
com.br
bellsouth.net
verizon.net
hinet.net
t-ipconnect.de
interbusiness.it
btcentralplus.com
ameritech.net
rr.com
pppool.de
pacbell.net
swbell.net

5.3%
3.6%
3.3%
2.5%
1.9%
1.8%
1.7%
1.5%
1.4%
1.3%
1.3%
1.2%
1.1%
1.0%
1.0%
0.9%
0.8%
0.8%
0.7%
0.7%

aol.com
comcast.net
bellsouth.net
verizon.net
ameritech.net
rr.com
pacbell.net
swbell.net
cox.net
sprint-hsd.net
Level3.net
adelphia.net
optonline.net
qwest.net
charter.com
uu.net
mindspring.com
frontiernet.net
insightBB.com
icehouse.net

11.7%
10.7%
7.5%
7.4%
5.1%
4.5%
4.1%
3.9%
3.8%
3.0%
2.5%
2.3%
1.9%
1.7%
1.4%
1.4%
1.3%
0.6%
0.5%
0.4%

t-dialin.net
10.2%
wanadoo.fr
9.3%
aol.com
9.2%
rima-tde.net
5.1%
t-ipconnect.de
3.2%
interbusiness.it
2.9%
btcentralplus.com 2.7%
pppool.de
2.2%
bluewin.ch
1.7%
arcor-ip.net
1.5%
pol.co.uk
1.4%
net.tr
1.3%
blueyonder.co.uk 1.3%
tpnet.pl
1.3%
club-internet.fr
1.2%
tiscali.de
1.1%
ntli.net
1.1%
axelero.hu
1.0%
libero.it
0.9%
btopenworld.com 0.9%

Infection by Country
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

United States
18.0%
China
11.2%
Germany
9.6%
United Kingdom 5.2%
France
5.2%
Brazil
4.2%
Japan
3.4%
Philippines
3.2%
Russia
2.6%
Malaysia
2.4%
Hong Kong
2.4%
Spain
2.3%
Italy
2.0%
Taiwan
1.7%
Canada
1.7%
Vietnam
1.5%
Australia
1.3%
India
1.2%
Argentina
1.1%
Hungary
1.0%

Las listas representan una parte de la suma de los ataques en los primeros 6 meses del ao 2005.
Los porcentajes estan basados en la contabilizacin de direcciones IP nicas (no repetidas) de cada red/pas
China est pobremente representada por falta de espacios de resolucin inversa de IP.

En un documento del FBI, del ao 2003, se refleja la importancia de (D)DoS en una encuesta en 269 empresas de
USA, sobre sus problemas de seguridad. El trfico de ataque revel ser el que mayores costos infringe a estas
empresas, an por encima de robo de informacin propietaria, elementos y sabotajes.

2004 CSI/FBI Computer Crime and Security Survey

6. Mitigacin del trfico de ataque

No existen, hasta el momento, soluciones completas (en un box) para el trfico de ataque. La diversidad de
mtodos de ataque, protocolos y comportamiento de la red que un ISP debe contemplar es enorme y, debido a

9 De 10

I10.34 Trafico Malicioso en Internet

que el trfico de ataque no tiene un patrn definido, es imposible diferenciarlo del trfico normal sino hasta que el
ataque est en pleno curso.
Las soluciones ms avanzadas del mercado, como Prolexic, operan sobre el trfico global a nivel multicapa y
multiprotocolo, llevando en tiempo real el estado de todas las conexiones establecidas hasta el nivel de aplicacin.
Esto requiere un enorme poder de computo en tiempo real (utiliza 1 Teraflop) para realizar la inspeccin de cada
paquete cursado en ambos sentidos y llevar la cuenta del estado y uso de los diferentes protocolos por cada
direccin IP de la red bajo control.
Se requiere, adems, hardware, software y procedimientos adicionales en el NOC del ISP para controlar no solo el
trfico entrante a su red, que puede contener trfico de ataque a uno de sus elementos sino tambien el control en
igual grado del trfico saliente, ya que diferentes elementos de su red pueden estar involucrados en un ataque
remoto (netbots/zombies).
Es por ello que se trata de la mitigacin del trfico de ataque, y no su prevencin. A nivel acadmico y de
laboratorios existen numerosas iniciativas para operar en forma predictiva en tiempo real y evitar el ataque desde
el comienzo, pero ningn producto comercial existe hasta el momento.
El diagrama inferior muestra un ejemplo de la mitigacin de un ataque DDoS por Prolexic, que llega a picos de 1.6
Gbps casi instantaneamente, y luego decae por accin de la mitigacin. Prolexic menciona que el sitio WEB bajo el
ataque no sudri degradaciones de performance. El trfico de ataque fue redireccionado a black-holes dentro de
la red, que son zonas de la red especficamente preparadas para absorber el trfico de ataque.

Cisco provee algunas soluciones como limitacin de bitrate y Reverse Path Forwarding (RPF) el que
bsicamente consiste en analizar en las tablas de enrutamiento si el IP de origen es vlido. Esto se hace a expensas
de elevados consumos en las CPUs de los routers, por lo que un ataque a gran escala (decenas de miles de PC
infectadas actuando simultaneamente) directamente no es manejable.
Por tal motivo, en Junio 2005, Cisco realiz una alianza con Arbor para utilizar el monitor de trfico Peakflow SP en
conjunto con adaptaciones de los routers de las series 7600 y switches Catalyst 6500 y ofrecerlo como servicio.
Nuevo software para el appliance Traffic Anomaly Detector XT y el monitor Traffic Anomaly Detector Service
Module junto con la tecnologa Cisco DDoS Guard (Riverhead, 2004) embebida en los routers Catalyst 6500
permiten separar el trfico de ataque del legtimo, el cual se reenva a su destino.
La solucin est en el mismo plano que la de Prolexic: anlisis del trfico en tiempo real, por cada paquete (Arbor),
contabilidad de estados por direccin IP y redireccin a una zona de red, que Cisco llama scrubbing center.
Algunas de las tcnicas de mitigacin en uso son:

10 De 10

Utilizacin de ACL en servers y routers (Access Control Lists Black Lists).

Limitacin del nmero de sesiones (flujos) por direcciones IP de destino.
Limitacin del bitrate de sesiones (flujos) por direcciones IP de destino.
Reenrutamiento y limpieza de trfico en el acceso de la red (blackholing, sinkholes, shunts, etc).
Deep Packet Inspection, anlisis stateful de aplicaciones de usuario y control de comportamientos.

I10.34 Trafico Malicioso en Internet