Análisis de Ataque SYN Flodd y la Transición de IPv4 a IPv6

El análisis hecho al artículo [1] debemos tener en cuenta y conocer que el protocolo TCP

utiliza los tres saludos (handshake) para construir la conexión entre el cliente servidor esto

funciona de la siguiente manera; el cliente envía el primer handshake SYN al servidor para

iniciar la conexión, este responde con un SYN -ACK. Una vez el cliente recibe este saludo

enviará un ACK para iniciar la conexión y el intercambio de datos. Este último paso

representa una debilidad del protocolo TCP la cual los hackers aprovechan al máximo una

vez el servidor responde enviando el handshake SYN-ACK al cliente él esperará recibir el

saludo de vuelta que nunca llegará por lo que la conexión permanecerá entreabierta. Este

retraso tiene un limite finito que depende del sistema operativo del servidor. Cuando las

conexiones superan este limite y tiempo de espera el servicio ofrecido caerá y el servidor se

bloqueará.

El ataque de inundación SYN se puede iniciar de dos formas: directamente o mediante el uso

de IP falsificadas al azar. En el ataque directo, se envían muchas solicitudes SYN al servidor

víctima, sin embargo, el sistema operativo del atacante no debe responder al SYN-ACK, ya

que los mensajes de ACK, RST o ICMP permite trasladar el bloque de control de transmisión

(TCB) fuera de la SYN-recived [2], mientras que en el caso de IP falsificadas al azar, el

atacante envía la solicitud SYN con esta IP al servidor víctima, por lo tanto, la víctima

responde enviando SYN ACK que nunca se alcanzará al remitente. De este modo, el servidor

permanece en espera para el mensaje de ACK, y esto lleva a inundar el servidor víctima con

conexiones a medio abrir.

En la actualidad se han definido diferentes soluciones con respecto a estos ataques, aunque

ninguna es cien por ciento efectiva disminuye el impacto y cantidad de estos ataques:
En [3], la solución es utilizar reglas avanzadas en el Firewall de Windows para controlar el

tráfico TCP. El ataque es detectado y bloqueado por el servidor de seguridad cuando la

diferencia entre el contador de dirección de IP que pasa a la red más de una vez y el contador

de direcciones IP que han completado sus tres saludos supera el umbral predefinido. Esta

solución no es efectiva ya que el Firewall se cae rápidamente bajo la carga de un ataque

trivial.

En [4], la solución es una detección de anomalías basada en la cabecera TCP/IP, mediante el

filtrado de los paquetes basados en reglas principales; tipo de protocolo, indicadores TCP y

la dirección IP sea falsa o no. Cada paquete anormal se analiza utilizando la característica de

la cabecera IP, como la identificación, el ciclo de vida, y la longitud total de la IP, además

también se analiza los puertos de origen y longitud de la cabecera. La solución muestra un

buen trabajo en la detección de ataques de inundación SYN, pero esta no es suficiente, porque

el atacante actualmente puede usar paquetes normales como un usuario legítimo.

Estos métodos demostraron un buen rendimiento. Sin embargo, el entorno de la nube se basa

en recursos dinámicos (es decir, máquinas virtuales) y una cantidad masiva de tráfico por lo

cual no son satisfactorios.

E importante en este caso hablaremos de la importancia de la transición de IPv4 a IPv6

(Internet del futuro) [5], Este será un proceso largo y ordenado. Durante este período los dos

protocolos podrán coexistir. La solución más factible para esta transición en conocida como

TDT Solución de Transición de túnel dinámico), la cual tiene algunas compensaciones

evidentes como la correspondencia directa de extremo a extremo IP, organización adaptable,

la interoperabilidad de aplicaciones IPv4 en aplicaciones IPv6.

La transición de IPv4 a IPv6 es obligatoria ya que IPv4 llego a su límite, Pero también es

importante la valuación del desempeño de esta.

El objetivo principal de este trabajo es evaluar el rendimiento atributos relacionados, como

la utilización de la CPU, tiempo de conexión, el rendimiento y la latencia. Estos son los

factores más importantes para la medición del desempeño de un extremo a otro.

Limitaciones de IPv4

(I) La escasez de direcciones IPv4: El esquema de direccionamiento IPv4 utiliza el

espacio de dirección de 32 bits. Este espacio permite 4,294,967,296 direcciones.

(II) Direccionamiento privado y traducción: Para resolver este problema provocado

por la escasez de IPv4, y para guardar direcciones públicas, la gente comenzó a

utilizar direcciones privadas para la Intranets. Por ejemplo, una red doméstica

puede utilizar un rango reservado especial de direcciones IPv4 para la

comunicación entre dispositivos en la red local. Esto permite que las

comunicaciones internas que se reconozcan fácilmente. Debido a la escasez de

direcciones IPv4, muchas empresas implementan NAT (Network Address

Translation) para mapear múltiples direcciones IPv4 privadas a una sola dirección

IPv4 pública, pero esto presenta deficiencias, por ejemplo, incompatibilidad con

los estándares de seguridad de capa de red e incompatibilidad con el mapeo de

todos los protocolos de capa superior.

 (III) Configuración IP: Para superar la escasez de IPv4, la mayoría de las operaciones

existentes IPv4 deben ser configuradas manualmente o utilizar un protocolo de

configuración dinámica de host (DHCP). DHCP es un protocolo de red estándar

utilizado en redes TCP / IP. Un servidor DHCP asigna dinámicamente una

dirección IP y otros parámetros de configuración de red a cada dispositivo en una

red para que puedan conectarse con otras redes IP.

Principales retos

Se necesita entender los principales obstáculos enfrentados en la adaptación lenta de IPv6 en

la escala global de Internet.

(I) La falta de estandarización fija: uno de los principales desafíos en la aceptación

IPv6 es que la implementación a nivel industrial aún carece de los estándares

mundiales que los dispositivos de enrutamiento deben seguir. Por otra parte, estas

normas también harán que sea más fácil de convencer a las industrias de utilizar

esta tecnología.

(II) La interacción de IPv4 e IPv6: Debido a que el cambio a IPv6 es un proceso lento

e iterativo, que no puede interrumpir el acceso a la red y operaciones de las

organizaciones, es necesario emplear nuevos protocolos para la detección de

dispositivos, la supervisión, la comunicación y enrutamiento que podrían apoyar

las necesidades recién inventadas de las redes de distribución de contenido,

proveedores de servicios y otras entidades de red relacionados.

 (III) Costo: Otro factor importante en la implementación de IPv6 es el costo inevitable

de la conversión el efecto del costo varía para los diferentes agentes de la red de

acuerdo con sus diferentes roles en internet. Los principales costos implican en

hardware, tiempo, esfuerzo, experiencia humana, formación del personal,

software y la actualización.

(IV) Seguridad: Los problemas de seguridad relacionados con el IPv6 son muy

críticos. Las organizaciones necesitan personal capacitado en la seguridad de IPv6

los cuales deben ser capaces de manejar los ataques o agujeros de seguridad en

dichas organizaciones.

Parece muy difícil implementar un amplio despliegue de IPv6 en la industria sin enfrentarse

a los retos mencionados anteriormente.

La importancia de conocer cómo funciona un ataque y SYN Flood y buscar la mejor manera

de contrarrestarlo radica en saber cómo funciona el protocolo TCP y recordando lo visto en

clases por medio de este protocolo se envían paquetes de información los cuales tienen en su

cabecera una parte fundamental como lo es la dirección IP que ha tenido un avance

significativo con respecto a la evolución de la tecnología actual. La transición de IPv4 a IPv6

implica también el aumento de ataques utilizando dicha dirección IP por lo que IPv6 aumenta

considerablemente el número de direcciones a la cuales se puede acceder por medio de la

red, aunque IPv6 incluye métodos para una mayor seguridad debemos saber que esto también

es una ventaja para los atacantes.

Referencias

1. SYN Flood Attack Detection in Cloud Environment Based on TCP/IP Header

Statistical Features.

2. M. Bogdanoski, T. Shuminoski, A. Risteski, "Analysis of the SYN Flood DoS

Attack", Computer Network and Information Security, pp. 1-10, 2013.

3. K. Hussain, H. Syed, D. Veena, N. Muhammad, A. Muhammad Awais, "An Adaptive

SYN Flooding attack Mitigation in DDOS Environment", International Journal of

Computer Science and Network Security (IJCSNS)16 2016, pp. 27-33.

4. S. H. C. Haris,. R, B. Ahmad, M. A. H. A. Ghani, "Detecting TCP SYN flood attack

based on anomaly detection", Network Applications Protocols and Services

(NETAPPS) 2010 Second International Conference on. IEEE, pp. 240-244, 2010.

5. Fahad Samad, Asad Abbasi, Zulfiqar Ali Memon, Abdul Aziz and Abdul Rahman

“The Future of Internet: IPv6 Fulfilling the Routing Needs in Internet of Things”

Department of Computer Science, National University of Computer and Emerging

Sciences (NUCES-FAST), Karachi.