ÁREA DE TECNOLOGÍAS DE LA INFORMACIÓN
PROGRAMA ACADÉMICO DE INFRAESTRUCTURA DE REDES DIGITALES
CIBERSEGURIDAD Profesor(a): Ricardo Estrada Malacara
GRUPO: IRD-501
Presentan: 1. GARCÍA LÓPEZ, David Alessandro 2. HERNÁNDEZ GUZMÁN, Alfonso 3. PORRAS MARTÍNEZ, Carlos Giovanni 4. PORRAS NORIEGA, Fátima Abigail 5. RODRÍGUEZ HERNÁNDEZ, Braulio Arturo 6. TREJO PALAFOX, Juan Daniel
GENERACIÓN: 2018 - 2020
LEÓN, GUANAJUATO. FEBRERO 2020
INTRODUCCIÓN
En el siguiente trabajo se presentará el proceso que realizamos para llevar a cabo los ciberataques tanto de paquetes SYN que es el SYN flood, como DoS y DDos Para la realización de estas prácticas utilizamos nuestra máquina virtual de yersinia, además de utilizar también máquinas físicas. Consideramos que realizar este tipo de prácticas es de gran importancia ya que así podemos visualizar más de cerca a lo que nos enfrentaremos en el mundo laboral y además podremos protegernos de ataques o simplemente evitar y estar prevenidos para cuaqlquier acción maliciosa ya sea en contra de nosotros mismos o de la organización. Existen diversos y muchísimos tipos de ciberataques de hoy en día que, como bien sabemos, lo que buscan es poder interceptar la información que se está moviendo, es por ello que saber estas prácticas tiene sus ventajas porque así siempre podremos estar dándole un mantenimiento a nuestros dispositvos y así cuidar que no tengamos vulnerabilidades que más tarde un atacante pueda explotar o lanzar un ataque contra nosotros.
PAQUETES SYN Como parte del protocolo TCP, SYN (abreviado del significado en inglés de sincronizar), es un paquete enviado a otra computadora solicitanfo una conexión para ser establecida entre ellas. Si el SYN es recibido por la segunda computadora, un SYN/ACK es enviado de regreso a la dirección que solicitó la conexión por medio del SYN. Finalmente, si la computadora original recibe el SYN/ACK, un paquete ACK final es enviado. Durante un ataque de SYN Flood, el atacante envía paquetes SYN a un servidor, cuando el servidor lo recibe, responderá y creará un proceso para iniciar la sincronización, el proceso terminará cuando no se reciba un paquete de regreso y se llegue al timeout. Algunos de los ataques SYN más conocidos son:
TCP SYN Flood TCP Spoofed SYN Flood TCP SYN ACK Reflection Flood
L4
Recursos
Envío masivo de solicitudes de conexión TCP
L4
Recursos
Envío masivo de solicitudes de conexión TCP usurpando la dirección de origen
L4
Ancho de banda
Envío masivo de solicitudes de conexión TCP a un gran número de máquinas, usurpando la dirección de origen por la dirección de la víctima. En ancho de banda de la víctima queda saturada por las respuestas a dichas peticiones
Ataques DoS y DDOS Un ataque DoS o DDoS (depende de cómo se lleve a cabo) no es más que un número exageradamente elevado de peticiones a una dirección IP. Tal es así que el servidor es incapaz de gestionar dichas peticiones causando un error en el sistema y la detención o reinicio del servicio, dejando este inaccesible al resto de usuarios. Y me refiero a servidor por poner un ejemplo, ya que dependiendo del objetivo del ataque y de la intensidad del mismo, podríamos hablar de inhabilitar un servicio, un servidor o incluso, una estructura. La diferencia entre un ataque DoS (Denial of Service o Denegación de Servicio) y un ataque DDoS (Distributed Denial of Service o Denegación de Servicio Distribuido) la encontramos en los significados de sus anagramas. En el primero nos encontramos con un atacante que cuenta con un único equipo, mientras que para el ataque distribuido se usarán múltiples máquinas simultáneamente. Por lo general todas pertenecerán a botnets o redes de equipos controlados por un único atacante, aunque ahora veremos algún ejemplo de que no siempre tiene por qué ser así.
Los ataques DDoS, no todos tienen por qué tener un atacante tras ellos , se puede dar perfectamente cuando hemos estructurado un servicio para albergar 100 usuarios simultáneos y se incrementa el volumen de tráfico hacia este equipo queriendo acceder al mismo 200 usuarios. Ataque SYN Flood a servidor Ubuntu Vamos con un ejemplo práctico, donde realizaremos un ataque de tipo SYN Flood (más adelante veremos en qué consiste este tipo en concreto de ataque) para que veamos el procedimiento a seguir. Utilizaremos las herramientas de Kali Linux. La primera víctima será un Ubuntu servidor de Linux y después un servidor web de Windows para ver la magnitud del ataque.
En nuestra terminal, ejecutaremos en modo root la aplicación de msfconsole con el comando mfsconsole.
Una vez que se inicie la herramienta metasploit, escribimos use auxiliary / dos / tcp / synflood para ordenarle a la aplicación que prepare una interfaz de ataque de synflood.
Ahora ejecutamos "mostrar opciones", debería enumerar la configuración de la interfaz synflood, RHOST representan la dirección IP del objetivo. Usamos el comando set RHOST ip.destino.
Ejecutamos exploit en Metasploit y observamos cรณmo se desarrolla el ataque. Podemos observar que el ataque se estarรก ejecutando hacia el servidor de Linux esto causarรก una latencia hasta incluso una perdida a los accesos de la pรกgina web. Al igual podemos observar el procesamiento que esta teniendo la memoria antes del ataque
Cuando se lanza el ataque con el comando nestat podemos visualizar como empiezan a llegar las peticiones de sincronizaciรณn y empieza a alentarse el servidor. Una sola computadora es muy dificil hacer que un servidor dejen de funcionar, pero lo que si puede hacer es hacerlo mรกs lento.
Solicitud al servidor 192.178.1.22 antes del ataque:
Solicitud al192.178.1.22 durante el ataque:
Ataque SYN Flood a servidor de Windows
De la misma manera, ejecutaremos un ataque a un servidor web de Windows, por la parte del servidor, veremos un incremento en el uso de los recursos de memoria y CPU (se ve desde la pestaña de rendimiento en el administrador de tareas que se ejecuta con la combinación de teclas Ctrl + Shift + Esc).
Desde CMD podremos ver las conexiones establecidas del servidor, utilizaremos el comando netstat -ona. La opción -a muestra todas las conexiones y los puertos escucha, o muestra el PID en la conexión, y -n muestra direcciones y números de puerto en formato numérico. Al ejecutar el comando, tendremos una tabla así:
Notaremos que los primeros resultados no tendrán nada que ver con el ataque, pero si vemos más abajo empezaremos a ver la IP del atacante, y el puerto que se está usando.
Ante la desventaja de que nuestra IP se muestra, mfsconsole nos da la opción de suplantar nuestra IP de origen. El comando hping3 nos permite agregar opciones con la suplantación de IP origen, la cual nos encubrirá durante el ataque.
El comando utilizado es hping3 -a ip.origen.suplantada -p puerto -S –-flood dirección.destino. La opción -a enmascara la dirección IP de origen con una definida, -p el puerto, -S define que se envían paquetes SYN, y --flood envía paquetes tan rápido como sea posible, sin tomar cuidado de las respuestas que envíe el servidor. También, en lugar de usar la opción -a, podemos usar --rand-source para usar direcciones IP de origen aleatorias. Al ver las conexiones en Windows server, la IP descrita se verá reflejada en los resultados.
CONCLUSIÓN Con está práctica nos fue de ayuda a ver cómo se puede realizar un ataque de denegación de servicio y también como actúa el servidor ante tal ataque. El objetivo de este ataque se puede hacer de dos formas, hacía un solo servidor o hacía toda la infraestructura de red lo que puede provocar la inhabilitación del servicio o hasta el reinicio de este y puede dejar sin comunicación de los usuarios.
Ante estos ataques los administradores de la red deben de actuar de forma rápida para repeler el ataque ya que por ejemplo en una empresa muy grande estos ataques pueden dejar perdidas millonarias si se llega a completar el ataque.