UNIVERSIDAD

NACIONAL DE PIURA
Facultad de Ingeniera
Industrial
Escuela de Ingeniera
Informtica
DOCENTE

:
ING. WILFREDO CRUZ YARLEQU

CURSO

:
SEGURIDAD INFORMATICA

TEMA

:
ATAQUES DE DENEGACIN DE SERVICIO. DOS

INTEGRANTES

:
LPEZ ALVA GISSELA
PALACIOS FIESTAS CELIA
RUIZ CORNEJO JORGE

PIURA PER

Contenido
INTRODUCCION..........................................................................................................3
DENEGACIN DE SERVICIOS (DOS).......................................................................4
I.

DEFINICIN.......................................................................................................4

II. CARACTERSTICAS DE DOS..........................................................................4

III.

TIPOS DE ATAQUES DOS.............................................................................5

a) Ataque de inundacin de buffer (Buffer Overflow)...................................5

b) Connection Flood..........................................................................................5
c) Ataque Teardrop............................................................................................5
d) Ataque de inundacin ICMP.........................................................................6
e) Ataque Smurf.................................................................................................6
f)

Ataque DoS en CMD ICMP Ping Flood.....................................................6

g) Ataque Fraggle Attack..................................................................................7

h) Ataques de saturacin de recursos............................................................7
i)

Ataques de Sistema y Fallo de Aplicaciones.............................................9

j)

Ataques de Protocolo de Red......................................................................9

k) Ataques DoS contra aplicaciones web.....................................................10

l)

IP Spoofing...................................................................................................10

V. DDOS (DISTRIBUTED DENIAL OF SERVICE)..................................................11

VI.

EJECUCIN DE ATAQUES DOS....................................................................12

VII.

MEDIDAS DE PROTECCIN ANTE ATAQUES DOS....................................13

VIII. CASOS DE ATAQUES DDOS.........................................................................14

Bibliografa................................................................................................................16

INTRODUCCION

Un ataque de denegacin de servicio es una complicacin que puede afectar

a cualquier servidor de una compaa o individuo conectado a Internet. Su
objetivo no reside en recuperar ni alterar datos, sino en daar la reputacin
de las compaas con presencia en Internet y potencialmente impedir el
desarrollo normal de sus actividades en caso de que stas se basen en un
sistema informtico.
Este tipo de ataque puede generar prdidas considerables en la vctima, por
ejemplo, en el caso de una tienda online en la que su promedio de nmero de
ventas diarias oscila entre 100 y 150, bajo esta premisa, la denegacin del
servicio causara que en el tiempo que dure el ataque no se efecte ninguna.
Es por ello que en el presente trabajo se abordar todo lo referente a los
ataques de denegacin de servicios, cmo prevenirlo o dificultarlo, los casos
ms relevantes, etc.

DENEGACIN DE SERVICIOS (DOS)

I.

DEFINICIN
Ataque de Denegacin de servicio es un ataque caracterizado por un
intento explcito de evitar la disponibilidad de un determinado activo en
el sistema, ya sea de un servicio o recurso mediante el ataque a la
fuente de informacin o al canal de transmisin, con la intencin de
evitar cualquier acceso de terceros. ste se puede clasificar dentro de
los ataques activos de interrupcin.
Los ataques por denegacin de servicio envan paquetes IP o datos de
tamaos o formatos atpicos que saturan los equipos de destino o los
vuelven inestables y, por lo tanto, impiden el funcionamiento normal de
los servicios de red que brindan.
Los ataques de denegacin de servicio son diferentes en su objetivo,
forma y efecto a la mayora de ataques que se efectan contra redes
de comunicaciones y sistemas informticos. El objetivo de un ataque
de denegacin de servicio en una red de comunicacin es evitar la
ejecucin de una actividad legtima, tal como la navegacin por
pginas web, escuchar la radio en Internet, transferir dinero desde la
cuenta bancaria o incluso tareas crticas como la comunicacin entre
un avin y su torre de control. Este efecto de denegacin de servicio se
realiza enviando determinados mensajes hacia uno de los destinatarios
o el propio canal de la comunicacin de forma que se interfiera en su
funcionamiento, impidiendo acceder total o parcialmente al servicio
ofertado.

II.

CARACTERSTICAS DE DOS

Consumen la memoria de almacenamiento, la capacidad de

procesamiento y el ancho de banda de uno o ms ordenadores contra
la voluntad de sus dueos.

Modifican los datos de configuracin y van desde los superficiales

hasta aquellos que comprometen la estabilidad del equipo.

Interrumpen el funcionamiento de algunos dispositivos.

Bloquean los canales de comunicacin que permiten a

los usuarios afectados conectarse con los proveedores de los servicios
que le han sido arrebatados o alterados.

Alteran la informacin de configuracin, como puede ser el routeo de la

informacin.

Alteraciones de estado, tales como interrupcin de sesiones TCP (TCP

reset).

Interrupcin de los medios que enlazan un servicio y la vctima, de

manera que ya no pueda haber comunicacin.

III.

TIPOS DE ATAQUES DOS

Existen tres tipos bsicos de denegacin de servicio:

Consumo de recursos: El atacante intenta consumir los recursos del

servidor hasta agotarlos: ancho de banda, tiempo de cpu, memoria,
disco duro.

Destruccin o alteracin de la configuracin: Se intenta modificar la

informacin de la mquina donde se necesitan de tcnicas ms
sofisticadas para realizarlo.

Destruccin o alteracin fsica de los equipos: Se intenta denegar el

servicio destruyendo fsicamente el servidor o algunos de sus
componentes, cortando el cable de conexin, o el cable de la red
elctrica.

IV.

PRINCIPALES TIPOS DE ATAQUES DOS

a) Ataque de inundacin de buffer (Buffer Overflow)

Este tipo de ataque DoS diramos que es el clsico y ms frecuente,

consiste en enviar ms paquetes de los que el buffer del servicio
puede manejar y soportar, donde por lgica se llega al lmite del buffer
y el servidor comienza a no poder responder a las nuevas peticiones,
al saturar el buffer el atacante impide que peticiones legtimas sean
correctamente contestadas por el servidor.

b) Connection Flood

Se da cuando el ataque alcanza el lmite mximo de conexiones

simultneas que un servicio de internet puede soportar, una vez que se
llega al lmite, ya no se admiten conexiones nuevas. Debido a ello se
genera una denegacin del servicio en ese momento, las conexiones
se establecen pero no hacen peticiones de tal forma de sobrepasar la
capacidad del servidor. Este tipo de ataques se da ms de un solo
host, que son fciles de identificarlos.
c) Ataque Teardrop

Este ataque afecta directamente al protocolo IP, donde se requiere de

un paquete demasiado grande, para que el siguiente router sea
dividido en fragmentos. El paquete una vez dividido se identifica un
offset haca el principio del primer paquete, el cual permite que una vez
llegan todos los fragmentos al destino, el paquete original sea
reconstruido. Lo que hace el atacante es insertar un valor alterado en
el segundo fragmento (o posterior) causando que el sistema
destinatario no pueda reconstruir el paquete provocando el
consecuente fallo en ese sistema. Este ataque afecta nicamente a
sistemas operativos antiguos o versiones antiguas.

d) Ataque de inundacin ICMP

En este ataque se enva una gran cantidad de peticiones ICMP echo

request (ping), a las que el servidor responde con un ICMP echo reply
(pong), el cual sobrecarga tanto el sistema, como la red de la vctima,
llegando al punto de que el objetivo no puede responder a otras
peticiones.

e) Ataque Smurf

Este es similar al ataque de inundacin , en este caso el atacante

enva paquetes ICMP echo request (ping) a una IP de broadcast
usando como direccin origen la direccin de la vctima, el resto de
equipos conectados a la red enviarn un ICMP echo reply a la vctima,
por ejemplo si en una red de 100 mquinas y por cada ICMP echo
request (ping) que enviemos simulando ser la vctima (spoofing), la
vctima recibir 100 paquetes ICMP echo reply (pong) es decir una
inundacin de ICMP multiplicada por el total de equipos en la red.

f) Ataque DoS en CMD ICMP Ping Flood

Este tipo de ataque es el ms antiguo, se realiza desde hace ms de
15 aos, pero de la misma forma provoc muchos daos en su poca.
El sistema consiste en mandar numerosos paquetes ICMP grandes
(mayores a 65.535 bytes) con el fin de colapsar el sistema objetivo.

Esto se realiza a travs de pings deformados con tamaos superiores

a los comunes 64 bytes. Implica una respuesta por parte de la vctima
(ping) con el mismo contenido que el paquete de origen.
Para llevar a cabo esto, basta con acceder a las opciones del comando
ping en la consola cmd de Windows, y entre los parmetros
observaremos t y l.

Con el primer parmetro hacemos que el ping se envi de forma

repetida y continuada; con -l, asignamos el peso de cada ping, en este
caso buffer.
Siendo el comando final:
ping 176.74.176.178 t l 35000
El valor del ltimo parmetro depender de la velocidad de nuestra
conexin a internet.
g) Ataque Fraggle Attack
Es similar al ataque Smurf pero en este caso se enva trfico UDP en
lugar de ICMP.

h) Ataques de saturacin de recursos

Su objetivo es agotar o saturar alguno de los recursos clave del

sistema, entre los que se incluyen el tiempo de CPU, memoria,
accesos a sistemas externos, espacio en disco o alimentacin de los
sistemas.
Algunos ejemplos de este tipo de ataques son:

Ataque de inundacin de SYN (SYN Flood)

Es ataque se da normalmente cuando un cliente intenta
establecer una conexin TCP a un servidor, el cliente y el
servidor intercambian una serie de mensaje, que normalmente
se podran resumir de esta manera:
1. El cliente hace una peticin de la conexin enviando un
mensaje SYN al servidor.
2. El servidor acepta esta peticin enviando un mensaje SYNACK hacia el cliente.
3. El cliente responde nuevamente con un ACK, y finalmente se
establece la conexin.

Un ataque SYN, involucra al atacante enviando sucesivas

peticiones de tipo SYN. Este comportamiento seria normal para
establecer una conexin TCP, sin embargo, en el caso del SYN
Flood, el ataque funciona no respondiendo de la manera que se
espera, en su lugar el atacante puede elegir entre no enviar el
cdigo ACK por defecto o hacer un spoof a la direccin IP en el
mensaje SYN, causando as que el server enve mensajes SYNACK a una IP falsa, que no devolver nunca el ACK porque
sabe que nunca envi el SYN, durante este proceso de saludo a
tres bandas, el servidor espera durante un tiempo determinado a

recibir el ACK final por parte del cliente, ya que por ejemplo una
congestin de trfico puede hacer que este ACK no llegue al
instante.

IGMP Flood
Envo masivo de paquetes IGMP (protocolo de gestin de
grupos de internet).

IP Packet Fragment Attack

Envo de paquetes IP que remiten voluntariamente a otros
paquetes que nunca se envan, saturando as la memoria de la
vctima.

TCP Spoofed SYN Flood

Envo masivo de solicitudes de conexin TCP usurpando la
direccin de origen.

TCP ACK Flood

Envo masivo de acuses de recibo de segmentos TCP.

TCP Fragmented Flood

Envo de segmentos TCP que remiten voluntariamente a otros
que nunca se envan, saturando la memoria de la vctima.

UDP Fragment Flood

Envo de datagramas que remiten voluntariamente a otros
datagramas que nunca se envan, saturando as la memoria de
la vctima.

DNS Flood
Ataque de un servidor DNS mediante el envo masivo de
peticiones

HTTP(S) GET/POST Flood

Ataque de un servidor web mediante el envo masivo de
peticione

i) Ataques de Sistema y Fallo de Aplicaciones

Un ejemplo muy conocido de este tipo de ataques es el Ping of death
que utiliza un mensaje de peticin ICMP de mayor tamao que el

permitido. La mquina objetivo fallar debido a la mala implementacin

del manejador de este tipo de mensajes. Estos ataques tambin son
dirigidos a menudo hacia dispositivos de acceso de red como pueden
ser routes IP, Ethernet Switches, VPNs. Estos dispositivos soportan
una configuracin a travs de una interfaz incluyendo una Command
Line Interface (CLI) y una interfaz de manejo va web. Por medio de
varios mtodos, incluidas un gran nmero de conexiones simultneas,
desbordamiento de bffers y validaciones de datos incorrectos, se ha
hecho fallar estos dispositivos. Un ataque DoS en esos dispositivos
tiene una repercusin ms amplia que un ataque en una simple
mquina debido a que normalmente detrs de estos dispositivos hay
mltiples redes.
j) Ataques de Protocolo de Red
Estos ataques sobre los protocolos dan como resultado consumo de
ancho de banda, que los sistemas fallen y saturacin de recursos,
causando condiciones de DoS. Estos ataques son una gran amenaza y
pueden detener la conectividad de la red y la funcionalidad del sistema
durante una cantidad indeterminada de tiempo. La prevencin de este
tipo de ataques requiere procedimientos ms complejos, avanzados y
tomar contramedidas. Este tipo de ataques van dirigidos al ncleo de
las implementaciones del protocolo IP, y como las implementaciones
de este protocolo no difieren mucho de una plataforma a otra, un
simple ataque DoS puede funcionar en distintos sistemas operativos.
k) Ataques DoS contra aplicaciones web
Este tipo de ataque tiene como objetivo dejar sin servicio a la propia
aplicacin en lugar de la mquina. Una de las tantas ventajas que tiene
el atacante es que no necesita tantos recursos para llevar a cabo el
ataque como un ataque DoS normal, en muchas ocasiones este tipo
de ataques son ms difciles de detectar debido a que se camuflan en
peticiones aparentemente comunes.
Los ataques DoS contra aplicaciones web se pueden llevar a cabo de
diferentes maneras:
-

Cuelgue de la aplicacin:
o Bffer Overflows

Modificacin y destruccin de datos

Consumo de recursos:

o
o
o
o

CPU
Ancho de banda
Memoria
Espacio en disco.

l) IP Spoofing
Se aprovecha del campo de la cabecera IP, la cual hace referencia a la
direccin de la misma, donde su origen puede ser alterado. Esto suele
realizarse utilizando herramientas que permiten generar paquetes (por
ejemplo: scapy, hping3, nmap, etc) consiguiendo as falsear el origen
del ataque o ampliar o reflectar el trfico.

V.

Generacin de direcciones IP aleatorias: se da cuando a la vctima le

llegan paquetes de direcciones aleatorias y aparentemente falsas.
Esta estrategia genera direcciones IP invlidas, como por ejemplo
direcciones del rango 192.168.0.0 (reservadas para ser utilizadas en
redes locales), direcciones broadcast, direcciones no enrutables y
direcciones no vlidas (0.2.41.3), las cuales pueden causar a los
routers problemas significativos. Sin embargo, la mayora de las
direcciones IP generadas sern vlidas y enrutables.

Spoofing en una subnet: se lleva a cabo cuando a la vctima le llegan

paquetes de subredes identificables. En una red que utiliza el rango
192.168.1.0/24, es relativamente fcil falsear la direccin IP de un
vecino a no ser que el administrador de la red haya tomado las
medidas necesarias para evitarlo.

Fixed: A la vctima le llegan paquetes de direcciones falsas fcilmente

identificables. Un atacante que desee realizar un ataque de reflexin o
que quiera echar la culpa del ataque a otras mquinas utilizar este
tipo de IP.

DDOS (DISTRIBUTED DENIAL OF SERVICE)

Es conocido como Ataque de Negacin de Servicio Distribuido, es un
tipo especial de DoS de manera conjunta y coordinada entre varios
equipos. Este ataque consiste en lanzar decenas o cientos de miles de
peticiones por segundo a un servidor desde distintas ubicaciones o
IPs, en la que se da la interrupcin temporal o se logra suspender los
servicios de un host conectado a Internet.

Cmo es posible enviar miles de peticiones por segundo desde

distintas IPs a un mismo servidor en un determinado momento?
Para lograr esto, por lo general se infectan ordenadores
personales de todo el mundo, mediante denominados gusanos (virus),
ellos no causan ninguna anomala en el ordenador personal del
usuario, pero permite a quien genero el gusano y consigui que ste
se introdujera silenciosamente en millones de ordenadores en el
mundo, pueda controlar los ordenadores personales de otros usuarios
y con un simple clic, hacer que todos los ordenadores repartidos por el
mundo, hagan una peticin a un mismo servidor, por ejemplo, algo tan
sencillo como abrir una misma web o acceder a una misma IP todos a
la vez, lo que suceder es que el servidor donde se aloja esa web, no
es capaz de soportar tal volumen de peticiones y se bloquea, adems
las peticiones se mantienen durante horas, y aunque intentes reiniciar
el servidor, una vez que se inicie y acepte de nuevo peticiones, se
bloquear de nuevamente.
La principal dificultad, es que al tratarse de peticiones distribuidas por
todo el mundo, e incluso provenientes de ordenadores personales, es
muy difcil distinguir un acceso real, y sabes que usuario quiere
realmente acceder al servidor, de un acceso provocado por el gusano
que ha infectado un ordenador personal, de este modo es bastante
complejo detener un ataque de este tipo.
Para evitar eficazmente estos ataques se requiere de una preparacin
de recursos, una monitorizacin constante y una respuesta rpida y
organizada
ante
posibles
ataques.
Aun
as,
empresas
como Mastercard, Visa, Sony, PayPal, CIA sufren estos ataques y
tienen servidores parados durante horas.

Representacin grfica de
ataque DDoS

VI.

EJECUCIN DE ATAQUES DOS

a) Herramientas para ejecucin de ataques

Trinoo

TFN y TFN2K: ICMP Flood, SYN Flood, UDP Flood.

Stacheldraht: ICMP Flood, SYN Flood, UDP Flood y Smurf.

Shaft: SYN flooding, UDP Flooding, ICMP flooding y Smurf.

Second Life:
o Esta herramienta proporciona objetos, stos se pueden
programar mediante un lenguaje de scripting denominado
LSL (Linden Scripting Language).
o LSL tiene algunas funciones que permiten realizar consultas
a servidores con IIHTTPRequest y funciones para XML-RPC.
o La ventaja que puede encontrar un atacante en la funcin
IIHTTPRequest es que la peticin se lleva a cabo desde los
servidores de Linden Labs
o Un atacante puede crear multitud de objetos que se
incrusten en bucles y hagan peticiones a un determinado
host, incluso se pueden crear bots dentro de Second Life
para que realicen esta tarea.
o Gracias a esto, un atacante se puede apoyar en Second Life
para realizar un ataque DoS o complementarlo.

b) Ejemplo de ejecucin de ataque ddos

Para la realizacin de este ataque neceitamos una maquina con sistema
operativo backtrack(o cualquier distribucin de linux), se pretende hacer
es una ataque a una pgina web a travs de diferentes host.

Para realizar el ataque debemos instalar el siguiente paquete install

siege, es utilizado principalmente por desarrolladores para hacer
pruebas de sus aplicaciones y sobre todo para comprobar el
rendimiento y comportamiento antes de ponerlas en accin.

Para hacer uso del protocolo HTTP necesitamos instalar el siguiente

paquete libss-dev

Para realizar el ataque a un determinado servidor necesitamos

ejecutar el siguiente comando, haciendo la siguiente simulacin
Siege c400 t5M -d1 nombre del servidor(www.) , este comando
comienza el escaneo

Terminada la ejecucin del ataque se presenta el siguiente informe, y

para ver que el comando se ejecut correctamente iremos al
navegador y actualizamos la url.

VII.

MEDIDAS DE PROTECCIN ANTE ATAQUES DOS

1. A nivel de cdigo
-

La regla bsica es validar todas las entras.

Intentar evitar cdigo que requiera muchas operaciones o un
consumo excesivo de la CPU.
Comprobar el rendimiento de las funciones e intentar optimizarlas lo
mximo posible.

2. A nivel de red
-

Implementar soluciones de balanceo de carga y cach si fuese

necesario
Estudiar el retorno de inversin de un sistema comercial de
proteccin contra este tipo de ataques e incluirlo en la red si es
necesario.
Implementar un firewall de aplicacin como ModSecurity.

ModSecurity

Es un firewall de aplicaciones web embebible que ejecuta como

mdulo del servidor web Apache, provee proteccin contra diversos

ataques hacia aplicaciones web y permite monitorizar trfico HTTP,

as como realizar anlisis en tiempo real sin necesidad de hacer
cambios a la infraestructura existente.
Est disponible como software libre bajo la licencia GNU General
Public License, a su vez, se encuentra disponible bajo diversas
licencias comerciales.
Funcionalidades:
o Filtrado de peticiones: los pedidos HTTP entrantes son
analizados por el mdulo ModSecurity antes de pasarlos al
servidor Web Apache, a su vez, estos pedidos son
comparados contra un conjunto de reglas predefinidas para
realizar las acciones correspondientes. Para realizar este
filtrado se pueden utilizar expresiones regulares, permitiendo
que el proceso sea flexible.
o Tcnicas anti evasin: las rutas y los parmetros son
normalizados antes del anlisis para evitar tcnicas de
evasin.
o Elimina mltiple barras (//)
o Elimina directorios referenciados por si mismos (./)
o Se trata de igual manera la \ y la / en Windows.
o Decodificacin de URL.
o Reemplazo de bytes nulos por espacios (%00)
o Comprensin del protocolo HTTP: al comprender el
protocolo HTTP, ModSecurity puede realizar filtrados
especficos y granulares.
o Anlisis Post Payload: intercepta y analiza el contenido
transmitido a travs del mtodo POST.
o Log de Auditora: es posible dejar traza de auditora para un
posterior anlisis forense.
o Filtrado HTTPS: al estar embebido como mdulo, tiene
acceso a los datos despus de que estos hayan sido
descifrados.

o Verificacin de rango de Byte: permite detectar

bloquear shellcodes, limitando el rango de los bytes.

A nivel comercial, ahora las empresas que brindan servicio de

hosting, ofrecen entre sus planes proteccin Anti DDoS, aadiendo
a esto dispositivos de red especficos para estas tareas, algunos de
ellos con implementaciones de software propio.
VIII.

CASOS DE ATAQUES DDOS

Entre los ltimos casos ms importantes tenemos:
-

Ataque DDoS a Telegram, que afect a los usuarios a nivel global,

empezando la denegacin de servicio en Asia, e incluso se hizo
que la aplicacin no aparezca en la Play Store por lapso de tiempo.

PlayStation Network y Xbox Live, ocurrido en diciembre de 2014, el

ataque realizado por el grupo The Lizard Squad paraliz la red de
Sony por ms de 48 horas dejando a los usuarios antiguos y a los
que reciban una consola por Navidad sin la posibilidad de
registrarse en lnea.

Ataque a GitHub ocurrido en marzo de 2015, entre las hiptesis de

su origen se considera al Gobierno Chino.

El 29 de julio de 2014 hackers del grupo Ciberberkut, creado

despus de la disolucin de las fuerzas especiales ucranianas
Berkut, bloquearon con un ataque DDoS por casi 24 horas la
pgina del presidente de Ucrania, Petr Poroshenko, a quien
acusaron de genocidio de su propio pueblo.

El 10 de julio de 2014, The New York Times inform que piratas

chinos atacaron en marzo el archivo de la Oficina de Administracin
de Personal de EEUU obteniendo datos sobre funcionarios que
solicitaron informacin clasificada.

Bibliografa
https://www.owasp.org/images/2/2b/Conferencia_OWASP.pdf
https://www.ovh.es/anti-ddos/principio-anti-ddos.xml
http://es.gizmodo.com/asi-se-ve-un-ataque-ddos-en-tiempo-real-482581412
https://es.wikipedia.org/wiki/Mod_Security