Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Entradas populares

PostHeaderIcon Ataques Denegación Servicio DDoS y DrDDoS: herramientas y mitigaciones




Un ataque DDoS tiene como objetivo inhabilitar un servidor, un servicio o una infraestructura. Existen diversas formas de ataque DDoS: por saturación del ancho de banda del servidor para dejarlo inaccesible, o por agotamiento de los recursos del sistema de la máquina, impidiendo así que esta responda al tráfico legítimo. Un ataque distribuido de denegación de servicio o DDoS (por sus siglas en inglés), es una ampliación de un ataque de denegación de servicio (DoS) que se lleva a cabo a partir de la generación de un gran flujo de información o peticiones desde diversas fuentes hacia un objetivo específico.


¿Qué son los ataques DoS y DDoS?

Los ataques de denegación de servicio (DoS) y denegación de servicio distribuido (DDoS) son intentos maliciosos de interrumpir las operaciones normales del servidor, servicio o red objetivo a través de una inundación de tráfico de Internet.

Los ataques DDoS utilizan más de un equipo para enviar tráfico malicioso a su objetivo. A menudo, esos equipos forman parte de una red de bots (botnet), es decir, un conjunto de ordenadores u otros dispositivos que han sido infectados con malware y que, por lo tanto, pueden ser controlados a distancia por un atacante específico. En otros casos, varios atacantes particulares lanzan ataques DDoS y se alían para enviar tráfico desde sus propios ordenadores.


Los ataques DDoS más habituales son:

  • Layer 7 --> usando open proxys (proxys abiertos) realizan peticiones masivas de ip's reales de proxys utilizando User-Agent (navegadores) válidos y aleatorios. No es una botnet, ni ordenadores infectados, ni nada similar. son proxys (squid o similares). El atacante tiene un listado enorme de servidores proxy ip:puerto (socks 4 o socks 5) que utiliza para hacer peticiones legítimas. El problema es que manda muchas y desde diferentes (muchas) ip's. Con CloudFlare se puede mitigar éste problema con el firewall. Éste tipo de ataque se llama Challenge Collapsar (CC attack)
  • Layer 3/4 --> utilizando DrDDoS lanza ataques de tráfico spofeado amplificado (DrDDoS) con tu dirección IP para que el tráfico generado de respuesta lo recibas tu. El tráfico puede llegar a multiplicarse por 300. Con él, un solo PC con una conexión de 100 Mbps puede multiplicar el ataque y alcanzar hasta 30 Tbps de tráfico, sumándose y utilizando servicios vulnerables como NTP o memcached.
Los dos tipos principales de ataques:

  • Herramientas para ataques contra la capa de aplicación (capa 7):

Se dirigen contra la capa 7 del modelo OSI, donde se realizan solicitudes basadas en Internet tales como HTTP. Mediante un ataque de inundación HTTP para saturar al servidor objetivo con solicitudes HTTP GET y POST, un actor malintencionado puede lanzar un ataque de tráfico que sea difícil de distinguir de las solicitudes normales que realizan los visitantes reales.

  • Herramientas para ataques a las capas de protocolo y transporte (capas 3/4)

Estas herramientas utilizan protocolos como UDP para enviar grandes volúmenes de tráfico a un servidor de destino, por ejemplo, durante una inundación UDP. Estos ataques no suelen ser efectivos de forma individual, por lo que suelen realizarse como ataques DrDoS, de manera que su efecto aumenta cuantos más equipos de ataque se usen.

Herramientas - Tools - DDoS


LOIC

Una de las herramientas que tenemos para simular un ataque DDoS y aprender sobre cómo nuestro sistema puede protegerse es LOIC. Son las siglas de Low Orbit Ion Cannon. Básicamente lo que hace este programa, que es de software libre y está disponible para Windows y Linux, es enviar una gran cantidad de paquetes TCP, UDP y peticiones HTTPS. Pone a prueba la red objetivo para ver hasta qué punto puede soportar este tipo de ataques.

El objetivo de los desarrolladores de esta herramienta es que sirva para uso educativo. Pretenden que los usuarios puedan aprender más sobre cómo defenderse de ataques DDoS, ver si la defensa de los equipos es la adecuada y mejorar determinados parámetros.

Podemos acceder al código fuente de LOIC y descargarlo para ejecutarlo en Linux o Windows.



Low Orbit Ion Cannon (abreviado LOIC) es una aplicación diseñada para realizar un ataque de denegación de servicio durante el proyecto Chanology, desarrollada por Praetox, usando el lenguaje de programación C# (Existe también un fork en C++ y Qt llamado LOIQ). La aplicación realiza un ataque de denegación de servicio del objetivo enviando una gran cantidad de paquetes TCP, paquetes UDP o peticiones HTTP con objeto de determinar cuál es la cantidad de peticiones por segundo que puede resolver la red objetivo antes de dejar de funcionar.

High Orbit Ion Cannon (HOIC)

Esta herramienta de ataque fue creada para reemplazar a LOIC, expandiendo sus capacidades y agregando personalizaciones. Al utilizar el protocolo HTTP, HOIC puede lanzar ataques que son difíciles de mitigar. El software está diseñado para que haya un mínimo de 50 personas trabajando juntas en un intento de ataque coordinado.





High Orbit Ion Cannon , es la herramienta que sustituyo a L.O.I.C por la diferencia en su efectividad de dejar fuera de servicio un sitio web.

Características:

  • Posee una alta velocidad en las tareas de multi-thread HTTP Flood (inundación HTTP). 
  • Capaz de saturar simultáneamente más de 256 websites. 
  • Construido sobre sistema de scripts para permitir el despliegue de 'boosters'(refuerzos): secuencias de comandos diseñadas para frustrar contramedidas y aumentar la potencia de salida del DoS.
  • Selección de Boost previamente creados (Targets ya predeterminados).
  • Posibilidad de regular la cantidad de threads para el ataque (piensa en cada thread como en un cañón).
  • Posibilidad de regular la cantidad de threads para el ataque (piensa en cada thread como en un cañón).
  • Desarrollado en lenguaje REAL BASIC.
  • No requiere de instalación, y sólo utiliza un ejecutable.

    Herramientas que permiten falsificar (spoof) la dirección ip real del atacante mediante la propia naturaleza del protocolo UDP.

    XOIC


    XOIC es otra herramienta DOS atacar. Se lleva a cabo un ataque DOS un cualquier servidor con una dirección IP, un puerto seleccionado por el usuario, y un protocolo seleccionado por el usuario. Desarrolladores de XOIC afirman que XOIC es más poderoso que LOIC de muchas maneras. Como LOIC, viene con una interfaz gráfica de usuario fácil de usar, por lo que un principiante puede utilizar fácilmente esta herramienta para llevar a cabo ataques en otros sitios web o servidores.


     En general, la herramienta viene con tres modos de ataque. La primera de ellas, conocida como modo de prueba, es muy básico. El segundo es el modo de ataque DOS normal. El último es un modo de ataque DOS que viene con un / HTTP / mensajes UDP / ICMP TCP.

    Es una herramienta eficaz y se puede utilizar contra los pequeños sitios web. Nunca intente en contra de su propio sitio web. Usted puede terminar estrellándose el servidor de su propio sitio web.

    HULK

    Otro programa que podemos usar para el mismo propósito, para poner a prueba nuestros equipos y simular un ataque DDoS, es HULK. Es ideal para nuestros servidores web y ver hasta qué punto podrían soportar una amenaza de este tipo que pudiera dejar sin servicio a todos los visitantes que intenten acceder a nuestro sitio.

    HULK son las siglas de HTTP Unbearable Load King. Esta herramienta está escrita en Python y permite generar una gran cantidad de peticiones únicas para afectar a la carga de un servidor. Lo podemos descargar también desde GitHub, donde veremos la información referente al código.

    Tor’s Hammer

    Tor’s Hammer también nos permite simular ataques DDoS. Permite poner a prueba servidores y aplicaciones. Su nombre no es casualidad, y es que permite utilizarlo a través de la red Tor para que sea totalmente anónimo.

    El objetivo de este programa es saturar la pila TCP con múltiples solicitudes. Envía solicitudes incompletas, lentamente, para lograr mantener la conexión activa el mayor tiempo posible. Busca así provocar la denegación de servicio cuando el servidor ya no puede mantener más conexiones activas.

    Estamos ante una herramienta escrita en Python y que podemos descargar desde GitHub.

    BoNeSi

    BoNeSi es un generador de tráfico de red para diferentes tipos de protocolos. Los atributos de los paquetes creados y las conexiones se pueden controlar mediante varios parámetros, como la velocidad de envío o el tamaño de la carga útil, o se determinan por casualidad. Falsifica las direcciones IP de origen incluso al generar tráfico TCP. Por lo tanto, incluye una simple tcp-stack para manejar las conexiones tcp en modo promiscuo. Para un trabajo correcto, uno tiene que asegurarse de que los paquetes de respuesta se enruten al host en el que se ejecuta BoNeSi. Por lo tanto, BoNeSi no puede utilizarse en infraestructuras de red arbitrarias. El tipo de tráfico más avanzado que se puede generar son las solicitudes http.

    En este caso estamos ante un programa que funciona para Linux. Es de código abierto y totalmente gratuito que podemos ejecutar en la línea de comandos. Permite apuntar a una dirección IP y además lo podemos usar en una máquina virtual.

    Como en los casos anteriores, con BoNeSi podemos poner a prueba nuestros servidores. Podemos ver hasta qué punto están capacitados para hacer frente a un ataque DDoS que pueda comprometer el buen funcionamiento. Una manera más de lograr una mejora importante en seguridad y tener un mayor conocimiento.

    En GitHub encontramos toda la información de este programa y el código para descargarlo.

    BoNeSi es una herramienta para simular el tráfico de una Botnet con el objetivo de estudiar el efecto de los ataques DDoS.

    ¿Qué tráfico puede generar? Pues BoNeSi genera ataques de flooding ICMP, UDP y TCP (HTTP) simulando ser una botnet de un tamaño definido (diferentes direcciones IP). BoNeSi es altamente configurable y se pueden configurar distintos ratios, volumen de datos, direcciones IP de origen, URL y otros parámetros.

    ¿Qué lo hace diferente de otras herramientas? Existen muchas otras herramientas para falsificar direcciones IP con UDP e ICMP, pero para TCP no existe una solución. BoNeSi es la primera herramienta para simular floods HTTP-GET de redes de bots a gran escala. BoNeSi también trata de evitar generar paquetes con patrones fáciles de identificar (que se pueden filtrar fácilmente).

    ¿Dónde se puede ejecutar BoNeSi? Hasta su autor, Markus Goldstein, recomienda encarecidamente ejecutar BoNeSi en un entorno de prueba cerrado. Sin embargo, los ataques UDP e ICMP también pueden ejecutarse en Internet, pero se debe tener cuidado. Los ataques HTTP-Flooding no se pueden simular en Internet, porque las respuestas del servidor web deben enrutarse al host que ejecuta BoNeSi.

    Herramientas benchmark y optimización Apache 

    Apache2Buddy


    Apache2Buddy es una gran herramienta que verifica la configuración y el rendimiento de su servidor y hace un informe y sugerencias basadas en la información que recopila. Calcula MaxRequestWorkers en la RAM restante, no en la RAM total instalada.

    Puede ejecutar Apache2Buddy mediante el siguiente comando:

    curl -sL https://raw.githubusercontent.com/richardforth/apache2buddy/master/apache2buddy.pl | perl

     ApacheBench (ab)


    La herramienta ApacheBench viene incluida con la distribución fuente estándar de Apache para medir el rendimiento de los servidores web HTTP. Esto le muestra especialmente cuántas solicitudes por segundo su Apache es capaz de atender al generar una avalancha de solicitudes a una URL determinada y devuelve a la pantalla algunas métricas relacionadas con el rendimiento fácilmente digeribles.

    Por ejemplo, el siguiente comando ejecutará 1000 solicitudes HTTP GET, procesando hasta 10 solicitudes al mismo tiempo, a la URL especificada.

    ab -k -n 1000 -c 10 "https://www.elhacker.net/ddos/"

    DRDoS (Distributed Reflection Denial of Service)

    • Ataques basados capa 3/4

    En esta variante, los atacantes, no se conforman con lanzar un gran volumen de peticiones a sus objetivos, sino que buscan que los paquetes de petición o acceso al servicio que se desea utilizar como base para el ataque sean originados con un pequeño tamaño para generar el mayor número posible de ellos.

    Adicionalmente, se apoyan en un sistema intermedio que incrementa el tamaño y complejidad de los paquetes de respuesta, según la petición. Estas respuestas son redirigidas hacia el sistema objeto del ataque, sustituyendo la dirección IP real de origen por la del sistema que se quiere atacar. De esta forma, un paquete con petición de servicio lanzado por el atacante con un tamaño de pocos KB o incluso de Bytes, a través de un sistema intermedio denominado ‘amplificador’, se convierte en un paquete de respuesta que se redirige al sistema objetivo del ataque con un tamaño significativamente mayor, lo que se conoce como factor de amplificación o factor multiplicador.

    En los ataques DrDoS conocidos y documentados, este factor de amplificación puede variar entre 3,8, como en ataques DrDoS basados en el protocolo NetBIOS, hasta llegar a un multiplicador de 51.000, como se produce en los basados en la vulnerabilidad de Memcached, es decir, un paquete generado por el atacante de pocos KiloBytes llega al sistema atacado con un tamaño multiplicado por 3,8 y hasta por 51.000, según la técnica y protocolo utilizado.



    Los diferentes ataques DrDos suelen tomar como base los diferentes servicios y protocolos que utilizan el protocolo UDP (User Data Protocol). Este protocolo no establece una conexión de extremo a extremo, es decir, la comunicación se lleva a cabo desde el origen al destino, sin verificar la disponibilidad, ni el estado del receptor, gracias a la información de las cabeceras de los paquetes como, por ejemplo la dirección IP de origen. No obstante, esta dirección puede ser modificada para que el destinatario piense que procede de otra fuente, que recibiría así la respuesta. Esta técnica es conocida como spoofing.

    Hping3 permite manipular paquetes TCP/IP


    HPing (hping3) es una herramienta en linea de comandos que nos permite crear y analizar paquetes TCP/IP, y como tal tiene un muchas utilidades: hacer testing de firewalls, escaneo de puertos, redes y como no… también tiene la capacidad de provocar un SYN Flood Attack (DDoS).

    Hping3 es una aplicación de terminal para Linux que nos va a permitir analizar y ensamblar fácilmente paquetes TCP/IP. A diferencia de un Ping convencional que se utiliza para enviar paquetes ICMP, esta aplicación permite el envío de paquetes TCP, UDP y RAW-IP

    hping3 [opciones] host

    • v –version muestra la versión actual de hping3
    • -c –count contador de paquetes
    • -i –interval tiempo de espera (uX para X microsegundos, por ejemplo -i u1000)
      • –fast alias para -i u10000 (10 paquetes por segundo)
      • –faster alias para -i u1000 (100 paquetes por segundo)
      • –flood envía paquetes lo más rápido posible, no muestra las respuestas.
    • -n –numeric salida con números
    • -q –quiet comando silencioso sin que lo muestre por pantalla
    • -I –interface nombre de la interfaz, si no se pone nada, por defecto es la interfaz de la puerta de encima predeterminada.
    • -V –verbose modo verbose para depuración
    • -D –debug información de debugging
    • -z –bind enlaza ctrl+z a ttl (por defecto al puerto de destino)
    • -Z –unbind desenlaza ctrl+z
    • –beep beep por cada paquete recibido que coincida

    Opciones básicas

    • -c número paquetes
    • -i intervalo espera (uX para esperar X microsegundos, eg. -i u1000)
    • --fast alias -i u10000 (10 paquetes/segundo)
    • --faster alias -i u1000 (100 paquetes/segundo) 
    • --flood envío de paquetes sin espera (lo más rápido posible)
    Modo funcionamiento (si no se especifica, default mode TCP)

    Modo por defecto es TCP
    • -0 --rawip RAW IP mode
    • -1 --icmp ICMP mode
    • -2 --udp UDP mode
    • -8 --scan SCAN mode
    • -9 --listen listen mode
    • -a --spoof spoof dirección origen
    • --rand-source especificar dirección de origen aleatoria
    UDP/TCP
    • -s --baseport puerto de origen
    • -p --destport puerto destino
    • -S --syn flag SYN
    • -R --rst flag RST

    IP:

    • -a –spoof spoofea la dirección IP de origen
      • –rand-dest dirección IP de destino aleatorio.
      • –rand-source dirección IP de origen aleatorio.
    • -t –ttl ttl (por defecto 64)
    • -N –id id (por defecto aleatorio)
    • -W –winid usa el orden de bytes win*id
    • -r –rel relativiza el campo de identificación (para estimar el tráfico del host)
    • -f –frag fragmenta paquetes en más de un fragmento, puede atravesar ACL débiles
    • -x –morefrag fragmenta más
    • -y –dontfrag no fragmenta paquetes.
    • -g –fragoff establece el offset del fragmento
    • -m –mtu establece un MTU virtual, implica que el fragmento del paquete sea mayor que el MTU.
    • -o –tos tipo de servicio (por defecto 0x00), intenta hacer –tos help
    • -G –rroute incluye la opción RECORD_ROUTE y muestra el buffer de la ruta
      • –lsrr enrutamiento de origen suelto y registro de ruta
      • –ssrr enrutamiento de origen estricto y registro de ruta
    • -H –ipproto establece el protocolo IP, solamente para modo RAW IP.

    ICMP:

    • -C –icmptype tipo de ICMP (por defecto es ICMP Echo request)
    • -K –icmpcode código ICMP (por defecto es 0)
      • –force-icmp envía todos los tipos de ICMP (por defecto solo envía los tipos soportados)
      • –icmp-gw establece dirección de puerta de enlace predeterminada para ICMP redirect (por defecto 0.0.0.0)
      • –icmp-ts alias para –icmp –icmptype 13 (ICMP timestamp)
      • –icmp-addr alias para –icmp –icmptype 17 (ICMP dirección de máscara de subred)
      • –icmp-help muestra la ayuda para otras opciones icmp.

    Packit


    Packit (apt-get install packit) es una herramienta para la captura e inyección de paquetes que permite personalización paquetes: TCP, UDP, ICMP, IP, ARP, RARP, Ethernet header

    packit [-t protocolo] opciones

    Opciones básicas de inyección de paquetes

    • -t protocolo TCP (defecto), UDP, ICMP, ARP
    • -c número Número de paquetes a inyectar (0: continuo)
    • -w número Intervalo (en seg.) entre cada conjunto de paquetes (def. 1)
    • -b número Número paquetes a inyectar en cada intervalo (0: máximo)
    • -s dirección IP origen (spoofing)
    • -sR Establece dirección IP origen aleatoria
    • -d dirección IP destino
    • -dR dirección Establece una dirección destino aleatoria
    • -S puerto Indica puerto origen en TCP y/o UDP
    • -D puerto Indica puerto destino en TCP y/o UDP
    • -F flags Flags TCP : S(SYN), F(FIN), A(ACK), P(PSH), U(URG), R(RST)
    • -h Host Response: salida por pantalla 20

    Cómo defenderse de ataques DDoS


    Algunos consejos para mitigar ataques Ddos

    Debido a que la detección de ataques de denegación de servicio distribuido es más compleja de identificar en comparación con un virus, para prevenirlos se debe aplicar una variedad de estrategias:

    • Limitar la tasa de peticiones

    Limitar el número de peticiones que un servidor aceptará durante un tiempo determinado es una buena manera de mitigar ataques de denegación de servicio. Hay que tener claro que limitar la velocidad de peticiones ralentiza los trabajos de raspadores webs. También reduce los intentos de fuerza bruta para iniciar sesión. Aplicarlo como única solución será insuficiente para prevenir un ataque Ddos.

    • Implementar un Firewall de aplicaciones webs

    Un Firewall de aplicaciones web es una herramienta que puede ser útil para mitigar ataques de Ddos en capa 7. Implementando el WAF (Web Application Firewall) entre internet y el servidor de origen, puede servir como un proxi de reversa. Protege así el servidor objetivo de numerosos tipos de tráfico malicioso.

    Al filtrar las peticiones usando como base una serie de reglas para identificar herramientas empleadas en ataques Ddos, los ataques en capa 7 pueden ser impedidos. Una de las principales características que tiene el WAF es su capacidad para implementar rápidamente reglas personalizadas ante un ataque.

    • Aplica redes de difusión Anycast

    Al aplicar una red de difusión Anycast se mitigan ataques de denegación de servicio ya que, al dispersar el tráfico malicioso, se puede enviar a través de una red de servidores hasta una red externa. Esto es algo muy similar a como cuando se canaliza un río a través de canales más pequeños y separados. Este tráfico se vuelve manejable y se puede llevar hasta una desembocadura sin que afecte el entorno.

    Es importante señalar que la efectividad de una red de difusión Anycast dependerá del tamaño del ataque y la eficiencia de la red interna.

    Se han desarrollado diferentes medidas para contrarrestar la sobrecarga causada por ataques DoS y DDoS. Es fundamental identificar las direcciones IP críticas, así como posibles vulnerabilidades del sistema. También es necesario disponer de recursos de hardware y software que permitan bloquear ataques leves.

    • Lista de IP bloqueadas: las listas negras permiten la identificación de las direcciones IP críticas y el descarte de paquetes. Esta medida de seguridad puede ser implementada de forma manual o automática a través de las listas de bloqueo del cortafuegos o WAF
       
    • Filtros: es posible definir límites en la cantidad de datos procesados simultáneamente para filtrar, así, todo tipo de paquetes anormales. En este punto es importante considerar que, muchas veces, los proxys permiten que muchos clientes se conecten desde una misma dirección IP del servidor, lo que puede generar su bloqueo sin razón aparente.
         
    • Balanceo de carga: una medida eficaz contra la sobrecarga es la distribución de la carga en diferentes sistemas. La utilización de balanceadores de carga permite extender los servicios a múltiples máquinas físicas. De esta forma, y hasta cierto punto, se pueden controlar los ataques DoS y DDoS.

    0 comentarios :

    Publicar un comentario

    Los comentarios pueden ser revisados en cualquier momento por los moderadores.

    Serán publicados aquellos que cumplan las siguientes condiciones:
    - Comentario acorde al contenido del post.
    - Prohibido mensajes de tipo SPAM.
    - Evite incluir links innecesarios en su comentario.
    - Contenidos ofensivos, amenazas e insultos no serán permitidos.

    Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.