SINKHOLE Usualmente un sistema pasivo hacia el cual los nombres de dominio o IPs maliciosos son dirigidos, para extraer la información de conexión. Usualmente son construidos para emular diferentes protocolos y funcionalidades. Un Sinkhole es una esencial herramienta multifacética de seguridad, una porción de la red que es diseñada para aceptar y analizar tráficos atacantes. Los Sinkholes son originalmente utilizados por los ISPs para atrapar los ataques de tráfico, en muchos casos dirigiendo los ataques lejos de sus clientes u otros objetivos. También son utilizados en entornos empresariales para monitorear ataques, detectar actividades de escaneo de equipos infectados, y generalmente para el monitoreo de otras actividades maliciosas. En el siguiente gráfico se puede observar como un servidor WEB es el destino de un ataque de DDoS, se puede apreciar como el servidor WWW1 es inaccesible por el ataque. Adicionalmente por el extremado volumen de tráfico ha saturado los enlaces y rutas, haciendo también inaccesible al servidor WWW2. Ver: https://www.shadowserver.org/wiki/pmwiki.php/Information/Definitions En el siguiente gráfico se observa como un SINKHOLE se puede usar para evitar el tráfico de ataque destinado al servidor WWW1, sin embargo también se lleva el tráfico legítimo dirigido a WWW1, pero por otro lado el tráfico destinado a WWW2 si puede ser terminado ya que se pudo eliminar la congestión del enlace. DETECCIÓN Un Sinkhole puede ser usado para desviar el tráfico de ataque y para el monitoreo de la propagación de gusanos. Tipos de Sinkhole HoneySink: Es un Sinkhole de red de código abierto, que provee un mecanismo para detección y prevención de tráfico malicioso en una red dada, este es el usado por Shadowserver para sus detecciones. Es posible su implementación interna y externa, está diseñada para registrar y responder a pedidos entrantes de algunos números de protocolos de red. https://honeynet.org/node/773 También existen otras Sinkholes privadas “Privately developed system”, tales como las usadas por Microsoft u otras organizaciones como abuse.ch. Un Sinkhole puede ser también usado como herramienta para analizar un ataque; el router del Sinkhole pude ser empleado para reenviar el tráfico de ataque hacia un terminal de switch donde un analizador de red, como un sniffer o ethereal, es utilizado para mirar los detalles del ataque. INFORMACIÓN DE LOS CAMPOS ADJUNTOS AL REPORTE:
Campo Descripción
Vulnerabilidad Hace referencia al nombre de la vulnerabilidad
Dirección IP Dirección IP del dispositivo en cuestión
Puerto Puerto que responde a la vulnerabilidad
TIMESTAMP_ECUCERT Tiempo en que la IP fue probada por el ECUCERT
AS_name Nombre del ASN
STATUS_ECUCERT Estado de la vulnerabilidad
timestamp Captura de tiempo en UTC+0 (en que la IP accedió al Sinkhole)
ip IP que accedió al Sinkhole
asn ASN al que pertenece la IP
geo País de localización de la IP
url HTTP requerida
type Tipo de “Drone” (si es conocido)
http_agent Agente HTTP
tor Si el cliente es un nodo de escape TOR
src_port Puerto de origen TCP “source port”
p0f_genre Primer nivel de prueba TCP para el sistema operativo
p0f_detail Detalle de resultados de la prueba de sistema operativo
hostname “Reverse DNS” de la IP
dst_port Puerto TCP destino
http_host Dominio accedido por la IP
http_referer HTTP evaluadora
http_referer_asn ASN de HTTP evaluadora
http_referer_geo Código de país de la HTTP evaluadora
dst_ip Sinkhole IP de destino que fue accedida
dst_asn Sinkhole ASN de destino que fue accedido
dst_geo Sinkhole GEO de destino que fue accedida
INSTRUCCIONES PARA CORREGIR EL PROBLEMA DE SINKHOLE Una IP detectada por un SINKHOLE debe ser desinfectada usando un antivirus, revisar documento de consulta de virus: Enlaces de interés: http://www.sans.org/reading-room/whitepapers/dns/dns-sinkhole-33523 https://www.shadowserver.org/wiki/pmwiki.php/Stats/Sinkholes https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Deal-with-Conficker-using-DNS-Sinkhole/ta-p/52920 https://blog.opendns.com/2014/02/28/dns-sinkhole/ http://www.trendmicro.com.tr/media/misc/sinkholing-botnets-technical-paper-en.pdf http://www.whitehats.ca/main/index.html Links de descarga:
SINKHOLE Descripción
 Acciones recomendadas para tratar IPs detectadas en un SINKHOLE MD5: dab06675132c30f4b73866d23e928331
Dirección - Av. Amazonas N 40-71 y Gaspar de Villarroel Quito, Ecuador Teléfono - (+593) 22 272-179
EcuCERT
ecucert Centro de respuesta a incidentes informáticos del Ecuador
Llaves PGP/GPG
(+593) 22 272-179
Envíanos un Correo

Copyright © 2017 EcuCERT