Un poco de DDOS (Distributed Denial of Service)

Un tema un tanto interesante cuando se administra sitios web
no estoy a favor de este tema pero es importante saberlo a la hora de ser el atacado
ya que para saber defender hay que saber atacar

Distributed Denial of Service

Un ataque de denegación de servicio de (DDOS) no es mas que un una multiplicidad de sistemas comprometidos ataca un sol blanco, Ej.: servidores, hosting, PC y todo lo que este conectado en red de tal modo causando la negación del servicio para los usuarios del sistema apuntado. La inundación de mensajes entrantes de blanco del sistema a las fuerzas esencialmente él a cerrar, de tal modo negando servicio al sistema a los usuarios legítimos.

Como Atacan?

Se comienza un ataque de DDoS explotando una vulnerabilidad en un sistema informático y haciendo el DDoS el “amo.” jeje Es del sistema principal que el intruso identifica y se comunica con otros sistemas que puedan ser comprometidos. El hacker o vos mismo carga las herramientas que se agrietan disponibles en el Internet en múltiplo sistemas comprometidos. Con un solo comando, el intruso manda a las máquinas controladas para lanzar uno de muchos ataques de la inundación contra una blanco especificada. “El inundación” de paquetes a la blanco causa una negación del servicio.
En fin la meta es tener el control...

Como saber si somos blancos...

La conexión del mundo está asegurada por Internet (WWW) y cualquier ordenador conectado,
puede convertirse en blanco de los ataques de cualquier otro usuario conectado a la red
de redes. La difusión de los protocolos que gobiernan Internet (IP, TCP, UDP, ICMP)

Origen de los ataques de DOS/DDOS

Imagínate esto tienes el control de 10 maquinas junto con amigos tuyos y abren un correo en cada una de ellas luego se ponen a chatear todos con la misma persona y le envian archivos a ese usuario que pasara? Pues nada mas que una lenta carga en su transferencia pero nada raro..pero a eso podemos llamarlo algo de inundación ISP J
A que no sirve de nada por que a esa persona no le afectara tal vez no lo hicimos a propósito pero logramos una carga lenta, Por eso se cree que las primeras denegaciones de servicio fueron hechas accidentalmente...
Usuarios poco cuidadosos que colapsan el sistema o servicio inconscientemente (por
ejemplo la persona que llena el disco duro del sistema bajando archivos de
música dime cuanto durara en abrir Word), vivos (aquellos que aprovechan su acceso para causar problemas de forma inmediata) y user piratas que utilizan el
acceso de un usuario legitimo.

Tipos de denegaciones

-SYN flood
-TCP FIN flood
-Connection flood
-Land Atack
-Supernuke/Winnuke
-Teardrop/Newtear
-paquetes fragmentados
-finger bomb
-email bomb
-MAC flooding
-DNS flood
-Bucle UDP/Snork UDP


IP Flooding


Se crea conexiones se logra fácilmente con el “IP spoofing”. El sistema que ataca la víctima. la estructura de datos de las conexiones en la víctima que el sistema del servidor llenará eventual; entonces el sistema no podrá aceptar cualquier nueva conexión entrante hasta que la tabla se vacía hacia fuera. los paquetes IP-spoofed solicitan nuevas conexiones más rápidamente que el sistema de la víctima puede expirar las conexiones pendientes.

Hay casos en que la víctima de tal ataque tendrá dificultad en aceptar cualquier nueva conexión de red entrante. En estos casos, el ataque no afecta conexiones entrantes existentes ni la capacidad de originar conexiones de red salientes. Sin embargo, en algunos casos, el sistema puede agotar la memoria, desplome, o se haga de otra manera inoperante.

En otros casos, el sistema puede agotar la memoria, desplome, o se haga de otra manera inoperante. La solución allí no es, hasta ahora, ninguna solución generalmente aceptada a este problema con la tecnología actual del protocolo del IP pero, la configuración apropiada de la rebajadora puede reducir la probabilidad que tu sitio será la fuente de uno de estos ataques. El apéndice A contiene los detalles sobre cómo filtrar los paquetes para reducir el número de los paquetes “IP-spoofed” que incorporan y que salen de tu red. También contiene una lista de los vendedores que han divulgado la ayuda para este tipo de filtración.

La detección de usuarios de un ataque del sistema atacado del servidor no puede notar nada inusual puesto que las peticiones de conexión IP-spoofed pueden no cargar el sistema perceptiblemente. El sistema todavía puede establecer conexiones salientes. El problema será notado muy probablemente por los sistemas del cliente que procuran tener acceso a uno de los servicios en el sistema de la víctima. Para verificar que esté ocurriendo este ataque, comprobar el estado del tráfico de la red del sistema del servidor. Por ejemplo, en SunOS esto se puede hacer por el comando:

netstat - a - inet de f demasiadas conexiones en el estado “SYN_RECEIVED” indica que se está atacando el sistema y la reducción de los paquetes 1 del IP Spoofed.


UDP

Lo que hace es generar peticiones sin conexión a cualquiera de los 65535 puertos
disponibles. En muchos sistemas operativos, las peticiones masivas a
puertos específicos UDP y causan el colapso de los servicios
que lo soportan.

ICMP

La Generación de mesajes de error o control de flujo malicioso. En este
caso el objetivo es doble, degradar el servicio de red con la inundación de
peticiones y conseguir que los sistemas receptores quede sin uso por no
poder procesar todas las peticiones que les llegan.

TCP

Genera peticiones de conexión con el objetivo de saturar los recursos de
red de la máquina atacada. Este protocolo es orientado a conexión, y como tal
consume recursos de memoria y CPU por cada conexión.



DOOM / QUAKE

Consiste en un ataque que basa en buscar algún servicio activo (los servidores de juegos en red del DOOM y el
QUAKE por ejemplo) que responda a cualquier data grama recibido/enviado etc...


LAND

Es un de ataque se basa en falsear la dirección y puerto origen para que sean las
mismas que la del destino. De esta forma, se envían al ordenador atacado peticiones de
conexión desde él mismo hasta él mismo servidor creando la involuntaria desconexión.

PING OF DEATH

El PING de la muerte (Ping of death) como todos lo llaman ha sido probablemente el ataque de denegación de
servicio mas conocido y tal vez mas usado me vas a decir que nunca te pusiste a probar con un ping jeje y funciono? jajajaja...

Este ataque utiliza una vez mas las definiciones de la longitud máxima de paquetes de
los protocolos IP/UDP/TCP/ICMP así como la capacidad de
fragmentación de IPS...
La longitud máxima de un data grama IP es de 64K (65535 Bytes) incluyendo la
cabecera del paquete (20 Bytes) y asumiendo que no hay opciones especiales
especificadas. Ej: ping –i 60000 pero con los anchos de banda que hay ahora es muy difícil utilidad el comando ya que solo con maquinas zombis se podría y teniendo mas conexión que la victima....

ejemplos....

ping -l 5510 direcion_ip [Windows>
ping -s 64510 direccion_ip [Unix>

TRINOO / TRIN00

El TRINOO también conocido como TRIN00, es una herramienta que
implementa un ataque de denegación de servicio mediante un modelo jerárquico
maestro/esclavo (master/slave).

Y una vez obtenido acceso a un ordenador, se procede a la instalación de
todos los programas del TRINOO (sniffers de red, puertas traseras o
backdoors, daemons, root-kits)

STACHELDRAHT


Es como en TRINOO, la arquitectura básica de “STACHELDRAHT” (buscar en google) mantiene una jerarquía dónde existen los master y demonios (denominados ahora “agents” o agentes).

SHAFT

Es una herramienta conocida en los ataques de denegación de servicio
distribuido y Como todas las herramientas distribuidas utiliza un paradigma jerárquico que se basa en la existencia de varios masters/handlers...


Conexión Flood

Los servicios TCP como (telnet, ftp, http, smtp, nntp) tienen un limite máximo de conexiones simultaneas y luego el limite rechaza cualquier nueva conexión de forma similar al Syn Flood...

Al igual que antes, las conexiones expiran progresivamente con el paso del
tiempo, pero un ataque constante de apertura de conexiones mantendrá
continuamente el limite en su valor máximo. La diferencia esta en que en
este
En la conexión se ha establecido y se conoce la identidad del
atacante ósea la vendita IP y a su vez, la capacidad del sistema debe ser lo suficientemente elevada como para mantener abiertas
todas las sesiones que colapsan el servidor atacado.

Hay una variante de estos ataques basada en el uso de un cliente que
establezca conexiones contra un sistema, pero que no las finalice de forma
correcta, de modo que en el servidor los sockets correspondientes a estas
comunicaciones seguirán estando activos y consumiendo recursos,
concretamente en el estado TCP.

Utilidades DDOS (pero para UNÍX)

BlitzNet:

Una herramienta que compone de varios archivos divididos principalmente en dos partes, los que van en las maquinas esclavas y los que van en el server.

Stachel:

Es un programa para hacer ddos hecha por “Randomizer”. Cuando lo instalamos lo que hace es ejcutarar un programita que nos preguntara por una passphrase, introducimos el password y este acabara de instalarse.

TFN2000:

Unos de los programas mas conocidos por su su fama a su en los famoso ataques a Yahho , Ebay , etc .