Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1019
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
▼
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
▼
enero
(Total:
51
)
- Google da más de 1 millón y medio de dólares en el...
- Vulnerabilidad en Wi-Fi Direct de Android permite ...
- Mozilla hace una donación a la red Tor
- Disponible LibreOffice 4.4 con nueva interfaz
- Manual análisis tráfico de red con Wireshark
- El mayor ataque DDoS alcanzó los 400Gbps en 2014
- YouTube utilizará por defecto HTML5 en lugar de F...
- Características técnicas del Bq Aquaris E4.5 Ubuntu
- GHOST: glibc: buffer overflow en gethostbyname CVE...
- FairPhone: el teléfono móvil justo
- Lizard Squad tumba Facebook, Instagram y MySpace
- Vodafone confirma el bloqueo a The Pirate Bay por ...
- Lizard Squad hackea la web de Malaysia Airlines
- Disponible Wifislax-4.10.1 (Versión de mantenimiento)
- Nvidia amplía la familia Maxwell con la GeForce GT...
- La policía incautó 50 servidores en la redada cont...
- Solucionada vulnerabilidad XSS en el panel de cont...
- LibreOffice Viewer Beta disponible para Android
- Nueva variante del Ransomware CryptoLocker descubi...
- Nueva vulnerabilidad 0day en Flash Player
- Estudio del mejor disco duro mecánico del 2014 por...
- Las peores contraseñas del 2014
- El registrador de dominios GoDaddy soluciona una g...
- WhatsApp empieza a banear por 24 horas a los usuar...
- Jornadas X1RedMasSegura 2015
- Llega Adamo móvil para clientes de la compañía
- Detienen a un joven de 18 años acusado de pertenec...
- Disponible Tails 1.2.3 la distribución Linux para ...
- KeySweeper cargador USB registra todas las pulsaci...
- Jornadas INCIBE de ciberseguridad para estudiantes...
- Exploit Pack el framework Metasploit open source
- Dark Mail, el e-mail seguro del fundador de Lavabit
- Se cumplen dos años del suicidio de Aaron Swartz
- Ataques XSS avanzados y ejemplos de explotación
- Guía básica de privacidad, anonimato y autodefensa...
- SPARTA Python Gui para hydra y nmap
- "Volveré" El mensaje cifrado oculto de The Pirate Bay
- Manual - Tutorial WPS Pin Generator para Wifislax
- Manual GOYscript (WEP, WPA & WPS)
- Kali Linux NetHunter - ROM de Kali para Android co...
- Script automatizado GeminisAuditor v1.0 [WEP, WPA,...
- Disponible para descargar la preview de Microsoft ...
- Softavir - el antivirus español basado en listas b...
- Pentoo: una distribución dirigida a la seguridad i...
- LINSET 0.14 - WPA/2 Hack sin Fuerza Bruta - Crack...
- 4Chan primera víctima del ataque DDoS utilizando L...
- Twitter permite eliminar la localización de tus me...
- Colección de 2386 juegos de MS-DOS para jugar desd...
- Lizard Squad ofrece su servicio de pago por realiz...
- Continúan las detenciones de supuestos miembros de...
- II Jornadas de Seguridad y Ciberdefensa de la Univ...
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
395
)
privacidad
(
363
)
google
(
353
)
ransomware
(
338
)
vulnerabilidad
(
301
)
Malware
(
263
)
Windows
(
243
)
android
(
242
)
cve
(
235
)
tutorial
(
235
)
manual
(
220
)
software
(
201
)
hardware
(
193
)
linux
(
124
)
twitter
(
115
)
ddos
(
94
)
WhatsApp
(
90
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
67
)
app
(
65
)
Networking
(
56
)
nvidia
(
52
)
ssd
(
51
)
youtube
(
50
)
adobe
(
43
)
firmware
(
42
)
office
(
41
)
hack
(
40
)
firefox
(
35
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
MAC
(
25
)
apache
(
25
)
programación
(
25
)
exploit
(
23
)
javascript
(
22
)
multimedia
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
La seguridad en dispositivos móviles es cada vez más crucial, especialmente ante el crecimiento de aplicaciones maliciosas diseñadas para v...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
El mayor ataque DDoS alcanzó los 400Gbps en 2014
miércoles, 28 de enero de 2015
|
Publicado por
el-brujo
|
Editar entrada
El mayor ataque DDoS en 2013 fue el recibido por Spamhaus y mitigado por CloudFlare usando servidores Open DNS Resolvers y llegando a superar picos de 300Gbps. En 2014 el mayor ataque DDoS registrado ha sido de 400Gbps usando servidores vulnerables NTP, aprovechando su gran factor de amplificación .
Para hacer un tipo de ataque Distributed Reflection Denial of Service (DrDoS) usando tráfico UDP en el que no necesitamos una gran botnet (pc's infectados), simplemente una lista grande de servidores mal configurados que nos atacarán por la petición maliciosa de una tercera persona.
Un ataque de denegación de servicio distribuido supone el envío de solicitudes falsas (spoofed) a un gran número de equipos que responden a las solicitudes. Falsificando (spoofing) la dirección ip de origen el atacante consigue que respondan y ataquen "involuntariamente" a la víctima.
Un ataque de inundación UDP (Flood UPD) se inicia mediante el envío de un gran número de paquetes UDP a a puertos al azar del sistema de destino. El sistema de destino está además "obligado" a "responder" enviando muchos paquetes ICMP "Destination Unreachable", consumiendo así sus propios recursos y provocando DoS. Como UDP no requiere ningún procedimiento de configuración de la conexión para la transferencia de datos, cualquier persona con conexión a internet y suficientes conocimientos puede lanzar un ataque;
Según un reporte/informe en una encuesta realizada anualmente por la empresa Arbor:
Los tres principales motivaciones detrás de los ataques siguen siendo vandalismo nihilismo, juegos en línea y hacktivismo- ideológica todos los cuales han sido entre los tres primeros en los últimos años. El Gaming ha ganado en porcentaje, que no es de extrañar, las campañas de ataque relacionadas con el juego de este año.
El porcentaje de encuestados que utilizan sistemas de mitigación de DDoS inteligentes (IDMS) para mitigar ataques DDoS se ha adelantado a ACL por primera vez este año.
81% de los encuestados vio ataques a nivel de aplicaciones dirigidas a HTTP, y casi el 60 por ciento vio ataques contra HTTPS y DNS.
Más de un tercio de los operadores de centros de datos vio los ataques DDoS que agotaron su ancho de banda de Internet.
Se calcula que hay más 1 millón de servidores NTP vulnerables (a fecha de Enero de 2014) -Reporte de http://openntpproject.org
¿Dönde está el problema?
• El atacante hace una pequeña solicitud que genera significativamente una mayor respuesta / respuesta. Se han visto ataques que pueden generar un tráfico de hasta 300gb/sec. Se caclcula que un atacante con una velocidad de subida uplink de 1 Gb/s podría generar varios ataques de varios Tbit/s
• El atacante envía peticiones falsificados a un gran número de servidores vulnerables que responden a las peticiones. El uso falsificado de la dirección IP, hace que la dirección "origen" es en realidad el objetivo real del ataque, donde se envían todas las respuestas. Cómo veremos, muchos servicios pueden ser explotados para actuar como reflectores.
UDP Reflection
El Grupo de Trabajo de la Red de la Internet Engineering Task Force (IETF) publicó Best Current Practice documento 38 en mayo de 2000 y Mejores Prácticas actuales 84 marzo 2004 que describe como un proveedor de servicios de Internet puede filtrar el tráfico de red en su red para rechazar los paquetes con direcciones de origen no puede llegar a través del recorrido del paquete actual
Los paquetes falsos deberían prohibirse en el origen (BCP38) Network Ingress Filtering: Defeating Denial of Service Attacks que emplea "IP Source Address Spoofing"
Implementar (para evitar IP Spoofing)
La idea es simpple. Dropear (drop, descartar) los paquetes que entran la red (border router) cuya dirección de origen no es la misma que la dirección de red asignada de la red de origen
Implementar filtros ingress/egress filter en el border router del ISP:
Para hacer un tipo de ataque Distributed Reflection Denial of Service (DrDoS) usando tráfico UDP en el que no necesitamos una gran botnet (pc's infectados), simplemente una lista grande de servidores mal configurados que nos atacarán por la petición maliciosa de una tercera persona.
Un ataque de denegación de servicio distribuido supone el envío de solicitudes falsas (spoofed) a un gran número de equipos que responden a las solicitudes. Falsificando (spoofing) la dirección ip de origen el atacante consigue que respondan y ataquen "involuntariamente" a la víctima.
Un ataque de inundación UDP (Flood UPD) se inicia mediante el envío de un gran número de paquetes UDP a a puertos al azar del sistema de destino. El sistema de destino está además "obligado" a "responder" enviando muchos paquetes ICMP "Destination Unreachable", consumiendo así sus propios recursos y provocando DoS. Como UDP no requiere ningún procedimiento de configuración de la conexión para la transferencia de datos, cualquier persona con conexión a internet y suficientes conocimientos puede lanzar un ataque;
Según un reporte/informe en una encuesta realizada anualmente por la empresa Arbor:
La frecuencia, complejidad y mangnitud de los ataques DDoS va en aumento:
- El uso de la reflexión / amplificación para lanzar ataques masivos: El ataque más grande reportado en 2014 fue 400Gbps, con otros grandes eventos reportados en 300, 200 y 170Gbps con otros seis encuestados que informaron eventos por encima del umbral de 100 Gbps. Tan sólo hace diez años, el mayor ataque registrado fue de 8 Gbps.
- En 2013, poco más de una cuarta parte de los encuestados indicaron que habían visto más de 21 ataques por mes; en 2014, ese porcentaje casi se ha duplicado a 38 por ciento.
Los tres principales motivaciones detrás de los ataques siguen siendo vandalismo nihilismo, juegos en línea y hacktivismo- ideológica todos los cuales han sido entre los tres primeros en los últimos años. El Gaming ha ganado en porcentaje, que no es de extrañar, las campañas de ataque relacionadas con el juego de este año.
El porcentaje de encuestados que utilizan sistemas de mitigación de DDoS inteligentes (IDMS) para mitigar ataques DDoS se ha adelantado a ACL por primera vez este año.
81% de los encuestados vio ataques a nivel de aplicaciones dirigidas a HTTP, y casi el 60 por ciento vio ataques contra HTTPS y DNS.
Más de un tercio de los operadores de centros de datos vio los ataques DDoS que agotaron su ancho de banda de Internet.
Principales Protocolos Usados para el vector ataque
Malas noticias
La proporción de los encuestados de implementar BCP 38/84 anti-spoofing se ha reducido de alrededor de la mitad del año pasado a poco más de un tercio este año. Teniendo en cuenta que la falta de filtros anti-spoofing en el borde de Internet es una de las razones clave por las DDoS reflexión / amplificación ataques son posibles, se esperaba que esta proporción habría aumentado. Esta es una mala noticia.Anatomía de un ataque NTP (Network Time Protocol)
Se calcula que hay más 1 millón de servidores NTP vulnerables (a fecha de Enero de 2014) -Reporte de http://openntpproject.org
¿Dönde está el problema?
1. IP Spoofing
El atacante puede suplantar la ip de origen (Source Address Spoofing), udp no lo valida. No es un problema nada nuevo, ya que hay reportes en CERT desde el año 1997.2. Amplificación (Amplification)
• El atacante hace una pequeña solicitud que genera significativamente una mayor respuesta / respuesta. Se han visto ataques que pueden generar un tráfico de hasta 300gb/sec. Se caclcula que un atacante con una velocidad de subida uplink de 1 Gb/s podría generar varios ataques de varios Tbit/s
3. Reflectores (Reflection)
• El atacante envía peticiones falsificados a un gran número de servidores vulnerables que responden a las peticiones. El uso falsificado de la dirección IP, hace que la dirección "origen" es en realidad el objetivo real del ataque, donde se envían todas las respuestas. Cómo veremos, muchos servicios pueden ser explotados para actuar como reflectores.
UDP Reflection
- DNS Reflection (port 53, udp) open DNS recursive Poder Amplifcación del tráfico 18x/1000x
- CharGen (Character Generator Procotol) port 19. GetBulk request Poder Amplificación grande: 160x
- Echo (puerto 7)
- QOTD: (Quote of the Day) Muy similar a CharGen (puerto 17)
- NTP (Networt Time Protocol) port 123 Poder Amplificación muy grande 1000x
- SNMP (Simple Network Management Protocol) port 161 Poder Amplificación 880x
- SSDP (Simple Service Discovery Protocol) Puerto 1900 udp SSDP Plug & Play (UPnP)
Soluciones - Mitigación - Contramedidas
Los servidores vulnerables deberían ser cerrados o configurados correctamente:- NTP (Networt Time Protocol) no responder al comando, orden "monlist" es vulnerable se pueden filtrar consultas mediante "restrict"
Los paquetes falsos deberían prohibirse en el origen (BCP38) Network Ingress Filtering: Defeating Denial of Service Attacks que emplea "IP Source Address Spoofing"
Implementar (para evitar IP Spoofing)
- BCP38 (RFC2827)
- BCP84 (RFC3704)
La idea es simpple. Dropear (drop, descartar) los paquetes que entran la red (border router) cuya dirección de origen no es la misma que la dirección de red asignada de la red de origen
Implementar filtros ingress/egress filter en el border router del ISP:
Para verificar si en su red se ha implementado el filtrado de entrada, puedes descarga las herramientas de código abierto del proyecto Spoofer:
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.