Post on 04-Jan-2016
description
CONCEPTES AVANÇATS DE SISTEMES OPERATIUS Departament d’Arquitectura de Computadors
(Seminaris de CASO)
Autors
ATACS DDOS
Jose María Casado Cabezas
Oriol C. García-Alzórriz i Espeig
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
2
Atacs DDOS Els atacs DDOS (Distributed Denial Of Service) utilitzen
diversos computadors per a llençar un atac coordinat sobre un o més objectius amb la finalitat de reduïr-lo a un estat d’incapacitat per a prestar els serveis que normalment ofereix.
Utilitza tecnologia client/servidor per a augmentar l’efectividad de l’atac DOS (Denial Of Service).
Apareixen a finals de 1999
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
3
Atacs DOS Atacs a la connectivitat
– Saturen a un computador amb una sobrecàrrega de peticions de connexió
– Exemples: Mail-bombing,Smurfing, SYN Flood Atacs a l’ample de banda
– Enfonsen la xarxa amb un tràfic molt elevat de paquets, fent que tots els recursos es consumeixin.
– Conseqüència: les peticions de servei dels usuaris no poden ser ateses.
– Exemples: UDP flood
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
4
Mail Bombing Primer sistema de DOS
Consisteix en l’enviament massiu de correu a una màquina fins a saturar el servei
En origen atac empleat contra els “malfactors”
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
5
Smurfing Es canvia la direcció origen de la trama (IP Spoofing) S’envia una trama ICMP corresponent a una petició de ping
amb direcció origen la direcció de la víctima i direcció destí broadcast
Contesten a la víctima els sistemes que tinguin habilitat la replica a peticions broadcast
Factor d’amplificació de xarxa
Solució: No contestar a trames ICMP amb direcció origen broadcast
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
6
SYN Flood
Enviament de múltiples trames SYN utilitzant una direcció inexistent o inoperant
La cua de sol·licituds pendents es satura Solució : SYN cookies
Sistema 1 Sistema 2SYN
SYN ACK
ACK
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
7
UDP Flood
L’atacant envia trames UDP amb direcció origen falsa El servei chargen (generació de caràcters) del sistema 1
amb el servei d’echo del sistema 2 El volum de tràfic s’incrementa La xarxa acaba inundada
Sistema 1
Sistema 2Demoni
Tràfic Chargen
Tràfic Echo
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
8
Trinoo Components d’una xarxa Trinoo:
– Atacant (Controla un o més mestres)– Mestre (Controla una gran quantitat de Dimonis)– Dimoni (Rep l’odre de realitzar l’atac)
Atacant Atacant
Mestre MestreMestre
DimoniDimoni Dimoni Dimoni
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
9
Trinoo
Comunicació està protegida mitjançant claus d’accés Claus simètriques d’accés
MestreAtacant Demoni
27444/UDP
31335/UDP
27665/TCP
Basat en UDP Flood 17/08/99 : A partir d’una xarxa de Trinoo de 227 sistemas
s’ataca la xarxa de la Universitat de Minnessota Comunicació:
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
10
Mstream
Cilent
ConductorConductor
AgentAgent Agent
Atac basat en Streams Estructura similar a la de Trinoo
– Client– Conductor– Agent
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
11
Streams
L’atacant envia TCP ACK a ports aleatoris amb direcció origen falsa La víctima contesta TCP RST al remitent mitjançant el router El router envia ICMP a la victima indicant que el destinatari no
existeix
Atacant Víctima
ICMP
RSTACK
@Or FALSA
ROUTER
Amb un únic origen es produeixen pocs efectes Amb múltiples origens la xarxa acaba inundada
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
12
Mstreams
Els agents s’executen en mode Root per utilitzar sockets del tipus SOCK_RAW
Cada conductor manté una llista d’agents actius
ConductorClient Agent
7983/UDP
9325/UDP
6723/TCP
Comunicació:
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
13
Altres atacs DDOS
– Tribe Flood Network (TFN) – Tribe Flood Network 2000 (TFN2K)– Stacheldraht– Shaft
Utilitzen una estructura similar a Trinoo
Empleen tècniques de SYN Flood, UDP Flood o Smurfing
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
14
Detecció de DDOS
No existeix solució definitiva, ja que IP no proporciona mecanismes vàlids per autentificar l’origen d’un paquet
Utilitzar filtres d’entrada a la nostra xarxa– Pot facilitar l’anàlisi i el seguiment de l’atac
Limitar l’ample de banda dels serveis Utilitzar antivirus
– Queden ràpidament obsolets Utilitzar aplicacions de monitorització de la xarxa
– Búsqueda de possibles forats
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
15
Bibliografia
Document DDOS de Juan Manuel Pérez Diego http://www.fi.upm.es/~flimon/DDoS Link d’interes:
– http://www.cert.org