Ataque DDoS Para Linces

Bueno gente les queria mostrar como se efectua un ataque DDos a un servidor y algunas herramientas utiles. Empesamos definiendo Ataque DDos ¿Qué es un ataque DDoS? DDoS son las siglas de Distributed Denial of Service. La traducción es “ataque distribuido denegación de servicio”, y traducido de nuevo significa que se ataca al servidor desde muchos ordenadores para que deje de funcionar. Pero aun así esto no nos guía mucho sobre lo que es un DDoS. Para explicarlo voy a recurrir a una simple analogía en la que nuestro servidor es un auxiliar que atiende a personas en una ventanilla. Nuestro auxiliar es muy eficiente y es capaz de atender a varias personas a la vez sin despeinarse: es su carga normal. Pero un día empiezan a llegar cientos de personas a la ventanilla a pedirle cosas a nuestro auxiliar. Y como cualquier humano normal, cuando hay mucha gente dándole la lata no puede atender a todos y empieza a atender más lento de lo normal. Si viene todavía más gente probablemente acabe hasta las narices, se marchará de la ventanilla y ya no atenderá a nadie más. En el servidor pasa lo mismo: cuando hay demasiadas peticiones se queda sin recursos, se cuelga y deja de funcionar. Puede que se apague directamente o que sólo deje de responder conexiones. De cualquiera de las dos formas, el servidor no volverá a la normalidad hasta que el ataque pare, ya sea porque los atacantes han parado o porque se logrado bloquear las conexiones ilegítimas (veremos más adelante cómo), y se rearranque todo lo que haya dejado de funcionar. Este es el concepto básico del DDoS, aunque se puede modificar para que sea más efectivo. Por ejemplo, se pueden enviar los datos muy lentamente haciendo que el servidor consuma más recursos por cada conexión (Slow Read es un ejemplo de ataque de este tipo), o alterar los paquetes para que el servidor se quede esperando indefinidamente una respuesta de una IP falsa (el nombre técnico es SYN flood, y podéis saber algo más de él y cómo se mitiga aquí). ¿Cómo se lleva a cabo un ataque DDoS? Como el concepto básico del DDoS es simple, realizar los ataques es relativamente fácil. De hecho, valdría con que hubiese un número suficientemente grande de personas recargando la web continuamente para tirarla. Sin embargo, las herramientas que se suelen usar son algo más complejas. Con ellas se pueden crear muchas conexiones simultáneas o enviar paquetes alterados con las técnicas que comentaba antes. También permiten modificar los paquetes poniendo como IP de origen una IP falsa, de forma que no pueden detectar quién es el atacante real. Otra técnica para llevar a cabo los DDoS es usar botnets: redes de ordenadores infectados por un troyano y que un atacante puede controlar remotamente. De esta forma, los que saturan el servidor son ordenadores de gente que no sabe que están participando en un ataque DDoS, por lo que es más difícil encontrar al verdadero atacante. ¿Cómo afecta un DDoS a una web? Depende del ataque y del servidor. Los servidores se pueden proteger contra estos ataques con filtros que rechacen los paquetes mal formados o modificados con IPs falsas, de forma que al servidor sólo le llegan los paquetes legítimos. Por supuesto, las medidas no son infalibles y el servidor siempre puede acabar saturado si el ataque es suficientemente masivo y está bien preparado. Para que os hagáis una idea del volumen necesario para que un DDoS sea efectivo, abajo tenéis un gráfico que representa el tráfico de un servidor a lo largo del tiempo. El tráfico durante el ataque (en verde) es tan grande que apenas se aprecia el tráfico normal del servidor. Un ejemplo del tráfico recibido en un ataque DDoS ¿Y qué ocurre cuando el servidor se satura? Simplemente deja de estar disponible durante un tiempo hasta que el ataque para. Es muy difícil que se produzcan daños físicos en el servidor. Además, el DDoS por sí sólo no permite entrar en el servidor: para ello es necesario aprovechar alguna vulnerabilidad, y eso no es nada fácil. Así que, básicamente, un DDoS sólo puede provocar la caída de la web, nada más. Dependiendo del tipo de web esto puede ser una catástrofe o no. Si la web genera dinero (venta online, publicidad), el propietario deja de ganar dinero mientras esa web está caída. Imaginaos las pérdidas que puede llegar a tener Amazon, por ejemplo, si su página está caída durante un día. Pero, ¿qué pasa cuando la página es simplemente informativa, como pueden ser las de instituciones públicas? La verdad es que no pasa mucho. La institución no depende de la web para funcionar. En su lugar se suelen usar redes internas que no están accesibles desde Internet, sólo desde dentro de la propia institución, por lo que no se ven afectadas por el ataque. Lo único que ocurre es que el que quiera ver alguna información de esa página tendrá que esperarse un rato a que esté disponible. Esto me lleva inevitablemente a hacerme la siguiente pregunta: ¿sirven los DDoS como medio de protesta? La respuesta depende de la persona, pero yo tengo mi postura bastante clara: no sirven. Ya hemos visto que en webs que no son comerciales un DDoS tiene un impacto muy limitado. A la institución no le fastidian demasiado y como no se requieren demasiadas personas para llevar a cabo el ataque podrán decir que es un “grupo minoritario” el que protesta. Pero no sólo es que no produzcan muchos efectos positivos: producen efectos negativos. La gente más ajena a internet suele asociar “ataque informático” con “hackers” y estos con “gente peligrosa”. Con dar un poco de cancha a esta asociación es muy fácil descalificar sin argumentos las protestas, porque, ¿quién va a apoyar, debatir o escuchar a “gente peligrosa”? Además, este tipo de protesta se podría calificar como “violenta”: es un ataque directo al fin y al cabo. Y como siempre ocurre, si protestas de esta forma contra alguna iniciativa, los que la apoyen se negarán en redondo a escucharte. Por esto, creo que los DDoS no deberían ser usados como forma de protesta. Hay formas muchísimo mejores, más éticas y más efectivas de protestar. El reciente blackout contra SOPA o el #manifiesto en España contra Ley Sinde son dos ejemplos de iniciativas que han tenido más éxito que atacar páginas web. Herramientas para atacar. Para realizar estos ataques pueden utilizar alguna de las siguientes aplicaciones que simplifican el ataque. 1. LOIC (Low Orbit Ion Canon) LOIC es una de las herramientas más populares de DOS atacando libremente disponibles en Internet. Esta herramienta fue utilizada por el grupo de hackers Anonymous populares contra las redes de muchas grandes empresas el año pasado. Anonymous no sólo ha utilizado la herramienta, pero también pidió a los usuarios de Internet a unirse a su ataque DDOS a través de IRC. Se puede utilizar simplemente por un solo usuario para llevar a cabo un ataque DoS en servidores pequeños. Esta herramienta es muy fácil de usar, incluso para un principiante. Esta herramienta realiza un ataque DOS enviando UDP, TCP o peticiones HTTP al servidor víctima. Usted sólo necesita saber la URL de la dirección IP del servidor y la herramienta hará el resto. Link: http://sourceforge.net/projects/loic/ 2. XOIC XOIC es otra buena herramienta atacar DOS. Se lleva a cabo un ataque DOS un cualquier servidor con una dirección IP, un puerto seleccionado por el usuario, y un protocolo seleccionado por el usuario. Desarrolladores de XOIC afirman que XOIC es más poderoso que LOIC de muchas maneras. Al igual que LOIC, viene con una interfaz gráfica de usuario fácil de usar, por lo que un principiante puede utilizar fácilmente esta herramienta para realizar ataques a otros sitios web o servidores. En general, la herramienta viene con tres modos de ataque. El primero, conocido como el modo de prueba, es muy básico. El segundo es el modo de ataque DOS normal. El último es un modo de ataque DOS que viene con un mensaje / HTTP / UDP / ICMP TCP. Es una herramienta eficaz y se puede utilizar contra los pequeños sitios web. Nunca intente en contra de su propio sitio web. Usted puede terminar estrellándose servidor de su propio sitio web. Link:http://sourceforge.net/projects/xoic/ 3. HULK HULK es otra buena herramienta atacar DOS que genera una solicitud única para todos y cada solicitud generada al tráfico ofuscado en un servidor web. Esta herramienta utiliza muchas otras técnicas para evitar la detección de ataques a través de patrones conocidos. Tiene una lista de agentes de usuario conoce el uso de azar con las solicitudes. También utiliza la falsificación remitente y puede pasar por alto los motores de almacenamiento en caché, por lo que impacta directamente fondo de recursos del servidor. El desarrollador de la herramienta de prueba en un servidor web IIS 7 con 4 GB de RAM. Esta herramienta trajo la caída de servidor en menos de un minuto. Link: http://packetstormsecurity.com/files/112856/HULK-Http-Unbearable-Load-King.html 4. DDOSIM-Layer 7 DDOS Simulador DDOSIM es otra herramienta popular atacar DOS. Como su nombre indica, se utiliza para llevar a cabo ataques DDoS mediante la simulación de varios ejércitos de zombies. Todos los ordenadores zombies crean conexiones TCP completa al servidor de destino. ¿Quieres saber más ?? El curso Ethical Hacking InfoSec Instituto va a fondo en las técnicas utilizadas por los maliciosos, hackers de sombrero negro con la atención que consigue conferencias y ejercicios prácticos de laboratorio. Si bien estas habilidades de hacker pueden ser utilizados con fines maliciosos, esta clase te enseña cómo utilizar las mismas técnicas de hacking para llevar a cabo un blanco y sombrero, hackeo ético, en su organización. Os dejamos con la capacidad de evaluar y medir cuantitativamente las amenazas a los activos de información; y descubre que su organización es más vulnerable a los hackers de sombrero negro. Algunas características de este curso incluyen: Certificación Dual - CEH y CPT 5 días de Hands-On intensivos laboratorios Instrucción de expertos Ejercicios CTF en la noche Lo más up-to-fecha cursos propietaria disponible VISTA hacking ético Esta herramienta está escrito en C ++ y se ejecuta en los sistemas Linux. Estas son características principales de DDOSIM Simula varios zombies en ataque Direcciones IP aleatorias Los ataques basados en TCP-conexión- Ataques DDOS la capa de aplicaciones DDoS HTTP con las solicitudes válidas DDoS HTTP con las solicitudes no válidas (similares a un ataque DC ++) DDoS SMTP TCP inundaciones conexión en el puerto aleatorio Link: http://sourceforge.net/projects/ddosim/ Lea más sobre esta herramienta aquí: http://stormsecurity.wordpress.com/2009/03/03/application-layer-ddos-simulator/ 5. R-U-Dead-Yet R-U-Dead-Yet embargo, es una herramienta de ataque HTTP POST DOS. Para corto, sino que también se conoce como RUDY. Se lleva a cabo un ataque DOS con una larga presentación campo de formulario mediante el método POST. Esta herramienta viene con un menú de la consola interactiva. Detecta formularios de una URL determinada y permite al usuario seleccionar qué formas y campos se deben utilizar para un ataque DOS basado en POST. Link RUDY: https://code.google.com/p/ru-dead-yet/ 6. El martillo de Tor El martillo de Tor es otra buena herramienta de prueba de DOS. Es una herramienta de post lento escrito en Python. Esta herramienta cuenta con una ventaja adicional: Se puede ejecutar a través de una red TOR ser anónimo mientras se realiza el ataque. Es una herramienta eficaz que puede matar a los servidores Apache o IIS en pocos segundos. Link: http://packetstormsecurity.com/files/98831/ 7. pyloris Pyloris se dice que es una herramienta de prueba para los servidores. Se puede utilizar para realizar ataques DOS en un servicio. Esta herramienta se puede utilizar servidores proxy SOCKS y conexiones SSL para realizar un ataque DOS en un servidor. Se puede apuntar a varios protocolos, incluyendo HTTP, FTP, SMTP, IMAP y Telnet. La última versión de la herramienta viene con una interfaz gráfica de usuario sencilla y fácil de usar. A diferencia de otras herramientas tradicionales de ataque DOS, esta herramienta golpea directamente el servicio. Link: http://sourceforge.net/projects/pyloris/ POSTE 8. OWASP DOS HTTP Es otra buena herramienta para llevar a cabo ataques de denegación. Usted puede utilizar esta herramienta para comprobar si su servidor web es capaz de defender ataque DOS o no. No sólo para la defensa, también puede ser utilizado para realizar ataques DoS en un sitio web. Link: https://code.google.com/p/owasp-dos-http-post/ 9. DAVOSET DAVOSET es otra buena herramienta para llevar a cabo ataques DDoS. La última versión de la herramienta se ha añadido soporte para las galletas junto con muchas otras características. Usted puede descargar de forma gratuita desde DAVOSET Packetstormsecurity. Link: http://packetstormsecurity.com/files/123084/DAVOSET-1.1.3.html 10. GoldenEye HTTP Denegación de herramienta de servicio GoldenEye es también un sencillo pero eficaz herramienta de ataque DOS. Fue desarrollado en Python para probar ataques DOS, pero la gente también lo utilizan como herramienta de hacking. Link: http://packetstormsecurity.com/files/120966/GoldenEye-HTTP-Denial-Of-Service-Tool.html Detección y Prevención de denegación de servicio Un ataque DOS es muy peligroso para una organización, por lo que es importante conocer y tener una configuración para la prevención de una. Las defensas contra ataques DOS implican la detección y bloqueo de tráfico falso. Un ataque más complejo es difícil de bloquear. Pero hay algunos métodos que podemos utilizar para bloquear el ataque DOS normal. La forma más fácil es usar un firewall con permitir y denegar reglas. En casos sencillos, los ataques vienen de un pequeño número de direcciones IP, por lo que pueden detectar las direcciones IP y luego añadir una regla de bloqueo en el firewall. Pero este método fallará en algunos casos. Sabemos que un servidor de seguridad se produce en un nivel muy profundo dentro de la jerarquía de la red, por lo que una gran cantidad de tráfico puede afectar el router antes de llegar al cortafuegos. Blackholing y sinkholing son nuevos enfoques. Blackholing detecta el tráfico atacante falso y lo envía a un agujero negro. Sinkholing rutas todo el tráfico a una dirección IP válida en la que se analizó el tráfico. Aquí, rechaza de nuevo los paquetes. Limpiar tuberías es otro método reciente de manejar los ataques DOS. En este método, todo el tráfico se pasó a través de un centro de limpieza, donde, varios métodos se llevan a cabo para filtrar de nuevo tráfico. Tata Communications, Verisign, y AT & T son los principales proveedores de este tipo de protección. Como un usuario de Internet, también debe cuidar de su sistema. Los hackers pueden utilizar el sistema como parte de su red zombi. Por lo tanto, siempre tratar de proteger su sistema. Siempre mantenga su sistema actualizado con los últimos parches. Instale un buen antivirus. Siempre tenga cuidado al instalar el software. Nunca descargue el software de fuentes de confianza ni desconocidos. Muchos sitios web sirven software malicioso para instalar troyanos en los sistemas de los usuarios inocentes. Más información sobre los ataques DOS y obtener las manos en la experiencia en el uso de estas herramientas en nuestro curso de formación ética de Hacking. Rellene el siguiente formulario para recibir información sobre precios y curso. Conclusión En este artículo, nos enteramos de la denegación de servicio y las herramientas utilizadas para llevar a cabo el ataque. Ataques DOS se utilizan a estrellarse servidores e interrumpir el servicio. Sony ha hecho frente a este ataque durante mucho tiempo y perdido millones de dólares. Fue una gran lección para otras empresas que dependen de los ingresos basada en el servidor. Cada servidor debe establecer una forma de detectar y bloquear los ataques DDoS. La disponibilidad de herramientas gratuitas hace que sea más fácil de realizar ataques DOS contra un sitio web o servidor. Aunque la mayoría de estas herramientas son sólo para los ataques DOS, algunas herramientas de apoyo de una red zombi para los ataques DDoS. LOIC es la herramienta más utilizada y más popular atacar DOS. En los últimos años, se ha utilizado muchas veces por los piratas informáticos contra la red de gran empresa, por lo que nunca puede negar la posibilidad de un ataque. Por lo tanto, toda empresa debe cuidar de él y establecer buen nivel de protección contra ataques DOS.