Añadir a la recogida (s) Añadir a salvo
  1. Ingeniería
  2. Informática
  3. Redes informáticas

Ataques de Negación de Servicio - UNAM-CERT

Anuncio 
Ataques de Negación de Servicio
Ataques de negación de servicios
Este documento proporciona una apreciación global general de ataques en los que la meta
primaria del ataque es negar el acceso a un recurso particular. Incluimos información que
puede ayudarlo responder a semejante ataque.
Descripción
Una "negación−de−servicio" es caracterizado por un esfuerzo explícito por atacantes
para impedirles a los usuarios legítimos de un servicio usar ese servicio. Los ejemplos
incluyen
• Esfuerzos "diluvio" una red, previniendo tráfico de la red legítimo por eso,
• Esfuerzos por romper conexiones entre dos máquinas, previniendo acceso por
eso a un servicio
• Esfuerzos por impedirle a un individuo particular acceder un servicio
• Esfuerzos por romper servicio a un sistema específico o persona
No todos los paros de servicio, incluso lo que son resultado de la actividad malévola,
necesariamente son ataques del rechazo−de−servicio. Otros tipos de ataque pueden
incluir un rechazo de servicio como un componente, pero el rechazo de servicio puede
ser parte de un ataque más grande.
El uso ilegítimo de recursos también puede producir rechazo de servicio. Por ejemplo,
un intruso puede acostumbrar su área del ftp anónima como un lugar a guardar copias
ilegales de software comercial, consumiendo espacio del disco y generador de tráfico en
la red.
Impacto
Los ataques del rechazo−de−servicio pueden desactivar su computadora o su red
esencialmente. Dependiendo de la naturaleza de su empresa, esto puede desactivar su
organización eficazmente.
Algunos ataques del rechazo−de−servicio pueden ejecutarse con recursos limitados
contra un sitio grande, sofisticado. Este tipo de ataque a veces se llama un "ataque
asimétrico". por ejemplo, un atacante con una PC vieja y un módem lento puede
desactivar máquinas mucho más rápidas y más sofisticadas o redes.
Modos de ataque
Los ataques del rechazo−de−servicio entran una variedad de formas y apuntan a una
variedad de servicios. Hay tres tipos básicos de ataque:
• Consumo de recursos escasos, limitados, o no−renovables
• Destrucción o alteración de información de la configuración
• Destrucción física o alteración de componentes de la red
Consumo de Recursos Escasos
1
Ataques de Negación de Servicio
Las computadoras y redes necesitan ciertas cosas para operar: el ancho de banda de la
red, memoria y espacio del disco, tiempo de CPU, estructuras de datos, acceso a otras
computadoras y redes, y ciertos recursos medioambientales como energía, el aire fresco,
o incluso agua.
Conectividad de la Red
Los ataques del rechazo−de−servicio frecuentemente se ejecutan contra la conectividad
de la red. La meta es impedir a organizaciones o a redes comunicarse en la red. Un
ejemplo de este tipo de ataque es el "SYN flood" el ataque se describió en
ftp://info.cert.org/pub/cert_advisories/CA−96.21.tcp_syn_flooding
En este tipo de ataque, el atacante empieza el proceso de establecer una conexión a la
máquina de la víctima, pero lo hace de semejante manera que prevenga la última
realización de la conexión. En el entretanto, la máquina de la víctima ha reservado un
número limitado de estructuras de los datos que se exigió para completar la conexión
inminente. El resultado es que esas conexiones legítimas se niegan mientras la máquina
de la víctima está esperando completar las conexiones.
Usted debe notar que este tipo de ataque no depende del atacante que puede consumir su
ancho de banda de la red. En este caso, el intruso está consumiendo estructuras de datos
involucradas estableciendo una conexión de la red. La implicación es que un intruso
puede ejecutar este ataque de una conexión dial−despierta contra una máquina en una
misma red. (Éste es un ejemplo bueno de un ataque asimétrico.)
Usando Sus Propios Recursos Contra Usted
Un intruso también puede usar sus propios recursos contra usted de maneras
inesperadas. Un ejemplo se describe en
ftp://info.cert.org/pub/cert_advisories/CA−96.01.UDP_service_denial
En este ataque, los usos del intruso forjaron paquetes de UDP para conectar el servicio
de eco en una máquina al servicio del chargen en otra máquina. El resultado es que los
dos servicios consumen todo el ancho de banda de la red disponible entre ellos. Así,
pueden afectarse la conectividad de la red para todas las máquinas en las mismas redes.
Consumo de ancho de banda
Un intruso también puede poder consumir todo el ancho de banda disponible en su red
generando un número grande de paquetes dirigió a su red. Típicamente, estos paquetes
son ICMP ECHO los paquetes, pero en principio ellos pueden ser algo. Más allá, la
necesidad del intruso no está operando de una sola máquina; él puede coordinar o
co−optar varias máquinas en redes diferentes para lograr el mismo efecto.
Consumo de Otros Recursos
Además del ancho de banda de la red, los intrusos pueden consumir otros recursos que
sus sistemas necesitan para operar. Por ejemplo, en muchos sistemas, un número
2
Ataques de Negación de Servicio
limitado de estructuras de los datos está disponible para sostener información del
proceso (identificadores del proceso, entradas de mesa de proceso, hendeduras del
proceso, etc.). Un intruso puede consumir estos datos estructura escribiendo un
programa simple o escritura que crean nada más que repetidamente copias de sí mismo.
Muchos sistemas operativos modernos tienen medios de la cuota para proteger contra
este problema, pero no todos lo hacen. Más allá, aun cuando la mesa del proceso no está
llena, el CPU puede ser consumido por un número grande de procesos y el tiempo
asociado cambiando entre los procesos. Consulte su proveedor del sistema operativo o
manuales del sistema operativo para detalles en medios de la cuota disponibles para su
sistema.
Un intruso también puede intentar consumir espacio del disco de otras maneras y puede
incluir
• Números excesivos generando de mensajes del correo. Para más información,
por favor vea
ftp://info.cert.org/pub/tech_tips/email_bombing_spamming
Intencionalmente generadores de errores que deben anotarse en archivos, poniendo en
áreas del ftp anónimas o porciones de la red, Para la información sobre la configuración
apropiada para el ftp anónimo, por favor vea
ftp://info.cert.org/pub/tech_tips/anonymous_ftp_config
En general, algo que permite escribir los datos al disco puede usarse para ejecutar un
ataque de rechazo−de−servicio si no hay ningún límite en la cantidad de datos que
pueden escribirse.
También, muchos sitios tienen esquemas en lugar a "puerta cerrada " una cuenta
después de un cierto número de esfuerzos del login fallados. Un juego típico a las
cerraduras fuera una cuenta después de 3 o 5 esfuerzos del login fallados. Un intruso
puede usar este esquema para impedirles a los usuarios legítimos entrar. Incluso en
algunos casos, las cuentas privilegiadas, como raíz o administrador, pueden estar sujeto
a este tipo de ataque. Sea efectivamente que usted tiene un método para ganar acceso a
los sistemas bajo las circunstancias de la emergencia. Consulte su vendedor del sistema
operativo o su manual de los sistemas operativos para detalles de cierre de puerta
medios y procedimientos de entrada de emergencia.
Un intruso puede causar que sus sistemas choquen o ponerse inestables enviando datos
inesperados encima de la red. Un ejemplo de semejante ataque se describe en
ftp://info.cert.org/pub/cert_advisories/CA−96.26.ping
Si sus sistemas están experimentando caídas frecuentes sin una causa clara, podría ser el
resultado de este tipo de ataque.
Hay otras cosas que pueden ser vulnerable al rechazo de servicio que usted puede desear
supervisar. Éstos incluyen
3
Ataques de Negación de Servicio
• copiadoras
• dispositivos de grabación
• conexiones de la red
• otros recursos limitados importante al funcionamiento de su organización
Destrucción o Alteración de Información de la Configuración
Una computadora inadecuadamente configurada no puede realizar bien o no puede
operar en absoluto. Un intruso puede alterar o destruir información de la configuración
que le impide usar su computadora o red.
Por ejemplo, si un intruso puede cambiar la información de la asignación de ruta en sus
ruteadores, su red puede desactivarse. Si un intruso puede modificar el registro en un
Windows la máquina de NT, ciertas funciones pueden ser indisponibles.
Para la información sobre configurar máquinas de UNIX, vea
ftp://info.cert.org/pub/tech_tips/UNIX_configuration_guidelines
Para la información sobre configurar Microsoft Windows las máquinas de NT, por favor
vea
http://www.microsoft.com/security/
Destrucción física o Alteración de Componentes de la Red
La preocupación primaria con este tipo de ataque es seguridad física. Usted debe
guardar contra acceso sin autorizado a las computadoras, ruteadores, red , red
segmentada, energía y las estaciones de clima, y cualquier otro componente crítico de su
red.
La seguridad física es el primer componente guardado contra muchos tipos de ataques
además del rechazo de servicio. Nosotros animamos que usted consulte agencias de
entrada en vigor de ley locales o nacionales o las compañías de seguridad privadas para
la información sobre afianzar los componentes físicos de su red.
Prevención y Contestación
Los ataques del rechazo−de−servicio pueden producir pérdida significante de tiempo y
dinero para muchas organizaciones. Nosotros animamos sitios fuertemente para
considerar hasta que punto su organización pudiera permitirse el lujo de un paro de
servicio significante y para tomar pasos correspondientes con el riesgo.
Nosotros animamos a que usted considere las opciones siguientes con respecto a sus
necesidades:
Filtros de ruteadores de instrumento como describió en Apéndice UN de
CA−96.21.tcp_syn_flooding, referenciado anteriormente. Esto disminuirá su exposición
a ciertos ataques del rechazo−de−servicio. Adicionalmente, ayudará impidiéndoles a los
usuarios en su red lanzar ciertos ataques del rechazo−de−servicio eficazmente.
4
Ataques de Negación de Servicio
Si ellos están a favor, instale parches para guardar contra TCP SYN que inunda como
describió en CA−96.21.tcp_syn_flooding, referenciado anteriormente. Esto reducirá su
exposición substancialmente a estos ataques pero no puede eliminar el riesgo
completamente.
Desactive cualquier servicio de la red sin usar o los no necesarios. Esto puede limitar la
habilidad de un intruso de aprovecharse de esos servicios para ejecutar un ataque del
rechazo−de−servicio.
Habilite sistemas de cuota en su sistema operativo si ellos están disponibles. Por
ejemplo, si su sistema operativo apoya cuotas del disco, habilítelos para todas las
cuentas, sobre todo cuentas que operan servicios de la red. Además, si su sistema
operativo apoya particiones o volúmenes (es decir, sistemas del archivo separadamente
montados con atributos independientes) considere dividir su sistema del archivo para
separar funciones críticas de otra actividad.
Observe la actuación del sistema y establezca bases para la actividad ordinaria. Use lo
básico para calibrar niveles raros de actividad del disco, uso de CPU, o tráfico de la red.
Rutinariamente examine su seguridad física con respecto a sus necesidades actuales.
Considere servidores, ruteadores, los puntos de acceso de la red, alambrando, los
sistemas medioambientales como aire, y otros componentes de su sistema.
Use Tripwire o una herramienta similar para descubrir cambios en información de la
configuración o otros archivos. Para más información, vea
ftp://info.cert.org/pub/tech_tips/security_tools
Invierta en y mantenga "hot spares" − máquinas que pueden ponerse rápidamente en el
servicio en el evento que una máquina similar es inválida.
Invierta en configuraciones de la red redundantes y tolerantes a falla.
Establezca y mantenga el backup regular fija, políticas, particularmente para
información de la configuración importante.
Establezca y mantenga políticas de la contraseña apropiadas, sobre todo acceda a las
cuentas muy privilegiadas como root de UNIX o Microsoft Windows NT
Administrador.
Muchas organizaciones pueden sufrir pérdida financiera como resultado de un ataque de
rechazo−de−servicio y pueden desear impugnar cargos civiles contra el intruso. Para
consejo legal, nosotros recomendamos que usted consulta con su consejo legal.
Si usted está interesado en determinar la fuente de ciertos tipos de ataque del
rechazo−de−servicio, puede requerir la cooperación de su proveedor de servicio de red y
la administración de las redes involucrada. Rastreando a un intruso esta manera no
siempre pueden ser posibles. Si usted está interesado en intentarlo avise su proveedor de
servicio directamente. El UNAM−CERT no puede proporcionar este tipo de ayuda.
Nosotros lo animamos informar sus experiencias. Esto nos ayuda a entender la
5
Ataques de Negación de Servicio
naturaleza y alcance de incidentes de seguridad en el Internet, y nosotros podemos
poder relacionar su informe a otra actividad que sea informado a nosotros.
6
Documentos relacionados
4.2 Como actua un hacker
4.2 Como actua un hacker
Un ataque fascista con líquido inflamable produce destrozos
Un ataque fascista con líquido inflamable produce destrozos
EEUU VS CHINA
EEUU VS CHINA
Descargar
Anuncio
Anuncio