| Start of #redes buffer: Fri Dec 07 23:24:32 2001 |
| viXard | Hola a todos, y bienvenidos a esta charla |
|---|
| viXard | esta sesion fue creada para hacer su vida en Internet, mas agradable |
|---|
| viXard | los topicos a cubrir son: |
|---|
| viXard | 1) ataques modernos |
|---|
| viXard | 2) alta inicidencia de ataques |
|---|
| viXard | 4) infraestructuras de ataques |
|---|
| viXard | 5) ataques via LAN |
|---|
| viXard | 6) DDoS |
|---|
| viXard | 7) como filtrar con FreeBSD |
|---|
| viXard | 8) proteccion de interfaces de enrutadores |
|---|
| viXard | y la ultima informacion para la poblacion windows-cliente |
|---|
| viXard | El primer topico a cubrir es el ataque via ICMP |
|---|
| viXard | los viejos programas escolares, envian enormes paquetes a las maquinas con windows |
|---|
| viXard | cualquier windows, 9x, NT, Me, el que sea |
|---|
| viXard | que es "jolt" ??? |
|---|
| viXard | cuando windows intenta re-ensamblar estos paquetes |
|---|
| viXard | en datos de para uso |
|---|
| viXard | no puede, y la conexion decae y muere |
|---|
| viXard | imagine la cantidad de reboots que esto provoca |
|---|
| viXard | diferencias entre ssping y jolt (no conozco su traduccion) |
|---|
| viXard | el jolt envia grandes y siobrecargados paquetes en maquinas con windows |
|---|
| Ston | viXard: ssping y jolt son dos programas para DoS ;) (Exploit) |
|---|
| viXard | spiing envia pequeños paquetes, asi que esa es la diferencia principal |
|---|
| viXard | ahora, winnuke es un paquete tcp enviado al pùerto 139, comunmente conocido como el puerto netbios |
|---|
| viXard | winnuke envia paquetes "fuera de banda" |
|---|
| viXard | FDB, tambien puede enviar paquetes a otros puertos |
|---|
| viXard | asi que para resumir FDB no rompera nada |
|---|
| viXard | de hecho, por esto es que muchos bloqueadores de puertos trabajan para windows |
|---|
| viXard | el otro lo explicare antes del DoS. El spiing. |
|---|
| viXard | spiing funciona sobre el protocolo ICMP |
|---|
| viXard | 1) solo esta concebido para LANs |
|---|
| viXard | 2) es facil de spoof(ear) |
|---|
| viXard | 3) su implementacion no parece ser la misma que para BSD/Linux, etc |
|---|
| viXard | ahora, windows por ser algo tan mal hecho |
|---|
| viXard | espera a que el paquete icmp sea de 654 bytes |
|---|
| viXard | asi que, que es lo que spiing hace ? |
|---|
| viXard | cuando windows trata de decifrar el paquete |
|---|
| viXard | necesito que me releven |
|---|
| dani | para decirlo de forma sencilla, escritura de memoria |
|---|
| dani | cuando windows intenta escribir algo de un cierto tamaño y no puede hacerlo, sobreescribe memoria y probablemente se bloquea |
|---|
| dani | dejenme explicar nuevamente lo que hace jolt |
|---|
| dani | jolt envia paquetes sobredimensionados como les explicaba anteriormente |
|---|
| dani | simplemente para engañar a la maquina con windows |
|---|
| dani | los ordenadores mac pueden verse afectados por esto |
|---|
| dani | pero no los sistemas UNIX |
|---|
| dani | por tanto si estan usando ordenadores UNIX/MacOS no deben preocuparse por este fallo |
|---|
| dani | porsupuesto, un MacOS puede ser derribado, pero no les voy a dar el codigo ;) |
|---|
| dani | bien.. ahora les voy a explicar los ataces DoS modernos.. |
|---|
| dani | antes de nada.. los ataques de denegacion de servicios (DoS) modernos no tienen nada que ver con los anteriores |
|---|
| dani | los ataques modernos que destruyen servicios suelen encontrarse en una de las siguientes categorias |
|---|
| dani | cualquier tipo de flood que aun que no este pensado para saturar el ancho de banda provoca un alto consumo de recursos, CPU y capacidad de proceso, puede ser devastador |
|---|
| dani | en este caso el "SYN flood" |
|---|
| dani | la ovolucion de los "SYN floods" ha evolucionado de forma separada a los floods de alta frecuencia, por lo que ahora tiene "vida propia" |
|---|
| dani | ahora dejenme explicar muy brevemente como proteger su ordenador con FreeBSD de ataques de SYN |
|---|
| dani | pueden añadir simplemente esta linea a su kernel, deberia ayudar |
|---|
| dani | options TCP_DROP_SYNFIN |
|---|
| dani | aparte de esto.. ya es cuestion de tiempo y CPU. |
|---|
| dani | por lo tanto.. tengan cuidado |
|---|
| dani | el segundo tipo es el attaque a la infraestructura |
|---|
| dani | para victimas bien protegidas, deberia ser mas facil meter algo a traves de la red que se encargue de enviar paquetes directamente a la targeta de red real |
|---|
| dani | entonces, DoS es mucho mas que simplemente la multiplicacion de las fuentes de ataque |
|---|
| dani | esto proporciona caracteristicas muy diversas, oscuridad, invisibilidad, desmoralizacion de la victima |
|---|
| dani | el proximo titulo seran los ataques de "flood" de alta frecuencia |
|---|
| dani | cuando digo "flood" de alta frecuencia quiero decir SYN "flood" |
|---|
| dani | creanme.. los "SYN floods" son realmente devastadores |
|---|
| dani | tengo que dirigir todos las fuentes de ateque a su destino para desconectar redes, simplemente no puedes hacer mucho para detener ataques SYN |
|---|
| dani | la mision principal de un "SYN flood" es provocar una pequeña cola de conexiones semi-abiertas usando un ancho de banda minimo |
|---|
| dani | esto hace que no se acepten nuevas conexiones y consuma CPU |
|---|
| dani | especialmente si pose un equipo con pocos recursos como mi pentium 100mhz, esto es realmente aterrador |
|---|
| dani | por otro lado este ataque se opone a la implementecion tcp |
|---|
| viXard | Vamos a la seccion 4 amigos |
|---|
| dani | se puede usar desde conexiones telefonicas T1/T3 o con mayor ancho de banda para atacar |
|---|
| viXard | el ataque a una infraestructura de red...... |
|---|
| viXard | sigo yo |
|---|
| dani | thx ;) |
|---|
| viXard | el diseño de muchos routers envuelve un procesador central |
|---|
| viXard | el cual maneja protocolos de enrutamiento y funciones administrativas |
|---|
| viXard | no importa si es un cisco, un juniper, lo que sea |
|---|
| viXard | todos tienen procesador, ram, etc |
|---|
| viXard | casi como una pequeña computadora para hacer tyrabajops de redes |
|---|
| viXard | el diseño tradicional pàra los enrutadores |
|---|
| viXard | hace que el procesador le preste mucha atencion a los paquetes pequeños |
|---|
| viXard | asi que tengan pendiente que una gran cantidad de estos paquetes, puede romper el procesador |
|---|
| viXard | con un gran ataque |
|---|
| viXard | sin embargo, creo que la serie cisco 12000, usa procesadores distribuidos para cada interface, para manejar las mayoria de los enrutamientos |
|---|
| viXard | sin tocar el procesador principal usado para los protocolos de enrutamiento conocimiento general |
|---|
| viXard | cuando el procesador que maneja las funciones administrativas y de enrutamiento timeout) |
|---|
| viXard | maneja cualquier paquete, particularmente cuando maneja funciones de horario |
|---|
| viXard | es muy vulnerable a un ataque de negacion de servicios (DoS) |
|---|
| viXard | Pienso que debemos aquirir interfaces individuales para que el cisco continue reenviando paquetes, |
|---|
| viXard | Asi que cuando experimenten un gran ataque, ud deberian ver que el router ni siquiera |
|---|
| viXard | responde a la conexion de consola local |
|---|
| viXard | ya que el CPU invierte su tiempo de procesamiento en interrupciones y paquetes |
|---|
| <viXard |
| viXard | o sea, no hay que intentar hacer algo al respeto, simplemente desenchufar el cable y esperar a que se pare por otra parte, los ataques que sobrecargan los procesadores del router pueden ser especialmente peligrosos cuando se altera el BGP |
|---|
| viXard | Si un router que "habla" BGP es desconectado el suficiente tiempo para que susconexiones expiren su tiempo de vida y se corten, las rutas se rinden... |
|---|
| viXard | y, mas... |
|---|
| viXard | si esto elimina la ruta usada para llevar a cabo el ataque, la la victima se vuelve inalcanzable y el ataque es descartado. |
|---|
| viXard | eso deberia volver a la vida el router tambien |
|---|
| viXard | pero, tan pronto como la conexion es restablecida, el ataque empieza otra vez... |
|---|
| viXard | (espero que esto explique un poco porque no quiero que aprendas conocimientos de DoS, peter ;) |
|---|
| viXard | ok |
|---|
| viXard | vamos a hablar sobre enruteadores juniper ahora |
|---|
| viXard | no estoy tan familiarizado con los juniper, de hecho, los conozco un poco porque tuve que trabajar con FreeBSD+juniper ;) |
|---|
| viXard | todo lo que se es que los juniper se comportan mucho mejor ante este tipo de ataque debido a su clara separacion entre el procesamiento de paquetes y en motor enruteador. |
|---|
| viXard | es por esto que me gustan los junipers ;) |
|---|
| viXard | incluso paquetes excepcionales que no pueden ser manejados por un ASIC tienen un procesador dedicado que limita el potencial destructivo de este tipo de ataque |
|---|
| viXard | perdon por el retraso, estoy leyendo el canal #qc tambien ;) |
|---|
| velco | #qc mmm, tengo una idea sobre DDoS, en lugar de atacar con DDoS el objetivo original, sus medidas de defensa, e.g. cortar las rutas, aislando "rooted"hosts innocentes que transportan el ataque. |
|---|
| viXard | no debes |
|---|
| <viXard> |
| viXard | velco, no quieres cortar tu caudal de salida y hacer que ellos descarten tus paquetes compañero |
|---|
| viXard | ahora... |
|---|
| viXard | la manera mas comun de atacar un enruteador es dirigir los paquetes hacia alguna de sus interfaces locales |
|---|
| viXard | ya sea cisco, junpier, etc , sea cual sea es la forma mas facil |
|---|
| viXard | algunos compañeros me estan escribiendo preguntandome sobre los ataques Smurf, lo explicare mas adelante tambien.. |
|---|
| viXard | disculpas si me he saltado los ataques Smurf |
|---|
| viXard | vamos a seguir hablando sobre enruteadores |
|---|
| viXard | un enruteador grp cisco puede ser tirado con tan solo 20,000 paquetes por segundo aproximadamente, no lo se exactamente ( no soy una maquina, otra vez compañeros, horape, riel o cualquiero otro probablemente sabras mas de enruteadores que yo..) |
|---|
| viXard | la parte graciosa es.. |
|---|
| viXard | puertos syn no solo pueden ser mandados a puertos abiertos en el router como el telnet.. |
|---|
| viXard | pero floods a puertos aleatorios pueden ser mucho mas destructivos.. |
|---|
| viXard | otro metodo para generar paquetes excepcionales es usar opciones IP |
|---|
| viXard | como hrm |
|---|
| viXard | reservas (caches) del enruteador |
|---|
| viXard | la parte mas dañina de un flood de SYN es el rst y las contestaciones ack generadas en respuesta.. |
|---|
| viXard | pero no hay que preocuparse, explicare como proteger enruteadores aleatorios ante este tipo de problemas ;-) |
|---|
| viXard | entonces |
|---|
| viXard | para mi buen conocido amigo ramiro alias zero, proporciones elevadas de paquetes/segundo se pueden generar tambien con una modificacion de uso normal de un ataque Smurf |
|---|
| viXard | como funciona? |
|---|
| viXard | usando el broadcast de la red |
|---|
| viXard | eso intentara generar paquetes dañinos para el router en lugar de grandes paquetes diseñados para ocupar una gran cantidad de ancho de banda... |
|---|
| viXard | una vez, mi amigo ramiro (zero) intento Smufear a su vecino porke estaba usando demasiado ancho de banda (tened en mente que estan compartiendo una linea aDSL) y recibio un golpe con un pesado martillo |
|---|
| viXard | j/k |
|---|
| dardhal | en cualquier caso, el ataque que se elige es siempre SYN flood |
|---|
| dardhal | ¿ Alguna pregunta ? |
|---|
| dardhal | Hgan sus preguntas en el canal #qc |
|---|
| dardhal | A continuación trataré sobre los ataques en las redes locales LAN |
|---|
| dardhal | más que nada porque mi amigo me preguntó al respecto |
|---|
| dardhal | una variante que no suele considerarse del ataque smurf es un flood de broadcast en el nivel de enlace |
|---|
| dardhal | es un ataque como el smurf.... |
|---|
| dardhal | los paquetes se destinan a la dirección IP de broadcast, y el router/gateway los convertirá en un broadcast del nivel de enlace |
|---|
| dardhal | una manera de protegerse de gente como ramiro es desactivar las peticiones de "directed broadcast" (broadcast dirigidos) |
|---|
| dardhal | sim embargo, el atacante causará un ataque por smurf a la LAN si se encuentra en el mismo dominio de broadcast |
|---|
| dardhal | justo como en el ejemplo que les mostré antes chicos |
|---|
| dardhal | ramiro estaba usando el mismo broadcast que su vecino |
|---|
| dardhal | también es posible generar una trama "cruda (raw)" y falsear la dirección MAC de origen para hacer más difícil averiguar el origen del ataque |
|---|
| dardhal | en cualquier caso |
|---|
| dardhal | se pueden conseguir buenos switches que saben distinguir entre el tráfico de broadcast y el de multicast |
|---|
| dardhal | otro área de posibles ataques DoS en LAN son los ICMP falseados |
|---|
| dardhal | eee, ICMP redirigido a ARP :9 |
|---|
| dardhal | esto es todo, lo cual forzará a que el tráfico de un rodeo |
|---|
| dardhal | esto no sólo causará un DoS, sino que redirigirá el tráfico a otra red distinta, para ser observado y tal |
|---|
| dardhal | ¿ alguna pregunta ? |
|---|
| dardhal | ok |
|---|
| dardhal | ya hemos explicado un poco el DDoS |
|---|
| dardhal | y sé que muchos de vosotros estaréis ya un poco cansados/aburridos |
|---|
| dardhal | <zuez> #qc <Ston> el ataque OOB fue resuelto en win98 es cierto que volvio a la luz en winxp ? |
|---|
| dardhal | <zuez> 2000/XP NO son vulnerables. |
|---|
| dardhal | siguiente capítullo, ¿ cómo filtrar ? |
|---|
| dardhal | filtrar el smurf es bastante fácil, y no necesitas ICMP echo replies (respuestas a ping) |
|---|
| dardhal | déjenme mostrarles cómo filtrarlos en los router Cisco |
|---|
| dardhal | no service tcp-small-servers <<--- para evitar el uso de pequeños servicios para DoS u otros ataques |
|---|
| dardhal | eso es tcp-small-servers |
|---|
| dardhal | también pueden añadir: no service udp-small-servers |
|---|
| dardhal | ip route 0.0.0.0.0.0.0.0 null 0 253 <<-- para ignorar pawuetes con IP destino inválidas |
|---|
| dardhal | error en lo anterior, debería ser: ip route 0.0.0.0.0.0.0.0 null 0 255 |
|---|
| dardhal | esto es todo lo profundo que voy a contar de Cisco, si necesitan más ayuda no duden en /msg me para más información |
|---|
| dardhal | o visiten www.cisco.com |
|---|
| dardhal | ip route 0.0.0.0 0.0.0.0 null 0 255 <<-- gracias a horape |
|---|
| dardhal | ok |
|---|
| dardhal | pienso que esta sesión ya está acabando, está llevando ya mucho tiempo |
|---|
| dardhal | ¿ tiene alguien alguna pregunta con respecto de algo ? |
|---|
| dardhal | tiempo de preguntar chicos |
|---|
| dardhal | #qc para las preguntas |
|---|
| dardhal | bien |
|---|
| dardhal | NT: arf, arf :) |
|---|
| elzo | :) |
|---|
| dardhal | aprovechen lo que han aprendido y úsenlo para ayudarse ustedes mismos y a los demás siempre que sea posible |
|---|
| viXard | gracias a todos ;) |
|---|
| dardhal | ¡ buena explicación ! |
|---|
| dardhal | plas plas plas ..... (esto ya no lo traduzco :) |
|---|
| dani | viXard: ein? |
|---|
| Zero | traducilo no entiendo que es plas? :P |
|---|
| dardhal | viXard: soy español, el inglés es sólo por necesidad :) |
|---|
| viXard | ;) |
|---|
| MySQL | dardhal, agradezco tu traducción!!!! |
|---|
| MySQL | bravo por los traductores |
|---|
| dani | Zero: bueno.. "plas" es como "clap" en español XD |
|---|
| viXard | Ston, en que SO ? |
|---|
| dardhal | MySQL: gracias, pero a ver si aprendo a mecanografiar de una vez, que esto no es serior |
|---|
| MySQL | clap clap clap clap clap clap |
|---|
| MySQL | clap clap clap clap clap clap |
|---|
| MySQL | clap clap clap clap clap clap |
|---|
| MySQL | clap clap clap clap clap clap |
|---|
| MySQL | clap clap clap clap clap clap |
|---|
| MySQL | bravo! |
|---|
| MySQL | dani |
|---|
| MySQL | a ti también te agradezco tu traducción!!! |
|---|
| MySQL | bravo! |
|---|
| dardhal | Ya sabéis dónde encontrarme en caso de necesidad, especialmente si la charla es de temática que conozca |
|---|
| MySQL | clap clap clap clap clap clap |
|---|
| MySQL | clap clap clap clap clap clap |
|---|
| MySQL | clap clap clap clap clap clap |
|---|
| viXard | jeje |
|---|
| dardhal | Saludos |
|---|
| viXard | :) |
|---|
| viXard | http://grc.com/dos/ |
|---|
| End of #redes buffer Fri Dec 07 23:24:32 2001 |
