Sutiles formas de ataque: DoS (Denegación de Servicio)

Muchas veces la seguridad de un sistema hace que un atacante inexperto tenga un sentimiento de frustración. Algunos de estos atacantes, sintiéndose inútiles e incapaces lanzan un ataque DoS como ultimo recurso. Unas veces es simplemente por motivos personales o políticos. Otras veces los atacantes realizan un ataque DoS porque les es necesario a fin de vulnerar un sistema: puede ser que los atacantes necesiten que un sistema caiga para que un administrador de él lo reinicie. Un sistema es muy fácil vulnerarlo justo durante el reinicio antes que todos los servicios estén totalmente operativos.

La acción de una caída inexplicable de un sistema conectado a Internet debería atraer la atención del administrador sobre la posibilidad de estar sufriendo un ataque, pero por desgracia, la mayoría de los administradores no le dan importancia y reinician el sistema sin pensarlo mucho.

Aunque es imposible analizar todos los posibles motivos de un ataque, no debemos olvidar que Internet no es muy diferente a la vida real. No todas las personas son normales: hay quien disfruta haciendo maldades y cualquier ataque o posible conquista le da sensación de poder. Y recordemos también, que es mucho más idéntico a la vida real de lo que parece: nadie regala nada por nada y por tanto, nadie nos va a reglara nada en la vida real…. ni en Internet. Todo lo que aparentemente es gratis o de fácil adquisición, llevará “regalo” incorporado. Los usuarios finales deben ser muy precavidos con el riesgo actual que conllevan las redes P2P: nada es gratis.

Recordemos de todas formas que cualquier hacker experto detesta este tipo de ataques y detesta a quienes los realizan. Es típico de script-kiddies (los niños script). Por desgracia estos ataques DoS son los seleccionados por los cyberterroristas que según vamos viendo, cada día están en aumento.

TCP/IP es un protocolo de comunicaciones abierto y totalmente documentado. No tiene seguridad: se diseñó para su empleo en una comunidad abierta y confiada y la versión que estamos usando tiene defectos inherentes y graves. No puede modificarse o implementarse otro tipo de seguridad por el simple motivo que Internet dejaría de funcionar. Igualmente muchas implementaciones del tcp/ip en sistemas operativos e incluso dispositivos físicos de red tienen defectos que debilitan su capacidad para resistir ataques DoS.

Hay todavía sistemas y servidores en Internet totalmente operativos en viejos sistemas unix y linux, o sistemas sin parchear por sus administradores, que se desmoronan ante un reenrutamiento de ICMP simple si se utiliza un parámetro no válido.

Existen muchas herramientas igualmente en la red para realizar de manera sistemática ataques DoS.

VARIANTES DE ATAQUES DoS

Los más viejos y elementales son los de “consumo de ancho de banda”. Consiste simplemente en consumir todo el ancho de banda, es relativamente sencillo:

* Por ejemplo un servidor de Internet pequeño, un adsl típico, con una entrada de 512 Kb. Desde un equipo malintecionado con un ancho de banda de 2 Mb se realiza el ataque. Equivale al choque frontal de un tren con un triciclo.
* O bien, y es lo más normal, uniendo multitud de pequeñas máquinas para saturar la conexión de red de la victima. Con simples modems de 56 Kb se pueden saturar líneas de 60 Mb de una manera sencilla: puede basarse por ejemplo, en que el atacante convenza a los sistemas amplificadores para enviar trafico de red a la victima consiguiendo de esa manera con un simple modem el enviar a la victima flujos de información de hasta 100 Mb (megas!!). No es difícil usar estas técnicas de amplificación. O bien basarse en sistemas “zombies”, miles, capturados previamente y en espera de ser despertados para organizar un ataque conjunto. En Internet se venden listas de miles de equipos conquistados y lo que es peor: alguien las compra, o puede comprarlas, cuando desea realizar uno de estos ataques.

Cualquier estudiante de redes sabe que el trafico ICMP es peligroso. Es necesario para realizar muchos diagnósticos pero por desgracia, es la bala que se utiliza en los ataques de consumo de ancho de banda. Es relativamente sencillo además falsificar la dirección origen con lo que es sumamente difícil identificar al culpable.

Un segundo tipo de ataque es por “inanición de recursos”. Esta enfocado, en vez de agotar el ancho de banda del sistema atacado, al consumo de los recursos del sistema, a la saturación de la CPU, memoria, lo que sea, hasta que la máquina se cae. Este tipo de ataque, generalmente provoca un fallo general del sistema, o que se llene un disco de log, o procesos que se cuelgan porque necesitan CPU que el sistema no le está proporcionando o se lo proporciona escasamente: y alguno de estos procesos puede ser crítico para el sistema.

Un tercer tipo de ataque DoS es por los “errores de programación”. Envío de datos “anormales”, que no cumplen las RFC (normas de definición del protocolo) al sistema objetivo: si la pila tcp/ip no es capaz de manejar estas excepciones y los programadores no han supuesto estos casos, terminará con la caída del sistema al ser en la capa de drivers que se ejecuta en RING 0 o RING 1 de la maquina. A veces, no son defectos de programación: son defectos del hardware, defectos de algún chip, o defectos de la propia CPU. No está de más recordar el famoso defecto existente en algún Pentium (no voy a citar modelos presentes o pasados) por el cual un proceso, incluso en modo usuario sin privilegios, podía colgar a la CPU con algo tan simple como enviarle la instrucción 0xf00fc7c8 a la CPU.

Recordemos, y no solo los administradores, sino también los usuarios finales, que la existencia de programas, sistemas operativos o incluso hardware y CPU libres de errores…. es una quimera.

Un cuarto tipo de ataque son los ataques DNS y de enrutamiento. La mayoría de los protocolos de enrutamiento como RIP (Routing Information Protocol) o BGP (Border Gateway Protocol) carecen, o tienen una autenticación muy sencilla. Se trata por tanto de un escenario perfecto para que cualquier atacante pueda alterar las rutas correctas y falsificando su IP origen para crear una condición DoS. Las victimas de estos ataques verán como su tráfico se dirige por ejemplo hacia un agujero negro: a una red que no existe. Los ataques DoS sobre servidores de nombres de dominios (DNS) son tan problemáticos como los anteriores. Estos ataques intentan convencer al servidor DNS, por ejemplo, para almacenar direcciones falsas: cuando un servidor DNS realiza una búsqueda el atacante puede redireccionar a su propio servidor o bien a un “agujero negro”. En los últimos años se ha sufrido varias veces ataques a alguno de los servidores “root” DNS de Internet colapsando media red y con tiempos de normalización superiores a las 48 horas.

Articulo escrito por:
Jose Manuel Tella Llop
MS MVP – Windows

Fuente: http://www.jbex.net/2007/01/08/sutiles-formas-de-ataque-dos-denegacion-de-servicio/