HCIP Seguridad H12 722 Tecnologías de Defensa Contra Ataques a la Red VII

58 0 0 0

Hola a todos.


Con el tema que se va a desarrolla a continuacion daremos por finalizado el modulo de las TECNOLOGÍAS PARA LA DEFENSA CONTRA A TAQUES A LA RED, la cual se dividió en VII partes. A la par  damos por finalizado el tema especifico principios de defensa contra ataques al tráfico.


Aqui se pueden visitar los 3 enlaces anteriores correspondientes al subtema:

https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-722-tecnologías-de-defensa-contra-ataques-a-la-red-iv/thread/582140-100233

https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-722-tecnologías-de-defensa-contra-ataques-a-la-red-v/thread/582656-100233

https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-722-tecnologías-de-defensa-contra-ataques-a-la-red-vi/thread/586992-100233


PRINCIPIOS DE DEFENSA CONTRA ATAQUES DE TRÁFICO PARTE IV

 

Defensa contra Ataques del Paquetes HTTP y HTTPS (HTTP y HTTPS Packet Attacks)

 

Ataques UDP FLOOD

·        P***eso de intercambio de paquetes HTTP

UDP FLOOD

P***eso de comunicacion HTTP

·        El cliente inicia una petición de conexión hacia el servidor a través de TCP y completa el saludo de tres vías.

·        El cliente envía una petición HTTP GET hacia el servidor.

·        El servidor envía una respuesta 200 OK con la longitud del del paquete especificada e inicia la trasmisión de datos.

·        El cliente termina la conexión TCP cuando la transmisión se completa

 

Mecanismos de Ataque y Defensa del tipo HTTP FLOOD

·        Los métodos para la defensa contra los ataques HTTO Flood incluyes  autenticación de las fuentes, detección de URL para la IP de destino y el aprendizaje de huella digital.


·        Mecanismo de Ataque

§  Un atacante envía un gran número de paquetes HTTP hacia un servidor objetivo usando proxies o hosts zombis. Usualmente los atacantes seleccionan las URL que requiere la operación de la base de datos u otras operaciones que consumen los recursos y estresan el servidor.


·        Mecanismo de Defensa:

§  Autenticación del origen del ataque HTTP FLOOD

§  Medida de la fuente del tráfico de HTTP

§  Monitoreo de URL´s

§  Aprendizaje por huella digital de los URL´s

 

Autenticación del Origen HTTP FLOOD

·        Es usado mayormente con frecuencia para la defensa contra ataques HTTP FLOOD. Este método aplica a los escenarios donde el cliente HTTP utiliza buscadores, porque los buscadores soportan la pila completa de los protocolos HTTP y pueden responder para redireccionar los paquetes o verificar códigos. El sistema anti-DDoS colecta las estadísticas de los paquetes HTTP por destino y habilita la autenticación de la fuente cuando la frecuencia de paquetes HTTP alcanza un umbral. La autenticación de la fuente puede ser implementada en cualquiera de los siguientes modos:

§  Modo Básico (META Fresh)

§  Modo Avanzado (por código de verificación basado en autenticación)

§  302 modo de redirección


Autenticación del Origen HTTP FLOOD—Modo Básico

AUTENTICACION DE ORIGEN

P***eso de autenticacion HTTP


·        Este modo previene de manera efectiva el acceso de los clientes que no usan buscadores. Si una herramienta zombi no soporta la pila completa de los protocolos HTTP, no soporta por lo tanto redirección automática y falla al intentar ser autenticada. La figura muestra le p***eso META fresh. Este modo no compromete la experiencia del usuario pero provee una débil defensa a comparación con el modo avanzado.


·        Si existe un servidor proxy HTTP en la red, el dispositi****nti-DDoS agrega a la lista blanca la dirección IP del servidor si el servidor pasa la autenticación de fuente una vez. Los host zombi pueden usar este servidor proxy para pausar la autenticación. Para resolver este problema, se habilita la función de detección de proxy para checar si la petición HTTP esta apoderada. Si sí, el dispositi****nti-DDoS obtiene la dirección IP real del origen de los paquetes HTTP. Si esta dirección IP es autenticada, el dispositi****nti-DDoS la agrega a la lista blanca y también la dirección IP del servidor proxy. Para las direcciones IP que no están en la lista blanca y que usan el mismo servidor proxy, el sistema anti-DDoS implementa la autenticación de la fuente para prevenir los ataques HTTP FLOOD.

 

Autenticación del Origen HTTP FLOOD—Modo Avanzado

HTTP FLOOD

Autenticacion de Origen HTTP


·        Algunas herramientas zombi pueden implementar el sistema de redirección o usar proxies libres que soporten redirección. Como resultado, la autenticación de la fuente en modo básico no asegura la el efecto de defensa deseado. Para resolver este problema, se habilita el modo avanzado de autenticación de origen para ejecutar la generación de códigos hacia el usuario. El sistema anti-DDoS determina si las peticiones HTTP son enviadas por zombis o usuarios reales, debido a que los zombis están implantados automáticamente en las PC´s y no pueden responder a los códigos de verificación al azar. Para evitar afectar la experiencia del usuario, se implementa este modelo solo en orígenes anormales.

 

Autenticación del Origen HTTP FLOOD—302 Modo Redirección

·        La función redirección del modo básico redirecciona solo la página web entera, pero no los recursos adheridos, como las imágenes. Si la página solicitada no está en el mismo servidor junto con  los recursos adheridos y si ocurre una anomalía en el servidor donde residen los recursos adheridos, se habilita la redirección 302 en el servidor para detectar si el origen es un buscador real. Los buscadores reales soportan la redirección automática sin comprometer la experiencia del usuario.

 

Medida del Origen del Tráfico HTTP

·        Después de que el tráfico de una IP hacia el destino alcanza el umbral, el dispositi****nti-DDoS habilita la medida del origen del tráfico HTTP y limita la velocidad de las direcciones IP que checan losorigenes que están enviadno el tráfico hacia dicha dirección. Si la frecuencia de los paquetes enviados desde la IP origen hacia le destino alcanza el umbral, el dispositi****nti-DDoS defiende el tráfico desde ese origen.


·        Esta función puede localizar de manera precisa una fuente anormal de tráfico y defender el tráfico de esta fuente.

 

Monitoreo de URL

·        Monitoreo de URL es una función suplementara de la autenticación de la fuente de HTTP. Si el tráfico aun excede el umbral después de que la autenticación de la fuente se ha implementado, se habilita el monitoreo de URL. El monitoreo de URL puede ser implementado en las IP´s que están en la lista blanca.


·        Después de que el tráfico de acceso de una URL excede un umbral especifico en un rango de tiempo dado, el dispositi****nti-DDoS implementa el monitoreo de URL. Si la porción de visitas a la URL desde la IP de origen hacia el número total de visitas hacia la URL excede el umbral, la dirección IP origen será agregada a la lista negra dinámica. Cuando se configura el monitoreo de URL, se agregan los URL que consumen mucha memoria o recursos del sistema para monitorear de cerca estos URL.

 

Aprendizaje de Huella Digital de URL

·        Aplica para escenarios donde las URL visitadas por ataques son corregidas. Un atacante usualmente prueba las URL que consumen recursos antes de lanzar ataques y envía múltiples peticiones a esas URL. Basado en este mecanismo de ataque, el dispositi****nti-DDoS aprende la huella digital de las URL visitadas. Si la huella digital encuentra coincidencia con el conteo de una URL que excede el umbral, el dispositi****nti-DDoS manda a la lista negra la IP origen desde la cual se accede a la URL.

 

Mecanismo de Ataque y Defensa Para el Ataque Slow HTTP

·        Mecanismo de Ataque:

§  Los Ataques lentos HTTP son usados para atacar a los servidores HTTP al mantener conexiones abiertas hacia este tipos de servidores el mayor tiempo que sea posible.


·        Mecanismo de Defensa:

§  El dispositi****nti-DDoS checa el número de conexiones HTTP nuevas que se realizan por segundo. Si el número alcanza un valor especifico, el sistema anti-DDoS inicia la inspección de paquetes HTTP. Si alguno de los siguientes paquetes se detecta, el dispositi****nti-DDoS considerará que trata de un ataque y por consiguiente terminará la conexión y agregará la IP origen a la lista negra.


Ø Slow POST:  una atacante envía paquetes POTS con una longitud muy grande para el campo longitud dentro del paquete. De cualquier modo, los paquetes subsecuentes son pequeños. El servidor se mantiene a la espera a que el atacante complete el envió del paquete.


Slow Headers: un atacante inicia una conexión hacia un servidor usando paquetes GET o POST, pero no envía ningún caracter que indique “fin” durante la transmisión de los encabezados de HTTP. Después el atacante envía otros campos para mantener viva la conexión. El servidor se mantiene a la espera de que la sesión finalice.



Finalizamos aqui con la publicacion, receurda que este es el tema másextensio de la certificación H12 722, pues representa poco mas del 25 por ciento del material de estudio.

No olvides compartir, comentar y dar click en ♥

  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión