Un solo paquete de ataque y defensa

Pubilicado 2019-1-13 01:05:34 21 0 0 0

1 DoS Attack

En los dos capítulos anteriores, hemos aprendido que la función principal de un firewall es proteger una red particular de ataques de una red no confiable. En este capítulo, aprenderemos los ataques comunes de paquetes de un solo paquete, basados en el tráfico y de la aplicación, y las medidas defensivas del firewall.

 

Primero, echemos un vistazo a la reciente evolución de los ataques. En la década de 1990, Internet estaba creciendo rápidamente, al igual que los ataques, que habían pasado de los laboratorios a Internet. Sin embargo, un zorro puede quedar descolorido. Aunque las técnicas de ataque implican, también lo son las medidas de defensa, como se muestra en la Figura 1-1.

Figura 1-1 Evolución de las técnicas de ataque y defensa.


110151g1ayqazdaybaqdlc.png


Cuando hablamos de "ataques de red", no podemos olvidar mencionar los ataques de denegación de servicio (DoS). Como su nombre indica, el propósito de un ataque DoS es hacer que la computadora o la red de destino no puedan proporcionar servicios normales.

 

Entonces, ¿qué significa realmente "denegación de servicio"? Digamos que hay un comensal en la calle que proporciona comidas, pero algunos villanos a menudo causan problemas en el comedor, como ocupar mesas de comedor, bloquear la puerta o acosar a camareros, camareras o chefs para que los clientes no puedan disfrutar de la inundación del comensal . Esto es "denegación de servicio".

 

Las computadoras y los servidores en Internet son como los comensales y proporcionan recursos y servicios. Los atacantes pueden agotar los recursos de las computadoras y los servidores o el ancho de banda de los enlaces para lanzar un ataque DoS.

 

2 Ataque y defensa de un solo paquete

El ataque de un solo paquete es un ataque DoS común y generalmente es lanzado por personas que usan paquetes de ataque simples. Dichos ataques pueden causar impactos severos, pero se pueden prevenir fácilmente si conocemos la firma del ataque.

Dividimos los ataques de un solo paquete en tres tipos, como se muestra en la Figura 1-2.


Figura 1-2 Tipos de ataques de un solo paquete.


110400ee55peb595q5bb6i.png


-Ataque de paquetes con formato incorrecto: los atacantes envían paquetes con formato incorrecto. Los sistemas de destino pueden bloquearse si no pueden procesar dichos paquetes.

 

- Ataque de escaneo: para ser precisos, los ataques de escaneo no son realmente ataques, sino actividades de reconocimiento para ataques.

 

- Ataques que usan mensajes de control especiales: para ser precisos, tales ataques no son realmente ataques, sino actividades de reconocimiento para ataques. Usan mensajes de control especiales para sondear estructuras de red.

 

La prevención de ataques de un solo paquete es una función básica de los firewalls. Todos los cortafuegos de Huawei soportan esta función. Ahora veamos cómo los firewalls de Huawei previenen los ataques típicos de un solo paquete.

2.1 Ataque del Ping de la Muerte y Defensa

El campo de longitud de un paquete IP tiene 16 bits, lo que significa que la longitud máxima de este paquete IP es de 65535 bytes. Algunas versiones anteriores de los sistemas operativos tienen restricciones en el tamaño del paquete. Si un paquete tiene más de 65535 bytes, se produce un error de asignación de memoria y el sistema receptor se bloquea. El ataque ping de la muerte se inicia al enviar paquetes de más de 65535 bytes a los hosts de destino para bloquearlos.

 

Para evitar tales ataques, el firewall verifica el tamaño de los paquetes. Si un paquete tiene más de 65535 bytes, el firewall lo considera un paquete de ataque y lo descarta.

 

2.2 Ataque y defensa de la tierra

En un ataque de denegación de red de área local (LAND), el atacante envía paquetes TCP falsificados con la dirección IP del host de destino como origen y destino. Esto hace que la víctima se responda continuamente para agotar los recursos de su sistema.

 

Para evitar ataques de LAND, los firewalls comprueban las direcciones de origen y destino de los paquetes TCP y descartan los paquetes si las direcciones de origen y destino son las mismas o si las direcciones de origen son direcciones loopback.

2.3 Escaneo IP

Un atacante usa paquetes ICMP (como los comandos ping o Tracert) o paquetes TCP / UDP para iniciar conexiones a ciertas direcciones IP para verificar si los destinos responden. De esta manera, el atacante puede determinar si estos hosts están activos en la red.

 

La exploración de IP no tiene impactos directos, pero es un método de reconocimiento que recopila información para ataques posteriores. Sin embargo, los firewalls no ignorarán el escaneo de IP.

 

Los firewalls inspeccionan los paquetes TCP, UDP e ICMP. Si la dirección de destino de un paquete enviado desde una dirección de origen es diferente a la del paquete anterior, el recuento de excepciones aumentará en 1. Cuando el recuento de excepciones alcance el umbral predefinido, los cortafuegos consideran que la dirección IP de origen está realizando una IP. exploración. Luego, los firewalls ponen en una lista negra la dirección IP de origen y descartan los paquetes subsiguientes de la fuente.

 

A partir de estos ataques de un solo paquete y los mecanismos de defensa, podemos ver que los ataques de un solo paquete muestran firmas notables. Por lo tanto, podemos prevenir estos ataques siempre que identifiquemos sus firmas.

2.4 Configuraciones recomendadas para prevenir ataques de un solo paquete

Los cortafuegos tienen muchas funciones de defensa para evitar ataques de paquetes individuales. Sin embargo, en redes reales, ¿qué funciones deberían habilitarse y cuáles no? Esta pregunta debe haber estado molestándonos durante mucho tiempo. Para abordar esto, algunas configuraciones recomendadas se proporcionan de la siguiente manera:

 

Como se muestra en la Figura 1-3, las configuraciones recomendadas permiten que los cortafuegos eviten ataques de paquetes individuales sin comprometer el rendimiento en redes del mundo real. Las funciones de defensa de ataque de escaneo son intensivas en recursos. Por lo tanto, se recomienda habilitar estas funciones solo cuando se producen ataques de escaneo.

Figura 1-3 Configuraciones recomendadas para prevenir ataques de un solo paquete.


110412hoi6emamojikd7ee.png



La Tabla 1-1 enumera los comandos para habilitar las funciones de defensa en USG9500 V300R001, por ejemplo, para prevenir ataques comunes de un solo paquete.

 

Tabla 1-1 Comandos para habilitar funciones de defensa contra ataques de paquetes individuales

110428pq0zimmn2277vcvx.png


 En realidad, los ataques de un solo paquete son solo una pequeña fracción de los ataques de red. Los ataques de red más comunes y problemáticos son los ataques basados en el tráfico (como las inundaciones de SYN y UDP) y los ataques de capa de aplicación (como las inundaciones de HTTP y DNS), que se describen en las siguientes secciones.




  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
Respuesta rápida Desplácese hasta arriba