Show simple item record

dc.contributor.advisorGuerrero Santander, César Daríospa
dc.contributor.authorAmaya Tarazona, Carlos Albertospa
dc.date.accessioned2020-06-26T21:34:51Z
dc.date.available2020-06-26T21:34:51Z
dc.date.issued2010
dc.identifier.urihttp://hdl.handle.net/20.500.12749/3451
dc.description.abstractUn ataque a la seguridad en la red ampliamente estudiado es el orientado a inundar con solicitudes ficticias a un recurso determinado con el fin de obligarlo a rechazar solicitudes verdaderas de prestación de un servicio. Este ataque denominado DoS (Denial of Service) tiene una modalidad basada en inundación de paquetes TCP conocida como TCP/SYN. En este trabajo se plantea un modelo de detección de ataques DoS y generación de alarmas mediante el análisis y filtrado de tráfico capturado en logs. La idea es realizar una detección tempanara con un sistema de alertas para minimizar el riesgo cuando se falsea la dirección de origen (faked/spoofed IP) y de esta manera poder identificar también el origen real del ataque. A diferencia de esquemas típicos como los que implementan los IDS, el modelo propuesto realiza un filtrado al tráfico en la red teniendo en cuenta las cabeceras TCP que tengan el bit SYN activo. De ésta manera, los sistemas de detección tradicionales reciben ese tráfico filtrado y pueden optimizar tiempos de respuesta y reducir la probabilidad de falsos positivos en la generación de alarmas. La esencia y efectividad de este modelo, está en su etapa final cuando se analizan los datos recopilados, los diálogos TCP interceptados mediante la aplicación de filtros a archivos pcap usando algún lenguaje específico que permita este tratamiento. El uso de interfaces GUI y aplicaciones Front-End para el análisis de registros, pueden dar efectividad cuando se trata de detectar ataques complejos y de difícil detección. El formato pcap que permite conversión de datos capturados en binario o en formato texto, es amplio para estas lecturas de cabeceras de datos mediante filtros, modificadores de tipo, de dirección, funciones de coordenadas en envíos y respuestas, sintaxis de primitivas y modificadores propias de cualquier lenguaje que permiten analizar cualquier dato capturado en la red. La pila TCP es afectada de forma diferente de acuerdo al ataque que se perpetre. El hecho de implementar soluciones en seguridad, implica sobrecarga pasiva y activa de servidores, host y sistemas de comunicación, sumándole a ello consumo de recursos en hardware y el uso de diversidad de herramientas, sobre todo los frameworks y los front-end que complementan la gestión de la mayoría de sistemas de NIDS. Producto de esta investigación fue la evidencia y presencia de “Falsos positivos” (ip's que no hacían flood) y la sobrecarga que genera a un sistema los registros de logs. Poder identificarlos de manera oportuna y acertada y establecer un mecanismo de diagnóstico y defensa que no sobrecargue al sistema, son procesos que llevarían análisis de tráfico con procesos de filtrado específico. Algoritmos basados en funciones de probabilidad y ocurrencia comparados con muestras basadas o referenciadas en el historial de comportamientos de un sistema que puede ser afectado por este tipo de ataques.spa
dc.description.sponsorshipUniversitat Oberta de Catalunya UOCspa
dc.description.tableofcontentsINTRODUCCION 12 CAPITULO I. CONTEXTO DE LA INVESTIGACION 14 1.1 Tema 14 1.2 Definición del Problema 15 1.3 Objetivos 18 CAPITULO 2. FUNDAMENTOS TEORICOS 19 2.1 Estado del Arte 19 2.2 Vulnerabilidades de la capa de transporte 25 2.3 Orígen de las vulnerabilidades 26 2.4 Herramientas de monitoreo 27 2.5 Sistemas de detección de intrusos 28 2.6 Tipos de IDS 28 2.7 Herramientas de gestión 30 2.8 Formato PCAP 32 CAPITULO 3. METODOLOGIA APLICADA 34 3.1 Denegación de servicio (DoS) / (DDoS) 34 3.2 Fuentes de orígen de los ataques (DoS) / (DDoS) 36 3.3 Plataformas afectadas 37 3.4 Caracterización de los ataques (DoS) 37 3.4.1 Uso de IP Source Spoofing 37 3.4.2 Similitud de tráfico legítimo 38 3.5 Fases previas a la realización del ataque 39 3.5.1 Topología o distribución física 40 3.5.2 Función de ICMP en los ataques (DoS) 41 3.5.3 Descubrimiento de usuarios 44 3.5.4 Información del dominio 44 3.5.5 Fingerprinting 45 3.5.6 Exploración de puertos 49 3.5.7 Escaneo basado en el protocolo ICMP 51 3.5.8 Fragmentación IP 52 3.6 Tipos de Atques (DoS) 57 3.6.1 Ataque TCP/SYN Flooding 57 3.6.2 Smurf 60 3.6.3 STeardrop 61 3.6.4 Snork 63 3.6.5 Ataque distribuído TRIN00 / TRIN00 64 3.7 Herramientas que ayudan a prevenir ataques (DoS) 66 CAPITULO 4. IMPLEMENTACION DE LA SOLUCION 71 4.1 Selección del sistema operativo 71 4.2 Testbed 71 4.3 Fases previas al ataque TCP/SYN Flooding 74 4.4 Consolidación del ataque 75 4.4.1 Análisis con Wireshark 79 4.4.2 Esquema del ataque 83 4.4.3 Detección del ataque 85 CAPITULO 5. DESCRIPCION DEL MODELO 89 5.1 Nivel 1. Escenario Típico red Ethernet. Testbed 90 5.2 Nivel 2. Núcleo para afectar la pila TCP/IP 90 5.3 Nivel 3. Análisis de tráfico a través de Logs. Sistema de alertas 101 5.3.1 Sistema de análisis de logs 104 5.4 Nivel 4. Firewall para minimizar ataques DoS y registro de logs 115 6. MARCO CONCEPTUAL 119 7. TRABAJOS FUTUROS 124 8. CONCLUSIONES 125 9. BIBLIOGRAFIA 126 10. REFERENCIAS BIBLIOGRAFICAS 130ANEXOS 132spa
dc.format.mimetypeapplication/pdfspa
dc.language.isospaspa
dc.rights.urihttp://creativecommons.org/licenses/by-nc-nd/2.5/co/*
dc.titleModelo para generación de alertas de prevención de ataques TCP/SYN Floodingspa
dc.title.translatedModel for generating TCP/SYN Flooding attack prevention alertseng
dc.degree.nameMagíster en Software Librespa
dc.coverageBucaramanga (Colombia)spa
dc.publisher.grantorUniversidad Autónoma de Bucaramanga UNABspa
dc.rights.localAbierto (Texto Completo)spa
dc.publisher.facultyFacultad Ingenieríaspa
dc.publisher.programMaestría en Software Librespa
dc.description.degreelevelMaestríaspa
dc.type.driverinfo:eu-repo/semantics/masterThesis
dc.type.localTesisspa
dc.type.coarhttp://purl.org/coar/resource_type/c_bdcc
dc.subject.keywordsSystems Engineering
dc.subject.keywordsComputer networks
dc.subject.keywordsSecurity measures
dc.subject.keywordsComputer Network Administration
dc.subject.keywordsResearch
dc.identifier.instnameinstname:Universidad Autónoma de Bucaramanga - UNABspa
dc.identifier.reponamereponame:Repositorio Institucional UNABspa
dc.type.hasversioninfo:eu-repo/semantics/acceptedVersion
dc.rights.accessrightsinfo:eu-repo/semantics/openAccessspa
dc.rights.accessrightshttp://purl.org/coar/access_right/c_abf2spa
dc.relation.referencesAmaya Tarazona, Carlos Alberto, Guerrero Santander, Cesar Darío (2010). Modelo para generación de alertas de prevención de ataques TCP/SYN Flooding. Bucaramanga (Colombia) : Universidad Autónoma de Bucaramanga UNAB, Universitat Oberta de Catalunya UOCspa
dc.relation.referencesBENCSATH, B y RONAI, M. Empirical Analysis of Denial of Service Attack Against SMTP Servers. Departament of Telecomunications. Budapest University of Technology and Economics. Hungary. IST 026-600.spa
dc.relation.referencesCARVAJAL, A. Introducción a las técnicas de ataque e investigación Forense, Un enfoque pragmático. Colombia, Agosto de 2007, seg Ed, p. 245spa
dc.relation.referencesCHEN, Y y YONEZAWA, A. Practical Techniques for Defending against DDoS Attacks. NTT Information Sharing Plataform Laboratories. University of Tokyo.spa
dc.relation.referencesCLEM, A. Network Management Fundamentals. Cisco Systems Inc. 2007. Cisco press USA, p. 532.spa
dc.relation.referencesELLEITHY, K . Computer Science Departament, University of Bridgeport. CT 06604 USA. BLAGOVIC, D; CHENG y SIDELAU,P Computer Science epartament, Sacred heart University. CT 06825 USA. Denial of Service Attack Techniques: Analysis, Implementation and Comparasion, p. 66-99.spa
dc.relation.referencesHIA, H y MIDKIFF, S. Securing SNMP Across Backbone Networks. Bradley Departament of Electrical and Computer Engineering. Virginia Polytechnic Insttitute and State University. Virgini USA, p . 190-198.spa
dc.relation.referencesHUANG, Q; KOBAYASHI, H y LIU, B. Analysis of a New Form of Distributed Denial of Service Attack. Departament of Electrical Engineering, Princeton University. March 12-14 2003. Conference on Information Science and Systems.spa
dc.relation.referencesJOANCOMARTI, J; ALFARO, J y TORNIL, X. Aspectos Avanzados de seguridad en redes. Universitat Oberta de Catalunya. España. Feb de 2007, p. 228spa
dc.relation.referencesMIRKOVIC, J. D-WARD: Source-End Defense Against Distributed Denial-of-Service Attacks. University of California. Los Angeles. 2003, p. 398.spa
dc.relation.referencesMURALI, A y RAO, M. A Survey on Intrusion Detection Approaches. Computer Centre University of Hyderabad.spa
dc.relation.referencesPARZIALE.L; BRITT,D; DAVIS,CH; FORRESTER,J; LIU,W; MATTHEWS,C y ROSSELOT,N. TCP/IP Tutorial and Technical Overview. IBM Redbooks. Eighth Edition, December 2006, p. 1004spa
dc.relation.referencesSARRAM, M y AGHAEI, V. Remote Control and Overall Administration of Computer Networks, Using Short Message Service. Computer Eng Departament. Yazd, Iranspa
dc.relation.referencesSTREILEIN, W; FRIED, D; y CUNNINGHAM, R. Detecting Flood-based Denial-of-Service Attacks with SNMP/RMON. Mit Lincoln Laboratory. USAspa
dc.relation.referencesVERDEJO, J. Seguridad en Redes IP. Universitat Autónoma de Barcelona. Bellaterra, Sept 2003, p. 234.spa
dc.relation.referencesYU, J; LEE, H; KIM, S y PARK, D. Traffic flooding attack detection with SNMP using SVM. Computer Communications, Journal 2008, p. 4211-4219.spa
dc.relation.referencesThe Simple Web. March 27 de 2008. [publicaciones en línea] Disponible desde internet en: <http://www.simpleweb.org/>spa
dc.relation.referencesThe Web Based management Page. Lindsay, J. October 2001. Disponible desde internet en: < http://joe.lindsay.net/webbased.html>spa
dc.relation.referencesAdvanced Networking Management Lab (ANML) Distributed Denial of Service Attacks (DDoS) Resources. Page developed by 107 S. Indiana Ave., Bloomington, IN 47405-7000. Actualizada 01/24/2008. Trustees of Indiana University [publicaciones en línea] Disponible desde internet en: <http://anml.iu.edu/ddos/types.html>spa
dc.relation.referencesDistributed Denial of Service Attacks (DDoS) Attacks/Tools. Actualizada 09/28/2009. [publicaciones en línea] Disponible desde internet en: <http://staff.washington.edu/dittrich/misc/ddos/ >spa
dc.relation.referencesNetwork Working Group. Request for Comments 4732. Internet Denial–of-Service Considerations. November 2006.. [publicacion en línea] Disponible desde internet en: < http://tools.ietf.org/html/rfc4732 >spa
dc.relation.referencesBOTERO, N. Modelo de Gestión de Seguridad con soporte a SNMP. Pontificia Universidad Javeriana. Facultad de ingeniería, Tesis. Bogotá Junio, 2005, p. 149.spa
dc.relation.referencesCUI-MEI, B. Intrusion Detection Based on One-class SVM and SNMP MIB data. Shandong University of Technology Zibo. China 2009. Fifth International Conference on information Assurance and Security, p. 346-351.spa
dc.relation.referencesHATEFI, F y GOLSHANI, F. A new framework for secure network management. Departament of Computer Science and Engineering, Arizona State University, Tempe, USA. 1999, p. 629-636.spa
dc.relation.referencesSCHUBA, C; KRSUL, I; KUHN, M; SPAFFORD, E; SUNDARAM, A y ZAMBONI,D. Analysis of Denial of Service Attack on TCP. COAST Laboratory. Departament of computer Sciences Purdue University, p. 66-82.spa
dc.relation.referencesTSUNODA, H [a]; OHTA, K[b]; YAMAMOTO [c], A; ANSARI, N [d]; WAIZUMI, Y [e], y NEMOTO, Y [e]. Detecting DRDoS attacks by a simple response packet confirmation mechanism. Computer Comunications Journal. 2008, p. 3299-3307spa
dc.relation.referencesWANG, Y; LIN, CH y FANG, Y. A queueing analysis for the denial of service (DoS) ATTACKS IN COMPUTER NETWORKS. Departament of Computer Science and Technology, Beijing China. 2007, p. 3564-3573.spa
dc.relation.referencesZENG, W y WANG, Y. Design and implementation of Server Monitoring System Based on SNMP. College of Information & Technology, Hebei University of Economics & Business. Information and Network Management Center, North China Electric Power University, p. 680-682spa
dc.relation.referencesPublications of the Telematics Systems Management group Twente. March 27 de 2008. [publicaciones en línea] Disponible desde internet en: <http://snmp.cs.utwente.nl/bibliography/articles/utwentemgt.htmlspa
dc.relation.referencesArtech House Bookstore. Publications on Security & Privacity. 2009. Seniors Series Editor. Chapin,l y Norris, M. [publicaciones en línea] Disponible desde internet en: < http://www.artechhouse.com/Search.aspx?nCatId=25>spa
dc.relation.referencesThe Simple Web Internet. July 01 de 2007 [publicaciones en línea] Disponible desde internet en: < http://www.simpleweb.org/ietf/>spa
dc.relation.references[1] CUI-MEI, B. Intrusion Detection Based on One-class SVM and SNMP MIB data. Shandong University of Technology Zibo. China 2009. Fifth International Conference on information Assurance and Security, p. 346-351.spa
dc.relation.references[2] SCHUBA, C; KRSUL, I; KUHN, M; SPAFFORD, E; SUNDARAM, A y ZAMBONI,D. Analysis of Denial of Service Attack on TCP. COAST Laboratory. Departament of Computer Sciences Purdue University, p. 66-82.spa
dc.relation.references[3] TSUNODA, H ; OHTA, K[b]; YAMAMOTO , A; ANSARI, N [d]; WAIZUMI, Y , y NEMOTO, Y . Detecting DRDoS attacks by a simple response packet confirmation mechanism. Computer Comunications Journal. 2008, p. 3299-3307spa
dc.relation.references[4] CARVAJAL, A. Introducción a las técnicas de ataque e investigación Forense, Un enfoque pragmático. Colombia, Agosto de 2007, seg Ed, p. 245spa
dc.relation.references[5] CRUZ, A y TORRES, P. Sistema para Generar Gráficas a Partir de Logs Tcpdump usando Hadoop. Escuela Superior Politécnica del Litoral. Guayaquil, Ecuador, p. 59spa
dc.relation.references[6] HIA, H y MIDKIFF, S. Securing SNMP Across Backbone Networks. Bradley Departament of Electrical and Computer Engineering. Virginia Polytechnic Insttitute and State University. Virgini USA, p . 190-198.spa
dc.relation.references[6] ZENG, W y WANG, Y. Design and implementation of Server Monitoring System Based on SNMP. College of Information & Technology, Hebei University of Economics & Business. Information and Network Management Center, North China Electric Power University, p. 680-682spa
dc.relation.references[7] HATEFI, F y GOLSHANI, F. A new framework for secure network management. Departament of Computer Science and Engineering, Arizona State University, Tempe, USA. 1999, p. 629-636.spa
dc.relation.references[8]BERNSTEIN. J. Daniel. Bernstein's own explanation of SYN Cookies Disponible en Internet. <http://cr.yp.to/syncookies.html>spa
dc.relation.references[9] IPsysctl tutorial 1.0.4. Disponible en Internet: <http://www.frozentux.net/ipsysctl-tutorial/chunkyhtml/otherresources.html#TCPTUNINGGUIDE>spa
dc.relation.references[10] TCP Variables. Disponible en Internet: <http://www.frozentux.net/ipsysctl-tutorial/chunkyhtml/tcpvariables.html >spa
dc.relation.references[11] Perl. Disponible en Internet: <http://es.wikipedia.org/wiki/Perl>spa
dc.relation.references[12] DeMarco T., "Structured analysis and system specification", Yourdon Press (Prentice Hall) (1979).spa
dc.contributor.cvlachttps://scienti.minciencias.gov.co/cvlac/visualizador/generarCurriculoCv.do?cod_rh=0000809357*
dc.contributor.googlescholarhttps://scholar.google.es/citations?hl=es#user=_YgBOOcAAAAJ*
dc.contributor.scopushttps://www.scopus.com/authid/detail.uri?authorId=23094317500*
dc.subject.lembIngeniería de sistemasspa
dc.subject.lembRedes de computadoresspa
dc.subject.lembMedidas de seguridadspa
dc.subject.lembAdministración de redes de computadoresspa
dc.subject.lembInvestigacionesspa
dc.description.abstractenglishA widely studied network security attack is one aimed at flooding a particular resource with fictitious requests in order to force it to reject true requests for the provision of a service. This attack called DoS (Denial of Service) has a mode based on flooding of TCP packets known as TCP / SYN. In this work, a DoS attack detection and alarm generation model is proposed by analyzing and filtering traffic captured in logs. The idea is to carry out an early detection with an alert system to minimize the risk when the source address is falsified (faked / spoofed IP) and thus also be able to identify the real origin of the attack. Unlike typical schemes such as those implemented by IDS, the proposed model filters network traffic taking into account the TCP headers that have the SYN bit active. In this way, traditional detection systems receive this filtered traffic and can optimize response times and reduce the probability of false positives in the generation of alarms. The essence and effectiveness of this model is in its final stage when the collected data is analyzed, the intercepted TCP dialogues by applying filters to pcap files using a specific language that allows this treatment. The use of GUI interfaces and Front-End applications for log analysis can be effective when it comes to detecting complex and difficult-to-detect attacks. The pcap format that allows the conversion of captured data in binary or text format, is broad for these readings of data headers through filters, type and address modifiers, coordinate functions in sends and responses, primitive syntax and modifiers typical of any language that allows you to analyze any data captured on the network. The TCP stack is affected differently according to the attack that is perpetrated. The fact of implementing security solutions implies passive and active overload of servers, hosts and communication systems, adding to it the consumption of hardware resources and the use of a variety of tools, especially the frameworks and front-end that complement the management of most NIDS systems. Being able to identify them in a timely and accurate manner and establish a diagnostic and defense mechanism that does not overload the system, are processes that would carry traffic analysis with specific filtering processes. Algorithms based on probability and occurrence functions compared with samples based or referenced on the behavior history of a system that can be affected by this type of attack. Front-End for log analysis can be effective when it comes to detecting attacks complex and difficult to detect. The pcap format that allows the conversion of captured data in binary or text format, is broad for these readings of data headers through filters, type and address modifiers, coordinate functions in sends and responses, primitive syntax and modifiers typical of any language that allows you to analyze any data captured on the network. The TCP stack is affected differently according to the attack that is perpetrated. The fact of implementing security solutions implies passive and active overload of servers, hosts and communication systems, adding to it the consumption of hardware resources and the use of a variety of tools, especially the frameworks and front-end that complement the management of most NIDS systems.eng
dc.subject.proposalServicio DoS
dc.subject.proposalMonitoreo de redes
dc.rights.creativecommonsAtribución-NoComercial-SinDerivadas 2.5 Colombia*


Files in this item

Thumbnail
Thumbnail

This item appears in the following Collection(s)

Show simple item record

Atribución-NoComercial-SinDerivadas 2.5 Colombia
Except where otherwise noted, this item's license is described as Atribución-NoComercial-SinDerivadas 2.5 Colombia