Mostrar el registro sencillo del ítem
Modelo para generación de alertas de prevención de ataques TCP/SYN Flooding
dc.contributor.advisor | Guerrero Santander, César Darío | spa |
dc.contributor.author | Amaya Tarazona, Carlos Alberto | spa |
dc.date.accessioned | 2020-06-26T21:34:51Z | |
dc.date.available | 2020-06-26T21:34:51Z | |
dc.date.issued | 2010 | |
dc.identifier.uri | http://hdl.handle.net/20.500.12749/3451 | |
dc.description.abstract | Un ataque a la seguridad en la red ampliamente estudiado es el orientado a inundar con solicitudes ficticias a un recurso determinado con el fin de obligarlo a rechazar solicitudes verdaderas de prestación de un servicio. Este ataque denominado DoS (Denial of Service) tiene una modalidad basada en inundación de paquetes TCP conocida como TCP/SYN. En este trabajo se plantea un modelo de detección de ataques DoS y generación de alarmas mediante el análisis y filtrado de tráfico capturado en logs. La idea es realizar una detección tempanara con un sistema de alertas para minimizar el riesgo cuando se falsea la dirección de origen (faked/spoofed IP) y de esta manera poder identificar también el origen real del ataque. A diferencia de esquemas típicos como los que implementan los IDS, el modelo propuesto realiza un filtrado al tráfico en la red teniendo en cuenta las cabeceras TCP que tengan el bit SYN activo. De ésta manera, los sistemas de detección tradicionales reciben ese tráfico filtrado y pueden optimizar tiempos de respuesta y reducir la probabilidad de falsos positivos en la generación de alarmas. La esencia y efectividad de este modelo, está en su etapa final cuando se analizan los datos recopilados, los diálogos TCP interceptados mediante la aplicación de filtros a archivos pcap usando algún lenguaje específico que permita este tratamiento. El uso de interfaces GUI y aplicaciones Front-End para el análisis de registros, pueden dar efectividad cuando se trata de detectar ataques complejos y de difícil detección. El formato pcap que permite conversión de datos capturados en binario o en formato texto, es amplio para estas lecturas de cabeceras de datos mediante filtros, modificadores de tipo, de dirección, funciones de coordenadas en envíos y respuestas, sintaxis de primitivas y modificadores propias de cualquier lenguaje que permiten analizar cualquier dato capturado en la red. La pila TCP es afectada de forma diferente de acuerdo al ataque que se perpetre. El hecho de implementar soluciones en seguridad, implica sobrecarga pasiva y activa de servidores, host y sistemas de comunicación, sumándole a ello consumo de recursos en hardware y el uso de diversidad de herramientas, sobre todo los frameworks y los front-end que complementan la gestión de la mayoría de sistemas de NIDS. Producto de esta investigación fue la evidencia y presencia de “Falsos positivos” (ip's que no hacían flood) y la sobrecarga que genera a un sistema los registros de logs. Poder identificarlos de manera oportuna y acertada y establecer un mecanismo de diagnóstico y defensa que no sobrecargue al sistema, son procesos que llevarían análisis de tráfico con procesos de filtrado específico. Algoritmos basados en funciones de probabilidad y ocurrencia comparados con muestras basadas o referenciadas en el historial de comportamientos de un sistema que puede ser afectado por este tipo de ataques. | spa |
dc.description.sponsorship | Universitat Oberta de Catalunya UOC | spa |
dc.description.tableofcontents | INTRODUCCION 12 CAPITULO I. CONTEXTO DE LA INVESTIGACION 14 1.1 Tema 14 1.2 Definición del Problema 15 1.3 Objetivos 18 CAPITULO 2. FUNDAMENTOS TEORICOS 19 2.1 Estado del Arte 19 2.2 Vulnerabilidades de la capa de transporte 25 2.3 Orígen de las vulnerabilidades 26 2.4 Herramientas de monitoreo 27 2.5 Sistemas de detección de intrusos 28 2.6 Tipos de IDS 28 2.7 Herramientas de gestión 30 2.8 Formato PCAP 32 CAPITULO 3. METODOLOGIA APLICADA 34 3.1 Denegación de servicio (DoS) / (DDoS) 34 3.2 Fuentes de orígen de los ataques (DoS) / (DDoS) 36 3.3 Plataformas afectadas 37 3.4 Caracterización de los ataques (DoS) 37 3.4.1 Uso de IP Source Spoofing 37 3.4.2 Similitud de tráfico legítimo 38 3.5 Fases previas a la realización del ataque 39 3.5.1 Topología o distribución física 40 3.5.2 Función de ICMP en los ataques (DoS) 41 3.5.3 Descubrimiento de usuarios 44 3.5.4 Información del dominio 44 3.5.5 Fingerprinting 45 3.5.6 Exploración de puertos 49 3.5.7 Escaneo basado en el protocolo ICMP 51 3.5.8 Fragmentación IP 52 3.6 Tipos de Atques (DoS) 57 3.6.1 Ataque TCP/SYN Flooding 57 3.6.2 Smurf 60 3.6.3 STeardrop 61 3.6.4 Snork 63 3.6.5 Ataque distribuído TRIN00 / TRIN00 64 3.7 Herramientas que ayudan a prevenir ataques (DoS) 66 CAPITULO 4. IMPLEMENTACION DE LA SOLUCION 71 4.1 Selección del sistema operativo 71 4.2 Testbed 71 4.3 Fases previas al ataque TCP/SYN Flooding 74 4.4 Consolidación del ataque 75 4.4.1 Análisis con Wireshark 79 4.4.2 Esquema del ataque 83 4.4.3 Detección del ataque 85 CAPITULO 5. DESCRIPCION DEL MODELO 89 5.1 Nivel 1. Escenario Típico red Ethernet. Testbed 90 5.2 Nivel 2. Núcleo para afectar la pila TCP/IP 90 5.3 Nivel 3. Análisis de tráfico a través de Logs. Sistema de alertas 101 5.3.1 Sistema de análisis de logs 104 5.4 Nivel 4. Firewall para minimizar ataques DoS y registro de logs 115 6. MARCO CONCEPTUAL 119 7. TRABAJOS FUTUROS 124 8. CONCLUSIONES 125 9. BIBLIOGRAFIA 126 10. REFERENCIAS BIBLIOGRAFICAS 130ANEXOS 132 | spa |
dc.format.mimetype | application/pdf | spa |
dc.language.iso | spa | spa |
dc.rights.uri | http://creativecommons.org/licenses/by-nc-nd/2.5/co/ | * |
dc.title | Modelo para generación de alertas de prevención de ataques TCP/SYN Flooding | spa |
dc.title.translated | Model for generating TCP/SYN Flooding attack prevention alerts | eng |
dc.degree.name | Magíster en Software Libre | spa |
dc.coverage | Bucaramanga (Colombia) | spa |
dc.publisher.grantor | Universidad Autónoma de Bucaramanga UNAB | spa |
dc.rights.local | Abierto (Texto Completo) | spa |
dc.publisher.faculty | Facultad Ingeniería | spa |
dc.publisher.program | Maestría en Software Libre | spa |
dc.description.degreelevel | Maestría | spa |
dc.type.driver | info:eu-repo/semantics/masterThesis | |
dc.type.local | Tesis | spa |
dc.type.coar | http://purl.org/coar/resource_type/c_bdcc | |
dc.subject.keywords | Systems Engineering | eng |
dc.subject.keywords | Computer networks | eng |
dc.subject.keywords | Security measures | eng |
dc.subject.keywords | Computer Network Administration | eng |
dc.subject.keywords | Research | eng |
dc.identifier.instname | instname:Universidad Autónoma de Bucaramanga - UNAB | spa |
dc.identifier.reponame | reponame:Repositorio Institucional UNAB | spa |
dc.type.hasversion | info:eu-repo/semantics/acceptedVersion | |
dc.rights.accessrights | info:eu-repo/semantics/openAccess | spa |
dc.rights.accessrights | http://purl.org/coar/access_right/c_abf2 | spa |
dc.relation.references | Amaya Tarazona, Carlos Alberto, Guerrero Santander, Cesar Darío (2010). Modelo para generación de alertas de prevención de ataques TCP/SYN Flooding. Bucaramanga (Colombia) : Universidad Autónoma de Bucaramanga UNAB, Universitat Oberta de Catalunya UOC | spa |
dc.relation.references | BENCSATH, B y RONAI, M. Empirical Analysis of Denial of Service Attack Against SMTP Servers. Departament of Telecomunications. Budapest University of Technology and Economics. Hungary. IST 026-600. | spa |
dc.relation.references | CARVAJAL, A. Introducción a las técnicas de ataque e investigación Forense, Un enfoque pragmático. Colombia, Agosto de 2007, seg Ed, p. 245 | spa |
dc.relation.references | CHEN, Y y YONEZAWA, A. Practical Techniques for Defending against DDoS Attacks. NTT Information Sharing Plataform Laboratories. University of Tokyo. | spa |
dc.relation.references | CLEM, A. Network Management Fundamentals. Cisco Systems Inc. 2007. Cisco press USA, p. 532. | spa |
dc.relation.references | ELLEITHY, K . Computer Science Departament, University of Bridgeport. CT 06604 USA. BLAGOVIC, D; CHENG y SIDELAU,P Computer Science epartament, Sacred heart University. CT 06825 USA. Denial of Service Attack Techniques: Analysis, Implementation and Comparasion, p. 66-99. | spa |
dc.relation.references | HIA, H y MIDKIFF, S. Securing SNMP Across Backbone Networks. Bradley Departament of Electrical and Computer Engineering. Virginia Polytechnic Insttitute and State University. Virgini USA, p . 190-198. | spa |
dc.relation.references | HUANG, Q; KOBAYASHI, H y LIU, B. Analysis of a New Form of Distributed Denial of Service Attack. Departament of Electrical Engineering, Princeton University. March 12-14 2003. Conference on Information Science and Systems. | spa |
dc.relation.references | JOANCOMARTI, J; ALFARO, J y TORNIL, X. Aspectos Avanzados de seguridad en redes. Universitat Oberta de Catalunya. España. Feb de 2007, p. 228 | spa |
dc.relation.references | MIRKOVIC, J. D-WARD: Source-End Defense Against Distributed Denial-of-Service Attacks. University of California. Los Angeles. 2003, p. 398. | spa |
dc.relation.references | MURALI, A y RAO, M. A Survey on Intrusion Detection Approaches. Computer Centre University of Hyderabad. | spa |
dc.relation.references | PARZIALE.L; BRITT,D; DAVIS,CH; FORRESTER,J; LIU,W; MATTHEWS,C y ROSSELOT,N. TCP/IP Tutorial and Technical Overview. IBM Redbooks. Eighth Edition, December 2006, p. 1004 | spa |
dc.relation.references | SARRAM, M y AGHAEI, V. Remote Control and Overall Administration of Computer Networks, Using Short Message Service. Computer Eng Departament. Yazd, Iran | spa |
dc.relation.references | STREILEIN, W; FRIED, D; y CUNNINGHAM, R. Detecting Flood-based Denial-of-Service Attacks with SNMP/RMON. Mit Lincoln Laboratory. USA | spa |
dc.relation.references | VERDEJO, J. Seguridad en Redes IP. Universitat Autónoma de Barcelona. Bellaterra, Sept 2003, p. 234. | spa |
dc.relation.references | YU, J; LEE, H; KIM, S y PARK, D. Traffic flooding attack detection with SNMP using SVM. Computer Communications, Journal 2008, p. 4211-4219. | spa |
dc.relation.references | The Simple Web. March 27 de 2008. [publicaciones en línea] Disponible desde internet en: <http://www.simpleweb.org/> | spa |
dc.relation.references | The Web Based management Page. Lindsay, J. October 2001. Disponible desde internet en: < http://joe.lindsay.net/webbased.html> | spa |
dc.relation.references | Advanced Networking Management Lab (ANML) Distributed Denial of Service Attacks (DDoS) Resources. Page developed by 107 S. Indiana Ave., Bloomington, IN 47405-7000. Actualizada 01/24/2008. Trustees of Indiana University [publicaciones en línea] Disponible desde internet en: <http://anml.iu.edu/ddos/types.html> | spa |
dc.relation.references | Distributed Denial of Service Attacks (DDoS) Attacks/Tools. Actualizada 09/28/2009. [publicaciones en línea] Disponible desde internet en: <http://staff.washington.edu/dittrich/misc/ddos/ > | spa |
dc.relation.references | Network Working Group. Request for Comments 4732. Internet Denial–of-Service Considerations. November 2006.. [publicacion en línea] Disponible desde internet en: < http://tools.ietf.org/html/rfc4732 > | spa |
dc.relation.references | BOTERO, N. Modelo de Gestión de Seguridad con soporte a SNMP. Pontificia Universidad Javeriana. Facultad de ingeniería, Tesis. Bogotá Junio, 2005, p. 149. | spa |
dc.relation.references | CUI-MEI, B. Intrusion Detection Based on One-class SVM and SNMP MIB data. Shandong University of Technology Zibo. China 2009. Fifth International Conference on information Assurance and Security, p. 346-351. | spa |
dc.relation.references | HATEFI, F y GOLSHANI, F. A new framework for secure network management. Departament of Computer Science and Engineering, Arizona State University, Tempe, USA. 1999, p. 629-636. | spa |
dc.relation.references | SCHUBA, C; KRSUL, I; KUHN, M; SPAFFORD, E; SUNDARAM, A y ZAMBONI,D. Analysis of Denial of Service Attack on TCP. COAST Laboratory. Departament of computer Sciences Purdue University, p. 66-82. | spa |
dc.relation.references | TSUNODA, H [a]; OHTA, K[b]; YAMAMOTO [c], A; ANSARI, N [d]; WAIZUMI, Y [e], y NEMOTO, Y [e]. Detecting DRDoS attacks by a simple response packet confirmation mechanism. Computer Comunications Journal. 2008, p. 3299-3307 | spa |
dc.relation.references | WANG, Y; LIN, CH y FANG, Y. A queueing analysis for the denial of service (DoS) ATTACKS IN COMPUTER NETWORKS. Departament of Computer Science and Technology, Beijing China. 2007, p. 3564-3573. | spa |
dc.relation.references | ZENG, W y WANG, Y. Design and implementation of Server Monitoring System Based on SNMP. College of Information & Technology, Hebei University of Economics & Business. Information and Network Management Center, North China Electric Power University, p. 680-682 | spa |
dc.relation.references | Publications of the Telematics Systems Management group Twente. March 27 de 2008. [publicaciones en línea] Disponible desde internet en: <http://snmp.cs.utwente.nl/bibliography/articles/utwentemgt.html | spa |
dc.relation.references | Artech House Bookstore. Publications on Security & Privacity. 2009. Seniors Series Editor. Chapin,l y Norris, M. [publicaciones en línea] Disponible desde internet en: < http://www.artechhouse.com/Search.aspx?nCatId=25> | spa |
dc.relation.references | The Simple Web Internet. July 01 de 2007 [publicaciones en línea] Disponible desde internet en: < http://www.simpleweb.org/ietf/> | spa |
dc.relation.references | [1] CUI-MEI, B. Intrusion Detection Based on One-class SVM and SNMP MIB data. Shandong University of Technology Zibo. China 2009. Fifth International Conference on information Assurance and Security, p. 346-351. | spa |
dc.relation.references | [2] SCHUBA, C; KRSUL, I; KUHN, M; SPAFFORD, E; SUNDARAM, A y ZAMBONI,D. Analysis of Denial of Service Attack on TCP. COAST Laboratory. Departament of Computer Sciences Purdue University, p. 66-82. | spa |
dc.relation.references | [3] TSUNODA, H ; OHTA, K[b]; YAMAMOTO , A; ANSARI, N [d]; WAIZUMI, Y , y NEMOTO, Y . Detecting DRDoS attacks by a simple response packet confirmation mechanism. Computer Comunications Journal. 2008, p. 3299-3307 | spa |
dc.relation.references | [4] CARVAJAL, A. Introducción a las técnicas de ataque e investigación Forense, Un enfoque pragmático. Colombia, Agosto de 2007, seg Ed, p. 245 | spa |
dc.relation.references | [5] CRUZ, A y TORRES, P. Sistema para Generar Gráficas a Partir de Logs Tcpdump usando Hadoop. Escuela Superior Politécnica del Litoral. Guayaquil, Ecuador, p. 59 | spa |
dc.relation.references | [6] HIA, H y MIDKIFF, S. Securing SNMP Across Backbone Networks. Bradley Departament of Electrical and Computer Engineering. Virginia Polytechnic Insttitute and State University. Virgini USA, p . 190-198. | spa |
dc.relation.references | [6] ZENG, W y WANG, Y. Design and implementation of Server Monitoring System Based on SNMP. College of Information & Technology, Hebei University of Economics & Business. Information and Network Management Center, North China Electric Power University, p. 680-682 | spa |
dc.relation.references | [7] HATEFI, F y GOLSHANI, F. A new framework for secure network management. Departament of Computer Science and Engineering, Arizona State University, Tempe, USA. 1999, p. 629-636. | spa |
dc.relation.references | [8]BERNSTEIN. J. Daniel. Bernstein's own explanation of SYN Cookies Disponible en Internet. <http://cr.yp.to/syncookies.html> | spa |
dc.relation.references | [9] IPsysctl tutorial 1.0.4. Disponible en Internet: <http://www.frozentux.net/ipsysctl-tutorial/chunkyhtml/otherresources.html#TCPTUNINGGUIDE> | spa |
dc.relation.references | [10] TCP Variables. Disponible en Internet: <http://www.frozentux.net/ipsysctl-tutorial/chunkyhtml/tcpvariables.html > | spa |
dc.relation.references | [11] Perl. Disponible en Internet: <http://es.wikipedia.org/wiki/Perl> | spa |
dc.relation.references | [12] DeMarco T., "Structured analysis and system specification", Yourdon Press (Prentice Hall) (1979). | spa |
dc.contributor.cvlac | https://scienti.minciencias.gov.co/cvlac/visualizador/generarCurriculoCv.do?cod_rh=0000809357 | * |
dc.contributor.cvlac | Guerrero Santander, César Darío [0000809357] | spa |
dc.contributor.googlescholar | https://scholar.google.es/citations?hl=es#user=_YgBOOcAAAAJ | * |
dc.contributor.googlescholar | Guerrero Santander, César Darío [_YgBOOcAAAAJ] | spa |
dc.contributor.orcid | Guerrero Santander, César Darío [0000-0002-3286-6226] | spa |
dc.contributor.scopus | https://www.scopus.com/authid/detail.uri?authorId=23094317500 | * |
dc.contributor.scopus | Guerrero Santander, César Darío [23094317500] | spa |
dc.contributor.researchgate | Guerrero Santander, César Darío [Cesar-Guerrero-2] | spa |
dc.subject.lemb | Ingeniería de sistemas | spa |
dc.subject.lemb | Redes de computadores | spa |
dc.subject.lemb | Medidas de seguridad | spa |
dc.subject.lemb | Administración de redes de computadores | spa |
dc.subject.lemb | Investigaciones | spa |
dc.description.abstractenglish | A widely studied network security attack is one aimed at flooding a particular resource with fictitious requests in order to force it to reject true requests for the provision of a service. This attack called DoS (Denial of Service) has a mode based on flooding of TCP packets known as TCP / SYN. In this work, a DoS attack detection and alarm generation model is proposed by analyzing and filtering traffic captured in logs. The idea is to carry out an early detection with an alert system to minimize the risk when the source address is falsified (faked / spoofed IP) and thus also be able to identify the real origin of the attack. Unlike typical schemes such as those implemented by IDS, the proposed model filters network traffic taking into account the TCP headers that have the SYN bit active. In this way, traditional detection systems receive this filtered traffic and can optimize response times and reduce the probability of false positives in the generation of alarms. The essence and effectiveness of this model is in its final stage when the collected data is analyzed, the intercepted TCP dialogues by applying filters to pcap files using a specific language that allows this treatment. The use of GUI interfaces and Front-End applications for log analysis can be effective when it comes to detecting complex and difficult-to-detect attacks. The pcap format that allows the conversion of captured data in binary or text format, is broad for these readings of data headers through filters, type and address modifiers, coordinate functions in sends and responses, primitive syntax and modifiers typical of any language that allows you to analyze any data captured on the network. The TCP stack is affected differently according to the attack that is perpetrated. The fact of implementing security solutions implies passive and active overload of servers, hosts and communication systems, adding to it the consumption of hardware resources and the use of a variety of tools, especially the frameworks and front-end that complement the management of most NIDS systems. Being able to identify them in a timely and accurate manner and establish a diagnostic and defense mechanism that does not overload the system, are processes that would carry traffic analysis with specific filtering processes. Algorithms based on probability and occurrence functions compared with samples based or referenced on the behavior history of a system that can be affected by this type of attack. Front-End for log analysis can be effective when it comes to detecting attacks complex and difficult to detect. The pcap format that allows the conversion of captured data in binary or text format, is broad for these readings of data headers through filters, type and address modifiers, coordinate functions in sends and responses, primitive syntax and modifiers typical of any language that allows you to analyze any data captured on the network. The TCP stack is affected differently according to the attack that is perpetrated. The fact of implementing security solutions implies passive and active overload of servers, hosts and communication systems, adding to it the consumption of hardware resources and the use of a variety of tools, especially the frameworks and front-end that complement the management of most NIDS systems. | eng |
dc.subject.proposal | Servicio DoS | |
dc.subject.proposal | Monitoreo de redes | |
dc.type.redcol | http://purl.org/redcol/resource_type/TM | |
dc.rights.creativecommons | Atribución-NoComercial-SinDerivadas 2.5 Colombia | * |
dc.contributor.publons | Guerrero Santander, César Darío [cesar-d-guerrero] | spa |
dc.contributor.researchgroup | Grupo de Investigación Tecnologías de Información - GTI | spa |
dc.contributor.researchgroup | Grupo de Investigaciones Clínicas | spa |
dc.coverage.campus | UNAB Campus Bucaramanga | spa |
dc.description.learningmodality | Modalidad Presencial | spa |
dc.contributor.linkedin | Guerrero Santander, César Darío [cguerrer] |