Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Estudio de Akamai sobre un ataque DDoS de Lizard Squad




Un grupo que dice ser Lizard Squad ha estado involucrado en un ataque contra un cliente de Akamai. El vector de ataque y los acontecimientos que rodean esta campaña de ataque lo hacen digno de mención, porque indica el continuo desarrollo de herramientas de ataque DDoS. Aunque no era una ataque récord, si que era grande - alcanzando un máximo de 131 Gigabits por segundo (Gbps) y 44 millones de paquetes por segundo (Mpps) - un nivel que puede retrasar o causar un corte en la mayoría de las infraestructuras corporativas. Los ataques se produjeron en agosto y de nuevo en Diciembre.





Análisis técnico del ataque DDoS - Case Study

TCP Flags


SYN con un lado de Todo / El ataque basado en TCP estaba lleno de Indicadores (flags) TCP. Un paquete exhibió el mayor número de flags simultáneas conjunto de todos los paquetes - sólo faltaba una bandera ACK  Las banderas se muestran entre paréntesis en la salida de tcpdump en la Figura 14. En el orden en el que aparecen [FSRPUEW], las banderas incluidos FIN, SYN, RST, PSH, URG, ECN, y CWR. Una bandera llena de Tal paquetes que comúnmente se llama un paquete de árbol de Navidad. Tales paquetes son casi siempre sospechoso. Ellos están diseñados para tener más poder de procesamiento de paquetes habituales y por lo tanto se utilizan comúnmente en ataques de denegación de servicio. También pueden ser utilizados para de reconocimiento para ver cómo responde un objetivo.

23:56:52.391222 IP 223.85.88.158.46642 > X.X.X.165.165: Flags [FSRPUEW],
seq 3923992143:3923992144, win 24051, urg 0, length 1

Aunque el ataque parece ser ejecutado como una inundación SYN, hay algunas diferencias que pueden indicar el uso de una nueva herramienta de ataque. Las cargas resultantes puede ser simulado utilizando estrechamente aplicaciones como Scapy y hping (Linux).

Una reproducción de laboratorio del paquete usando hping:

10:28:58.987897 IP 10.0.20.15.2215 > 192.168.20.62.62: Flags
[FSRPUEW], seq 1141824621:1141824622, win 24051, urg 0, length 1

Las características de este ataque DDoS incluyen lo siguiente:

  • Al menos el flag SYN
  • Host aleatorio de un / 24 de subred de XXXY
  • Puerto de destino de 80 (http), 443 (https), o Y (es decir, atacar destino anfitrión 0.236 en el puerto 236
  • Firma de ataque consistente por dirección IP de origen 
Muestra algunas de los playloads  (firmas de ataque) para demostrar sus características:

Source IP is attacking destination host .236 on port 236. Flags, window size and length are consistent.
23:56:52.391386 IP 5.149.101.151.15530 > X.X.X.236.236: Flags
[SU], seq 4115245827:4115245828, win 50868, urg 0, length 1
23:56:52.391406 IP 5.149.101.151.60438 > X.X.X.236.236: Flags
[SU], seq 873907288:873907289, win 50868, urg 0, length 1
Source IP is attacking destination host .162 on port 80. Flags, window size and length are consistent.
Verbose mode shows that all packets have invalid checksums and Reset cause RST.
23:55:48.344828 IP 78.85.76.6.7812 > X.X.X.162.80: Flags [FSRE],
cksum 0x0bf5 (incorrect -> 0x0bf4), seq 1460373159:1460373160, win
34109, length 1 [RST \0x00]
23:55:48.344836 IP 78.85.76.6.24487 > X.X.X.162.80: Flags [FSRE],
cksum 0xc5b7 (incorrect -> 0xc5b6), seq 2149081780:2149081781, win
34109, length 1 [RST \0x00]
Source IP is attacking destination host .61 on port 443. Flags, window size and length are consistent.
02:53:55.220357 IP 112.113.92.78.22997 > X.X.X.61.443: Flags
[SRP.E], seq 2232047395:2232047456, ack 0, win 50599, length 61
02:53:55.220417 IP 112.113.92.78.4778 > X.X.X.61.443: Flags
[SRP.E], seq 4038508264:4038508325, ack 0, win 50599, length 61
Expanded packet view reveals extra payload data in a crafted packet populating the Reset cause field.
03:34:28.415197 IP (tos 0x0, ttl 247, id 59517, offset 0,
flags [none], proto TCP (6), length 101) 112.113.92.78.17314 >
X.X.X.61.443: Flags [SRP.E], cksum 0x3d92 (incorrect -> 0xe5a1),
seq 3543481302:3543481363, ack 0, win 50599, length 61
[RST+ \0x00\0x00\0x00\0x004^\0xd8\0xbe\0x94\0x80\0x00\0x00\0x98B\
0x01\0x00\0xad\0xe6\0xd9=\0x04\0x95\0x00\0x00\0x00\0x00\0x00\0x-
00\0xd4C]
El campo Reset de los paquetes TCP dónde el reset flag  está con una longitud superior a 1. Usando hping, se pueden generar resultados similares  en un entorno de laboratorio, como se muestra en la reproducción

00:24:00.121872 IP 10.0.20.15.30312 > 192.168.20.62.443: Flags
[SRP.E], seq 1647155852:1647155913, ack 1674304533, win 50599,
length 61
00:24:00.121932 IP 10.0.20.15.30313 > 192.168.20.62.443: Flags
[SRP.E], seq 1276518082:1276518143, ack 948855161, win 50599,
length 61
00:25:00.975537 IP (tos 0x0, ttl 64, id 36810, offset 0, flags
[none], proto TCP (6), length 101)
10.0.20.15.25416 > 192.168.20.62.443: Flags [SRP.E], cksum 0xd610
(incorrect -> 0x8345), seq 1218010765:1218010826, ack 234896243,
win 50599, length 61 [RST+ \0xb0\0x04\0x08\0x07\0x08\0x00\0x-
00(\0xb0\0x04\0x08\0x07\0x09\0x00\0x00,\0xb0\0x04\0x08\0x07\0x-
0a\0x00\0x000\0xb0\0x04\0x08\0x07\0x0b\0x00]


Algunos de los aspectos que hacen de este ataque sea único pero también hacen que sea menos eficaz.
Por ejemplo, algunas de las combinaciones de indicadores TCP ni siquiera rinden una respuesta del objetivo. En cualquier caso, el ataque logró su objetivo mediante la generación de alto volumen de tráfico y altas tasas de paquetes, como se muestra en la Figura 18. Esto es suficiente para dificultar el tráfico o obstruir completamente infraestructuras más corporativas - y pone de relieve la continua desarrollo de herramientas DDoS.


Este ataque en particular parece ser una carta de presentación de las clases para un grupo que dice
ser Lizard Squad Cada ataque contra este cliente en particular de Akamai reveló la mismo uso de múltiples indicadores TCP en cada paquete. La campaña inicial en agosto, aunque fue mezclando con una inundación UDP, contenida similares características a la vez que ontiene algunas diferencias que pueden indicar un nuevo grupo de atacantes.

En las tres campañas de ataque se utiliza el ataque DDoS con múltiples flags. Esta combinación bandera sólo ha sido observado en los ataques contra un cliente de Akamai.

Sin embargo aunque Lizard Squad se atribuyó la responsabilidad de los ataques, las diferencias en el tercer campaña de ataque dibujar la especulación de un nuevo atacante. Las dos primeras campañas de ataque dos direcciones IP de servidores web específicas dirigidas, que podrían ser fácilmente determinadas por resolver la dirección IP del sitio web de destino. Además, las dos primeras campañas de ataque, a pesar de incluir un vector de ataque extra, no produjo ni la mitad del volumen de la tercera campaña de ataque.

Y aunque los dos primeros ataques incluyen una inundación UDP, como se muestra en la Figura 20, la tercera campaña no hizo uso del ataque de inundación vector UDP y fue un ataque mucho más grande La tercera campaña también dirige al azar en una red 24 / específica y hace uso de los datos adicionales en el campo Reset en los paquetes.

18:00:43.817691 IP 83.209.193.71.4923 > X.X.X.X.50042: Flags
[SPU], seq 1020860622:1020860632, win 51602, urg 0, length 10
12:48:04.847899 IP 186.71.26.140.48315 > X.X.X.X.443: Flags
[SRUEW], seq 537104266:537104276, win 47078, urg 0, length 10
12:48:04.847970 IP 186.71.26.107.50271 > X.X.X.X.443: Flags
[SRUEW], seq 690249352:690249362, win 47078, urg 0, length 10
Expanded packet view
18:00:43.817856 IP 83.209.193.71.3920 > X.X.X.X.50042: Flags
[SPU], seq 3502490088:3502490098, win 51602, urg 0, length 10
.e..E..2.7....>.S..G.....P.z........T*......@z@..... .
17:45:43.678146 IP 124.123.183.154.58722 > X.X.X.X.8565: UDP,
length 189
....E.....@.8...|{.......b!u..CUAPAKTXLQPEOLBPSZISTRRIBOUJTVMFQKPJLCJUOHNPILYSLHNYJAUBJRYNCYDZVUNGCVDZWPKGVTBMRIQLVFQVKQRLFGZOUBXJWBSYFRPMHUAVTTULEEXJXKLII
NBMBWMHDDCDCOXFHGHEODVHWLISVZLCNMWZDJSBOYPFNSFQCRVRIFUGJZVKHYKJPX
17:45:43.678147 IP 116.107.35.181.51200 > X.X.X.X.49596: UDP,
length 214
....E.....@.;. Stk#............XAPTRSODUNJTQQZSNNJOIXOJHNKMTKFJRYCXIDZTSETGZDJQSRCVTNMWRYRVDIMNQRLLGOJORPBEGHKNBXAKDGJDRWAZEHTTGUVUDXJEITQZNNAMLMVXDWCHGTNFU
DEPBVMWBALVZIAXWHXTMQBUFNVGSXSBRLEWFOXHPAAFKTJFWQBMJZHUSXKJDXSKVGFZDOIRCBBXKYNAZRZEIJQVVP

Aunque hay huellas similares en los tres campañas, la expansión y sofisticación de la tercera campaña sugiere que este grupo ha ido incorporando nuevos recursos del DDoS a sueldo (ddos-for-hire). Estos recursos tienen les ayudó a producir mayores volúmenes de tráfico de ataques en comparación con su campañas anteriores.

El grupo utilizó las redes sociales para amplificar sus demandas de ataques con éxito, obteniendo la atención. Ellos fueron mitigados con éxito por Akamai y no eran récord de ataques.

Fuente:
http://www.stateoftheinternet.com/downloads/pdfs/2014-internet-security-report-q4.pdf

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.