HCIP Seguridad H12 722 Tecnologías de Defensa Contra Ataques a la Red VI

49 0 0 0

Hola a todos


Ya casi para finalizar con la perte de los temas dedicados a la defensa contra ataques al tráfico de la red, esta es la parte VI del tema global TECNOLOGÍAS DE DEFENSA CONTRA A TAQUES A LA RED y la parte III del tema particular DEFENSA CONTRA ATAQUES AL YTRAFICO DE LA RED

Visita aqui las parte I y II

https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-722-tecnologías-de-defensa-contra-ataques-a-la-red-iv/thread/582140-100233

https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-722-tecnologías-de-defensa-contra-ataques-a-la-red-v/thread/582656-100233


PRINCIPIOS DE DEFENSA CONTRA ATAQUES DE TRÁFICO PARTE III

 

Defensa contra Ataques del Tipo Paquetes UDP (UDP Packets Attack)

 

Ataques UDP FLOOD

·        Mecanismo de ataque:

·        Los atacantes utilizan zombis para enviar un gran número de paquetes UDP con tamaño excedido a una frecuencia de tiempo alta teniendo como objetico los servidores. Como resultado:

§  Los ataques UDP FLOOD con dirección o puerto cambiantes comprometen el desempeño de los dispositivos que se basan en el reenvío de sesión, las sesiones quedan exhaustas e incluso llegan a quebrar la red.

§  Los ataques UDP estresan el medio y los recursos de red o congestionan los enlaces.

§  Si el puerto UDP de servicio del servidor objetivo recibe un paquete de ataque, el servidor consume sus recursos de hardware para verificar el paquete que es u ataque, afectando el p***esamiento de los paquetes de usuarios legítimos.


·        Los ataques basados en paquetes UDP tienen dirección IP y puerto cambiantes, pero la carga útil del paquete no cambia, o cambia con poca regularidad. Se puede configurar relation-defend y fingerprint learning para identificar los ataques UDP FLOOD.

 


Defensa Contra Ataques UDP Asociado Con Defensa de Ataques Sobre TCP

Ø  La siguiente imagen describe el p***eso de ataque y defensa sobre ataques UDP, para un mejor entendimiento, no se traducirá el contenido de la imagen, sino la explicación del p***eso.

 

TCPÚDP


·        Mecanismos de Defensa: si el tráfico UDP es asociado con los servicios TCP, se puede utilizar la defensa contra ataques UDP usando la defensa contra ataques TCP.


·        UDP es un protocolo sin conexión. Por lo tanto, la autenticación de la fuente no aplica para la defensa contra ataques UDP FLOOD. Si UDP utiliza TCP para autenticación y control y algún servicio UDP está bajo ataque, la defensa contra ataques TCP se habilita y entonces el dispositi****nti-DDoS  puede utilizar la defensa contra ataques TCP sobre lista blanca para permitir solo los paquetes. UDP que encuentren coincidencias con la lista blanca.

 


Chequeo de Carga Útil y Aprendizaje de Huella Digital.

Ø  La siguiente imagen describe el p***eso de chequeo de carga útil y aprendizaje de huella digital, para un mejor entendimiento, no se traducirá el contenido de la imagen, sino la explicación del p***eso.

carga util y huella


·        Mecanismo de Defensa: chequeo de carga útil y aprendizaje de huella digital son usados para defensa contra ataques regulares del tipo UDP FLOOD.

·        El aprendizaje de huella digital dinámico y el filtrado de firmas pueden prevenir ataques de paquete cuyas carga útil tenga patrones.


§  Chequeo de Carga Útil: cuando el tráfico UDP excede un umbral específico, el mecanismo de chequeo de carga útil se dispara. Si la carga útil UDP está llena de caracteres repetitivos, tales como 111111…, el dispositi****nti-DDoS lo considera un ataque y descarta el tráfico.


§  Aprendizaje Por Huella Digital: cuando el tráfico UDP excede un umbral específico, el aprendizaje por huella digital se dispara. El dispositi****nti-DDoS  genera huellas digitales de manera automática con base a las características que tienen los paquetes que se utilizan para el ataque y después descarta aquellos paquetes que tienen coincidencia con la base de datos de las huellas digitales registradas. Aplica para la defensa contra ataques UDP FLOOD con las siguientes características:


Ø La carga útil del paquete tiene patrones.

Ø La carga útil del paquete está llena de caracteres repetidos.

 

Ataques con Fragmentos UDP (UDP Fragment).

·        Los atacantes envían un gran número de fragmentos UDP hacia los objetivos, teniendo los siguientes resultados:

§  Los ataques del tipo UDP FLOOD estresan  los recursos de la red y el ancho de banda o congestionan los enlaces.

§  El desempeño de los dispositivos de la red capaces de reensamblar paquetes se ven severamente deteriorados.

§  Un gran número de fragmentos UDP con IP o número de puerto cambiantes comprometen el desempeño de los dispositivos basados en reenvío de sesiones, estresan las sesiones e incluso quiebran la red.

§  Si el puerto de servicio UDP recibe paquetes de ataque, el servidor consume los recursos verificando estos paquetes, haciendo que el servidor se vuelva lento o que incluso no responda.

 


Chequeo de Carga Útil y Aprendizaje de Huella Digital

chequeo de carga útil


·        Mecanismo de Defensa: chequeo de la carga útil y aprendizaje por huella digital son usados para la defensa contra ataques  del tipo UDP FLOOD


·        Aprendizaje Dinámico de Huella Digital:  pueden prevenir ataques de paquetes cuya carga útil tenga patrones

§  Chequeo de Carga Útil: cuando el tráfico de UDP excede cierto umbral, se pone en marcha el chequeo de carga útil. Si la carga útil está repetida con caracteres tales como 111111…, el dispositivo considerará que es un ataque y descartará el tráfico.


§  Aprendizaje de Huella Digital: cuando el tráfico UDP excede el umbral especificado de tráfico, se pone en operación el aprendizaje de huella digital. De manera dinámica, el dispositi****nti-DDoS genera huellas digitales con base a las características del paquete del ataque y descarta aquellos paquetes que cumplen con dichas características. El aprendizaje dinámico de huella digital aplica para la defensa contra ataques del tipo UDP FLOOD con las siguientes características:

Ø La carga útil tiene patrones.

Ø La carga útil está llena de caracteres repetidos.

 


Defensa contra Ataques del Tipo Paquetes DNS (DNS Packets Attack)

 

P***edimiento de intercambio de Paquetes DNS

Ø  Para un mejor entendimiento, todo el texto contenido en las imágenes, no será traducido, debido a que contiene elementos clave que deben ser comprendidos en el idioma original.

intercambio de paquetes DNS


·        Para acceder a un sitio web, un usuario envía el nombre de dominio del sitio web al caché del servidor DNS para solicitar la dirección IP de este sitio. Si la caché del servidor DNS no tiene la IP del dominio, envía una solicitud de petición hacia el servidor DNS autorizado. Para reducir el tráfico de comunicación en internet, la caché del servidor DNS almacena la relación enviada por el servidor DNS autorizado. Después de eso, si este nombre de dominio es requerido, la caché del servidor DNS responde directamente con el registro que tiene en la caché hasta que el tiempo de guardado de este registro se agota.


·        Los ataques comunes a la caché del servidor DNS son los siguientes:

§  DNS Request Flood attacks

§  DNS reply Flood attacks

§  Ataque de nombre de dominio desconocido

§  Ataque de envenenamiento de la caché del DNS

§  Ataque por paquete anormal de DNS


·        Los ataques comunes hacia los servidores DNS autorizados son los siguientes:

§  DNS Request Flood attacks

§  Ataque de nombre de dominio desconocido

§  Ataque anormal de paquetes DNS

 

Ataques del tipo Request Flood Attack

·        Mecanismo de ataque

§  Ataques a la Caché de los Servidores: el atacante envía un gran número de peticiones DNS que contienen nombres de dominio inválidos para sobrecargar la caché del servidor. Como resultado, la caché del servidor DNS no puede responder a las peticiones de usuarios legítimos.

§  Ataques a Servidores Autorizados: un atacante envía un gran número de peticiones DNS que contienen nombres de subdominio inválidos para sobrecargar al servidor. Como resultado, el servidor DNS autorizado falla al intentar responder a las peticiones de usuarios legítimos.


·        La dirección origen del ataque DNS puede ser una dirección real o falsificada. Los métodos de defensa ´pueden variar dependiendo con los orígenes del ataque.

 


Mecanismos de Ataque y Defensa contra ataques del tipo Request Flood—Defensa Contra Ataques a la Caché Desde una IP Falsificada 

ATAQUE A LA CACHE


·        Para acceder a un sitio web, un usuario envía el nombre de dominio del sitio web al caché del servidor DNS para solicitar la dirección IP de este sitio. Si la caché del servidor DNS no tiene la IP del dominio, envía una solicitud de petición hacia el servidor DNS autorizado. Para reducir el tráfico de comunicación en internet, la caché del servidor DNS almacena la relación enviada por el servidor DNS autorizado. Después de eso, si este nombre de dominio es requerido, la caché del servidor DNS responde directamente con el registro que tiene en la caché hasta que el tiempo de guardado de este registro se agota.


·        Los ataques comunes a la caché del servidor DNS son los siguientes:

§  DNS Request Flood attacks

§  DNS reply Flood attacks

§  Ataque de nombre de dominio desconocido

§  Ataque de envenenamiento de la caché del DNS

§  Ataque por paquete anormal de DNS


·        Los ataques comunes hacia los servidores DNS autorizados son los siguientes:

§  DNS Request Flood attacks

§  Ataque de nombre de dominio desconocido

§  Ataque anormal de paquetes DNS

 


Ataques del tipo Request Flood Attack

·        Mecanismo de ataque

§  Ataques a la Caché de los Servidores: el atacante envía un gran número de peticiones DNS que contienen nombres de dominio inválidos para sobrecargar la caché del servidor. Como resultado, la caché del servidor DNS no puede responder a las peticiones de usuarios legítimos.

§  Ataques a Servidores Autorizados: un atacante envía un gran número de peticiones DNS que contienen nombres de subdominio inválidos para sobrecargar al servidor. Como resultado, el servidor DNS autorizado falla al intentar responder a las peticiones de usuarios legítimos.


·        La dirección origen del ataque DNS puede ser una dirección real o falsificada. Los métodos de defensa ´pueden variar dependiendo con los orígenes del ataque.

 


Mecanismos de Ataque y Defensa contra ataques del tipo Request Flood—Defensa Contra Ataques a la Caché Desde una IP Falsificada 

DEFENSA CONTRA ATAQUES A SERVIDORES


·        La autenticación de la fuente por el servidor autorizado, mejor conocido como modo de re direccionamiento, puede usarse para la defensa contra ataques del tipo DNS FLOOD que utilizan direcciones IP falsificadas para minimizar los falso positivos y evitar que el servicio responda con retrasos, el dispositi****nti-DDoS implementa solo el re direccionamiento de la dirección IP origen que solicita el nombre de dominio


·        Lo que se muestra en la figura es al sistema anti-DDoS colectando las estadísticas de los paquetes DNS que solicitan un nombre de dominio y habilita la re dirección cuando la frecuencia de las peticiones DNS alcanzan cierto umbral

§  El sistema anti-DDoS regresa una dirección alias hacia la dirección origen si la dirección origen está falsificada, el paquete con re dirección no será respondido. Si es así, la dirección origen falla al ser autenticada y el paquete se descarta

§  Si la dirección origen es real, el cliente DNS enviará una petición DNS para la dirección alias. Entonces, la dirección IP origen es autenticada y se agrega a la lista blanca

§  El dispositi****nti-DDoS re direcciona el dirección IP correcta asi que el origen debe enviar una petición hacia esta dirección la petición encuentra coincidencia con la lista blanca y es reenviada hacia el servidor autorizado

 

Mecanismos de Ataque y Defensa contra ataques del tipo Request Flood—Defensa Contra Ataques al Usar IP´s Reales

·        Si el ataque que se lanza proviene de una IP real y el número de peticiones aun es grande después de que el dispositi****nti-DDoS ha implementado las medidas de seguridad ya mencionadas, se continúa usando las medidas s¿de seguridad siguientes


·        Limitar la Frecuencia de Peticiones DNS

§  Al solicitar un  nombre de dominio

§  Por dirección IP origen


·        El dispositi****nti-DDoS también soporta la detección de paquetes DNS anormales basado en las siguientes reglas:

§  Formato

§  Longitud

§  TTL

·        Limitar la  Frecuencia de Solicitudes *****ombre de Dominio

§  Si el número de peticiones DNS para un nombre de dominio alcanza el umbral, el dispositi****nti-DDoS descarta el exceso de peticiones

§  los nombres de dominio más solicitados aparecerán en una lista top después de un ataque. Por lo tanto, se aconseja que se implemente un límite en la frecuencia de las solicitudes con base a la dirección IP origen. También, si se reporta alguna anomalía durante la detección del nombre de dominio, se puede configurar el chequeo de anomalías para extraer la huella digital, posteriormente obtener el nombre de dominio.


·        Límite de Solicitudes por Dirección IP Origen

§  Si el número de peticiones DNS de una dirección IP origen alcanza cierto umbral, el dispositi****nti-DDoS descartar el exceso de peticiones.

§  El dispositi****nti-DDoS puede implementar el límite de solicitudes a una dirección IP específica. Se recomienda que se habilite este límite a las direcciones IP que aparecen en el top ya que los nombres de dominio más solicitados aparecerán en este top después de que ocurre algún ataque.

·        Adicionalmente, el dispositi****nti-DDoS también soporta la detección de paquetes DNS anormales basado en las siguientes reglas predefinidas:

§  Formato: el dispositi****nti-DDoS checa los formatos de los paquetes DNS y descarta los paquetes no estándar.

§  Longitud: generalmente, los paquetes DNS menores a 512 bytes son transmitidos a través de UDP, y aquellos mayores a 512 bytes se transmiten a través de TCP. Paquetes DNS gigantes son usados regularmente por los atacantes para congestionar las redes. Po lo tanto, se limita el tamaño de los paquetes DNS, resultando en un mecanismo de defensa efectivo. El dispositi****nti-DDoS descarta los paquetes que exceden la longitud especificada.

§  TTL: la defensa contra ataques a la caché del servidor DNS utiliza el principio de proximidad. Por ejemplo, la cachés de los servidores DNS solo da servicio a usuarios locales. Po lo tanto, el TTL de un paquete DNS debe estar dentro de un rango corto. El sistema anti-DDoS descarta los paquetes DNS cuyo TTL es más largo que el permitido o más allá del rango permitido.


Finaliza hasta aqui esta publicacion, recuerda visitar las otras partes del tema en mi perfil, asi como otros temas relacionados con la certtificacion HCIP Seguridad Comparte, comenta y no olvider dar click en 

  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión