MANUALDEHACKER-COM-DDOS-ATAQUE-0

MANUAL ATAQUE DDOS

MANUAL ATAQUE DDOS DISTRIBUITED DENIAL OF SERVICE

            --== HACKOOT ~DDoS~ ==--
             v1.0 por Kirby



---------------------
    Indice                                            
---------------------

1.Introduccion
2.Explicacion detallada de los DDoS
2.1.Hackeando una red o pc
2.2.Sin hackear nada
-SmurF
-Fraggle
3.DoS sencillos
4.Tipos de Denegaciones
-SYN flood
-TCP FIN flood
-Connection flood
-Land Atack
-Supernuke/Winnuke
-Teardrop/Newtear
-paquetes fragmentados
-finger bomb
-email bomb
-MAC flooding
-DNS flood
-Bucle UDP/Snork UDP
5.Puntos debiles del SNMP
6.Jugando con los firewalls
7.Paquetes
8.filtros
8.1.ante ICMP
8.2.contra inundacion SYN
9.Prevencion y respuesta
10.Sobre los NIDS (Network Intrusion Detection System)
11.Bastion Hosts
12.Bastion routers
13.Conclusion


1. Introduccion

Los ataques DDoS (Distributed Denial of Service), son un desarrollo ya no tan reciente, pero si muy efectivo para lograr la denegacion de un servicio, y por eso constituyen una gran amenaza para la seguridad.

Voy a intentar dar una vision del problema, funcionamiento, como se lleva a cabo, como defendernos… de los DDoS, a fin de minimizar los daños producidos.

El primer encuentro que sabemos con los DDoS (que no quiere decir que fuera la primera vez) fue en la semana del 7 al 11 de febrero del año 2000. Supongo que tod@s os acordais de los ataques a Yahoo, Buy.com, eBay, Amazon, Datek, E*Trade y CNN. Estas empresas se quedaron sin conexion unas horitas.

El problema es el de siempre. Ocultismo. Cierto es que ahora comienza a estar mas documentada la cosa, pero es un poco pobre la info. En ningun documento (hasta ahora :P) se daban los suficientes detalles para decir ‘ahhhh! claro, ahora lo entiendo’. Asi que si queda alguna duda despues de leer este tuto, me mandais un mail (al final teneis mi clave pubica o publica, com querais ñ_ñ).

Entonces tenemos el problema que si no sabemos bien bien que pasa, dudo mucho que sepamos solventarlo y/o prevenirlo.

El objetivo de un DDoS puede ser cualquiera, como:

-Floodear para que evitar que se conecte a la red.
*Mantienes el PC ocupado mientras spoofeas su IP o MAC…
*Evitas que se conecte a internet porque estas participando en unas
subastas 😛
*Estas jugando al Counter, subele el ping xD
-Floodear para anular un servicio especifico.
*No te interesa que una persona, ordenador o servidor mande algun tipo de info (mail, logs…)
*Solo quieres putear (¬¬’)
*Intentas que el NIDS, Firewall o lo que sea, pete y
que te deje tranquilo.

No hay manera de saber si un ataque de este tipo se trata de el principio de
algo mas grande, o si quien lo lanza no quiere nada mas. Es importante tener en la cabeza, que un DoS y un DDoS no son tecnicas de hackeo. En mas de un sitio he leido la tonteria que te pueden hackear con un DoS, no tiene sentido.

El proceso esta compuesto de 4 pasos principales:
1) Fase de escaneo con un conjunto objetivo de sistemas muy elevado, 100.000 o mas. Se prueban estos frente a una vulnerabilidad conocida.
2) Se obtiene acceso a parte de esos sistemas a traves de la vulnerabilidad.
3) Se instala la herramienta de DDoS en cada sistema comprometido.
4) Se utilizan estos sistemas para escanear y comprometer nuevos sistemas.

Se podrian realizar estos 4 pasos a mano, pero lo mas eficiente, rapido, y
anonimo, es un gusanito multiplataforma que haga el trabajo por ti.


2. Explicacion detallada de los DDoS

Un DDoS involucra a muchos ordenadores (mientras mas mejor). Y se puede llevar a cabo de varias formas:

  1. Hackeando una red
    a. Instalando soft especifico para un DDoS
    b. no instalar nada
  2. Sin hackear nada
    a. Smurf –> TCP
    b. Fraggle –> UDP

Este esquema nos esta diciendo que si hackeamos una red (u ordenador),
podemos meter un software especifico para lanzar ataques o hacerlo
manualmente (deberiamos acceder a cada ordenador y decirles uno a uno
que debe hacer). Lo mejor desde el punto de vista del atacante es usar
un software, que consta de master/agente (el clasico cliente/servidor).
De esta forma, lanza el ataque masificado controlandolo todo desde un
ordenador. Si no fuera porque dentro de un tiempo las empresas de telefonia quitaran las targetas de prepago para ser todo bajo contrato, habria salido la forma de lanzar un DDoS utilizando el movil en un futuro
(que es todo lo animo que quieras, o casi).

Las consecuencias suelen ser el ahogo del ancho de banda, o del router o de los recursos de la pila de red… siempre se pretende denegar algun recurso.

2.1.Hackeando una red o pc
^^^^^^^^^^^^^^^^^^^^^^^^^^^
Como es logico el primer paso sera hackear ordenadores, con ayuda
de exploits, ing social, malas configuraciones y demas tecnicas.
Despues se procederia a subir privilegios y a instalar un rootkit a fin de
ocultar los procesos pertinentes, puertos, etc y se borrarian o modificarian los logs. Y dependiendo del sistema operativo en el que nos encontramos utilizaremos un programa u otro como agente.

Repitiendo varias veces estos pasos, conseguiremos tener la suficiente
artilleria como para reproducir esos gigabytes por segundo del ataque a Yahoo, segun datos del SANS (se utilizaron miles de ordenadores).

Okis, ahora toca el ataque. El atacante puede hacer varias cosas; entrar PC a PC con el backdoor que tenga puesto y ejecutar el ataque (un bucle ping, el DoS Pepsi-win, cualquier cosa sirve). Despues saldria del ordenador comprometido (mientras se esta lanzando el ataque) e iria haciendo lo mismo en cada ordenador que tenga hackeado. Esto, a parte de ser un trabajo pesado, el ataque se hace mas lento.

La otra opcion mas inteligente seria dar los parametros necesarios al master, y todos los ordenadores harian lo que se le ha pedido. Es decir, que con tan solo un par de instrucciones, podemos controlar muuuuuuchas maquinas. Este ataque, se ha de hacer muy bien, ya que si te dejas algun log en alguna maquina, comienza a preocuparte. Tambien has de estar concienciado que todos esos servidores que has hackeado, los vas a perder.

Porque cuando denuncien (si lo hacen) investigaran los servidores involucrados, y tal vez esperen a que te vuelvas a conectar a alguno de ellos para snifarte y pillarte.

                *----------*
                |          |
                | Atacante |
                |          |
                *----------*
                      |
                      |<--- Bouncer ;)
                      |
                *----------*
                |          |
                |  Master  |
                |          |
                *----------*
                      |
          (comandos a los agentes)
                      |
  *------------*------*------*------------*
  |            |             |            | paquetes!
  |            |             |            |
  v            v             v            v

———- ———- ———- ———-
| | | | | | | |
| agente | | agente | | agente | | agente |
| | | | | | | |
———- ———- ———- ———-
\ \ / /
\ \ / /
\ \ / /
(Cualquier tipo de flood)/
\ \ / /
\ \ / /
\ \ / /
V V V
———————–
| |
| Victima |
| |
———————–

Los terminos paquete y datagrama suelen parecer intercambiables, pero no.
Conceptualmente, un paquete es la unidad fisica de mas bajo nivel, mientras que datagrama se refiere a la unidad de datos a nivel IP. Sin embargo, en la mayoria de las redes no se puede distinguir porque coinciden, asi que la gente suele usar los dos terminos indistitivamente.

2.2.Sin hackear nada
^^^^^^^^^^^^^^^^^^^^

-SmurF-

Ping –> Internet Control Message Protocol (ICMP). La administracion de redes abarca un amplio numero de temas. En general, se suelen tratar con muchos datos estadisticos e informacion sobre el estado de distintas partes de la red, y se realizan las acciones necesarias para ocuparse de fallos y otros cambios.

La tecnica mas primitiva para la monitorizacion de una red es hacer ‘pinging’ a los host criticos; el ‘pinging’ se basa en un datagrama de ‘echo’ (eco), que es un tipo de datagrama que produce una replica inmediata cuando llega al destino.

La mayoria de implementaciones TCP/IP incluyen un programa (normalmente llamado ‘ping’) que envia un echo a un host en concreto. Si recibimos replica, sabremos que host se encuentra activo, y que la red que los conecta funciona; en caso contrario sabremos que hay algun error. Pues bien, sumemos miles y miles de este datagrama. El resultado es predecible.

Existen tecnicas basadas en ICMP, pero NO en los paquetes de tipo echo. Podrian considerarse tecnicas tanto de ICMP sweep como de ICMP broadcast, pero con otros tipos de paquetes ICMP, no echo. Estos paquetes se van a a analizar a continuacion:

  • ICMP Timestamp:
    Mediante el envio de un paquete ICMP de tipo timestamp, si un sistema esta activo, se recibira un paquete de timestamp indicando que implementa este tipo de transferencia de informacion que permite conocer la referencia de tiempo en el sistema destino. Tal y como denota el RFC 1122, la decision de responder a estos paquetes depende de la implementacion. Algunos sistemas Windows si responden mientras que otros no, sin embargo la mayoria de los Unix
    si que lo implementan.
  • ICMP Information:
    El proposito de los paquetes ICMP de informacion y su respuesta asociada, information reply, es permitir que ciertos equipos que no poseian disco del que extraer su propia configuracion, pudieran autoconfigurarse en el momento de su arranque, principalmente para obtener su direccion IP. En el paquete, tanto la direccion origen como destino tienen el valor cero. Tanto el RFC 1122 como el 1812 indican que los sistemas no deberian generar ni responder a este tipo de paquetes, pero la realidad de las implementaciones existentes es otra. Algunos sistemas operativos responderan cuando la direccion IP destino del paquete tiene el valor de una direccion IP especifica. En la respuesta, en lugar de tener la direccion IP de la red en el campo de direccion origen, se tiene la direccion IP del host. Algunos UNIX comerciales y equipos Cisco implementan la respuesta ante
    este tipo de paquetes.
  • ICMP Address Mask:
    El proposito de los paquetes de tipo address mask y address mask reply, era que los equipos o estaciones de trabajo sin disco pudiesen obtener la mascara de red asociada a la subred en la que estaban conectados en el momento de arrancar. Se supone que un sistema no deberia responder con un paquete de este tipo salvo que fuera un agente autorizado para notificar la mascara, tipicamente el router de la subred.

Una red se puede proteger frente a este ataque si los firewalls o screening
routers se encargan de verificar y descartar este tipo de errores, no
permitiendo este tipo de trafico. Asimismo, si el dispositivo de filtrado no
implementa esta caracteristica, es posible filtrar los paquetes ICMP Parameter Problem en su camino de vuelta. Existe una herramienta, ISIC: IP Stack Integrity Check, de Mike Frantzen http://www.packetfactory.net/Projects/ISIC) disponible
para este tipo de pruebas, que permite poner a prueba la pila TCP/IP, encontrar debilidades en un firewall, y comprobar la implementacion de firewalls e IDS.

Permite especificar si los paquetes se fragmentan, sus opciones IP, las opciones TCP y el bit URG.

Existe un tipo de DDoS denominado SmurF que amplifica considerablemente los efectos de un ataque ICMP. En el SmurF el atacante dirige paquetes ICMP echo request a una direccion IP de broadcast.

Existen tres partes en un ataque SmurF: El atacante, el broadcast y la victima.

La direccion logica de broadcast, es decir, aquella que representa a todas las maquinas de una red, se utiliza en algunos protocolos para localizar el sistema que proporciona un servicio concreto de forma sencilla, es decir, preguntando a la red, y no consultando uno por uno a todos los sistemas existentes. Si esta direccion se encuentra disponible tambien para usuarios externos a la red, es posible que un atacante pueda enviar un paquete de datos a la misma, provocando que todos los sistemas pertenecientes a dicha red respondan simultaneamente, aumentando la potencia de la respuesta en un factor de N, siendo N el numero de maquinas disponibles en la red. Es decir, se realiza un ataque a una red desde otra red intermedia que permite multiplicar los recursos existentes (elementos validos para desarrollar ataques DDoS). Este metodo no implica tener que controlar las redes empleadas como multiplicadoras del efecto de ataque. Si se a una esta tecnica junto a la de IP spoofing, al enviar un paquete ICMP con la
direccion IP origen de la maquina a atacar y direccion IP destino la direccion de broadcast de una red con un elevado numero de maquinas, digamos cientos, todas las respuestas de la red de broadcast se dirigiran realmente a la direccion IP del sistema ‘spoofeado’.

Aunque no es tan sencillo 😛 El primer router que recive el paquete puede ver que la direccion IP origen esta spoofeada. Puesto que el router conoce que rango de IPs pueden salir por el. Este es el gran problema. Solo has de mirar si tu ISP permite IP spoofing. Si no te deja, encuentra un servidor desde el que se permita, y lanza el ataque desde ahi.

Generalmente, la IP del broadcast tiene unos octetos definiendo la clase de red, y los demas tienen el mismo bit. Por ejemplo para una red 10.0.0.0 es
10.255.255.255. Si tuvieramos una subred de clase A con 256 subredes, el
broadcast para 10.50 seria 10.50.255.255. La direccion del estilo 10.50.0.0
puede producir una respuesta broadcast.

+--------+                                 +-----------------+
|        |      +---------------+===I====> |                 |
|        |      |               |===C=====>|                 |

-a–| ISP +——+ Broadcast +===M=====>| www.victima.com |
| | | 20 PCs |===P=====>+—————–+
| | +—————+
+——–+

El ordenador ‘a’ manda un echo haciendose pasar por www.victima.com, y como su ISP permite el spoofeo, el ataque SmurF se realiza con exito.

-Fraggle-

Es lo mismo que el SmurF pero utilizando datagramas UDP.

Continuación

Dejar una contestacion

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.