Modelo para generación de alertas de prevención de ataques TCP/SYN Flooding
Un ataque a la seguridad en la red ampliamente estudiado es el orientado a inundar con solicitudes ficticias a un recurso determinado con el fin de obligarlo a rechazar solicitudes verdaderas de prestación de un servicio. Este ataque denominado DoS (Denial of Service) tiene una modalidad basada en i...
- Autores:
-
Amaya Tarazona, Carlos Alberto
- Tipo de recurso:
- Fecha de publicación:
- 2010
- Institución:
- Universidad Autónoma de Bucaramanga - UNAB
- Repositorio:
- Repositorio UNAB
- Idioma:
- spa
- OAI Identifier:
- oai:repository.unab.edu.co:20.500.12749/3451
- Acceso en línea:
- http://hdl.handle.net/20.500.12749/3451
- Palabra clave:
- Systems Engineering
Computer networks
Security measures
Computer Network Administration
Research
Ingeniería de sistemas
Redes de computadores
Medidas de seguridad
Administración de redes de computadores
Investigaciones
Servicio DoS
Monitoreo de redes
- Rights
- openAccess
- License
- http://creativecommons.org/licenses/by-nc-nd/2.5/co/
| id |
UNAB2_af7b3b0bdba6540a9c4ddb6f06509a5b |
|---|---|
| oai_identifier_str |
oai:repository.unab.edu.co:20.500.12749/3451 |
| network_acronym_str |
UNAB2 |
| network_name_str |
Repositorio UNAB |
| repository_id_str |
|
| dc.title.spa.fl_str_mv |
Modelo para generación de alertas de prevención de ataques TCP/SYN Flooding |
| dc.title.translated.eng.fl_str_mv |
Model for generating TCP/SYN Flooding attack prevention alerts |
| title |
Modelo para generación de alertas de prevención de ataques TCP/SYN Flooding |
| spellingShingle |
Modelo para generación de alertas de prevención de ataques TCP/SYN Flooding Systems Engineering Computer networks Security measures Computer Network Administration Research Ingeniería de sistemas Redes de computadores Medidas de seguridad Administración de redes de computadores Investigaciones Servicio DoS Monitoreo de redes |
| title_short |
Modelo para generación de alertas de prevención de ataques TCP/SYN Flooding |
| title_full |
Modelo para generación de alertas de prevención de ataques TCP/SYN Flooding |
| title_fullStr |
Modelo para generación de alertas de prevención de ataques TCP/SYN Flooding |
| title_full_unstemmed |
Modelo para generación de alertas de prevención de ataques TCP/SYN Flooding |
| title_sort |
Modelo para generación de alertas de prevención de ataques TCP/SYN Flooding |
| dc.creator.fl_str_mv |
Amaya Tarazona, Carlos Alberto |
| dc.contributor.advisor.spa.fl_str_mv |
Guerrero Santander, César Darío |
| dc.contributor.author.spa.fl_str_mv |
Amaya Tarazona, Carlos Alberto |
| dc.contributor.cvlac.*.fl_str_mv |
https://scienti.minciencias.gov.co/cvlac/visualizador/generarCurriculoCv.do?cod_rh=0000809357 |
| dc.contributor.cvlac.spa.fl_str_mv |
Guerrero Santander, César Darío [0000809357] |
| dc.contributor.googlescholar.*.fl_str_mv |
https://scholar.google.es/citations?hl=es#user=_YgBOOcAAAAJ |
| dc.contributor.googlescholar.spa.fl_str_mv |
Guerrero Santander, César Darío [_YgBOOcAAAAJ] |
| dc.contributor.orcid.spa.fl_str_mv |
Guerrero Santander, César Darío [0000-0002-3286-6226] |
| dc.contributor.scopus.*.fl_str_mv |
https://www.scopus.com/authid/detail.uri?authorId=23094317500 |
| dc.contributor.scopus.spa.fl_str_mv |
Guerrero Santander, César Darío [23094317500] |
| dc.contributor.researchgate.spa.fl_str_mv |
Guerrero Santander, César Darío [Cesar-Guerrero-2] |
| dc.contributor.publons.spa.fl_str_mv |
Guerrero Santander, César Darío [cesar-d-guerrero] |
| dc.contributor.researchgroup.spa.fl_str_mv |
Grupo de Investigación Tecnologías de Información - GTI Grupo de Investigaciones Clínicas |
| dc.contributor.linkedin.none.fl_str_mv |
Guerrero Santander, César Darío [cguerrer] |
| dc.subject.keywords.eng.fl_str_mv |
Systems Engineering Computer networks Security measures Computer Network Administration Research |
| topic |
Systems Engineering Computer networks Security measures Computer Network Administration Research Ingeniería de sistemas Redes de computadores Medidas de seguridad Administración de redes de computadores Investigaciones Servicio DoS Monitoreo de redes |
| dc.subject.lemb.spa.fl_str_mv |
Ingeniería de sistemas Redes de computadores Medidas de seguridad Administración de redes de computadores Investigaciones |
| dc.subject.proposal.none.fl_str_mv |
Servicio DoS Monitoreo de redes |
| description |
Un ataque a la seguridad en la red ampliamente estudiado es el orientado a inundar con solicitudes ficticias a un recurso determinado con el fin de obligarlo a rechazar solicitudes verdaderas de prestación de un servicio. Este ataque denominado DoS (Denial of Service) tiene una modalidad basada en inundación de paquetes TCP conocida como TCP/SYN. En este trabajo se plantea un modelo de detección de ataques DoS y generación de alarmas mediante el análisis y filtrado de tráfico capturado en logs. La idea es realizar una detección tempanara con un sistema de alertas para minimizar el riesgo cuando se falsea la dirección de origen (faked/spoofed IP) y de esta manera poder identificar también el origen real del ataque. A diferencia de esquemas típicos como los que implementan los IDS, el modelo propuesto realiza un filtrado al tráfico en la red teniendo en cuenta las cabeceras TCP que tengan el bit SYN activo. De ésta manera, los sistemas de detección tradicionales reciben ese tráfico filtrado y pueden optimizar tiempos de respuesta y reducir la probabilidad de falsos positivos en la generación de alarmas. La esencia y efectividad de este modelo, está en su etapa final cuando se analizan los datos recopilados, los diálogos TCP interceptados mediante la aplicación de filtros a archivos pcap usando algún lenguaje específico que permita este tratamiento. El uso de interfaces GUI y aplicaciones Front-End para el análisis de registros, pueden dar efectividad cuando se trata de detectar ataques complejos y de difícil detección. El formato pcap que permite conversión de datos capturados en binario o en formato texto, es amplio para estas lecturas de cabeceras de datos mediante filtros, modificadores de tipo, de dirección, funciones de coordenadas en envíos y respuestas, sintaxis de primitivas y modificadores propias de cualquier lenguaje que permiten analizar cualquier dato capturado en la red. La pila TCP es afectada de forma diferente de acuerdo al ataque que se perpetre. El hecho de implementar soluciones en seguridad, implica sobrecarga pasiva y activa de servidores, host y sistemas de comunicación, sumándole a ello consumo de recursos en hardware y el uso de diversidad de herramientas, sobre todo los frameworks y los front-end que complementan la gestión de la mayoría de sistemas de NIDS. Producto de esta investigación fue la evidencia y presencia de “Falsos positivos” (ip's que no hacían flood) y la sobrecarga que genera a un sistema los registros de logs. Poder identificarlos de manera oportuna y acertada y establecer un mecanismo de diagnóstico y defensa que no sobrecargue al sistema, son procesos que llevarían análisis de tráfico con procesos de filtrado específico. Algoritmos basados en funciones de probabilidad y ocurrencia comparados con muestras basadas o referenciadas en el historial de comportamientos de un sistema que puede ser afectado por este tipo de ataques. |
| publishDate |
2010 |
| dc.date.issued.none.fl_str_mv |
2010 |
| dc.date.accessioned.none.fl_str_mv |
2020-06-26T21:34:51Z |
| dc.date.available.none.fl_str_mv |
2020-06-26T21:34:51Z |
| dc.type.driver.none.fl_str_mv |
info:eu-repo/semantics/masterThesis |
| dc.type.local.spa.fl_str_mv |
Tesis |
| dc.type.redcol.none.fl_str_mv |
http://purl.org/redcol/resource_type/TM |
| dc.identifier.uri.none.fl_str_mv |
http://hdl.handle.net/20.500.12749/3451 |
| dc.identifier.instname.spa.fl_str_mv |
instname:Universidad Autónoma de Bucaramanga - UNAB |
| dc.identifier.reponame.spa.fl_str_mv |
reponame:Repositorio Institucional UNAB |
| url |
http://hdl.handle.net/20.500.12749/3451 |
| identifier_str_mv |
instname:Universidad Autónoma de Bucaramanga - UNAB reponame:Repositorio Institucional UNAB |
| dc.language.iso.spa.fl_str_mv |
spa |
| language |
spa |
| dc.relation.references.spa.fl_str_mv |
Amaya Tarazona, Carlos Alberto, Guerrero Santander, Cesar Darío (2010). Modelo para generación de alertas de prevención de ataques TCP/SYN Flooding. Bucaramanga (Colombia) : Universidad Autónoma de Bucaramanga UNAB, Universitat Oberta de Catalunya UOC BENCSATH, B y RONAI, M. Empirical Analysis of Denial of Service Attack Against SMTP Servers. Departament of Telecomunications. Budapest University of Technology and Economics. Hungary. IST 026-600. CARVAJAL, A. Introducción a las técnicas de ataque e investigación Forense, Un enfoque pragmático. Colombia, Agosto de 2007, seg Ed, p. 245 CHEN, Y y YONEZAWA, A. Practical Techniques for Defending against DDoS Attacks. NTT Information Sharing Plataform Laboratories. University of Tokyo. CLEM, A. Network Management Fundamentals. Cisco Systems Inc. 2007. Cisco press USA, p. 532. ELLEITHY, K . Computer Science Departament, University of Bridgeport. CT 06604 USA. BLAGOVIC, D; CHENG y SIDELAU,P Computer Science epartament, Sacred heart University. CT 06825 USA. Denial of Service Attack Techniques: Analysis, Implementation and Comparasion, p. 66-99. HIA, H y MIDKIFF, S. Securing SNMP Across Backbone Networks. Bradley Departament of Electrical and Computer Engineering. Virginia Polytechnic Insttitute and State University. Virgini USA, p . 190-198. HUANG, Q; KOBAYASHI, H y LIU, B. Analysis of a New Form of Distributed Denial of Service Attack. Departament of Electrical Engineering, Princeton University. March 12-14 2003. Conference on Information Science and Systems. JOANCOMARTI, J; ALFARO, J y TORNIL, X. Aspectos Avanzados de seguridad en redes. Universitat Oberta de Catalunya. España. Feb de 2007, p. 228 MIRKOVIC, J. D-WARD: Source-End Defense Against Distributed Denial-of-Service Attacks. University of California. Los Angeles. 2003, p. 398. MURALI, A y RAO, M. A Survey on Intrusion Detection Approaches. Computer Centre University of Hyderabad. PARZIALE.L; BRITT,D; DAVIS,CH; FORRESTER,J; LIU,W; MATTHEWS,C y ROSSELOT,N. TCP/IP Tutorial and Technical Overview. IBM Redbooks. Eighth Edition, December 2006, p. 1004 SARRAM, M y AGHAEI, V. Remote Control and Overall Administration of Computer Networks, Using Short Message Service. Computer Eng Departament. Yazd, Iran STREILEIN, W; FRIED, D; y CUNNINGHAM, R. Detecting Flood-based Denial-of-Service Attacks with SNMP/RMON. Mit Lincoln Laboratory. USA VERDEJO, J. Seguridad en Redes IP. Universitat Autónoma de Barcelona. Bellaterra, Sept 2003, p. 234. YU, J; LEE, H; KIM, S y PARK, D. Traffic flooding attack detection with SNMP using SVM. Computer Communications, Journal 2008, p. 4211-4219. The Simple Web. March 27 de 2008. [publicaciones en línea] Disponible desde internet en: <http://www.simpleweb.org/> The Web Based management Page. Lindsay, J. October 2001. Disponible desde internet en: < http://joe.lindsay.net/webbased.html> Advanced Networking Management Lab (ANML) Distributed Denial of Service Attacks (DDoS) Resources. Page developed by 107 S. Indiana Ave., Bloomington, IN 47405-7000. Actualizada 01/24/2008. Trustees of Indiana University [publicaciones en línea] Disponible desde internet en: <http://anml.iu.edu/ddos/types.html> Distributed Denial of Service Attacks (DDoS) Attacks/Tools. Actualizada 09/28/2009. [publicaciones en línea] Disponible desde internet en: <http://staff.washington.edu/dittrich/misc/ddos/ > Network Working Group. Request for Comments 4732. Internet Denial–of-Service Considerations. November 2006.. [publicacion en línea] Disponible desde internet en: < http://tools.ietf.org/html/rfc4732 > BOTERO, N. Modelo de Gestión de Seguridad con soporte a SNMP. Pontificia Universidad Javeriana. Facultad de ingeniería, Tesis. Bogotá Junio, 2005, p. 149. CUI-MEI, B. Intrusion Detection Based on One-class SVM and SNMP MIB data. Shandong University of Technology Zibo. China 2009. Fifth International Conference on information Assurance and Security, p. 346-351. HATEFI, F y GOLSHANI, F. A new framework for secure network management. Departament of Computer Science and Engineering, Arizona State University, Tempe, USA. 1999, p. 629-636. SCHUBA, C; KRSUL, I; KUHN, M; SPAFFORD, E; SUNDARAM, A y ZAMBONI,D. Analysis of Denial of Service Attack on TCP. COAST Laboratory. Departament of computer Sciences Purdue University, p. 66-82. TSUNODA, H [a]; OHTA, K[b]; YAMAMOTO [c], A; ANSARI, N [d]; WAIZUMI, Y [e], y NEMOTO, Y [e]. Detecting DRDoS attacks by a simple response packet confirmation mechanism. Computer Comunications Journal. 2008, p. 3299-3307 WANG, Y; LIN, CH y FANG, Y. A queueing analysis for the denial of service (DoS) ATTACKS IN COMPUTER NETWORKS. Departament of Computer Science and Technology, Beijing China. 2007, p. 3564-3573. ZENG, W y WANG, Y. Design and implementation of Server Monitoring System Based on SNMP. College of Information & Technology, Hebei University of Economics & Business. Information and Network Management Center, North China Electric Power University, p. 680-682 Publications of the Telematics Systems Management group Twente. March 27 de 2008. [publicaciones en línea] Disponible desde internet en: <http://snmp.cs.utwente.nl/bibliography/articles/utwentemgt.html Artech House Bookstore. Publications on Security & Privacity. 2009. Seniors Series Editor. Chapin,l y Norris, M. [publicaciones en línea] Disponible desde internet en: < http://www.artechhouse.com/Search.aspx?nCatId=25> The Simple Web Internet. July 01 de 2007 [publicaciones en línea] Disponible desde internet en: < http://www.simpleweb.org/ietf/> [1] CUI-MEI, B. Intrusion Detection Based on One-class SVM and SNMP MIB data. Shandong University of Technology Zibo. China 2009. Fifth International Conference on information Assurance and Security, p. 346-351. [2] SCHUBA, C; KRSUL, I; KUHN, M; SPAFFORD, E; SUNDARAM, A y ZAMBONI,D. Analysis of Denial of Service Attack on TCP. COAST Laboratory. Departament of Computer Sciences Purdue University, p. 66-82. [3] TSUNODA, H ; OHTA, K[b]; YAMAMOTO , A; ANSARI, N [d]; WAIZUMI, Y , y NEMOTO, Y . Detecting DRDoS attacks by a simple response packet confirmation mechanism. Computer Comunications Journal. 2008, p. 3299-3307 [4] CARVAJAL, A. Introducción a las técnicas de ataque e investigación Forense, Un enfoque pragmático. Colombia, Agosto de 2007, seg Ed, p. 245 [5] CRUZ, A y TORRES, P. Sistema para Generar Gráficas a Partir de Logs Tcpdump usando Hadoop. Escuela Superior Politécnica del Litoral. Guayaquil, Ecuador, p. 59 [6] HIA, H y MIDKIFF, S. Securing SNMP Across Backbone Networks. Bradley Departament of Electrical and Computer Engineering. Virginia Polytechnic Insttitute and State University. Virgini USA, p . 190-198. [6] ZENG, W y WANG, Y. Design and implementation of Server Monitoring System Based on SNMP. College of Information & Technology, Hebei University of Economics & Business. Information and Network Management Center, North China Electric Power University, p. 680-682 [7] HATEFI, F y GOLSHANI, F. A new framework for secure network management. Departament of Computer Science and Engineering, Arizona State University, Tempe, USA. 1999, p. 629-636. [8]BERNSTEIN. J. Daniel. Bernstein's own explanation of SYN Cookies Disponible en Internet. <http://cr.yp.to/syncookies.html> [9] IPsysctl tutorial 1.0.4. Disponible en Internet: <http://www.frozentux.net/ipsysctl-tutorial/chunkyhtml/otherresources.html#TCPTUNINGGUIDE> [10] TCP Variables. Disponible en Internet: <http://www.frozentux.net/ipsysctl-tutorial/chunkyhtml/tcpvariables.html > [11] Perl. Disponible en Internet: <http://es.wikipedia.org/wiki/Perl> [12] DeMarco T., "Structured analysis and system specification", Yourdon Press (Prentice Hall) (1979). |
| dc.rights.uri.*.fl_str_mv |
http://creativecommons.org/licenses/by-nc-nd/2.5/co/ |
| dc.rights.local.spa.fl_str_mv |
Abierto (Texto Completo) |
| dc.rights.accessrights.spa.fl_str_mv |
info:eu-repo/semantics/openAccess http://purl.org/coar/access_right/c_abf2 |
| dc.rights.creativecommons.*.fl_str_mv |
Atribución-NoComercial-SinDerivadas 2.5 Colombia |
| rights_invalid_str_mv |
http://creativecommons.org/licenses/by-nc-nd/2.5/co/ Abierto (Texto Completo) http://purl.org/coar/access_right/c_abf2 Atribución-NoComercial-SinDerivadas 2.5 Colombia |
| eu_rights_str_mv |
openAccess |
| dc.format.mimetype.spa.fl_str_mv |
application/pdf |
| dc.coverage.spa.fl_str_mv |
Bucaramanga (Colombia) |
| dc.coverage.campus.spa.fl_str_mv |
UNAB Campus Bucaramanga |
| dc.publisher.grantor.spa.fl_str_mv |
Universidad Autónoma de Bucaramanga UNAB |
| dc.publisher.faculty.spa.fl_str_mv |
Facultad Ingeniería |
| dc.publisher.program.spa.fl_str_mv |
Maestría en Software Libre |
| institution |
Universidad Autónoma de Bucaramanga - UNAB |
| bitstream.url.fl_str_mv |
https://repository.unab.edu.co/bitstream/20.500.12749/3451/1/2010_Tesis_Carlos_Alberto_Amaya_Tarazona.pdf https://repository.unab.edu.co/bitstream/20.500.12749/3451/2/2010_Anexos_Carlos_Alberto_Amaya_Tarazona.zip https://repository.unab.edu.co/bitstream/20.500.12749/3451/3/2010_Tesis_Carlos_Alberto_Amaya_Tarazona.pdf.jpg |
| bitstream.checksum.fl_str_mv |
7429a52a5fe269b3b5a58682fe4840ed 9aff516ce5404ea72b70ed75b3527247 d6a6110b8f77ba48a2ae22b870bcc03e |
| bitstream.checksumAlgorithm.fl_str_mv |
MD5 MD5 MD5 |
| repository.name.fl_str_mv |
Repositorio Institucional | Universidad Autónoma de Bucaramanga - UNAB |
| repository.mail.fl_str_mv |
repositorio@unab.edu.co |
| _version_ |
1808410664333475840 |
| spelling |
Guerrero Santander, César Daríoe21911f3-3ec0-4ac9-b7db-7e26b4a31bcc-1Amaya Tarazona, Carlos Alberto4af71a62-8c97-4c7d-80f1-d06e32ff7ced-1https://scienti.minciencias.gov.co/cvlac/visualizador/generarCurriculoCv.do?cod_rh=0000809357Guerrero Santander, César Darío [0000809357]https://scholar.google.es/citations?hl=es#user=_YgBOOcAAAAJGuerrero Santander, César Darío [_YgBOOcAAAAJ]Guerrero Santander, César Darío [0000-0002-3286-6226]https://www.scopus.com/authid/detail.uri?authorId=23094317500Guerrero Santander, César Darío [23094317500]Guerrero Santander, César Darío [Cesar-Guerrero-2]Guerrero Santander, César Darío [cesar-d-guerrero]Grupo de Investigación Tecnologías de Información - GTIGrupo de Investigaciones ClínicasGuerrero Santander, César Darío [cguerrer]2020-06-26T21:34:51Z2020-06-26T21:34:51Z2010http://hdl.handle.net/20.500.12749/3451instname:Universidad Autónoma de Bucaramanga - UNABreponame:Repositorio Institucional UNABUn ataque a la seguridad en la red ampliamente estudiado es el orientado a inundar con solicitudes ficticias a un recurso determinado con el fin de obligarlo a rechazar solicitudes verdaderas de prestación de un servicio. Este ataque denominado DoS (Denial of Service) tiene una modalidad basada en inundación de paquetes TCP conocida como TCP/SYN. En este trabajo se plantea un modelo de detección de ataques DoS y generación de alarmas mediante el análisis y filtrado de tráfico capturado en logs. La idea es realizar una detección tempanara con un sistema de alertas para minimizar el riesgo cuando se falsea la dirección de origen (faked/spoofed IP) y de esta manera poder identificar también el origen real del ataque. A diferencia de esquemas típicos como los que implementan los IDS, el modelo propuesto realiza un filtrado al tráfico en la red teniendo en cuenta las cabeceras TCP que tengan el bit SYN activo. De ésta manera, los sistemas de detección tradicionales reciben ese tráfico filtrado y pueden optimizar tiempos de respuesta y reducir la probabilidad de falsos positivos en la generación de alarmas. La esencia y efectividad de este modelo, está en su etapa final cuando se analizan los datos recopilados, los diálogos TCP interceptados mediante la aplicación de filtros a archivos pcap usando algún lenguaje específico que permita este tratamiento. El uso de interfaces GUI y aplicaciones Front-End para el análisis de registros, pueden dar efectividad cuando se trata de detectar ataques complejos y de difícil detección. El formato pcap que permite conversión de datos capturados en binario o en formato texto, es amplio para estas lecturas de cabeceras de datos mediante filtros, modificadores de tipo, de dirección, funciones de coordenadas en envíos y respuestas, sintaxis de primitivas y modificadores propias de cualquier lenguaje que permiten analizar cualquier dato capturado en la red. La pila TCP es afectada de forma diferente de acuerdo al ataque que se perpetre. El hecho de implementar soluciones en seguridad, implica sobrecarga pasiva y activa de servidores, host y sistemas de comunicación, sumándole a ello consumo de recursos en hardware y el uso de diversidad de herramientas, sobre todo los frameworks y los front-end que complementan la gestión de la mayoría de sistemas de NIDS. Producto de esta investigación fue la evidencia y presencia de “Falsos positivos” (ip's que no hacían flood) y la sobrecarga que genera a un sistema los registros de logs. Poder identificarlos de manera oportuna y acertada y establecer un mecanismo de diagnóstico y defensa que no sobrecargue al sistema, son procesos que llevarían análisis de tráfico con procesos de filtrado específico. Algoritmos basados en funciones de probabilidad y ocurrencia comparados con muestras basadas o referenciadas en el historial de comportamientos de un sistema que puede ser afectado por este tipo de ataques.Universitat Oberta de Catalunya UOCINTRODUCCION 12 CAPITULO I. CONTEXTO DE LA INVESTIGACION 14 1.1 Tema 14 1.2 Definición del Problema 15 1.3 Objetivos 18 CAPITULO 2. FUNDAMENTOS TEORICOS 19 2.1 Estado del Arte 19 2.2 Vulnerabilidades de la capa de transporte 25 2.3 Orígen de las vulnerabilidades 26 2.4 Herramientas de monitoreo 27 2.5 Sistemas de detección de intrusos 28 2.6 Tipos de IDS 28 2.7 Herramientas de gestión 30 2.8 Formato PCAP 32 CAPITULO 3. METODOLOGIA APLICADA 34 3.1 Denegación de servicio (DoS) / (DDoS) 34 3.2 Fuentes de orígen de los ataques (DoS) / (DDoS) 36 3.3 Plataformas afectadas 37 3.4 Caracterización de los ataques (DoS) 37 3.4.1 Uso de IP Source Spoofing 37 3.4.2 Similitud de tráfico legítimo 38 3.5 Fases previas a la realización del ataque 39 3.5.1 Topología o distribución física 40 3.5.2 Función de ICMP en los ataques (DoS) 41 3.5.3 Descubrimiento de usuarios 44 3.5.4 Información del dominio 44 3.5.5 Fingerprinting 45 3.5.6 Exploración de puertos 49 3.5.7 Escaneo basado en el protocolo ICMP 51 3.5.8 Fragmentación IP 52 3.6 Tipos de Atques (DoS) 57 3.6.1 Ataque TCP/SYN Flooding 57 3.6.2 Smurf 60 3.6.3 STeardrop 61 3.6.4 Snork 63 3.6.5 Ataque distribuído TRIN00 / TRIN00 64 3.7 Herramientas que ayudan a prevenir ataques (DoS) 66 CAPITULO 4. IMPLEMENTACION DE LA SOLUCION 71 4.1 Selección del sistema operativo 71 4.2 Testbed 71 4.3 Fases previas al ataque TCP/SYN Flooding 74 4.4 Consolidación del ataque 75 4.4.1 Análisis con Wireshark 79 4.4.2 Esquema del ataque 83 4.4.3 Detección del ataque 85 CAPITULO 5. DESCRIPCION DEL MODELO 89 5.1 Nivel 1. Escenario Típico red Ethernet. Testbed 90 5.2 Nivel 2. Núcleo para afectar la pila TCP/IP 90 5.3 Nivel 3. Análisis de tráfico a través de Logs. Sistema de alertas 101 5.3.1 Sistema de análisis de logs 104 5.4 Nivel 4. Firewall para minimizar ataques DoS y registro de logs 115 6. MARCO CONCEPTUAL 119 7. TRABAJOS FUTUROS 124 8. CONCLUSIONES 125 9. BIBLIOGRAFIA 126 10. REFERENCIAS BIBLIOGRAFICAS 130ANEXOS 132MaestríaA widely studied network security attack is one aimed at flooding a particular resource with fictitious requests in order to force it to reject true requests for the provision of a service. This attack called DoS (Denial of Service) has a mode based on flooding of TCP packets known as TCP / SYN. In this work, a DoS attack detection and alarm generation model is proposed by analyzing and filtering traffic captured in logs. The idea is to carry out an early detection with an alert system to minimize the risk when the source address is falsified (faked / spoofed IP) and thus also be able to identify the real origin of the attack. Unlike typical schemes such as those implemented by IDS, the proposed model filters network traffic taking into account the TCP headers that have the SYN bit active. In this way, traditional detection systems receive this filtered traffic and can optimize response times and reduce the probability of false positives in the generation of alarms. The essence and effectiveness of this model is in its final stage when the collected data is analyzed, the intercepted TCP dialogues by applying filters to pcap files using a specific language that allows this treatment. The use of GUI interfaces and Front-End applications for log analysis can be effective when it comes to detecting complex and difficult-to-detect attacks. The pcap format that allows the conversion of captured data in binary or text format, is broad for these readings of data headers through filters, type and address modifiers, coordinate functions in sends and responses, primitive syntax and modifiers typical of any language that allows you to analyze any data captured on the network. The TCP stack is affected differently according to the attack that is perpetrated. The fact of implementing security solutions implies passive and active overload of servers, hosts and communication systems, adding to it the consumption of hardware resources and the use of a variety of tools, especially the frameworks and front-end that complement the management of most NIDS systems. Being able to identify them in a timely and accurate manner and establish a diagnostic and defense mechanism that does not overload the system, are processes that would carry traffic analysis with specific filtering processes. Algorithms based on probability and occurrence functions compared with samples based or referenced on the behavior history of a system that can be affected by this type of attack. Front-End for log analysis can be effective when it comes to detecting attacks complex and difficult to detect. The pcap format that allows the conversion of captured data in binary or text format, is broad for these readings of data headers through filters, type and address modifiers, coordinate functions in sends and responses, primitive syntax and modifiers typical of any language that allows you to analyze any data captured on the network. The TCP stack is affected differently according to the attack that is perpetrated. The fact of implementing security solutions implies passive and active overload of servers, hosts and communication systems, adding to it the consumption of hardware resources and the use of a variety of tools, especially the frameworks and front-end that complement the management of most NIDS systems.Modalidad Presencialapplication/pdfspahttp://creativecommons.org/licenses/by-nc-nd/2.5/co/Abierto (Texto Completo)info:eu-repo/semantics/openAccesshttp://purl.org/coar/access_right/c_abf2Atribución-NoComercial-SinDerivadas 2.5 ColombiaModelo para generación de alertas de prevención de ataques TCP/SYN FloodingModel for generating TCP/SYN Flooding attack prevention alertsMagíster en Software LibreBucaramanga (Colombia)UNAB Campus BucaramangaUniversidad Autónoma de Bucaramanga UNABFacultad IngenieríaMaestría en Software Libreinfo:eu-repo/semantics/masterThesisTesishttp://purl.org/redcol/resource_type/TMSystems EngineeringComputer networksSecurity measuresComputer Network AdministrationResearchIngeniería de sistemasRedes de computadoresMedidas de seguridadAdministración de redes de computadoresInvestigacionesServicio DoSMonitoreo de redesAmaya Tarazona, Carlos Alberto, Guerrero Santander, Cesar Darío (2010). Modelo para generación de alertas de prevención de ataques TCP/SYN Flooding. Bucaramanga (Colombia) : Universidad Autónoma de Bucaramanga UNAB, Universitat Oberta de Catalunya UOCBENCSATH, B y RONAI, M. Empirical Analysis of Denial of Service Attack Against SMTP Servers. Departament of Telecomunications. Budapest University of Technology and Economics. Hungary. IST 026-600.CARVAJAL, A. Introducción a las técnicas de ataque e investigación Forense, Un enfoque pragmático. Colombia, Agosto de 2007, seg Ed, p. 245CHEN, Y y YONEZAWA, A. Practical Techniques for Defending against DDoS Attacks. NTT Information Sharing Plataform Laboratories. University of Tokyo.CLEM, A. Network Management Fundamentals. Cisco Systems Inc. 2007. Cisco press USA, p. 532.ELLEITHY, K . Computer Science Departament, University of Bridgeport. CT 06604 USA. BLAGOVIC, D; CHENG y SIDELAU,P Computer Science epartament, Sacred heart University. CT 06825 USA. Denial of Service Attack Techniques: Analysis, Implementation and Comparasion, p. 66-99.HIA, H y MIDKIFF, S. Securing SNMP Across Backbone Networks. Bradley Departament of Electrical and Computer Engineering. Virginia Polytechnic Insttitute and State University. Virgini USA, p . 190-198.HUANG, Q; KOBAYASHI, H y LIU, B. Analysis of a New Form of Distributed Denial of Service Attack. Departament of Electrical Engineering, Princeton University. March 12-14 2003. Conference on Information Science and Systems.JOANCOMARTI, J; ALFARO, J y TORNIL, X. Aspectos Avanzados de seguridad en redes. Universitat Oberta de Catalunya. España. Feb de 2007, p. 228MIRKOVIC, J. D-WARD: Source-End Defense Against Distributed Denial-of-Service Attacks. University of California. Los Angeles. 2003, p. 398.MURALI, A y RAO, M. A Survey on Intrusion Detection Approaches. Computer Centre University of Hyderabad.PARZIALE.L; BRITT,D; DAVIS,CH; FORRESTER,J; LIU,W; MATTHEWS,C y ROSSELOT,N. TCP/IP Tutorial and Technical Overview. IBM Redbooks. Eighth Edition, December 2006, p. 1004SARRAM, M y AGHAEI, V. Remote Control and Overall Administration of Computer Networks, Using Short Message Service. Computer Eng Departament. Yazd, IranSTREILEIN, W; FRIED, D; y CUNNINGHAM, R. Detecting Flood-based Denial-of-Service Attacks with SNMP/RMON. Mit Lincoln Laboratory. USAVERDEJO, J. Seguridad en Redes IP. Universitat Autónoma de Barcelona. Bellaterra, Sept 2003, p. 234.YU, J; LEE, H; KIM, S y PARK, D. Traffic flooding attack detection with SNMP using SVM. Computer Communications, Journal 2008, p. 4211-4219.The Simple Web. March 27 de 2008. [publicaciones en línea] Disponible desde internet en: <http://www.simpleweb.org/>The Web Based management Page. Lindsay, J. October 2001. Disponible desde internet en: < http://joe.lindsay.net/webbased.html>Advanced Networking Management Lab (ANML) Distributed Denial of Service Attacks (DDoS) Resources. Page developed by 107 S. Indiana Ave., Bloomington, IN 47405-7000. Actualizada 01/24/2008. Trustees of Indiana University [publicaciones en línea] Disponible desde internet en: <http://anml.iu.edu/ddos/types.html>Distributed Denial of Service Attacks (DDoS) Attacks/Tools. Actualizada 09/28/2009. [publicaciones en línea] Disponible desde internet en: <http://staff.washington.edu/dittrich/misc/ddos/ >Network Working Group. Request for Comments 4732. Internet Denial–of-Service Considerations. November 2006.. [publicacion en línea] Disponible desde internet en: < http://tools.ietf.org/html/rfc4732 >BOTERO, N. Modelo de Gestión de Seguridad con soporte a SNMP. Pontificia Universidad Javeriana. Facultad de ingeniería, Tesis. Bogotá Junio, 2005, p. 149.CUI-MEI, B. Intrusion Detection Based on One-class SVM and SNMP MIB data. Shandong University of Technology Zibo. China 2009. Fifth International Conference on information Assurance and Security, p. 346-351.HATEFI, F y GOLSHANI, F. A new framework for secure network management. Departament of Computer Science and Engineering, Arizona State University, Tempe, USA. 1999, p. 629-636.SCHUBA, C; KRSUL, I; KUHN, M; SPAFFORD, E; SUNDARAM, A y ZAMBONI,D. Analysis of Denial of Service Attack on TCP. COAST Laboratory. Departament of computer Sciences Purdue University, p. 66-82.TSUNODA, H [a]; OHTA, K[b]; YAMAMOTO [c], A; ANSARI, N [d]; WAIZUMI, Y [e], y NEMOTO, Y [e]. Detecting DRDoS attacks by a simple response packet confirmation mechanism. Computer Comunications Journal. 2008, p. 3299-3307WANG, Y; LIN, CH y FANG, Y. A queueing analysis for the denial of service (DoS) ATTACKS IN COMPUTER NETWORKS. Departament of Computer Science and Technology, Beijing China. 2007, p. 3564-3573.ZENG, W y WANG, Y. Design and implementation of Server Monitoring System Based on SNMP. College of Information & Technology, Hebei University of Economics & Business. Information and Network Management Center, North China Electric Power University, p. 680-682Publications of the Telematics Systems Management group Twente. March 27 de 2008. [publicaciones en línea] Disponible desde internet en: <http://snmp.cs.utwente.nl/bibliography/articles/utwentemgt.htmlArtech House Bookstore. Publications on Security & Privacity. 2009. Seniors Series Editor. Chapin,l y Norris, M. [publicaciones en línea] Disponible desde internet en: < http://www.artechhouse.com/Search.aspx?nCatId=25>The Simple Web Internet. July 01 de 2007 [publicaciones en línea] Disponible desde internet en: < http://www.simpleweb.org/ietf/>[1] CUI-MEI, B. Intrusion Detection Based on One-class SVM and SNMP MIB data. Shandong University of Technology Zibo. China 2009. Fifth International Conference on information Assurance and Security, p. 346-351.[2] SCHUBA, C; KRSUL, I; KUHN, M; SPAFFORD, E; SUNDARAM, A y ZAMBONI,D. Analysis of Denial of Service Attack on TCP. COAST Laboratory. Departament of Computer Sciences Purdue University, p. 66-82.[3] TSUNODA, H ; OHTA, K[b]; YAMAMOTO , A; ANSARI, N [d]; WAIZUMI, Y , y NEMOTO, Y . Detecting DRDoS attacks by a simple response packet confirmation mechanism. Computer Comunications Journal. 2008, p. 3299-3307[4] CARVAJAL, A. Introducción a las técnicas de ataque e investigación Forense, Un enfoque pragmático. Colombia, Agosto de 2007, seg Ed, p. 245[5] CRUZ, A y TORRES, P. Sistema para Generar Gráficas a Partir de Logs Tcpdump usando Hadoop. Escuela Superior Politécnica del Litoral. Guayaquil, Ecuador, p. 59[6] HIA, H y MIDKIFF, S. Securing SNMP Across Backbone Networks. Bradley Departament of Electrical and Computer Engineering. Virginia Polytechnic Insttitute and State University. Virgini USA, p . 190-198.[6] ZENG, W y WANG, Y. Design and implementation of Server Monitoring System Based on SNMP. College of Information & Technology, Hebei University of Economics & Business. Information and Network Management Center, North China Electric Power University, p. 680-682[7] HATEFI, F y GOLSHANI, F. A new framework for secure network management. Departament of Computer Science and Engineering, Arizona State University, Tempe, USA. 1999, p. 629-636.[8]BERNSTEIN. J. Daniel. Bernstein's own explanation of SYN Cookies Disponible en Internet. <http://cr.yp.to/syncookies.html>[9] IPsysctl tutorial 1.0.4. Disponible en Internet: <http://www.frozentux.net/ipsysctl-tutorial/chunkyhtml/otherresources.html#TCPTUNINGGUIDE>[10] TCP Variables. Disponible en Internet: <http://www.frozentux.net/ipsysctl-tutorial/chunkyhtml/tcpvariables.html >[11] Perl. Disponible en Internet: <http://es.wikipedia.org/wiki/Perl>[12] DeMarco T., "Structured analysis and system specification", Yourdon Press (Prentice Hall) (1979).ORIGINAL2010_Tesis_Carlos_Alberto_Amaya_Tarazona.pdf2010_Tesis_Carlos_Alberto_Amaya_Tarazona.pdfTesisapplication/pdf2592455https://repository.unab.edu.co/bitstream/20.500.12749/3451/1/2010_Tesis_Carlos_Alberto_Amaya_Tarazona.pdf7429a52a5fe269b3b5a58682fe4840edMD51open access2010_Anexos_Carlos_Alberto_Amaya_Tarazona.zip2010_Anexos_Carlos_Alberto_Amaya_Tarazona.zipAnexosapplication/octet-stream2137825https://repository.unab.edu.co/bitstream/20.500.12749/3451/2/2010_Anexos_Carlos_Alberto_Amaya_Tarazona.zip9aff516ce5404ea72b70ed75b3527247MD52open accessTHUMBNAIL2010_Tesis_Carlos_Alberto_Amaya_Tarazona.pdf.jpg2010_Tesis_Carlos_Alberto_Amaya_Tarazona.pdf.jpgIM Thumbnailimage/jpeg4676https://repository.unab.edu.co/bitstream/20.500.12749/3451/3/2010_Tesis_Carlos_Alberto_Amaya_Tarazona.pdf.jpgd6a6110b8f77ba48a2ae22b870bcc03eMD53open access20.500.12749/3451oai:repository.unab.edu.co:20.500.12749/34512024-01-20 08:41:52.536open accessRepositorio Institucional | Universidad Autónoma de Bucaramanga - UNABrepositorio@unab.edu.co |