Академический Документы
Профессиональный Документы
Культура Документы
1. Introduccin
Casi desde los inicios de la Internet, algunas de las actividades en la red han perseguido fines negativos, en contra
del espritu abierto y de confianza (thrust) en que se bas la Internet. La grfica del CERT muestra las diferentes
herramientas que fueron apareciendo en el tiempo, junto con el conocimiento necesario de los intrusos para
manejarlas (y crearlas).
No obstante, salvo excepciones, los primeros hackers perseguan fines no destructivos y su motivacin fundamental
era de naturaleza intelectual y satisfaccin del ego, penetrando sistemas informticos y dejando su marca en ellos.
Con el tiempo y particularmente desde los inicios de la Internet comercial (desde 1992), nuevos hackers con menos
preparacin y conciencia comenzaron a utilizar herramientas de hacking disponibles en la propia Internet para
atentar contra usuarios, sitios y recursos de la red en una forma ms maliciosa: dao intencional pero recuperable.
La disponibilidad de herramientas cada vez ms poderosas y accesibles en IT, junto con el crecimiento explosivo de
la Internet comercial desde 1996 hasta la fecha dieron lugar a una tercera generacin de hackers que directamente
persiguen actividades criminales, ya sea en forma individual en redes mafiosas.
Desde el primer ataque DoS (Denial of Service) registrado por el CERT en 1996 contra un sitio WEB hasta el da de
hoy, las actividades criminales se consolidaron conceptualmente bajo el criterio de acciones extorsivas contra
empresas, las que cesan si estas se avienen a pagar al atacante grandes sumas de dinero.
Adems del chantaje por robo de informacin (Ej.: robo de datos de tarjetas en VISA vs. pago de 10 MMU$S,
2001) que se extiende a todas las reas de actividad comercial que involucre sistemas informticos, los hackers
han perfeccionado amenazas que dejan fuera de servicio sitios comerciales y parte o un todo de las redes de los
ISP, tambien bajo el mecanismo de chantaje. Esto se utiliza tambien como arma contra sitios ISP que promueven
herramientas antispam, y han obligado a cerrar sitios WEB.
Con tcnicas cada vez ms sofisticadas, estas organizaciones criminales tienen la capacidad de coordinar ataques
distribuidos en decenas de miles de mquinas contra un recurso nico, acumulando varios miles de Mbps de trfico
y millones de paquetes/segundo, de ser necesario para poner el sitio la red en overflow por minutos u horas.
1 De 10
En el caso de perseguir fines comerciales, luego del primer ataque, se enva un email pidiendo dinero por una
proteccin anual. Si no se accede, los ataques se reinician en forma aleatoria. Esta tcnica es tambien utilizada por
grupos de presin politica (Ej.: ataque reciente contra el sitio de la cadena Aljazeera, la CNN rabe).
Debido a la alta carga de trfico, muchas de las herramientas de mitigacin de ataques (hardware, software) se
ven desbordadas y ceden a la presin del trfico distribuido. Si bien la Argentina no es todava blanco de estas
prcticas, coopera involuntariamente en su implementacin debido a las mquinas infectadas, y adems recibe
ataques a menor escala desde diferentes partes del mundo.
Una clase especial de trfico de ataque son los gusanos (worms), que pueden ser muy destructivos y costosos
(Computer Economics: Code Red U$S 2.6 millardos y Sircam U$S 1.3 millardos). Es un cdigo auto-propagable
que inunda las redes con emails y agrega entradas en el registro de los sistemas operativos de las vctimas. Los
gusanos (worms) pueden ser transmitidos por email, compartiendo archivos infectados via el chat de Internet.
Los gusanos aprovechan fallas (bugs, backdoors, holes) en software de email o sistemas operativos. Los gusanos
maliciosos tambien pueden borrar u ocultar ciertos tipos de archivos.
Algunos de los worms ms rpidos son: CodeRed, Nimda, Sapphire, Blaster, Witty y Sasser. Una saturacin global
puede lograrse en unas 18 horas.
Un da
1 Semana
1 Ao
La caracterstica del ataque se aprecia en una escala de tiempo ampliada, y cada vez es ms dificil predecir que
existe un ataque en curso, hasta que se establece, porque tiende a mimetizarse con el trfico normal. Los ataques
duran poco tiempo (decenas de minutos a horas), suficiente para hacer colapsar un host la propia red del ISP.
Los ataques DoS/DDoS se caracterizan por lo siguiente:
Buscan consumir todos los recursos (bandwidth, CPU, memoria, etc) para hacer un servicio lento
inaccesible, atacando por ejemplo:
o
o
o
o
o
2 De 10
Buscan tirar abajo el servicio (continuamente) explotando un bug en la red, el sistema, el servicio la
aplicacin, incluso destruyendo informacin.
Las herramientas son negociadas y los ataques coordinados desde redes IRC (chat) .
Los actores son participantes involuntarios (mquinas infectadas con bots/zombies).
Los streams DDoS no tienen patrones caractersticos, lo que dificulta anlisis por signature.
La falsificacin de direcciones IP (IP spoofing) dificulta el filtrado de direcciones IP (black lists).
Las variantes actuales de ataque se enfocan en la fuerza bruta. El enorme nmero de direcciones IP que
deben ser bloqueadas (blacklisted) satura el hardware de mitigacin. Los ataques masivos acumulan
payloads UDP e ICMP desde 100 Mbps hasta 4 Gbps, y utilizan tanto paquetes largos como cortos para
causar overflow en el ancho de banda y en la capacidad de conmutacin (PPS).
Este tipo de ataque de consumo de ancho de banda es el que ms afecta a EmpXXX por su frecuencia y la
dificultad de identificar su aparicin, origen, destino y la toma de medidas correctivas.
Los siguientes cuadros muestran las clases ms comunes, segn su objetivo: explotar vulnerabilidades de
aplicaciones de red, consumir los recursos de red y hosts y explotar vulnerabilidades de los sistemas operativos.
Ataque
HTTP GET
SIP Chopping
Se utiliza una red zombie para crear HTTP/1.0 o 1.1 GET requests, hasta
lograr consumir los recursos de red y server de la vctima
Un nica PC con un UDP Flooding Engine inyecta SIP requests inundando
el server SIP. La calidad de las llamadas se degrada y la voz aparece
entrecortada (chooping)
Un server BIND standart opera con 10.000 queries/seg. Si bien los request
falsos son identificables facilmente, cuando el ataque es masivo (cientos de
miles a millones) los servers DNS entran en overflow.
DNS
Los servers de mail son objeto de toda clase de ataques TCP. Una
emulacin de email a 1 Gbps con 1 milln de mails por segundo puede
crear facilmente overflow.
El protocolo SSL demanda muchos recursos. Segun la intensidad del
ataque, puede debilitarse sacar de linea al server SSL.
Los dispositivos de concentracin e interconexin de VPNs pueden ser
blanco de DoS, inutilizando las comunicaciones de una empresa.
SMTP
SSL
VPN
Ataque
SYN Flooding
SYN-ACK Flooding
RESET Flooding
ACK Flooding
Fragmentation
Flooding
ICMP Flooding
UDP Flooding
3 De 10
Teardrop
Land
Los diferentes mecanismos de defensa en routers, firewalls, IDS (Intrusion Detection Systems), servers y otros
elementos utilizados en una red de un ISP para proteger sus propios recursos y los de sus clientes pueden ser
sobrepasados con ataques coordinados en gran escala los cuales no solamente son cada vez ms sofisticados, sino
que pueden generar ataques con enormes capacidades en el orden de los Gigabits/segundo, para lo que muy
pocas redes y hosts estn preparados.
Los siguientes cuadros y diagramas esquematizan la visin de Cisco sobre el problema:
Interpretacin de Cisco sobre la evolucin del Trfico de Ataque
Distribucion
Management
Nmero Atacantes
Email attachment
Downloads involuntarios
Va chat ICQ, AIM,
MSN, IRC
Bootnets /
zombies
Email attachment
Va chat ICQ, AIM,
MSN, IRC
Manual
(hack to servers)
4 De 10
Manualmente
Proteccion
Requests legtimos
Blackhole
Hasta 10 Gbps
Worms
Tipo de Ataque
< 10 Mbps
ACL
Elementos de
Infraestructura (DNS,
SMTP, HTTP)
Soluciones DDoS
Anycast
ISP/IDC
Todo tipo de aplicaciones
Blackhole
(HTTP, DNS, SMTP)
ACL
Spoofed SYN
DDoS solutions
ICMP
Firewalls
Access routers con
Spoofed SYN
ACL (Access
Control Lists)
El Ataque Amplificado puede operar con grandes capacidades, aunque es una variante amplificada del Ataque
Bsico. Los recursos que implica disponer no son facilmente disponibles para un hacker amateur, y por ello es
realizado por organizaciones que persiguen diferentes fines polticos y econmicos. Su eficacia se basa en la gran
capacidad de inundacin que pueden tener, de varios centenares de Mbps, suficiente para causar overflows.
5 De 10
El Ataque Distribuido (DoS, DDoS) no tiene un lmite preciso de capacidades de ataque (ancho de banda y
paq/seg). Se han contabilizado ataques de ms de 4 Gbps y de ms de 1 milln de paq/seg en los ltimos dos
aos, y sus capacidades y sofisticacin crecen con cada generacin.
Opera con agentes (master y slaves), que se propagan por contaminacin va email, archivos infectados, chat,
bugs en browsers al visitar sitios no seguros y numerosas otras formas. Los agentes slave son pequeas piezas de
cdigo que pueden residir en PC de usuarios (preferentemente) en servers de alta capacidad de la red. Tienen
capacidad de ocultarse, borrando su identidad en los registros de los sistemas operativos y permanecer dormidos
(zombies, netbots) por mucho tiempo hasta que sean activados.
Varios de ellos son tan persistentes, que evaden las medidas de seguridad y descontaminacin de los antiviruses
ms avanzados. Utilizando criptografa, se mimetizan con partes de programas y datos y no son registrados. Una
descontaminacin de la mquina eliminar la imagen del agente, pero esta se recrear en cualquier momento
posterior. El trabajo en aplicaciones de descontaminacin va a la par del trabajo de desarrollo de viruses que
contrarestan estas acciones. Las actividades polticas y extorsivas detrs de estas organizaciones proveen de fondos
suficientes para el desarrollo de contramedidas, muy particularmente en pases asiticos (China).
Los agentes Slave pueden ser pequeos (Ej.: 400 bytes), son difciles de detectar y se introducen en
practicamente todos los elementos de las redes. Algunas consideraciones de estos agentes Slave son:
El agente Master opera como catalizador de los ataques, y como proxy de la red de ataque. Puede coordinar la
accin de decenas y centenares de miles de agentes Slave. El atacante est siempre protegido detrs de IP falsos.
Las formas de despliegue y comunicaciones de los agentes Slave y Master (DoS/DDoS) ms comunes son:
6 De 10
As como se modifican las arquitecturas y los clientes se vuelven ms sofisticados, tambi se adecan las tcnicas
de ataque DdoS. Por ejemplo:
Ayer: Abuso de ancho de banda, explotacin de bugs, floods TCP SYN, UDP e ICMP (amplifiers)
Hoy: PPS (paq/seg) contra la infraestructura del ISP, orgenes IP reales (no importa ms, con >
150.000 boots activos) y reflectores. Rutas de corta vida (usualmente para SPAM). El vector de ataque
en el 2005 ha cambiado, ya que los ataques se centran menos en la capa 3 y TCP y ms en los
dispositivos de mitigacin de DDoS (Prolexic). Mayor velocidad en descubrimiento de vulnerabilidades.
Maana: QoS, CPU (crypto intensive tasks como IPsec/SSL/TLS/etc), ataques mezclados con trfico
normal en protocolos complejos, tems no cacheados en redes DCN.
7 De 10
kernetl del sistema operativo, en forma oculta y mutante y pueden ser imposibles de eliminar, por lo que la
comunidad de expertos aconseja el borrado completo de los discos rgidos y la reinstalacin de las aplicaciones.
Key Logger: Es una aplicacin que copia el ingreso de datos por teclado del usuario y lo enva a un hacker,
generalmente cuando el usuario se conecta a un sitio securizado (HTTS).
Dialers: Un discador es una aplicacin que toma control del modem dial up, y puede ser utilizado por un Key
Logger en horas nocturnas, para llamadas de larga distancia a ser pagadas por el usuario desprevenido.
Browser Hijacker: Este Malware altera la configuracin del browser, inhibiendo cambios desde el registro del
sistema operativo. Puede cambiar el home page, instalar toolbars, redireccionar bsquedas hacia un sitio dado,
cambiar las condiciones de seguridad del browser para que acepte numerosos plug-ins que pueden contener otras
aplicaciones Malware.
http://www.first.org/
http://www.symantec.com/index.htm
http://www.securite.org/
http://www.prolexic.com/
http://www.sans.org/index.php
http://www.networm.org/
WEB Site USA, comercial, con redes de anlisis y control a nivel mundial.
Protege redes multicarrier en tres continentes, con 20 Gbps y 40 MM de paq/seg de capacidad.
Opera un supercomputador de mas de 1 Teraflop para real-time Deep Packet Inspection.
SANS Institute. El sitio ms grande de informacin de seguridad y certificacin.
Organizacin dedicada al relevo de informacin global sobre worms.
En cooperacin con agencias de seguridad gubernamentales y privadas, estas organizaciones mantienen bases de
datos actualizadas en tiempo real con todas las clases posibles de amenazas de seguridad, no solo en la Internet,
sino en contextos informticos privados. Por ejemplo, el instituto SANS mantiene una lista actualizada de las 10
reas ms vulnerables de Windows y Unix. Desde luego, no puede faltar Microsoft en la lista de empresas.
Para el caso de este documento, DoS/DDoS se ha convertido en la regla en ataques a la seguridad de sistemas y
redes. Segn el insituto SANS, la frecuencia de los ataques (D)DoS crece sin cesar y, para el ao 2002, el nmero
de zombies utilizados para estos ataques ha crecido unas 100 veces, as como su sofisticacin.
Segn la empresa Prolexic, los ataques DDoS (Distributed Denial of Service) son los ms comunes en la Internet.
Con ms de 2.000 ataques relevantes por semana, DoS se ha convertido en la forma ms costosa del cibercrimen
en el rea de negocios de la Internet. Grandes sitios como Microsoft, CERT, E-Trade, SCO, Yahoo, Akamai y
similares, quienes han perdido en total ms de 1.000 MMU$S en ataques recientes, no son los nicos blancos de
DDoS. Los ataques se han extendido a miles de sitios de tamao y actividad variable.
En el perodo Mayo-Septiembre 2004 se registraron ataques sobre redes europeas con valores crecientes en
consumo de ancho de banda (cerca de 3 Gbps, 13 Agosto 2004) y de recursos (ms de 1 MM PPS, 6 Sep 2004).
En Francia, actualmente, se verifican cerca de 40 anomalas (D)DoS relevantes por da.
La existencia de zombies puede ser relevada contabilizando las direcciones IP nicas en los ataques actuales, en los
que el gran volumen de zombies no requiere IP spoofing, ya que se superan rapidamente las capacidades de
bloqueo de los elementos de seguridad en las redes de los ISPs (Black Lists).
8 De 10
Por ello, el reporte de zombies de Prolexic, para la primer mitad del ao 2005, muestra que en los ataques contra
redes y hosts de USA y Europa, la Argentina contribuy con el 1.4% de los zombies (lugar 19). Si la lista se
reagrupa utilizando valores per capita (Prolexic), la Argentina ocupa el lugar 14 en el mundo.
Infected US Networks
Infected EU Networks
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
aol.com
t-dialin.net
wanadoo.fr
ne.jp
comcast.net
rima-tde.net
net.br
ctinets.com
com.br
bellsouth.net
verizon.net
hinet.net
t-ipconnect.de
interbusiness.it
btcentralplus.com
ameritech.net
rr.com
pppool.de
pacbell.net
swbell.net
5.3%
3.6%
3.3%
2.5%
1.9%
1.8%
1.7%
1.5%
1.4%
1.3%
1.3%
1.2%
1.1%
1.0%
1.0%
0.9%
0.8%
0.8%
0.7%
0.7%
aol.com
comcast.net
bellsouth.net
verizon.net
ameritech.net
rr.com
pacbell.net
swbell.net
cox.net
sprint-hsd.net
Level3.net
adelphia.net
optonline.net
qwest.net
charter.com
uu.net
mindspring.com
frontiernet.net
insightBB.com
icehouse.net
11.7%
10.7%
7.5%
7.4%
5.1%
4.5%
4.1%
3.9%
3.8%
3.0%
2.5%
2.3%
1.9%
1.7%
1.4%
1.4%
1.3%
0.6%
0.5%
0.4%
t-dialin.net
10.2%
wanadoo.fr
9.3%
aol.com
9.2%
rima-tde.net
5.1%
t-ipconnect.de
3.2%
interbusiness.it
2.9%
btcentralplus.com 2.7%
pppool.de
2.2%
bluewin.ch
1.7%
arcor-ip.net
1.5%
pol.co.uk
1.4%
net.tr
1.3%
blueyonder.co.uk 1.3%
tpnet.pl
1.3%
club-internet.fr
1.2%
tiscali.de
1.1%
ntli.net
1.1%
axelero.hu
1.0%
libero.it
0.9%
btopenworld.com 0.9%
Infection by Country
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
United States
18.0%
China
11.2%
Germany
9.6%
United Kingdom 5.2%
France
5.2%
Brazil
4.2%
Japan
3.4%
Philippines
3.2%
Russia
2.6%
Malaysia
2.4%
Hong Kong
2.4%
Spain
2.3%
Italy
2.0%
Taiwan
1.7%
Canada
1.7%
Vietnam
1.5%
Australia
1.3%
India
1.2%
Argentina
1.1%
Hungary
1.0%
Las listas representan una parte de la suma de los ataques en los primeros 6 meses del ao 2005.
Los porcentajes estan basados en la contabilizacin de direcciones IP nicas (no repetidas) de cada red/pas
China est pobremente representada por falta de espacios de resolucin inversa de IP.
En un documento del FBI, del ao 2003, se refleja la importancia de (D)DoS en una encuesta en 269 empresas de
USA, sobre sus problemas de seguridad. El trfico de ataque revel ser el que mayores costos infringe a estas
empresas, an por encima de robo de informacin propietaria, elementos y sabotajes.
9 De 10
que el trfico de ataque no tiene un patrn definido, es imposible diferenciarlo del trfico normal sino hasta que el
ataque est en pleno curso.
Las soluciones ms avanzadas del mercado, como Prolexic, operan sobre el trfico global a nivel multicapa y
multiprotocolo, llevando en tiempo real el estado de todas las conexiones establecidas hasta el nivel de aplicacin.
Esto requiere un enorme poder de computo en tiempo real (utiliza 1 Teraflop) para realizar la inspeccin de cada
paquete cursado en ambos sentidos y llevar la cuenta del estado y uso de los diferentes protocolos por cada
direccin IP de la red bajo control.
Se requiere, adems, hardware, software y procedimientos adicionales en el NOC del ISP para controlar no solo el
trfico entrante a su red, que puede contener trfico de ataque a uno de sus elementos sino tambien el control en
igual grado del trfico saliente, ya que diferentes elementos de su red pueden estar involucrados en un ataque
remoto (netbots/zombies).
Es por ello que se trata de la mitigacin del trfico de ataque, y no su prevencin. A nivel acadmico y de
laboratorios existen numerosas iniciativas para operar en forma predictiva en tiempo real y evitar el ataque desde
el comienzo, pero ningn producto comercial existe hasta el momento.
El diagrama inferior muestra un ejemplo de la mitigacin de un ataque DDoS por Prolexic, que llega a picos de 1.6
Gbps casi instantaneamente, y luego decae por accin de la mitigacin. Prolexic menciona que el sitio WEB bajo el
ataque no sudri degradaciones de performance. El trfico de ataque fue redireccionado a black-holes dentro de
la red, que son zonas de la red especficamente preparadas para absorber el trfico de ataque.
Cisco provee algunas soluciones como limitacin de bitrate y Reverse Path Forwarding (RPF) el que
bsicamente consiste en analizar en las tablas de enrutamiento si el IP de origen es vlido. Esto se hace a expensas
de elevados consumos en las CPUs de los routers, por lo que un ataque a gran escala (decenas de miles de PC
infectadas actuando simultaneamente) directamente no es manejable.
Por tal motivo, en Junio 2005, Cisco realiz una alianza con Arbor para utilizar el monitor de trfico Peakflow SP en
conjunto con adaptaciones de los routers de las series 7600 y switches Catalyst 6500 y ofrecerlo como servicio.
Nuevo software para el appliance Traffic Anomaly Detector XT y el monitor Traffic Anomaly Detector Service
Module junto con la tecnologa Cisco DDoS Guard (Riverhead, 2004) embebida en los routers Catalyst 6500
permiten separar el trfico de ataque del legtimo, el cual se reenva a su destino.
La solucin est en el mismo plano que la de Prolexic: anlisis del trfico en tiempo real, por cada paquete (Arbor),
contabilidad de estados por direccin IP y redireccin a una zona de red, que Cisco llama scrubbing center.
Algunas de las tcnicas de mitigacin en uso son:
10 De 10