UNIVERSIDAD DE ORIENTE
NÚCLEO NUEVA ESPARTA
ESCUELA DE INGENIERÍA Y CIENCIAS APLICADAS
PROGRAMA DE LICENCIATURA EN INFORMÁTICA
DDOS TRINOO y TNF2K
Realizado por:
Br.
C.I:
1) TRINOO y TNF2K
Trinoo
Prepara tus exámenes
Prepara tus exámenes y mejora tus resultados gracias a la gran cantidad de recursos disponibles en Docsity
Consigue puntos base para descargar
Gana puntos ayudando a otros estudiantes o consíguelos activando un Plan Premium
Orientación Universidad
Prepara tus exámenes
Prepara tus exámenes y mejora tus resultados gracias a la gran cantidad de recursos disponibles en Docsity
Busca documentos
Prepara tus exámenes con los documentos que comparten otros estudiantes como tú en Docsity
Busca documentos en el Store
Los mejores documentos en venta realizados por estudiantes que han terminado sus estudios
Video Cursos
Estudia con lecciones y exámenes resueltos basados en los programas académicos de las mejores universidades
Quiz
Responde a preguntas de exámenes reales y pon a prueba tu preparación
Consigue puntos base para descargar
Gana puntos ayudando a otros estudiantes o consíguelos activando un Plan Premium
Comunidad
Pregúntale a la comunidad
Pide ayuda a la comunidad y resuelve tus dudas de estudio
Ranking de las universidades
Descubre las mejores universidades de tu país según los usuarios de Docsity
Ebooks gratuitos
¡Nuestros e-books salva-estudiantes!
Descarga nuestras guías gratuitas sobre técnicas de estudio, métodos para controlar la ansiedad y consejos para la tesis preparadas por los tutores de Docsity
Ataques DDOS TRINOO y TNF2K, Monografías, Ensayos de Seguridad Informática
En seguridad informática, un ataque de denegación de servicio, llamado también ataque DoS, es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos.
Tipo: Monografías, Ensayos
2020/2021
1 / 8
Esta página no es visible en la vista previa
¡No te pierdas las partes importantes!
Documentos relacionados
Vista previa parcial del texto
¡Descarga Ataques DDOS TRINOO y TNF2K y más Monografías, Ensayos en PDF de Seguridad Informática solo en Docsity!
UNIVERSIDAD DE ORIENTE
NÚCLEO NUEVA ESPARTA
ESCUELA DE INGENIERÍA Y CIENCIAS APLICADAS
PROGRAMA DE LICENCIATURA EN INFORMÁTICA
DDOS TRINOO y TNF2K
Realizado por: Br. C.I:
1) TRINOO y TNF2K
Trinoo
Es la primera herramienta de ataque distribuido conocida. Constituye la base de otras herramientas más modernas y sofisticadas, diferenciándose unas de otras en la forma de comunicación entre agentes y ataques desplegados. Los primeros demonios Trinoo fueron encontrados en forma binaria en un conjunto de máquinas Solaris 2.x que fueron comprometidas aprovechando los errores existentes en algunos de los servicios RPC (statd, cmsd, ttdbserverd...). Mediante la utilización de programas de escaneo, sniffers, alojados en la cuenta origen y explotando errores conocidos en diversos sistemas operativos, Trinoo es capaz de expandirse a otros sistemas. De igual forma, puede hacer uso de los privilegios obtenidos para asegurar la ejecución del programa. El resultado de esta primera fase es la instalación de los agentes Trinoo en un número considerable de máquinas de una forma relativamente fácil y automática. Adicionalmente, también se ha detectado la instalación en las maquinas comprometidas de programas que tienen la misión de ocultar los demonios Trinoo en funcionamiento, archivos, conexiones de red y evitar así que puedan ser descubiertas con facilidad17. Esto es más crítico en las máquinas que alojan los programas maestros que son la clave de entrada para la red Trinoo18. Una vez completada la fase de contagio, la red Trinoo esta dispuesta para recibir comandos y actuar en consecuencia. La comunicación entre los distintos agentes se realiza mediante conexiones TCP/UDP y el envió de comandos y contraseñas. El control remoto de los maestros se realiza mediante una conexión TCP, mientras que la comunicación entre agentes maestros y esclavos (y viceversa) se realiza mediante UDP. Después de la conexión con un maestro, este solicita la entrada de una palabra de paso para validar dicha conexión al atacante; si otro intento de conexión es detectado mientras el atacante siga autenticado, un mensaje de aviso con la dirección IP que pide la conexión es enviada al atacante dando tiempo a este a borrar pistas del ataque.
servicios RPC. Su instalación y forma de "apropiarse" de cuentas en máquinas remotas es prácticamente la misma que su predecesor Trinoo. La principal diferencia con los demonios Trinoo es que la comunicación entre los distintos agentes que componen una red TFN (nombre que recibe el conjunto de máquinas involucradas en un ataque TFN) se realiza mediante paquetes ICMP echo reply, ya no se utilizan paquetes UDP o TCP. La razón de este cambio es que algunas herramientas de monitorización de red no son capaces de mostrar la zona de datos en este tipo de paquetes, donde viaja información valiosa. Esto hace disminuir la probabilidad de ser detectados utilizando técnicas convencionales de monitorización. Obviamente se ha escogido ICMP echo reply y no ICMP echo request para evitar que el sistema operativo maneje las respuestas a dichos paquetes. Estas nuevas características en TFN lo hacen bastante más difícil de controlar y más aun de detener a no ser que no permitamos ningún tráfico ICMP en nuestra red, algo imposible en la mayoría de los casos. Un punto débil que podemos encontrar en TFN, es que no se realiza ninguna comprobación del origen de los paquetes ICMP. Esto hace que el envío de un solo paquete a estos agentes con el valor de comando correcto pueda dejarlo fuera de combate. TFN2K representa un nivel superior en el desarrollo de herramientas de ataque distribuido y es la más sofisticada descubierta hasta el momento. Entre sus características mas novedosas destacan:
- La comunicación entre los demonios maestro y esclavo esta encriptada.
- Los paquetes de comandos y los ataques propiamente dichos, pueden ser enviados de una forma aleatoria utilizando TCP, UDP, ICMP.
- De manera adicional, el demonio maestro es capaz de falsificar su propia dirección IP lo que hace muy complicado el desarrollo de herramientas eficaces para prevenir este tipo de ataques.
- La comunicación entre los demonios es totalmente "silenciosa". A diferencia de sus predecesores, ningún comando es reconocido con el envío de un paquete aceptando o diciendo haber entendido su contenido.
- Los comandos utilizados no están basados en cadenas.
- Comprobación de la autenticidad de los mensajes recibidos, aprovechando características del mecanismo de encriptación. Por todas estas características es realmente difícil poder detectar la existencia de una red TFN2K mediante el análisis del tráfico de red utilizando técnicas normales de monitorización.
2) Tenga en cuenta el siguiente escenario
Una empresa con varias sedes en el estado es atacada. Un día de trabajo común y corriente de la misma es descrito a continuación. El edificio principal de la misma cuenta con 5 pisos. Solo al primero tienen acceso los visitantes, el resto es para los empleados y los entrevistados. Se sabe que hay 3 compañías externas que tienen acceso a la empresa. La de aseo, que recoge la basura en la parte trasera del edificio y para eso debe pasar el portón de la misma donde son verificadas las identidades en una garita. La de entregas, que realiza entregas de pedidos, paquetes, etc, quienes deben bajar las cajas ellos mismos y entregarlas en los cubículos correspondientes… Y la de electricidad, que realiza mantenimiento preventivo y correctivo de los sistemas eléctricos y de iluminación. Dentro del edificio, los entrevistados deben reportarse ante la recepción donde les toman sus datos y verifican si están agendados para ese día, luego, les piden que tomen asiento en la sala de espera donde serán llamados para subir a la entrevista.
la investigación y haber aprovechado oportunidades que pudo haber conseguido, por ejemplo algún empleado no estuviese en su cubículo y tuviera suficiente tiempo para conocer más sobre el hardware y el software para poder hacer su ataque. El atacante incluso pudo haber recibido ayuda de algún empleado o incluso que el atacante pudo haber sido algún empleado con un motivo desconocido. Puede que se hallan usado durante el ataque un conjunto de herramientas TNF2K que podían haber pasado desapercibidas, si las herramientas de monitorización de red de la empresa no estas estaban actualizadas o preparadas para detectar el ataque. De ser así el atacante pudo haber obtenido toda la información que deseaba por medio de la red de la empresa y almacenarla en una unidad usb conectada al equipo desde el que controlaba las herramientas TNF2K
Referencias
S. González García y J. Barba (2007). DDoS: Un campo de batalla abierto en la seguridad de Internet. RedIRIS. https://www.rediris.es/difusion/publicaciones/boletin/57/enfoque2.html