HCIP Seguridad H12 722 Tecnologías de Defensa Contra Ataques a la Red VI

61 0 0 0

Buenas noches


El siguiente POST es laparte 6 de las tecnologías que implemententa el USG6000 de #HUAWEI para defender la red contra ataques, y es parte 3 del tema ATAQUES  AL TRÁFICO DE LA RED.


Este es el link de la parte I:

HCIP Seguridad H12 722 Tecnologías de Defensa Contra Ataques a la Red IV


Este es el Link a la parte II:

HCIP Seguridad H12 722 Tecnologías de Defensa Contra Ataques a la Red V



PRINCIPIOS DE DEFENSA CONTRA ATAQUES DE TRÁFICO PARTE III

 

Defensa contra Ataques del Tipo Paquetes UDP (UDP Packets Attack)

 

Ataques UDP FLOOD

·        Mecanismo de ataque:


·        Los atacantes utilizan zombis para enviar un gran número de paquetes UDP con tamaño excedido a una frecuencia de tiempo alta teniendo como objetico los servidores. Como resultado:

§  Los ataques UDP FLOOD con dirección o puerto cambiantes comprometen el desempeño de los dispositivos que se basan en el reenvío de sesión, las sesiones quedan exhaustas e incluso llegan a quebrar la red.

§  Los ataques UDP estresan el medio y los recursos de red o congestionan los enlaces.

§  Si el puerto UDP de servicio del servidor objetivo recibe un paquete de ataque, el servidor consume sus recursos de hardware para verificar el paquete que es u ataque, afectando el p:r:o:cesamiento de los paquetes de usuarios legítimos.


·        Los ataques basados en paquetes UDP tienen dirección IP y puerto cambiantes, pero la carga útil del paquete no cambia, o cambia con poca regularidad. Se puede configurar relation-defend y fingerprint learning para identificar los ataques UDP FLOOD.

 

Defensa Contra Ataques UDP Asociado Con Defensa de Ataques Sobre TCP

Ø  La siguiente imagen describe el p:r:o:ceso de ataque y defensa sobre ataques UDP, para un mejor entendimiento, no se traducirá el contenido de la imagen, sino la explicación del p:r:o:ceso.

udp asociado

·        Mecanismos de Defensa: si el tráfico UDP es asociado con los servicios TCP, se puede utilizar la defensa contra ataques UDP usando la defensa contra ataques TCP.


·        UDP es un protocolo sin conexión. Por lo tanto, la autenticación de la fuente no aplica para la defensa contra ataques UDP FLOOD. Si UDP utiliza TCP para autenticación y control y algún servicio UDP está bajo ataque, la defensa contra ataques TCP se habilita y entonces el dispositi:v:o anti-DDoS  puede utilizar la defensa contra ataques TCP sobre lista blanca para permitir solo los paquetes. UDP que encuentren coincidencias con la lista blanca.

 

Chequeo de Carga Útil y Aprendizaje de Huella Digital.

Ø  La siguiente imagen describe el p:r:o:ceso de chequeo de carga útil y aprendizaje de huella digital, para un mejor entendimiento, no se traducirá el contenido de la imagen, sino la explicación del p:r:o:ceso.

ch carga util


·        Mecanismo de Defensa: chequeo de carga útil y aprendizaje de huella digital son usados para defensa contra ataques regulares del tipo UDP FLOOD.


·        El aprendizaje de huella digital dinámico y el filtrado de firmas pueden prevenir ataques de paquete cuyas carga útil tenga patrones.


§  Chequeo de Carga Útil: cuando el tráfico UDP excede un umbral específico, el mecanismo de chequeo de carga útil se dispara. Si la carga útil UDP está llena de caracteres repetitivos, tales como 111111…, el dispositi:v:o anti-DDoS lo considera un ataque y descarta el tráfico.


§  Aprendizaje Por Huella Digital: cuando el tráfico UDP excede un umbral específico, el aprendizaje por huella digital se dispara. El dispositi:v:o anti-DDoS  genera huellas digitales de manera automática con base a las características que tienen los paquetes que se utilizan para el ataque y después descarta aquellos paquetes que tienen coincidencia con la base de datos de las huellas digitales registradas. Aplica para la defensa contra ataques UDP FLOOD con las siguientes características:

Ø La carga útil del paquete tiene patrones.

Ø La carga útil del paquete está llena de caracteres repetidos.

 

Ataques con Fragmentos UDP (UDP Fragment).

·        Los atacantes envían un gran número de fragmentos UDP hacia los objetivos, teniendo los siguientes resultados:

§  Los ataques del tipo UDP FLOOD estresan  los recursos de la red y el ancho de banda o congestionan los enlaces.

§  El desempeño de los dispositivos de la red capaces de reensamblar paquetes se ven severamente deteriorados.

§  Un gran número de fragmentos UDP con IP o número de puerto cambiantes comprometen el desempeño de los dispositivos basados en reenvío de sesiones, estresan las sesiones e incluso quiebran la red.

§  Si el puerto de servicio UDP recibe paquetes de ataque, el servidor consume los recursos verificando estos paquetes, haciendo que el servidor se vuelva lento o que incluso no responda.

 

Chequeo de Carga Útil y Aprendizaje de Huella Digital

ap hue dig

·        Mecanismo de Defensa: chequeo de la carga útil y aprendizaje por huella digital son usados para la defensa contra ataques  del tipo UDP FLOOD


·        Aprendizaje Dinámico de Huella Digital:  pueden prevenir ataques de paquetes cuya carga útil tenga patrones


§  Chequeo de Carga Útil: cuando el tráfico de UDP excede cierto umbral, se pone en marcha el chequeo de carga útil. Si la carga útil está repetida con caracteres tales como 111111…, el dispositivo considerará que es un ataque y descartará el tráfico.


§  Aprendizaje de Huella Digital: cuando el tráfico UDP excede el umbral especificado de tráfico, se pone en operación el aprendizaje de huella digital. De manera dinámica, el dispositi:v:o anti-DDoS genera huellas digitales con base a las características del paquete del ataque y descarta aquellos paquetes que cumplen con dichas características. El aprendizaje dinámico de huella digital aplica para la defensa contra ataques del tipo UDP FLOOD con las siguientes características:

Ø La carga útil tiene patrones.

Ø La carga útil está llena de caracteres repetidos.

 

Defensa contra Ataques del Tipo Paquetes DNS (DNS Packets Attack)

 

Metodo de intercambio de Paquetes DNS

Ø  Para un mejor entendimiento, todo el texto contenido en las imágenes, no será traducido, debido a que contiene elementos clave que deben ser comprendidos en el idioma original.

int paq dns

·        Para acceder a un sitio web, un usuario envía el nombre de dominio del sitio web al caché del servidor DNS para solicitar la dirección IP de este sitio. Si la caché del servidor DNS no tiene la IP del dominio, envía una solicitud de petición hacia el servidor DNS autorizado. Para reducir el tráfico de comunicación en internet, la caché del servidor DNS almacena la relación enviada por el servidor DNS autorizado. Después de eso, si este nombre de dominio es requerido, la caché del servidor DNS responde directamente con el registro que tiene en la caché hasta que el tiempo de guardado de este registro se agota.

·        Los ataques comunes a la caché del servidor DNS son los siguientes:

§  DNS Request Flood attacks

§  DNS reply Flood attacks

§  Ataque de nombre de dominio desconocido

§  Ataque de envenenamiento de la caché del DNS

§  Ataque por paquete anormal de DNS


·        Los ataques comunes hacia los servidores DNS autorizados son los siguientes:

§  DNS Request Flood attacks

§  Ataque de nombre de dominio desconocido

§  Ataque anormal de paquetes DNS

 

Ataques del tipo Request Flood Attack

·        Mecanismo de ataque

§  Ataques a la Caché de los Servidores: el atacante envía un gran número de peticiones DNS que contienen nombres de dominio inválidos para sobrecargar la caché del servidor. Como resultado, la caché del servidor DNS no puede responder a las peticiones de usuarios legítimos.

§  Ataques a Servidores Autorizados: un atacante envía un gran número de peticiones DNS que contienen nombres de subdominio inválidos para sobrecargar al servidor. Como resultado, el servidor DNS autorizado falla al intentar responder a las peticiones de usuarios legítimos


·        La dirección origen del ataque DNS puede ser una dirección real o falsificada. Los métodos de defensa ´pueden variar dependiendo con los orígenes del ataque.

 

Mecanismos de Ataque y Defensa contra ataques del tipo Request Flood—Defensa Contra Ataques a la Caché Desde una IP Falsificada

orfal

·        La autenticación de la fuente puede usarse para defender la caché server de los ataques cuando se usa una dirección IP falsificada. El dispositi:v:o anti-DDoS colecta las estadísticas en los paquetes de las peticiones que se realizan al servidor DNS y habilita la autenticación del origen cuando la frecuencia de peticiones alcanza cierto umbral. Para minimizar los falsos positivos y evitar que el servidor responda con retardos, el dispositi:v:o anti-DDoS implementa la autenticación del origen solo en las direcciones IP origen que solicitan objetivos específicos de nombres de dominio. Los métodos de autenticación de la fuente son los siguientes:


§  Modo Básico: durante la autenticación del origen de la IP, el dispositi:v:o anti-DDoS inicia el cliente DNS para enviar paquetes de petición TCP DNS. Esto consume los recursos de las conexiones TCP de la caché del servidor DNS. La figura muestra el p:r:o:cedimiento de la autenticación de la fuente en su modo básico.


§  Modo Mejorado: durante la autenticación de la fuente le dispositiv:o anti-DDoS traduce los paquetes con las peticiones TCP DNS a paquetes UDP y manda los paquetes en modo proxi hacia la caché der servidor. Esto reduce el consumo de los recursos de las conexiones TCP en la caché del servidor. La figura anterior muestra el p:r:o:cedimiento de la autenticación de la fuente en su modo mejorado.

Ø Cuando se deshabilita la función del servidor DNS para proveer servicios basados en TCP, se utiliza la versión mejorada.


§  Modo Pasivo: el sistema anti-DDoS autentica a los clientes que no soportan las peticiones DNS basadas en TCP, por ejemplo, ciertos dispositivos proxy o NAT que no responden a los paquetes de  detección de fuente de DNS. En el modo pasivo, el sistema anti-DDoS descarta la primera solicitud de cada dirección origen por lo que el cliente debe enviar la solicitud otra vez. Entonces, el dispositi:v:o anti-DDoS compara el dominio solicitado en el primer paquete y los subsecuentes. Si son los mismos, la dirección IP se agrega a la lista blanca.

Ø Se recomienda el modo pasivo para defensa contra ataques a la cachés del SERVIDOR DNS cuando el ataque se produce con IP´s falsificadas

 

Mecanismos de Ataque y Defensa contra ataques del tipo Request Flood—Defensa Contra Ataques a Servidores Autorizados al Usar IP´s Falsificadas

anorfal


·        La autenticación de la fuente por el servidor autorizado, mejor conocido como modo de re direccionamiento, puede usarse para la defensa contra ataques del tipo DNS FLOOD que utilizan direcciones IP falsificadas para minimizar los falso positivos y evitar que el servicio responda con retrasos, el dispositi:v:o anti-DDoS implementa solo el re direccionamiento de la dirección IP origen que solicita el nombre de dominio


·        Lo que se muestra en la figura es al sistema anti-DDoS colectando las estadísticas de los paquetes DNS que solicitan un nombre de dominio y habilita la re dirección cuando la frecuencia de las peticiones DNS alcanzan cierto umbral

§  El sistema anti-DDoS regresa una dirección alias hacia la dirección origen si la dirección origen está falsificada, el paquete con re dirección no será respondido. Si es así, la dirección origen falla al ser autenticada y el paquete se descarta

§  Si la dirección origen es real, el cliente DNS enviará una petición DNS para la dirección alias. Entonces, la dirección IP origen es autenticada y se agrega a la lista blanca

§  El dispositi:v:o anti-DDoS re direcciona el dirección IP correcta asi que el origen debe enviar una petición hacia esta dirección la petición encuentra coincidencia con la lista blanca y es reenviada hacia el servidor autorizado

 

Mecanismos de Ataque y Defensa contra ataques del tipo Request Flood—Defensa Contra Ataques al Usar IP´s Reales

·        Si el ataque que se lanza proviene de una IP real y el número de peticiones aun es grande después de que el dispositi:v:o anti-DDoS ha implementado las medidas de seguridad ya mencionadas, se continúa usando las medidas s¿de seguridad siguientes


·        Limitar la Frecuencia de Peticiones DNS

§  Al solicitar un  nombre de dominio

§  Por dirección IP origen

·        El elemento anti-DDoS también soporta la detección de paquetes DNS anormales basado en las siguientes reglas:

§  Formato

§  Longitud

§  TTL


·        Limitar la  Frecuencia de Solicitudes de N:ombre de Dominio

§  Si el número de peticiones DNS para un nombre de dominio alcanza el umbral, el dispositi:v:o anti-DDoS descarta el exceso de peticiones

§  los nombres de dominio más solicitados aparecerán en una lista top después de un ataque. Por lo tanto, se aconseja que se implemente un límite en la frecuencia de las solicitudes con base a la dirección IP origen. También, si se reporta alguna anomalía durante la detección del nombre de dominio, se puede configurar el chequeo de anomalías para extraer la huella digital, posteriormente obtener el nombre de dominio.

·        Límite de Solicitudes por Dirección IP Origen

§  Si el número de peticiones DNS de una dirección IP origen alcanza cierto umbral, el dispositi:v:o anti-DDoS descartar el exceso de peticiones.

§  El dispositiv:o anti-DDoS puede implementar el límite de solicitudes a una dirección IP específica. Se recomienda que se habilite este límite a las direcciones IP que aparecen en el top ya que los nombres de dominio más solicitados aparecerán en este top después de que ocurre algún ataque.

·        Adicionalmente, el dispositi:v:o anti-DDoS también soporta la detección de paquetes DNS anormales basado en las siguientes reglas predefinidas:


§  Formato: el dispositi:v:o anti-DDoS checa los formatos de los paquetes DNS y descarta los paquetes no estándar.

§  Longitud: generalmente, los paquetes DNS menores a 512 bytes son transmitidos a través de UDP, y aquellos mayores a 512 bytes se transmiten a través de TCP. Paquetes DNS gigantes son usados regularmente por los atacantes para congestionar las redes. Po lo tanto, se limita el tamaño de los paquetes DNS, resultando en un mecanismo de defensa efectivo. El dispositi:v:o anti-DDoS descarta los paquetes que exceden la longitud especificada.

§  TTL: la defensa contra ataques a la caché del servidor DNS utiliza el principio de proximidad. Por ejemplo, la cachés de los servidores DNS solo da servicio a usuarios locales. Po lo tanto, el TTL de un paquete DNS debe estar dentro de un rango corto. El sistema anti-DDoS descarta los paquetes DNS cuyo TTL es más largo que el permitido o más allá del rango permitido.


Finaliza aquí la tercera parte del tema DEFENSA CONTRA ATAQUES AL TRÁFICO DE LA RED. No,olvides visitar las publicaciones anteriores, dejar tus comentarios y tu ♥

  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión