[Dr.WoW] [No.1] Inundacion UDP ataque y defensa

Pubilicado 2019-1-11 12:18:20 37 0 0 0

Revisemos el protocolo UDP antes de pasar a los ataques de inundación UDP. Como sabemos, TCP es un protocolo orientado a la conexión, pero UDP es un protocolo sin conexión. No se establece ninguna conexión entre el cliente y el servidor antes de la transmisión de datos. Si se produce una pérdida de paquetes durante la transmisión de datos del cliente al servidor, UDP no puede detectar la pérdida de paquetes ni enviar ningún mensaje de error. Por lo tanto, UDP generalmente se considera un protocolo de transmisión no confiable.

 

Entonces, ¿por qué deberíamos usar un protocolo no confiable como UDP? ¿Es inútil UDP?

 

Sí. UDP podría ser muy útil en algunos escenarios. La mayor ventaja de UDP sobre TCP es la velocidad. TCP proporciona algunos mecanismos de seguridad y confiabilidad, pero a costa de altos gastos generales y baja velocidad de transmisión. En contraste, UDP deja estos mecanismos a los protocolos de capa superior para lograr una alta velocidad de transmisión.

 

Sin embargo, los piratas informáticos pueden explotar UDP para lanzar ataques de inundación UDP. Los ataques de inundación UDP son ataques de gran ancho de banda. En los ataques de inundación UDP, los atacantes usan zombies para enviar una gran cantidad de paquetes UDP de gran tamaño a servidores de alta velocidad, lo que trae los siguientes impactos:

 

·         Los recursos de ancho de banda de la red están agotados y los enlaces están congestionados.

·         La gran cantidad de paquetes de ataque UDP con puertos o direcciones IP de origen cambiantes compromete el rendimiento de los dispositivos de reenvío basados en sesión o incluso bloquea la red para causar un DoS.

Los firewalls no pueden evitar los ataques de inundación UDP como lo hacen para los ataques de inundación SYN porque UDP no tiene conexión y no se puede usar la autenticación de origen. ¿Cómo los firewalls previenen los ataques de inundación UDP?

 

1 limitación de velocidad

Una forma sencilla de evitar ataques de inundación UDP es la limitación de velocidad. Los tipos de limitación de velocidad se describen a continuación:

 

·         Límite de velocidad basado en la interfaz entrante: limita la velocidad de una interfaz entrante y descarta el exceso de paquetes UDP.

·         Límite de velocidad basado en la dirección de destino: limita la velocidad de una dirección de destino y descarta el exceso de paquetes UDP.

·         Limitación de la tasa basada en la zona de seguridad del destino: limite la tasa de la zona de seguridad del destino y descarte el exceso de paquetes UDP.

·         Limitación de la tasa basada en la sesión: recopila las estadísticas de los paquetes UDP de cada sesión UDP. Si la tasa de paquetes UDP alcanza el umbral de alarma, la sesión se bloquea y los paquetes UDP posteriores que coinciden con la sesión se descartan. Si ningún tráfico coincide con la sesión en tres o más segundos consecutivos, el firewall desbloquea la sesión y se permiten los paquetes subsiguientes que coincidan con la sesión.

 

2 Aprendizaje de huellas digitales

La limitación de velocidad es efectiva para proteger el ancho de banda, pero puede interrumpir los servicios normales. Para resolver este problema, los firewall también admiten el aprendizaje de huellas digitales para evitar ataques de inundación UDP.

 

Como se muestra en la Figura 1-1, el aprendizaje de huellas digitales consiste en verificar si las cargas útiles en paquetes UDP enviados desde el cliente al servidor son idénticas para determinar si los paquetes son normales. Los firewalls recopilan las estadísticas de los paquetes UDP destinados al servidor de destino. Si la velocidad de los paquetes UDP alcanza el umbral de alarma, los firewalls inician el aprendizaje de huellas digitales. Si aparecen características idénticas repetidamente, las características se aprenderán como huellas digitales. Los paquetes UDP posteriores que coincidan con las huellas digitales se considerarán paquetes de ataque y se descartarán. Aquellos que no coincidan con ninguna huella digital serán reenviados por los firewalls.

 

Figura 1-1 Aprendizaje de huellas digitales.



121707qlnz0wg1qlzdggnw.png


Los paquetes de ataque de inundación UDP tienen algunas características comunes, como una cadena de caracteres o una carga útil idénticas. El aprendizaje de huellas dactilares se basa en este hecho. Esto se debe a que los atacantes a menudo utilizan herramientas para injertar paquetes UDP con una carga útil idéntica para aumentar la velocidad de inundación de UDP.

 

Sin embargo, los paquetes UDP normales tienen cargas útiles diferentes. Por lo tanto, los firewalls pueden aprender las huellas digitales de los paquetes UDP para distinguir los paquetes de ataque de los paquetes normales para reducir los falsos positivos.

 

Como se muestra en las siguientes dos capturas de pantalla de captura de paquetes, los dos paquetes UDP destinados al mismo destino tienen una carga útil idéntica. Si un servidor de seguridad recibe una gran cantidad de dichos paquetes UDP, el servidor de seguridad puede determinar que se está produciendo un ataque de inundación de UDP.


121717c85gsr53feomhshc.png


121723nm3kqc63izcq6nzc.png


En resumen, los firewalls previenen los ataques de inundación UDP mediante la limitación de velocidad y el aprendizaje de huellas, cada uno con sus propios méritos y limitaciones. La limitación de velocidad es una forma simple y simple de controlar la velocidad de los paquetes UDP, pero la limitación de velocidad descarta los paquetes de manera indiscriminada y puede interrumpir los servicios normales. En contraste, el aprendizaje de huellas digitales es más inteligente y puede distinguir los paquetes de ataque de los paquetes normales después de aprender las huellas digitales de los paquetes de ataque. Actualmente, el aprendizaje de huellas digitales es una medida importante para evitar ataques de inundación UDP y es compatible con todas las series de firewalls de Huawei.

 

3 Comandos

La Tabla 1-1 enumera los comandos de configuración de limitación de velocidad y aprendizaje de huellas digitales en USG9500 V300R001, por ejemplo.

 

Tabla 1-1 Comandos de configuración de limitación de velocidad y aprendizaje de huella digital

Funcion

Comando

Habilitar la   defensa de ataque de inundación UDP.

firewall defend udp-flood enable

Configurar la   limitación de velocidad UDP basada en la interfaz.

firewall defend udp-flood interface { interface-type   interface-number | all } max-rate max-rate-number ]

Configurar la   limitación de velocidad UDP basada en la dirección IP.

firewall defend udp-flood ip ip-address [ max-rate max-rate-number ]

Configurar la   limitación de velocidad de UDP basada en la zona de seguridad.

firewall defend udp-flood zone zone-name [ max-rate max-rate-number ]

Configurar la   limitación de velocidad UDP basada en sesión.

firewall defend udp-flood base-session max-rate max-rate-number

Configurar el   aprendizaje de huellas digitales de inundación UDP basado en direcciones IP

firewall defend udp-fingerprint-learn ip ip-address [ alert-rate alert-rate-number ]

Configurar el   aprendizaje de huellas digitales de inundación UDP basado en zona de   seguridad.

firewall defend udp-fingerprint-learn zone zone-name [ alert-rate alert-rate-number ]

Configurar los   parámetros de aprendizaje de huellas UDP.

firewall defend udp-flood fingerprint-learn offset offsetfingerprint-length fingerprint-length

 


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
Respuesta rápida Desplácese hasta arriba