Título: Prevención de ataques dos – una guía paso por paso Publicado por: El_Andaluz en 2 Diciembre 2019, 00:46 am El ataque de denegación de servicio (DoS) es una de las técnicas más comunes entre los actores de amenazas. Durante este ataque, los hackers inundan el ancho de banda del usuario objetivo con paquetes de datos con el propósito de interrumpir los servicios de la dirección IP o URL de la víctima. Expertos en hacking ético del Instituto Internacional de Seguridad Cibernética (IICS) demuestran continuamente formas de desplegar ataques DoS para desarrollar métodos de prevención eficientes, como bloqueo de dirección IP, con la ayuda de algunas herramientas.
Fail2Ban es una herramienta utilizada para bloquear direcciones IP sospechosas cuando éstas envían múltiples solicitudes a un servidor específico. Esta herramienta escanea el archivo de registros y bloquea las direcciones IP que realizan tareas repetitivas contra una misma dirección, actualizando la política de firewall del usuario para negar nuevas conexiones de direcciones IP potencialmente maliciosas. (https://i.postimg.cc/LsLMBBfb/03-1024x540.png) Kali Linux – 192.168.1.9 Ubuntu – 192.168.1.8 Aquí ejecutaremos un ataque DOS usando Slowloris, una herramienta muy comúnmente utilizada en esta clase de ataques Abra terminal en su máquina Ubuntu (del lado del atacante) Escriba sudo apt-get update Escriba sudo apt-get install python3 Escriba sudo apt-get install python3-pip Escriba pip3 –version Código: 1 root@ubuntu:/home/iicybersecurity# pip3 --version Escriba pip3 install Slowloris Código: root@ubuntu:/home/iicybersecurity# pip3 install slowloris w8OgDnsAheQ Escriba slowloris –help Código: root@ubuntu:/home/iicybersecurity# slowloris --help Escriba slowloris 192.168.1.9; este comando iniciará dos ataques normales contra la máquina víctima (máquina Kali) (https://www.securitynewspaper.com/snews-up/2019/11/07-1024x462.png) Captura de pantalla de Wireshark en la máquina de la vícitma – 192.168.1.9 La captura de pantalla anterior de Wireshark muestra la recepción de los paquetes TCP mientras la víctima ejecuta el servicio apache2. Por defecto, Slowloris envía múltiples paquetes de datos en el puerto 80 Arriba se muestra un escenario muy simple de cómo se despliega un ataque DoS. Utilizaremos Fail2Ban como defensa contra estos ataques Máquina de la víctima (Con sistema operativo Kali Linux) Instalación de Fail2Ban Vamos a realizar las pruebas en distintas distribuciones de Linux. Al atacar usaremos Ubuntu 18.04 y para defender usaremos Kali Linux en: Kali Linux (víctima/defensor) – 192.168.1.9 Ubuntu (atacante) – 192.168.1.8 Para instalación en Kali Linux, abra el terminal Escriba sudo apt-get update Escriba sudo apt-get install fail2ban Escriba sudo service apache2 start Escriba sudo systemctl status apache2 Código: root@kali:/etc/fail2ban# sudo systemctl status apache2 Presione Ctrl+c Antes de iniciar el servicio de Fail2Ban tenemos que configurarlo. Para eso: Escriba cd/etc/fail2ban Escriba nano jail.conf Aquí cambie: bantime = 30 findtime = 50 maxretry = 10 Luego ingrese enabled = true después de [apache-auth], [apache-badbots], [apache-noscript] y [apache-overflows] como se muestra a continuación: Código: ignorecommand = /path/to/command Escriba sudo nano /etc/fail2ban/jail.local y copie el texto mostrado a continuación. También puede cambiar maxretry, findtime en la sección [apache] Código: [apache] Escriba sudo /etc/init.d/fail2ban start Código: root@kali:/etc/fail2ban# sudo /etc/init.d/fail2ban start Guarde el archivo y escriba sudo systemctl status fail2ban.service Código: root@kali:/etc/fail2ban# sudo systemctl status fail2ban.service Máquina del atacante (Con sistema operativo Ubuntu) Escriba slowloris 192.168.1.9 -p 80; el programa comenzará a enviar los paquetes a la IP seleccionada para el ataque 192.168.1.9 es la IP objetivo -p se usa para indicar el número de puerto. Usar el puerto 80 genera el tráfico. Código: root@ubuntu:/home/iicybersecurity# slowloris 192.168.1.9 -p 80 Máquina de la víctima Ahora vaya a la máquina víctima con sistema operativo Kali Linux. En Wireshark, se aprecia el ataque DoS desde la máquina atacante a la dirección IP de destino, mencionan los expertos en hacking ético Escriba sudo fail2ban-client set apache banip 192.168.1.8 Este comando bloqueará la dirección IP de destino. La captura de pantalla siguiente muestra que 192.168.1.8 ha sido bloqueada (https://www.securitynewspaper.com/snews-up/2019/11/08-1024x462.png) Acorde a los expertos en hacking ético, la captura de pantalla anterior muestra que ninguno de los paquetes está siendo recibido Ahora, si verifica el estado de Fail2Ban notará que la IP del atacante ha sido bloqueada Para verificar el estado, abra otro terminal y escriba sudo fail2ban-client status apache. Código: root@kali:/var/log/apache2# sudo fail2ban-client status apache Arriba se muestra como bloqueado el estado de la máquina atacante (Ubuntu) 192.168.1.8, mencionan los expertos en hacking ético. https://noticiasseguridad.com/tutoriales/prevencion-de-ataques-dos-una-guia-paso-por-paso/ (https://noticiasseguridad.com/tutoriales/prevencion-de-ataques-dos-una-guia-paso-por-paso/) |