[Articulo]: Sutiles formas de ataque: DoS (denegacion de servicio)

Sutiles formas de ataque: DoS

Ataque de denegacion de servicio.

Muchas veces la seguridad de un sistema hace que un atacante inexperto tenga un sentimiento de frustación. Algunos de estos atacantes, sientose inutiles e incapaces lanzan un ataque DoS como ultimo recurso. Unas veces es simplemente por motivos personales o politicos. Otras veces los atacantes realizan un ataque DoS porque les es necesario a fin de vulnerar un sistema: puede ser que los atacantes necesiten que un sistema caiga para que un administrador de él lo reinicie. Un sistema es muy facil vulnerarlo justo durante el reinicio antes que todos los servicios esten totalmente operativos.

La accion de una caida inexplicable de un sistema conectado a internet deberia atraer la atencion del administrador sobre la posibilidad de estar sufriendo un ataque, pero por desgracia, la mayoria de los administradores no le dan importancia y reinician el sistema sin pensarlo mucho.

Aunque es imposible analizar todos los posibles motivos de un ataque, no debemos olvidar que internet no es muy diferente a la vida real. No todas las personas son normales: hay quien disfruta haciendo maldades y cualquier ataque o posible conquista le da sensacion de poder. Y recordemos tambien, que es mucho mas identico a la vida real de lo que parece: nadie regala nada por nada y por tanto, nadie nos va a reglara nada en la vida real ni en internet. Todo lo que aparentemente es gratis o de facil adquisicion, llevará "regalo" incorporado. Los usuarios finales deben ser muy precavidos con el riesgo actual que conllevan las redes P2P: nada es gratis.

Recordemos de todas formas que cualquier hacker experto detestan este tipo de ataques y detestan a quienes los realizan. Es tipico de script-kiddies (los niños script). Por desgracia estos ataques DoS son los seleccionados por los cyberterroristas que segun vamos viendo, cada dia están en aumento.

TCP/IP es un protocolo de comunicaciones abierto y totalmente documentado. No tiene seguridad: se diseñó para su empleo en una comunidad abierta y confiada y la versión que estamos usando tiene defectos inherentes y graves. No puede modificarse o implementarse otro tipo de seguridad por el simple motivo que internet dejaría de funcionar. Igualmente muchas implementacion del tcp/ip en sistemas operativos e incluso dispositivos fisicos de red tienen defectos que debilitan su capacidad para resistir ataques DoS.

Hay todavia sistemas y servidores en internet totalmente operativos en viejos sistemas unix y linux, o sistemas sin parchear por sus administradores, que se desmoronan ante un reenrutamiento de ICMP simple si se utiliza un parámetro no válido.

Existen muchas herramientas igualmente en la red para realizar de manera sistematica ataques DoS.


Variantes de ataques DoS


El mas viejo y elementas son los de "consumo de ancho de banda". Consiste simplemente en consumir todo el ancho de banda, es relativamente sencillo:

* por ejemplo un servidor de internet pequeño, un adsl tipico, con una entrada de 512 Kb. Desde un equipo malintecionado con un ancho de banda de 2 Mb se realiza el ataque. Equivale al choque frontal de un tren con un triciclo.

* o bien, y es lo mas normal, uniendo multitud de pequeñas maquinas para saturar la conexion de red de la victima. Con simples modems de 56 Kb se pueden saturar lineas de 60 Mb de una manera sencilla: puede basarse por ejemplo, en que el atacante convenza a los sistemas amplificadores para enviar trafico de red a la victima consiguiendo de esa manera con un simple modem el enviar a la victima flujos de informacion de hasta 100 Mb (megas!!). No es dificil usar estas tecnicas de amplificacion. O bien basrse en sistemas "zombies", miles, capturados previamente y en espera de ser despertados para organizar un ataque conjunto. En Internet se venden listas de miles de equipos conquistados y lo que es peor: alguien las compra, o puede comprarlas, cuando desea realizar uno de estos ataques.

Cualquier estudiante de redes sabe que el trafico ICMP es peligroso. Es necesario para realizar muchos diagnosticos pero por desgracia, es la bala que se utiliza en los ataques de consumo de ancho de banda. Es relativamente sencillo ademas falsificar la direccion origen con lo que es sumamente dificil identificar al culpable.

Un segunto tipo de ataque es por "inanicion de recursos". Esta enfocado, en vez de agotar el ancho de banda del sistema atacado, al consumo de los recursos del sistema, a la saturacion de la CPU, memoria, lo que sea, hasta que la maquina se cae. Este tipo de ataque, generalmente provoca un fallo general del sistema, o que se llene un disco de log, o procesos que se cuelgan porque necesitan CPU qe el sistema no le está proporiconando o se lo proporciona escasamente: y alguno de estos provesos puede ser critico para el sistema.

Un tercer tipo de ataque DoS es por los "errores de programacion". Envio de datos "anormales", que no cumplen las RFC (normas de definicion del protocolo) al sistema objetivo: si la pila tcp/ip no es capaz de manejar estas excepciones y los programadores no han supuesto estos casos, terminará con la caida del sistema al ser en la capa de drivers que se ejecuta en RING 0 o RING 1 de la maquina. A veces, no son defectos de programacion: son defectos del hardware, defectos de algun chip, o defectos de la propia CPU. No está de más recordar el famoso defecto existente en algun Pentium (no voy a citar modelos presentes o pasados) por el cual un proceso, incluso en modo usuario sin privilegos, podia colgar a la CPU con algo tan simple como enviarle la instruccion 0xf00fc7c8 a la CPU.

Recordemos, y no solo los administradores, sino tambien los usuarios finales, que la existencia de programas, sistemas operativos o incluso hardware y CPU libres de errores es una quimera.

Un cuarto tipo de ataque son los ataques DNS y de enrutamiento. La mayoria de los protocolos de enrutamiento como RIP (Routing Information Protocol) o BGP (Border Gateway Protocol) carcen, o tienen una autenticacion muy sencilla. Se trata por tanto de un escenario perfecto para que cualquier atacante pueda alterar las rutas correctas y falsificando su IP origen para crear una condicion DoS. Las victimas de estos ataques veran como su trafico se dirige por ejemplo hacia un agujero negro: a una red que no existe. Los ataques DoS sobre servidores de nombres de dominios (DNS) son tan problematicos como los anteriores. Estos ataques intentan convencer al servidor DNS, por ejemplo, para alamcenar direcciones falsas: cuando un servidor DNS realiza una busqueda el atacante puede redireccionar a su propio servidor o bien a un "agujero negro". En los ultimos años se ha sufrido varias veces ataques a alguno de los servidores "root" DNS de internet colapsando media red y con tiempos de normalizacion superiores a las 48 horas.



Jose Manuel Tella Llop
MVP - Windows
jmtella@XXXcompuserve.com (quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.