TEMA: “Técnicas de Ataque de Denegación de Servicios Distribuido (DDOS)”

OBJETIVOS:

Objetivo General

 Realizar ataques DDoS a distintas topologías de red utilizando cuatro

diferentes técnicas verificando los resultados que se obtienen.

Objetivos Específicos

 Definir que es un ataque DDoS y cuáles son los perjuicios que puede causar.
 Especificar las cuatro diferentes técnicas a utilizar para realizar los ataques
DDoS las distintas topologías de red.
 Simular una topología de red la cual contenga un servidor y poner en marcha el
ataque DDoS.

INTRODUCCIÓN:

La necesidad de facilitar el acceso a la información y a la comunicación ha ido en

aumento por lo cual varias organizaciones a nivel mundial ofrecen un servicio web. No
obstante, al encontrarse conectado a una red se pone en riesgo la confidencialidad de
la información, además del correcto funcionamiento de los servicios, la autenticación
de la identidad, la privacidad de la información y la agilidad con la que un cliente puede
acceder a un servicio, debido a esta razón la seguridad informática se ha convertido
en una parte fundamental para una red tras la presencia de las diferentes
vulnerabilidades como por ejemplo los ataques DDOS. Los ataques DDOS (ataques
denegación de servicios), son aquellos donde sus ataques de red son destinados a
deshabilitar la funcionalidad de una red, en donde su efectividad se verá reflejado en el
tipo de arquitectura o la red a la cual va a estar dirigido el ataque, la comunidad
científica ha desarrollado varias investigaciones acerca de detección y mitigación de
diferentes ataques a una red, que en su mayoría la implementación está basada en
plataformas virtuales, donde la implementación de un laboratorio colaborativo de
seguridad utilizando máquinas virtuales. Existen diferentes técnicas como el ataque
ataque fftp versión 2.3.4 en general este ataque aprovecha la vulnerabilidad CVE-
2011-0762 en el servicio VSFTPD v2.3.4 para conseguir una shell e interactuar con el
servidor vulnerado y asi poder realizar el ataque deseado; el ataque a la camada 7
está enfocado a disminuir la capacidad de procesamiento de los servidores
imposibilitando así el uso de algunas aplicaciones; otro ataque es la denegación de
servicios con Hping 3 se basa en el comando ping de unix, hping no solo es capaz de
enviar paquetes ICMP sino que además también puede enviar paquetes TCP, UDP, y
RAW-IP por el puerto 80; con lo cual el ataque realiza un daño a mayor escala si se lo
dirige como un DDOS debido a que más de un usuario envía varios paquetes; el
ataque por Inundación http get resultado de bots orientados a las conexiones las
cuales inundan los servidores destinados el tráfico de la red en puertos de servicio
como el HTTP, suplantando la identidad de usuarios legítimos.
MARCO TEORICO

Ataque DoS

En seguridad informática, un ataque de denegación de servicio, también llamado

ataque DoS (Denial of Service), es un ataque a un sistema de ordenadores o red que
causa que un servicio o recurso sea inaccesible a los usuarios legítimos. Normalmente
provoca la pérdida de la conectividad de la red por el consumo del ancho de banda de
la red de la víctima o sobrecarga de los recursos computacionales del sistema de la
víctima. Este tipo de ataque se genera mediante la saturación de los puertos con flujo
de información, haciendo que el servidor se sobrecargue y no pueda seguir prestando
servicios, por eso se le dice "denegación", pues hace que el servidor no de abasto a la
cantidad de usuarios. Esta técnica es usada por los llamados crackers para dejar fuera
de servicio a servidores objetivo. [1]

Ataque DDoS

Esta técnica de ataque apareció por primera vez en junio de 1998 y actualmente es la
técnica más eficiente y difícil de detectar por su naturaleza distribuida. En un ataque
de este tipo, el atacante compromete un gran número de computadores conectados a
la red mediante la explotación de vulnerabilidades de software de red posteriormente,
el software de ataque es instalado en estos sistemas a través de canales seguros. Un
gran número de los equipos comprometidos en los que está insta lado el software de
ataque envía paquetes inútiles hacia una víctima al mismo tiempo. El volumen de
tráfico malicioso generado por tales huéspedes es tan alto que una víctima no puede
gestionar y se paraliza al instante el servicio. [2]

Figura 1.- Arquitectura de un ataque DDoS. [2]

En forma general así es como funcionan un ataque DDoS, sin embargo, existe una
clasificación de este tipo de ataques los cuales toman en cuenta el objetico del ataque,
el método de realizar el mismo o el efecto que se quiere causar. A continuación, se
muestra la clasificación de este tipo de ataque.
 Figura 2.- Clasificación de los ataques DDoS. [2]

Los ataques DDoS en el primer trimestre de 2018

A finales de febrero, el servicio de asistencia técnica de Kaspersky DDoS Protection

recibió un pedido de ayuda de una empresa que se quejaba de una extraña
sobrecarga de sus canales de comunicación, con la sospecha de que estaba siendo
objeto de un ataque DDoS. [3]

A principios de este año se han incrementado las metodologías usadas para la

realización de los ataques, entre las metodologías tenemos la utilización de botnets.
Las botnets son un grupo de computadoras infectadas por el atacante y controladas de
forma remota.

Como resultado en el primer trimestre de 2018 se pudo obtener los siguientes datos:

 En el primer trimestre de 2018 se registraron ataques en 79 países (en el

trimestre anterior fueron 84). Como siempre, la gran mayoría (95,14%) tuvo
lugar en los diez primeros países.
 En cuanto a los blancos de los ataques, alrededor de la mitad estaban en
China (47,53%), aunque el porcentaje de este país ha disminuido un poco en
comparación con el trimestre anterior.
 La cantidad de ataques y blancos ha experimentado un aumento significativo,
al igual que el número de ataques más prolongados. El ataque DDoS más
largo se prolongó por 297 horas (más de 12 días), convirtiéndose en uno de los
más largos de los últimos años.
 El porcentaje de las botnets Linux alcanzó el 66%, con una leve disminución en
comparación con el 71% del trimestre anterior.
 Se observaron picos significativos en el número y la potencia de los ataques a
mediados de enero y principios de marzo. La parte central del trimestre
transcurrió con una relativa calma. [3]
 La duración de los ataques también aumento en comparación al trimestre anterior,
La proporción de los ataques SYN-DDoS aumentó levemente (del 55,63% al
57,3%), pero la situación de los trimestres anteriores no se repitió. El porcentaje de
ataques ICMP casi se duplicó, del 3,4% al 6,1%. En consecuencia, los ataques
UDP, TCP, y HTTP-flood se redujeron levemente: Su participación disminuyó en 1
o 2 puntos porcentuales en comparación con el trimestre anterior. [3]

Figura 3.- Duración de los ataques DDoS en el primer trimestre de 2018. [3]

TÉCNICAS DE ATAQUE DDOS:

1. Ataque FTP v2.3.4

¿Qué es FTP?

El servicio FTP está basado en el protocolo FTP, del inglés File Transfer Protocol o en
español protocolo de transferencia de ficheros en redes de tipo TCP/IP. El nombre se
presta a confusión en tanto en cuanto no es un servicio exclusivo de transferencia de
ficheros entre clientes y servidor de forma bidireccional, sino que más bien es un
servicio de administración de ficheros que permite multitud de acciones (subirlos,
bajarlos, borrarlos, renombrarlos, moverlos, crear carpetas, borrar carpetas, etc),
independientemente de que los sistemas de archivos sean distintos (DOS: FAT16;
Windows: FAT32, NTFS; KINUX: Ext3, etc.).

Por defecto, el servicio FTP utiliza el puerto TCP 20 para la transferencia de datos y el
puerto TCP 21 para el control. La forma de transmisión es muy rápida, pero no es
segura (ver unidad sobre SSH para el modo cifrado de FTPS). [4]
Vulnerabilidad en el servidor FTP.

Para el ataque que se va a realizar se explota las vulnerabilidades de vsFTPD 2.3.4,

esta versión es utilizada en linux por su sencillez, por su seguridad y porque consume
muy pocos recursos del sistema.

El fallo de seguridad consiste en introducir como nombre de usuario /:)/ (el famoso
smile) y nos dará acceso total y ejecución de comandos en el servidor, únicamente
está afectada la versión 2.3.4. Mas especifico se comprobó que el software en el
fichero compilado vsftpd-2.3.4.tar.gz hospedado en su sitio principal contenía una
puerta trasera, en la que escribiendo como nombre de usuario del servidor FTP el
símbolo de la sonrisa o smile ( :) ) se conseguía acceso total y ejecución de comandos
en el servidor al devolver una shell del sistema. [5]

Analizando el código diff (comparación con versiones anteriores) del servidor FTP
comprometido que fue volcado a un pastebin, apreciamos claramente la puerta
trasera.

Figura 4. - Ubicación de la puerta trasera en el código. [5]

Tras la comprobación en el nombre de usuario de que el primer carácter (almacenado

en p_str->p_buf[i]) es el símbolo ":" y que en el segundo carácter (almacenado en
p_str->p_buf[i+1]) se encuentra el símbolo ")", se ejecutaría la shell en el puerto 6200
TCP, cuya definición se encuentra en la función vsf_sysutil_extra(), como se muestra
en la figura. [5]
 Figura 5. - Ubicación del puerto 6200. [5]

2. Ataque a la camada 7 (HTTPS)

Los ataques más letales y difíciles de prevenir a pesar de encontrarse dentro de la

clasificación de ataques lentos son a la capa de aplicación del modelo OSI o también
lo llaman como un ataque a la camada 7, estos son los más elegantes y sofisticados
debido a su máquina que genera bots (aféresis de robot) e inyectan sus gusanos. El
porcentaje de sospechosos vistos en la capa de aplicación de ataques permanece
aumentando, hasta 93 por ciento este año (2017), del 90 por ciento el año pasado y 86
por ciento en 2013. [6] algo que se observa en el análisis respecto a estos años es que
el ataque DDOS requiere de menos tiempo para ejecutarlo en relación que avanza el
tiempo.

Estos ataques se centran en las características específicas de las aplicaciones web

que crean cuellos de botella. Por ejemplo, el llamado ataque de lectura lenta envía
paquetes lentamente a través de múltiples conexiones. Debido a que Apache abre un
nuevo hilo para cada conexión, y como las conexiones se mantienen siempre que se
envíe tráfico, un atacante puede abrumar a un servidor web agotando su grupo de
subprocesos con relativa rapidez, esto hace que los esquemas de prevención
tradicionales sean inactivos para la supervisión basada en el flujo del tráfico entrante.
[7]

También se denominan ataques inteligentes de DDOS y se los caracteriza por que usa
mucho menor ancho de banda, por su bajo nivel de trabajo son difíciles de detectar,
apunta hacia aplicaciones específicas y a la infraestructura de una red para saturar
lentamente los recursos. [8]
 Figura 3.

Los servidores HTTP y de DNS son los blancos más comunes para los ataques a nivel
de aplicación, como se pude observar en la siguiente gráfica estadística.

Figura 4.

Una tabla mostrada en [9] describe algunas de las posibilidades de ataques DDOS,
como descripción sobre la capa 7 se menciona que la creación de mensaje y paquete
comienza. El acceso a DB está en este nivel. Los protocolos de usuario final como
FTP, SMTP, Telnet y RAS funcionan en esta capa. Algunos de los ejemplos de ataque
a la camada 7 son PDF GET request, HTTP GET, HTTP POST, en sitios web (inicio
de sesión, carga de foto / video, envío de comentarios); llegando a sobrepasar los
limites de recursos de los servicios. Sin embargo, los atacantes DDoS pueden ser
aleatorios o cambiar repetidamente las firmas de un ataque de Capa 7, por lo que es
más difícil de detectar y mitigar.
HTTPS POST Flood es una inundación HTTPS POST enviada a través de una
sesión SSL (Secure Sockets Layer). Debido al uso de SSL,
es necesario descifrar esta solicitud para inspeccionarla.
HTTPS POST es una versión cifrada de una solicitud HTTPS POST. Los
Request datos reales transferidos de ida y vuelta están encriptados.
HTTPS GET Flood es una inundación HTTPS GET enviada a través de una
sesión SSL. Debido al SSL, es necesario descifrar las
solicitudes para mitigar la inundación.
HTTPS GET Request es una solicitud HTTPS GET enviada a través de una sesión
SSL. Debido al uso de SSL, es necesario descifrar las
solicitudes para inspeccionarlas.
Tabla 1. Posibles tipos de tráfico DDOS para HTTPS [9]

Las debilidades del protocolo de HTTPS [10]:

- GET: Michal Zalewski, Adrian Ilarion, Ciobanu, RSnake (Slowloris)

- POST: Wong Onn Chee.

3. Ataque por inundación HPING3

A. HPing

La herramienta hping es un analizador/ensamblador de paquetes TCP/IP de uso en

modo consola. Está inspirado en el comando ping de unix, aunque a diferencia de
éste, hping no solo es capaz de enviar paquetes ICMP sino que además también
puede enviar paquetes TCP, UDP, y RAW-IP.

Todo esto quiere decir que, con esta herramienta, podemos generar paquetes TCP/IP
a medida, que contengan la información que queramos. Esto puede resultar muy
interesante para poder efectuar auditorías de red y poder así prevenir ataques
malintencionados. [11]

OPCIONES BASE

 -q –quiet -v –version
 -c –count contar paquetes respuesta
 -d tamaño del paquete
 –fast 10 paquetes / seg
 –master 1 paquete / μs
 –flood lo más rápido posible

Para que la denegación de servicios pueda ser efectuada en el Servidor, se utilizó

Hping3, el cual consiste en una aplicación de terminal para Linux, que permite el
análisis y envió de paquetes TCP [12].

4. Ataque por inundación HTTP GET

Este tipo de ataque resulta de botnets orientados a las conexiones que inundan los
servidores afectando el tráfico de la red en puertos de servicio como el HTTP, mientras
se hacen pasar por usuarios legítimos. Los firewalls, switches y ruteadores tampoco
los detendrán. Para hacerlo, la organización víctima deberá reforzar su estructura de
seguridad con soluciones más resistentes.

GET se codifica como parte de una URL, se puede cortar y pegar el URL y compartirla
con otras personas. Las peticiones GET también se pueden marcar. Al agregar
"example.com/weather.php?zipcode=12345" a la barra "Favoritos" del navegador, y al
hacer clic en ese enlace automáticamente cargas tu página meteorológica
personalizada. Debido a que las peticiones GET son visibles (y editables) por el
usuario, también pueden ser pirateadas. [15]

Las llamadas GET pueden ser cacheadas (historial del navegador), indexadas por
buscadores, agregar los enlaces a nuestros favoritos o hasta pasar una url completa a
otra persona para que directamente ingrese a esa página. Con el método POST sin
embargo no se puede hacer esto.[15]

Las opciones de respuesta para las víctimas de las inundaciones SYN son muy
limitadas. El sistema bajo ataque es generalmente un servicio importante, y el bloqueo
del acceso al sistema logra generalmente lo que quiere el atacante. Mucho el router y
los productos de escudo de protección, incluyendo Cisco, tienen características que se
puedan utilizar para reducir el impacto de las inundaciones SYN. Pero, la eficacia de
estas características depende del entorno. [13]

Si usted decide intentar localizar una inundación SYN, entre en contacto el

cumplimiento de la ley a principios de, y trabaje con su propio proveedor del servicio
ascendente. [13]

En el primer trimestre de 2017 hubo un brusco aumento en el número y proporción de

los ataques del tipo TCP-DDoS, del 10,36% al 26,62%. También hubo un aumento
significativo en el porcentaje de ataques UDP (del 1,80% al 8,71%) y ICMP (del 1,41%
al 8,17%). Esto produjo una brusca reducción de la participación de los ataques SYN-
DDoS (48,07% frente al 75,33%) y HTTP (del 10,71% al 8,43%). [14]

Figura X. Porcentaje de ataque en el 2017 comparando con 2016 [14]

HERRAMIENTAS VIRTUALES

1. GNS3

GNS3 es un simulador gráfico de red el cual es usado para diseñar topologías de red
complejas y poner en marcha simulaciones sobre ellos, el cual es gratuito y capaz de
emular dispositivos de red. Lo cual hace posible que cualquier persona pueda utilizar
el hardware de red de forma rápida y sencilla para fines educativos y no tener un gasto
elevado en la adquisición del hardware físico. Dentro de los dispositivos de GNS3
podemos encontrar enrutadores y cortafuegos Cisco, Juniper, HP, Mickotik y frame-
relay.

2. SLOWLORIS

Slowloris es un tipo de ataque DDoS se difiere de otros porque esta herramienta no es

una DoS de TCP; más bien, usa tráfico HTTP perfectamente legítimo. Hace una
conexión TCP completa y luego requiere unos cientos de solicitudes a largo plazo y en
intervalos regulares. Como resultado, la herramienta no necesita enviar mucho tráfico
para agotar las conexiones disponibles en un servidor.

Finalmente, todas las conexiones se utilizarán y ningún otro servidor podrá conectarse
hasta que al menos se liberen algunas de las conexiones retenidas. Esto hace posible
que los hackers utilizando recursos limitados de tráfico puedan montar un ataque con
éxito. [11]

En otras palabras, permite a un atacante abrumar a un servidor objetivo abriendo y

manteniendo muchas conexiones HTTP simultáneas entre el atacante y el objetivo
[12]. Lo expuesto se pude entender con la siguiente imagen:
 Figura 5. [12]

El servidor objetivo solo tendrá tantos subprocesos disponibles para manejar

conexiones concurrentes. Cada subproceso de servidor intentará mantenerse con vida
mientras espera que se complete la solicitud lenta, lo que nunca ocurre. Cuando se
exceden las conexiones máximas posibles del servidor, no se responderá cada
conexión adicional y se producirá la denegación de servicio. [12]

3. KALI LINUX

4. METAEXPLOIT FRAMEWORK

Metasploit Framework es una plataforma modular de pruebas de penetración basada

en Ruby que le permite escribir, probar y ejecutar código de explotación. El Metasploit
Framework contiene un conjunto de herramientas que puede usar para probar
vulnerabilidades de seguridad, enumerar redes, ejecutar ataques y evadir la detección.
En esencia, Metasploit Framework es una colección de herramientas de uso común
que proporcionan un entorno completo para las pruebas de penetración y el desarrollo
de exploits.
PROCEDIEMINTO

1. Ataque FTP v2.3.4

2. Ataque a la camada 7 (HTTPS)

3. Ataque por inundación HPING3

Para realizar el ataque de Denegación de Servicios se necesitó de la creación de una

red virtual, quien hace posible la comunicación entre un computador anfitrión de
virtualización, los clientes, clientes (atacantes) y el internet.

Figura 6. Entorno de la Red para realizar el ataque.

Figura . Entorno de la Red para realizar el ataque.

El proceso de ataques y mitigación se realizó en un equipo anfitrión VMware, bajo

Windows 10, de procesador Core i7, memoria RAM de 16Gb y almacenamiento de
1TB. Para los dos clientes (atacantes) con máquinas virtuales se instaló KALI LINUX, y
para los otros dos se instaló Windows 7 como clientes, mientras que el punto de
acceso virtual fue instalado bajo Windows 8.1, de procesador Core i5, memoria RAM
de 4Gb y almacenamiento de 1TB.

Para implementar el diseño se creó en primer lugar el punto de acceso virtual,

posteriormente se instaló los dos clientes (atacantes) con KALI LINUX, para generar
ataques de denegación de servicios desde la LAN, posteriormente se creó dos
máquinas virtuales con el sistema operativo Windows 7, el cual tiene conexión hacia
un enrutador quien permite la comunicación con las máquinas virtuales y también
hacia Internet.

A. Generación de ataques

Para realizar el ataque de Denegación de Servicios se ejecutó el Hping3, en dos

máquinas virtuales con Kali Linux, desde la LAN para el ataque interno, además para
realizar los ataques es necesario los siguientes parámetros: dirección IP, el puerto de
ataque, el tamaño del paquete de datos a enviar y la frecuencia de envío de paquetes
por segundo. La principal característica de estos ataques es que ocupan el ancho de
banda, lo que provoca que se saturen las capacidades de los recursos del servidor.
Este asunto se puede apreciar mediante la herramienta de captura de tráfico
Wireshark, el cual es un analizador de protocolos de red para Unix y Windows.
B. Generación del Ataque DDOS

PROCEDIMIENTO PARA CREAR UN WEB SERVER:

Mediante Ethernet se dota del servicio de internet a la PC con Windows 8.1 que ocupa
el lugar de servidor web.
Para la creación de un servidor Web ingresar como administrador en la ventana
símbolo del sistema cmd (CoMmanD) e iniciar una red Hospedada como el comando:
netsh wlan start hostednetwork como se muestra en la siguiente figura.

Figura . Iniciar la red hospedada

En la ventana conexiones de red, abrir las propiedades de Ethernet y en la pestaña Uso
compartido seleccionamos la casilla que permite a los usuarios de otras redes conectarse a
través de la conexión a Internet de este equipo.

Figura . Permitir conexión a internet

Después de este proceso la Zona Wi-Fi otorgada por el servidor es visible para los usuarios que
deseen conectarse a la red. Teniendo una dirección IP asignada por DHCP.

PROCEDIMIENTO DEL CLIENTE

El cliente que está conectado al servidor que va hacer atacado ingresara a esta red de
forma normal como un usuario que requiere del servicio.

Figura . Conexión a la red del servidor.

Una vez que el usuario está conectado al servidor podemos verificar la dirección ip
que arroja el servidor al ser un usuario de manera normal como cualquiera servidor de
red; en este caso podemos ver que la dirección otorgada al cliente es 192.168.137.231

Figura . Direccion IP del cliente.

  Ping a la computadora y a Google

Al tener una dirección ip dada por el servidor revisamos si posee comunicación con el
a través de la dirección default Gateway la cual es 192.168.137.1 y que este a su vez
tiene acceso a internet de manera que lo comprobamos realizando un envió ICMP a la
dirección de Google la cual es 8.8.8.8, arrojando como resultado que ambas
comunicaciones son realizadas con éxito.

Figura . Comprobación de la conexión a web y al servidor

 Ping sostenido

Para comprobar la constante conexión con el default Gateway se realiza un ping ICMP
sostenido para ver esta conexión.

Figura . Se realiza un ping -t para conexión constante con el servidor

El ataque se lo realizara como se demostró desde otro cliente el cual posee la
dirección ip 192.168.137.108 la cual fue adquirida de forma normal por petición al
mismo servidor el cual será atacado demostrando como puede dañar la red desde
dentro de la misma, mientras el cliente sigue teniendo la conexión con el servidor por
la ip 192.168.137.1

Figura . Conexión con el servidor y el segundo cliente el cual será el atacante

El usuario (atacante) comienza su ataque mediante el terminal de Kali Linux, este

usuario se encuentra conectado en la red y tiene acceso a Internet, para esto realiza
una prueba de conectividad al servidor de Google teniendo como dirección IP
192.168.137.164.

Figura . Dirección IP del cliente-atacante.

Como al realizar un ping hacia el servidor de Google se está enviando paquetes ICMP,
mediante la herramienta para capturar tráfico Wireshark, podemos validar nuestra
prueba de conectividad.
 Figura . Captura de tráfico del cliente-atacante.

Procedemos a enviar paquetes mediante el comando de HPING3 el cual por defecto

envía paquetes TCP

Figura . Envió de paquetes TCP mediante hping3.

Como podemos ver existe una cantidad de 54 bytes enviados, el cual es muy poco al
realizar el ataque, para esto comenzamos a modificar el tamaño del paquete a enviar,
además como podemos ver la IP de origen es la misma es decir la 192.168.137.164,
esto puede ser muy sospechoso, detectado y negar el servicio inmediato al cliente-
atacante, procedemos a detener el ataque y a configurar para el envió de paquetes
con un tamaño de 500 bytes con el comando -d 500.

Figura . Envió de paquetes con un tamaño de 500 bytes.

El ataque se está realizando en momento simultaneo con la dirección IP del otro
cliente atacante 192.168.137.84, en la imagen se puede observar el protocolo que se
está ejecutando en la comunicación, ahora para evitar que seamos detectados debido
a la dirección IP de origen procedemos a enviar paquetes de diferentes direcciones IP
como si fueran varios usuarios los que realizan las peticiones y no solamente un
cliente, esto lo realizamos mediante el comando –rand-source, el cual indica una
dirección IP de origen randómica.

Figura . Envió de paquetes con diferentes dirección de origen.

Una vez ejecutado el comando podemos observar en la columna SOURCE las

direcciones IP de origen se encuentras diferentes direcciones IP, evitando ser
captados, pero para evitar cualquier minuciosidad procedemos a enviar todos los
paquetes por el puerto 80 mediante el comando -p80, como si fueran varias peticiones
de internet HTTP y además añadimos velocidad en el envió de los paquetes a una
velocidad de 100 paquetes por segundo, esto lo logramos con el comando –faster y
finalmente aumentamos el tamaño de envió de los paquetes a 1000 bytes.

Figura . Envió de paquetes por el puerto 80 (HTTP).

Una vez realizado el ataque el primer indicio que algo paso en la red es que se pierde
totalmente el contacto con el cliente el cual está atacando siendo un destino
totalmente inalcanzable, mientras la comunicación con el servidor sigue estando en
marcha hasta que empieza a caer la comunicación no se comunica como acceso
inalcanzable pero las solicitudes ya no son respondidas dando, así como exitoso el
ataque realizado.
 Figura . Colapso de la comunicación entre el cliente de la red.

Figura . Comprobación del ataque DDOS hacia el servidor y el cliente-atacante.

 4. Ataque por inundación HTTP GET

Para realizar el ataque de Denegación de Servicios se necesitó de la creación de una

red virtual, quien hace posible la comunicación entre un computador anfitrión de
virtualización, los clientes (atacantes) y el internet.

Figura . Entorno de la red para el ataque

Para implementar el diseño se creó en primer lugar el punto de acceso virtual,

posteriormente se instaló los dos clientes (atacantes) con KALI LINUX, para generar
ataques de denegación de servicios desde la LAN.

PROCEDIMIENTO DEL CLIENTE (ATACANTE)

El cliente que está conectado al servidor que va a ser atacado ingresara a esta red de
forma normal usando el sistema operativo Kali Linux como un usuario que requiere del
servicio. Y entonces, Lo primero que realiza es un ping a la página que desea atacar
en este caso es: www.seguridadpent.blogspot.com. Como se puede observar en la
captura del terminal de Kali Linux.

Figura . Ping desde el terminal de Kali Linux hacia la página web.

Entonces se obtiene la dirección IP de la página web que es la 172.217.3.65. Con este
dato nos dirigimos a Metasploit. Y en primer lugar utilizamos el comando:

use auxiliary/dos/tcp/synflood

a continuación, dentro de synflood se utilizará la IP que se tiene de la página mediante

el siguiente comando:

set rhost 172.217.3.65

luego se utiliza el siguiente comando:

exploit

Figura . Metasploit (Ataque DDOS)

Como resultado de esta inundación SYNflood se podrá ver que la página web no
permite el acceso y tampoco se cargan sus complementos:

Figura . Página web sin conexión y complementos

Cuando se desea recuperar la conexión en Metasploit se aplasta Ctrl + C y con este

proceso se obtiene así el restablecimiento de la conexión:
 Figura . Recuperación de la conexión

Para ver el puerto a cuál se atacó y estar en lo correcto se utiliza el siguiente

comando: Show options

Se puede observar que el ataque fue al puerto 80 usando 65535 bytes para capturar

Figura. Verificación del ataque al puerto

LINKS DE CONSULTA

[1] websecurity.es. (2017). Que es un ataque de denegación de servicio [Blog post].

Blog sobre seguridad informática. Recuperado de: http://www.websecurity.es/que-es-
un-ataque-denegaci-n-servicio

[2] Molina, Lorena., Furfaro, Angelo., Malena, Giovanna., y Parise, Andrea. (2015).
Ataques Distribuidos de Denegación de Servicios: modelación y simulación con
eventos discretos. Conferencia: XV Jornada Internacional de Seguridad Informática –
ACIS. Bogotá Colombia. Doi: 10.13140/RG.2.1.5123.5687

[3] Alexander, Khalimonenko., Oleg, Kupreev., Ekaterina, Badovskaya. (2018). Los

ataques DDoS en el primer trimestre de 2018. Securelist. Recuperado de:
https://securelist.lat/ddos-report-in-q1-2018/86887/

[4] Andreu, J., (2011), Servicios en Red, Argentina, Buenos Aires: Editex. Pp 82-83.
[5] Guasch, José A., (2018). El Smile de la Muerte: Puerta Trasera en VSFTPD 2.3.4.
SBD. Recuperado de: http://www.securitybydefault.com/2011/07/el-smile-de-la-muerte-
puerta-trasera-en.html

[6] Patani, N. Rajan, P., (2017) A Mechanism for Prevention of Flooding based DDoS
Attack. Recuperado de: https://www.ripublication.com/ijcir17/ijcirv13n1_09.pdf

[7] Cloudflare Advanced DDoS Protection - Denial-of-service (DoS) attacks are on the
rise and have evolved into complex and overwhelming security challenges.
Recuperado de: https://www.cloudflare.com/media/pdf/cloudflare-whitepaper-ddos.pdf

[8] Chaniz, F. Los ataques de DDOS y la Seguridad en Internet. Recuperado de:

https://usuaria.org.ar/sites/default/files/documentos/0945_federicochaniz_arbor.pdf

[9] (2014) National Cybersecurity and Communications Integration Center.

Recuperado de: https://www.us-
cert.gov/sites/default/files/publications/DDoS%20Quick%20Guide.pdf

[10] Chee, W. Brennan, T. (2010) OWASP AppSec DC 2010, Recuperado de:

https://www.owasp.org/images/4/43/Layer_7_DDOS.pdf

[11] Daniels, J. (2009). Server virtualization architecture and

implementation.Crossroads, 16(1), 8-12.

[12] Rubén Velasco (ruvelro) (2014) Hping3: Manual de utilización de esta herramienta
para manipular paquetes TCP/IP.

[13] Caracterizacion y seguimiento de la inundación de paquetes:

https://www.cisco.com/c/es_mx/support/docs/security-vpn/kerberos/13609-22.pdf

[14] Segurelist, los ataques DDOS en el primer trimestre de 2017:

https://securelist.lat/ddos-attacks-in-q1-2017/84964/

[15] Que es un ataque de inundación http? https://www.incapsula.com/ddos/attack-

glossary/http-flood.html

ANEXOS
Actas de asistencia a las reuniones

Reunión N.-1

Realizada el día 25 de mayo de 2018

Elección de la realización de las diferentes técnicas de DDOS para la presentación a
realizarse correspondiente al segundo parcial

Reunión N.-1

Realizada el día 25 de mayo de 2018

Elección de la realización de las diferentes técnicas de DDOS para la presentación a

realizarse correspondiente al segundo parcial

Nombre y Apellido Código Asistencia

Aldaz Genesis 792

Arias Angel 801

Barragan Byron 692

Espin Jhalmar 806

Espinoza Patricio 810

Hernandez Valeria 804

Herrera Jonathan 757

Salinas Santiago 797

Reunión N.-2

Realizada el día 01 de junio de 2018

Conceptos básicos de cada técnica de ataque, recursos necesarios tanto físico como digital.

Nombre y Apellido Código Asistencia

Aldaz Genesis 792

Arias Angel 801

Barragan Byron 692

Espin Jhalmar 806

Espinoza Patricio 810

Hernandez Valeria 804

 Herrera Jonathan 757

Salinas Santiago 797

Reunión N.-3

Realizada el día 08 de junio de 2018

Presentación de avances y resultados de cada técnica de ataque así como su divulgación a

cada uno de los miembros para su conocimiento.

Nombre y Apellido Código Asistencia

Aldaz Genesis 792

Arias Angel 801

Barragan Byron 692

Espin Jhalmar 806

Espinoza Patricio 810

Hernandez Valeria 804

Herrera Jonathan 757

Salinas Santiago 797

Reunión N.-4

Realizada el día 13 de junio de 2018

Realización del informe y practica del tiempo adecuado para la presentación del día jueves
14 de junio de 2018.

Nombre y Apellido Código Asistencia

Aldaz Genesis 792

Arias Angel 801

Barragan Byron 692

Espin Jhalmar 806

Espinoza Patricio 810

Hernandez Valeria 804

Herrera Jonathan 757

Salinas Santiago 797

FOTOGRAFÍAS DE LA ASISTENCIA

Anexo A. Asistencia de trabajo

Anexo B. Asistencia de trabajo