Documente Academic
Documente Profesional
Documente Cultură
AbstractBotnets pose one of the most serious Tabla 1. Estadsticas de la duracin de ataques DDoS en
threats to todays Internet, as they could be used to los aos 2014 y 2015.
carry out almost every type of cyber attack. This Duracin Vctimas 2014 Vctimas 2015
paper presents an overview of botnets (horas) (4to trimestre) (1er trimestre)
characteristics focusing on the analysis on Denial of > 150 5 0
Service attacks and current methods to prevent or 100 149 8 3
mitigate them. 50 99 299 121
20 49 735 433
Palabras clave Botnet, denegacin de servicio, 10 19 1679 703
deteccin, prevencin, mitigacin. 59 2161 1426
<4 8425 9594
I. INTRODUCCIN
E L desarrollo acelerado de Internet durante la ltima En este trabajo se clasifican los tipos de ataques de
dcada tuvo como resultado el aumento de los denegacin de servicio ms comunes asociados a
ataques en lnea. Entre los ataques ms dainos se Botnets. Tambin se muestran tcnicas para su
encuentra el ataque de denegacin de servicio (DoS deteccin, prevencin y mitigacin finalizando con un
Denial of Service), en especial cuando este es distribuido anlisis en un escenario real.
(DDoS). Este ataque sobrecarga y eventualmente niega
el acceso de usuarios a una determinada red, de modo II. CLASIFICACIN DE ATAQUES DDOS
que provoca la denegacin de servicio; representa uno Antes de clasificar los ataques DDoS es necesario
de los usos ms comunes para las denominadas Botnet. mencionar el modelo de interconexin de sistemas
Una Botnet representa a mltiples dispositivos abiertos (Modelo OSI), que es un modelo de referencia
comprometidos (denominados bots), que son infectados para los protocolos de la red y se encuentra estructurado
con software malintencionado y controlados de forma en 7 capas que definen cmo es el proceso de
remota con distintos fines. comunicaciones en las redes de datos.
Un reporte presentado en el ao 2015 por la empresa Los ataques DDoS pueden estar asociados a las capas
Kaspersky recolecta informacin sobre ataques de tipo 3, 4 y 7 del modelo [2].
DDoS [1]. Entre los principales hallazgos del reporte La capa 3 (capa de red) es responsable del envo de
encontramos: paquetes, incluida la informacin de enrutamiento. En
23.095 ataques de tipo DDoS mediante cambio, la capa 4 (capa de transporte) es la encargada
Botnets en el primer trimestre de 2015. de proveer comunicacin de extremo a extremo para las
aplicaciones, adems de varios servicios. Los protocolos
12.281 vctimas del ataque DDoS en el primer ms utilizados presentes en esta capa son el protocolo
trimestre de 2015. de control de transmisin (TCP) y el protocolo de
Los ataques DDoS ms comunes en el primer datagrama de usuario (UDP).
trimestre de 2015 fueron SYN DDoS y HTTP
A. Asociados a las capas red y transporte
DDoS.
Dentro de esta categora se encuentra cualquier tipo de
Como lo muestra la Tabla 1, la mayor cantidad de ataque de inundacin mediante TCP o UDP y tambin los
ataques de tipo DDoS mediante una Botnet tiene una ataques de amplificacin y reflexin.
duracin inferior a cuatro horas. Esta es una de las Se describen los ms comunes a continuacin.
caractersticas ms importantes para un anlisis del dao
potencial de estos ataques.
2
1 3
Bit de control para el manejo de una unidad de datos de protocolo. Este campo en paquetes fragmentados indica la posicin, en unidades de
2
Identifica el byte del flujo de datos enviado por el emisor TCP al receptor 64 bits, que ocupa el paquete actual dentro del datagrama original.
TCP que representa el primer byte de datos del segmento.
3
4
Algoritmo matemtico que transforma cualquier bloque arbitrario de datos
en una nueva serie de caracteres de con una longitud fija.
4
registro, elevar permisos, recursos del sistema progreso, lo nico que se puede lograr es mitigar sus
asociados, entre otros. efectos.
Primero, se determinarn los factores que facilitan un
C. Basadas en la red ataque de denegacin de servicio:
En la deteccin basada en la red, el comportamiento
de la red es caracterizado como la firma. Se analizan Mquinas comprometidas.
varios aspectos de la red incluidas las direcciones IP a Servicios mal configurados (amplificacin).
las que se establecen comunicaciones, puertos, servicios
y protocolos utilizados como: TCP, UDP, HTTP, etc. Falta de filtrado de redes Bogons.
Un patrn de trfico entre maquinas tambin puede ser Falta de filtrado con BCP-38
caracterizado como una firma.
Entre las caractersticas que constituyen el patrn Se puede evitar el primer factor concientizando a los
encontramos la secuencia, frecuencia, longitud y usuarios de la presencia de software malicioso e
contenido de los mensajes. La comunicacin entre los indicndoles qu cuidados se deben tener; adems, si
bots y el botmaster tendr diferentes firmas que la una maquina de una organizacin se ve comprometida,
comunicacin entre un bot y una vctima. le corresponde al administrador de red solucionarlo y
tambin debe ser el encargado de mantener una correcta
D. Basadas en anomalas configuracin de los servicios en la red.
La deteccin basada en anomalas trata de detectar la El filtrado de redes Bogons presupone el filtrado de
presencia de una Botnet mediante el anlisis de las direcciones IP falsas, que consisten en direcciones an
anomalas presentes en el trfico de la red como: alta no asignadas o delegadas por la Internet Assigned
latencia de red, alto volumen de trfico, trfico presente Numbers Authority (IANA) o por un Registro Regional de
en puertos no utilizados, y comportamiento inusual en Internet delegado (RIR). Para realizar el filtrado, es
hosts que podran indicar la presencia de bots en la red. necesario agregar reglas al router de borde del sistema
5
Esta tcnica se basa en encontrar anomalas en la red, autnomo administrado y as enviar todo el trfico
que pueden ser tanto de un host como de la red en si. La proveniente de estas direcciones IP a una interfaz nula
desventaja de este enfoque es la cantidad de tiempo y en el router.
esfuerzo necesario para capturar y analizar los datos y Hay varias organizaciones que proveen listas
para detectar un comportamiento anormal. denominadas feeds para el filtrado de diversos tipos,
incluyendo Bogons y redes identificadas como Botnets.
E. Basadas en DNS Algunas de estas organizaciones son Spamhaus y Team-
La necesidad de un bot de localizar los recursos Cymru, entre otras.
constituye una ventaja para la deteccin basada en DNS. Con respecto al ltimo factor, BCP implica las mejores
Si se trata de una arquitectura centralizada de Botnet, el prcticas actuales, y se referencian en una serie de
bot deber contactar al botmaster para obtener documentos publicados por la organizacin IEEE
instrucciones. El objetivo es monitorear el trafico DNS (Institute of Electrical and Electronics Engineers) que
para obtener, si es posible, la direccin IP del botmaster. detalla pautas, procesos y mtodos no estandarizados.
La desventaja de esta tcnica est en que no funciona En particular, BCP-38 detalla cmo evitar las direcciones
en todo tipo de Botnets y la direccin IP del botmaster IP adulteradas, ms all de las direcciones IP Bogon.
puede cambiar frecuentemente. En la Figura 1 se muestra cmo esta tcnica puede
evitar por completo la falsificacin de direcciones IP
F. Anlisis de datos origen en tales escenarios.
Esta tcnica es la ms abarcadora de todas. La
actividad de los hosts en una red es monitoreada y
registrada. Se examinan todos los archivos de registro
disponibles, relacionando los registros con posibles
eventos, como un incremento notorio en el trfico de la
red, para obtener ms informacin.
Este trabajo va a estar enfocado al monitoreo y anlisis
de datos como tcnica de deteccin.
5
Se define como un grupo de redes IP que poseen polticas de rutas propias
e independientes. El nmero de sistema autnomo define unvocamente las
redes en Internet.
5
collector, que es el responsable de su recepcin, trivial para otros. Por lo general, le resulta ms sencillo al
almacenamiento y pre-procesamiento. Luego, es posible atacante buscar amplificar el trfico generado por su
realizar un anlisis de los flujos de forma manual o a Botnet en lugar de intentar controlar ms bots, lo que no
travs de otras herramientas [7]. representa una tarea sencilla.
Un flujo de NetFlow (flow) representa una cadena de La UNLP posee servidores DNS capaces de responder
paquetes entre un origen y un destino. En cada flujo se consultas de una red externa, pero no es deseable que
incluyen siete campos llave para su identificacin: estas respuestas DNS posean un grado de amplificacin.
6
Estos servidores autoritativos no deben responder de
Direccin IP de origen. manera recursiva ante consultas externas y, se debe
Direccin IP de destino. configurar adecuadamente el DNS RRL (Limite del ratio
de respuesta, por sus siglas en ingls) para evitar ser
Nmero de puerto origen. utilizados en ataques de amplificacin.
Nmero de puerto destino. En la Figura 3 se muestra un grfico generado con la
herramienta Nfsen de flujos de NetFlow que representan
Tipo de protocolo de capa 3. el trfico DNS del mes de octubre de 2016.
Tipo de servicio (ToS).
Interfaz lgica de entrada.
Estos siete campos definen un flujo nico. Si un
paquete posee algn campo llave diferente de otro
paquete, se considera que pertenece a otro flujo.
6
Servidor que contiene los registros de recursos para una zona.
7
En la Figura 5, se observa el mismo grfico pero con la Figura 6. Grfico generado por Nfsen.
direccin IP de destino, es decir, los hosts de la red
163.10.0.0/16 a los que se les est realizando consultas Los picos de trfico presentes en la Figura 6
DNS para lograr amplificacin (se ocultaron las representan, en realidad, un trfico normal, teniendo en
direcciones IP para mantener el anonimato). cuenta la lnea base de trfico total de la red y el alto
consumo durante el da, en comparacin con la noche.
Un solo host se vio involucrado en una denegacin de
servicio y, claro est, que un solo host no puede generar
una cantidad de trfico tan considerable como para
modificar de manera notoria el grfico generado por
Nfsen.
En la Figura 7 se puede visualizar la informacin (con
la direccin IP origen oculta) del trfico mostrada por
Nfsen. En una ventana de aproximadamente 8 horas, el
Figura 5. Trfico DNS con direccin IP destino host envi ms de 300 Mb de datos, y si bien no hay
forma de darse cuenta visualmente, este host se
Cada una de estas direcciones IP de destino posee un encuentra comprometido de cierta manera.
consumo de bps menor a la lnea base pero, en conjunto,
la sobrepasan. Es decir que hay mltiples direcciones de
host en la red que estn respondiendo consultas de
amplificacin y en conjunto generan un trfico de red
considerable.
El atacante puede aprovechar este exceso de trfico
Figura 7. Datos mostrados por Nfsen.
envindolo hacia una vctima a travs de la falsificacin
de la direccin IP de origen de la consulta. Al realizar una Se puede observar en la Figura 7 que el puerto del host
consulta DNS manualmente con las direcciones IP de comprometido es el 111. Este puerto es utilizado por el
origen de la Figura 4, se vio que las direcciones no servicio PortMap, un servicio que cuando un cliente RPC
pertenecen a ningn servicio en especfico. Esto podra (Remote Procedure Call) desea realizar un llamado, le
indicar que el atacante intentaba generar trfico en la red indica qu puerto TCP o UDP debe utilizar.
interna de la UNLP, o que est investigando y Cuando se consulta este servicio, la cantidad de bytes
acumulando direcciones IP de servidores DNS con en la respuesta puede variar, pero por lo general posee
amplificacin para un ataque posterior. cierto grado de amplificacin. Adems, como UDP
El encargado de corregir el problema es el permite la falsificacin de direcciones IP. Un atacante
administrador de los hosts que poseen amplificacin, y puede enviar una peticin al servicio PortMap utilizando
deber tomar las medidas adecuadas para que, en caso la direccin IP de la vctima y el servicio responder de
de tener un servidor DNS vlido en esa direccin IP de manera amplificada a dicha direccin IP. Esto es
destino, la respuesta no sea amplificada. exactamente lo que ocurri en este escenario.
Detectar trfico anmalo en la red solamente El host puede o no estar infectado con software
observando los grficos puede no ser tan evidente en malintencionado, pero al poseer una mala configuracin
varias ocasiones. Por ejemplo, en el siguiente caso, se del servicio PortMap genera como consecuencia
recibi un reporte externo que indicaba que un host de la respuestas amplificadas.
UNLP se vio involucrado en un ataque de DDoS. Como Resulta muy difcil realizar un anlisis manual de este
la direccin IP de origen puede ser falsificada, dicho host tipo de aspectos. Como solucin a esta clase de
puede o no haber participado en el ataque. Se muestra problemticas, se explicar el funcionamiento de la
en la Figura 6 el grfico generado por Nfsen en el herramienta FastNetMon, que automatiza estos anlisis
intervalo de tiempo del ataque. de forma conjunta con herramientas como Grafana, para
generar grficos en tiempo real y mostrar anomalas.
8
2) FastNetMon y Grafana
Como muestra la Figura 8, Grafana permite una mayor dispositivos IoT como routers y cmaras digitales, entre
versatilidad que Nfsen para visualizar los grficos. Puede otros, aprovechando vulnerabilidades en su firmware y en
graficar los NetFlows en tiempo real, tambin permite sus sistemas operativos, para realizar un ataque de
visualizar datos estadsticos como mximo, mnimo, DDoS [8].
promedio y tasa actual del trfico. Adems es posible Muchos dispositivos IoT funcionan con usuario y
graficar el trfico de distintos bloques de red por separado contrasea asignados por defecto, por lo que el malware
permitiendo simplificar el anlisis. toma ventaja de esta situacin para acceder e infectarlos.
FastNetMon por otro lado, es un analizador de ataques El ataque a Dyn logr la denegacin de servicio, de
de DoS/DDoS que permite trabajar con varios modo que imposibilit el ingreso por parte de los usuarios
mecanismos de captura de trfico, entre ellos NetFlow. a sitios que utilizan los servicios de esta empresa.
Es una herramienta sencilla de configurar; la Mirai est disponible en internet como cdigo abierto,
configuracin ms importante est en los denominados es decir, que cualquier persona sin necesidad de poseer
Thresholds (lmites) de pps (paquetes por segundo), demasiados conocimientos tcnicos puede utilizar este
Mbps y Flujos. Esto le da informacin a la herramienta software y as aprovechar la situacin actual de los
acerca de qu se debe considerar como un ataque y qu dispositivos IoT para coordinar un ataque de denegacin
no, a partir del limite establecido de forma manual. de servicio.
Tambin provee entre sus funcionalidades la posibilidad
de aplicar la tcnica de RTBH de forma automtica al VII. CONCLUSIN
detectarse un ataque, a travs de la herramienta
HexaBGP. A pesar de que un ataque de denegacin de servicio,
FastNetMon en conjunto con Grafana permiten por lo general, tiene una duracin menor a cuatro
identificar de manera sencilla cualquier anomala en el horas, es capaz de causar daos importantes a una
trfico de red de forma visual y enviar alertas. organizacin y, debido a la relativa simplicidad para
coordinar este tipo de ataques, las organizaciones
deben mantenerse alerta.
VI. IOT Y DDOS Se analizaron algunos de los tipos de ataques ms
IoT (Internet de las cosas, por sus siglas en ingls) es comunes, como detectar una Botnet empleando
un concepto que se refiere a la interconexin digital de diversas tcnicas y las mejores prcticas para su
dispositivos cotidianos a internet; esto quiere decir que mitigacin o prevencin, incluyendo un anlisis sobre
cada vez hay ms dispositivos de distintos tipos un escenario real y herramientas para su
conectados a internet. El problema est en que la automatizacin.
seguridad digital en este tipo de dispositivos est en falta Sin duda uno de los factores ms importantes es la
y, por lo tanto, los atacantes toman ventaja de esta infeccin de los dispositivos causada por malware. Los
situacin creciente. antivirus presentes en los hosts utilizan la tcnica de
Como ejemplo tomamos el ataque de DDoS a la deteccin basada en firmas, pero esta carece de
empresa Dyn, que tuvo lugar el 21 de octubre de 2016, efectividad contra amenazas desconocidas y la base
gracias a los dispositivos IoT. Dyn es una empresa que de datos de firmas debe mantenerse actualizada por el
provee el servicio de DNS a otras grandes empresas usuario. Por ello, el anlisis de trfico en una
como Twitter, Spotify, Github, Amazon, entre otras. organizacin por parte de los administradores es de
Los dispositivos responsables del ataque de gran importancia y, para tal fin, las herramientas
denegacin de servicio fueron dispositivos IoT que propuestas en este trabajo pueden ser de mucha
utilizan el malware denominado Mirai para controlar la utilidad.
Botnet. Este malware tiene como objetivo infectar a Ms all del anlisis de datos, tambin se deben
tomar medidas proactivas en la organizacin, es decir,
se deben aplicar polticas de filtrado, como el filtrado de
9
7
Es la interconexin voluntaria de sistemas autnomos con el fin de
intercambiar trfico de los clientes de cada red.
10
BGP. El router ISP-A, adems, le provee el servicio de una respuesta con ms informacin para lograr una
RTBH a la organizacin Syper. mayor amplificacin. Si la direccin IP del resolver no
Todo el trfico que no sea entre las organizaciones est configurada en cada host, es necesario especificar
definidas puede salir hacia internet a travs del enlace la direccin IP del servidor que resolver la consulta DNS,
con la maquina virtual eth2. eso se hace especificando la direccin IP del servidor
seguida del smbolo @.
Esta consulta se captura utilizando el comando
tcpdump en el router de puerta de enlace
predeterminada de los hosts (n19). Una vez hecho esto,
hay que cambiar la direccin IP origen por la direccin IP
de la vctima para que la respuesta generada por DNS-
UNLP sea dirigida a la vctima. Esto se realiza utilizando
la herramienta bittwist que permite adulterar las
direcciones IP sobre paquetes capturados y luego
reenviarlos.
En la Figura A-5 se puede observar el paquete original
de consulta DNS. Luego de modificar la IP origen con la
Figura A-3. Topologa de red de la UNLP. IP de la vctima se obtiene el paquete malicioso (Figura
A-6).
Finalmente, la organizacin UNLP posee 10 hosts
comprometidos, un router de borde para comunicarse
con el proveedor de internet y un resolver DNS que
permite a los hosts de la organizacin realizar consultas Figura A-5. Paquete de consulta DNS.
DNS recursivas, es decir, es el encargado de hacer todas
las consultas DNS necesarias y devolver la respuesta
final al host que le consult. Figura A-6. Paquete de consulta DNS con IP origen
A fines de la emulacin, el botmaster en este caso est modificada.
representado por la maquina virtual, enviando los
comandos que deben ejecutar los bots. El dominio consultado fue google.com, y se obtuvo
La pgina web www.syper.edu es accesible desde una respuesta de aproximadamente 400 bytes del
internet como lo muestra la Figura A-4. resolver por cada consulta. Lo ideal es obtener una
respuesta DNS con la mayor cantidad de bytes posible,
tratando de evitar que la respuesta sea encapsulada en
TCP. Al no establecerse una conexin en UDP resulta
ms sencillo adulterar la direccin IP.
Una vez obtenido el paquete malicioso, mediante la
herramienta bittwist, se lo puede recrear para lograr que
cada bot enve consultas recursivas al resolver y este le
responda al servidor web de la organizacin Syper. De
esta manera, comienza el ataque de denegacin de
servicio.
Desde la organizacin Syper, la pgina web
Figura A-4. Sitio web www.syper.edu. www.syper.edu deja de ser accesible a los usuarios. En
la Figura A-7 se muestra como el Nfsen grfica los
Si el ancho de banda de la organizacin est saturado, NetFlows.
los servicios prestados por la organizacin dejarn de ser
accesibles para los usuarios.
Utilizando la Botnet se realizar un ataque de
amplificacin DNS. Para esto, primero se hace una
peticin legtima al resolver DNS-UNLP mediante el
siguiente comando:
dig any dominio-consultado @163.10.251.10
El comando dig (domain information groper) permite
realizar consultas DNS desde el intrprete de comandos Figura A-7. Grfico de NetFlows por Nfsen durante el
bash. La palabra clave any permite obtener todos los comienzo del ataque.
tipos de registro DNS, en otras palabras, permite obtener
11
Como no haba trfico hacia la red de Syper previo al anunciada por el router sern enviados a un black-hole
ataque, directamente se visualiza el ancho de banda por el ISP que descarta los paquetes.
consumido por el ataque. La configuracin del router del ISP es la siguiente:
En la Figura A-8 se muestra la informacin del trfico
router bgp 128
mostrado en color verde sobre la Figura A-7.
neighbor 10.0.1.1 remote-as 2200
neighbor 10.0.1.1 route-map black-hole in
neighbor 10.0.2.2 remote-as 128
ip community-list standard bh permit 6969:666
route-map black-hole permit 10
match community bh
Figura A-8. Informacin de NetFlows mostrada por Nfsen.
set ip next-hop 10.0.6.10
Se observa que casi todo el ancho de banda est
siendo consumido con trfico de entrada UDP de set local-preference 300
respuestas DNS y cierta porcin del trfico es ICMP. El El router del ISP debe establecer el peering BGP con
trfico ICMP representa mensajes de Puerto el router Syper-Borde y el router ISP-B, pero impone
inalcanzable generados por la vctima hacia el resolver ciertas reglas de entrada a las rutas anunciadas por el
DNS-UNLP. Esto se debe a que, como la vctima no se router Syper-Borde, mediante el comando route-map. El
encuentra a la espera de una respuesta DNS en un comando match community bh evala si la ruta
puerto UDP, este resulta inalcanzable y se genera el anunciada posee la comunidad 6969:666 y, de ser as, le
mensaje ICMP configura un siguiente salto con la direccin IP 10.0.6.10
La gran desventaja de Nfsen es que demora 5 minutos (Sinkhole) donde los paquetes sern descartados.
para actualizar los datos del grfico, y no permite Adems, le configura una preferencia local de 300 para
reaccionar en el momento real del inicio del ataque. que esa ruta tenga ms prioridad que las otras en la tabla
Una vez que se detect el ataque en la organizacin de ruteo y, por lo tanto, sea la elegida.
Syper, es necesario implementar algn tipo de Hay diversas implementaciones de RTBH con distintos
contramedida. En este caso se va a implementar la fines. Por lo general, el siguiente salto se configura hacia
tcnica de RTBH, donde el router Syper-Borde anuncia una interfaz virtual denominada loopback del router del
una ruta a travs de BGP al router del ISP, para que enve ISP, pero debido a limitaciones de la emulacin de
todo el trfico destinado a esa IP a un Sinkhole donde Quagga, esto no es posible.
ser descartado. Como el ataque dirigido hacia el host 193.81.7.10 de
La configuracin BGP relevante al RTBH del router Syper consume el ancho de banda de toda la
Syper-Borde es la siguiente: organizacin, hace que todos los servicios prestados
router bgp 2200 sean inalcanzables para los usuarios.
Para evitarlo, en el router Syper-Borde dispositivo
network 193.81.7.0/24 disparador se ejecuta el siguiente comando:
redistribute static route-map black-hole ip route 193.81.7.10 Null0
neighbor 10.0.1.2 remote-as 128 De esta manera, se descarta en el ISP todo el trfico
route-map black-hole permit 10 dirigido al servidor web, y el ancho de banda de la
organizacin vuelve a quedar disponible como muestra la
set community 6969:666
Figura A-9.
Se establece un peering BGP con el router del ISP
mediante el comando neighbor 10.0.1.2 remote-as 128;
luego, con el comando redistribute static route-map
black-hole se indica que las rutas estticas creadas se
anunciarn al router ISP-A y se marcarn con la
comunidad 6969:666, para que luego el ISP-A pueda
aplicar las reglas correspondientes.
En otras palabras, el router de la organizacin
simplemente tiene que ingresar el comando ip route
direccin-IP Null0, donde la direccin IP puede ser la de
Figura A-9. Grfico de NetFlows por Nfsen al finalizar el
un host de la organizacin o la de un bloque entero.
ataque.
Luego, todos los paquetes destinados a la direccin
12