Denegación de Servicio

Descripción

Este documento proporciona una visión general de los ataques en los que el propósito general del ataque es denegar a las víctimas el acceso a un recurso particular. Se incluye información que puede ayudar a responder a estos ataques.

Un ataque "Denegación de Servicio" esta caracterizado por un intento, por parte de los agresores, de evitar que los legítimos usuarios puedan utilizar un determinado servicio. Por ejemplo:

  • intento de "inundar" una red, impidiendo el trafico legítimo de esa red.
  • intento de romper la conexión entre dos máquinas, impidiendo el acceso a un servicio determinado.
  • intento de impedir el acceso de un usuario individual a un servicio.
  • intento de romper los servicios a un sistema especifico.

No todos las paradas de un servicio, que provengan de una actividad maliciosa, son necesariamente ataques "Denegación de Servicio". Otros tipos de ataque pueden incluir una denegación de servicio como una componente mas. Ilegitimar el uso de recursos puede también ser un ataque denegación de servicio. Por ejemplo, un intruso puede utilizar tu área de ftp anónimo para almacenar copias ilegales de software comercial, consumiendo espacio de disco y aumentando el trafico de red.

Impacto

El ataque "Denegación de servicio" esencialmente puede deshabilitar tu equipo o tu red. Dependiendo de la naturaleza de tu empresa puede llegar a deshabilitar tu organización entera. Algunos de esto ataques pueden ser llevados a cabo con un numero limitado de recursos, afectando a redes mucho mas sofisticadas. Estos tipos de ataques se llaman a veces "Ataques asimétricos". Por ejemplo, un atacante, con un viejo PC y un módem lento puede llegar a debilitar equipos mas grandes y redes mucho mas sofisticadas.

Modos de ataque

Lo ataques "Denegación de Servicio" vienen dados en una variedad de formas y se dirigen hacia una gran variedad de servicios. Hay tres tipos básicos de ataque:

  • consumo de recursos, limitados o no renovables.
  • destrucción o alteración de información sobre configuración.
  • destrucción física o alteración de componentes de una red.

Consumo de recursos limitados.

Ordenadores y redes necesitan ciertas cosas para funcionar: ancho de banda para la red, memoria y espacio de disco, tiempo de CPU, estructuras de datos, acceso a otros equipos y redes, y unos ciertos recursos de entorno como son; potencia o aire frío.

1) Conectividad entre redes

Los ataques denegación de servicio se llevan a cabo frecuentemente contra la capacidad de conectitividad entre redes. La intención es evitar que los equipos o las subredes se puedan comunicar con el resto de la red. Un ejemplo de este tipo de ataque es el "SYN flood".
En este tipo de ataque, se comienza por el proceso de establecimiento de conexión de la máquina víctima, la culminación del ataque llega cuando la máquina víctima ha reservado uno de los limitados números de estructuras de datos requeridos para completar la conexión. El resultado es que la legitima conexión se deniega mientras que la máquina víctima espera a que se complete la conexión, cosa que no llega a suceder. Hay que notar que este tipo de ataque no se pretende consumir ancho de banda sino los recursos de memoria y procesador que se consumen con las estructuras de datos usadas para establecer una comunicación. Esto implica que un atacante puede llevar a cabo su ataque desde un módem contra una red mucho mas rápida. (Este es un ejemplo de un ataque asimétrico).

2) Utilización de tus propios recursos contra ti.

Un intruso puede usar tus propios recursos contra ti de inesperadas maneras.
Un ejemplo se describe en http://www.cert.org/advisories/CA-1996-01.html
En este ataque, el intruso usa paquetes UDP perdidos para conectar el servicio de "echo" en la máquina que usa el servicio de otra máquina. El resultado es que los dos servicios consumen todo el ancho de banda disponible en la red.

3) Consumo de ancho de banda

Un intruso también puede ser capaz de consumir todo el ancho de banda disponible en la red generando una gran cantidad de paquetes dirigidos a tu red. Típicamente esos son paquetes ICMP ECHO, pero en principio pueden ser de cualquier otro tipo. El intruso no tiene porque actuar desde una de las máquinas de la subred, puede ser capaz de coordinar varias máquinas de diferentes redes para obtener el mismo resultado.

4) Consumo de otros recursos

Junto con el consumo de ancho de banda, los intrusos pueden ser capaces de consumir otros recursos que el sistema necesita para operar correctamente. Por ejemplo, hay sistemas en los que existen un numero limitado de estructuras de datos para proporcionar información sobre procesos (identificadores de procesos, tablas de entradas de procesos, etc.). Un intruso puede ser capaz de consumir esas estructuras de datos escribiendo un script que no haga nada, pero que repetidamente cree copias de sí mismo. Muchos sistemas operativos modernos,aunque no todos, tienen cuotas para proteger contra estos ataques. De todas formas, si la tabla de procesos no está llena, la CPU puede estar ocupada con un gran numero de procesos y el correspondiente tiempo para conmutar entre procesos. Un intruso también puede intentar consumir espacio de disco de otras maneras, por ejemplo;

En general, cualquier cosa que permita datos en disco, puede ser utilizada para llevar a cabo un ataque denegación de servicio. Por otro lado en algunos lugares, aparece el mensaje "lockout" después de un cierto numero de intentos fallidos de acceso a una determinada cuenta, normalmente 3 o 5. Un intruso puede usar este hecho para evitar el acceso a la cuenta a su legitimo usuario. En algunos casos las cuentas con privilegios suelen ser blancos de estos ataques. Lo mejor es estar seguro de tener un método alternativo para acceder al sistema en caso de emergencia. Un intruso puede hacer que un sistema se venga abajo o que se vuelva inestable enviando datos inesperados a través de la red. Un ejemplo de estos ataques se describe en: http://www.cert.org/advisories/CA-1996-26.html Si tu sistema se viene abajo a menudo sin causa aparente, puede que se trate de este tipo de ataque. Hay otras cosas que pueden ser vulnerables para un ataque denegación de servicio y que es conveniente monitorizar:

  • impresoras
  • cintas de backup
  • conexiones a redes
  • cualquier recurso importante para las operaciones de tu empresa

Destrucción o alteración de los datos de configuración

Un equipo mal configurado puede no operar correctamente o dejar de hacerlo. Un intruso puede alterar o destruir la información de la configuración evitando así el uso correcto del equipo o de la red. Por ejemplo, si un intruso puede cambiar la información sobre las rutas, la red puede venirse abajo. Si es capaz de modificar el registro de una máquina NT, ciertas funciones pueden dejar de funcionar. Para información de como configurar máquinas UNIX remitirse a: http://www.cert.org/tech_tips/unix_security_checklist2.0.html
Para información de como configurar máquinas NT remitirse a: http://www.microsoft.com/security

Destrucción física o alteración de componentes de red

Lo primero que se debe hacer para evitar este tipo de ataques es salvaguardar la seguridad física de lo equipos contra accesos, sin autorización, a ordenadores, routers, redes, segmentos de red, generadores de potencia, estaciones refrigeradas, y cualquier otro componente crítico.

Prevención y respuesta

Los ataques por denegación de servicio pueden suponer una importante pérdida de tiempo y dinero para la mayoría de las organizaciones. Recomendamos considerar las siguientes opciones dependiendo de las necesidades personales:

  • Implementar routers que filtren según lo descrito en el apéndice A de CA-96.21.tcp_syn_flooding. Esto disminuirá la exposición a ciertos ataques.Adicionalmente, esto puede prevenir que usuarios de tu red lancen ciertos ataques.
  • Si es posible, instalar parches para protegerse contra ataques TCP SYN flooding según lo descrito en CA-96.21.tcp_syn_flooding. Esto puede reducir substancialmente la exposición a estos ataques, aunque no elimina el riesgo por completo.
  • Desactivar cualquier servicio de red que no sea necesario. Esto puede limitar la capacidad del intruso de utilizar estos servicios para realizar su ataque.
  • Activar mecanismos de quota en el sistema operativo si es posible. Por ejemplo si el sistema operativo soporta quotas de disco, activarlas para todas las cuentas, especialmente para cuentas que operan con servicios de red. Además si el sistema operativo soporta particionado de discos, es conveniente considerar particionar sistemas de ficheros para separar funciones críticas de otras actividades.
  • Observar el rendimiento y estabilidad de las lineas básicas de la actividad cotidiana. Observar niveles inusuales de actividad de disco, uso de CPU o tráfico de red.
  • Examinar rutinariamente la seguridad física. Considerar servidores, routers, terminales, puntos de acceso a la red y otros componentes del sistema.
  • Utilizar Tripwire o una herramienta similar para detectar cambios en la información sobre configuración o de otros ficheros. Para mas información revisar: http://www.cert.org/tech_tips/home_networks.html
  • Colocar y mantener "hot spares" - máquinas que pueden ser puestas en servicio rápidamente en el momento que una máquina se ha desactivado.
  • Activar en la red configuraciones redundantes y tolerantes a fallos.
  • Establecer y mantener calendarios y políticas de backup, sobre todo para información importante sobre configuración.
  • Establecer y mantener políticas de claves apropiadas, especialmente para acceso a cuentas con privilegios como es la de root. Muchas organizaciones pueden sufrir perdidas financieras como resultado de estos ataques y pueden decidir presentar cargos contra el intruso. Para asuntos legales, recomendamos consultar con asesores legales.

Copyright 1997 Carnegie Mellon University.

Nota del PutoAmo: Si deseas inforación relevante a todo este tipo de denegación de servicios, busca en:
http://www.cert.org/tech_tips/
http://www.cert.org/advisories/