Ataques a redes TCPIP
Fragmentacion para emmascaramiento de diagrama IP
El atacante trara de provocar intencionalmente una fragmentacion en los datagramas que envian a nuestra red con el objetivo de que pasen desapercibidos por diferentes dispositivos.
Fragmentacion en redes Ethernet
Los fragmentos pueden incluso fragmentarse mas si pasan por una red , para que el equipo de destino pueda reconstruir los fragmentos estos deben contener siguiente informacion.
Cada fragmentacion tiene que saber si existen mas fragmebtados.
Informacion sobre la longitud de los datos transporte al fragmento.
Informacion sobre su posicion en el paquete incial.
Herramientas disponibles para realizar sniffing
Aaplicaciones mas conocidas en Unix es Tepdump.Este programa una vez ejecutado captura todos los paquetes que llegan a nuestra maquina y muestra por consola toda la informacion relativa a los mismos.
IP Flooding
Se basa en una inundacion masiva de la red mediante datagrama Ip
Los datagramas IP utilizados corresnpodientes:
TCP
ICMP
UDP
El trafico se genera de tipo ataque y puede ser:
Definido o dirigido
Aleatoreo
Escuchas de red
Estas son los primeros ataques de capas modelos TCP/IP con las escuhas de red conocidas sniffers y no es mas que un sencillo programaque intercepta toda la informacion que pase por la interfaz de red a la que esta asociada.
Otra tecnica es snooping se caracteriza por el almacenamiento de informacion capturada en el ordenador atacante mediante conexion remota.
Una de sus variantes es eavesdropping ,se caracteriza por realizar la adquision de trafico que circula en la red de forma pasiva sin modificar el contenido de la informacion.
Identificacion de mecanismos de control TCP
Esta informacion le permitira descubrir de forma muy fiable que sistema operativo se esta ejecutando en la maquina, existen 3 pasos de mecanismos de control propio del protocolo TCP/IP
Exploracion de puertos UDP , es posible determinar si un sistema esta o no disponible, asi como servicio asociados apuertos UDP que se encuentren abiertos. Herramientas para la exploracion de puertos :
Nessus , se trata de una utilidad que permite comprobar si un sistema es vulnerable a un conjunto amplio de problemas de seguridad almacenados en su base de datos.
Nmap , esta tecnica es la mas conocida para la exploracion de puertos y permite descubrir la informacion de los servicios y sistemas encontrados.
2. Exploracion de puertos, es una tecnica ampliamente utilziada para idntificar los servicios que ofrecen los sistemas de destino. Existen tecnicas para la exploracion de puertos TCP :
TCP Null scan , en caso de poner a cero todos los indicadores de la cabecera TCP, la informacion deberia de ser como resultado un paquete de reset en los puertos activos.
TCP Xmas Tree scan, se obtiene un paquete de reset si e puerto esta cerrado.
TCP SYN scan , envia paquetes unicamente de conexion por cada uno de los puertos que se quieren analizar se puede determinar si estan abiertos o no.
TCP connect scan, analiza todos los puertos posibles y si todo esta ok anotara todos los puertos como abiertos.
1.Identificacion de respuestas ICMP, aunque este sirva para notificar errores y condiciones inusuales es posible utilizarlo de forma idenbida para obtener huellas identificativas.
ICMP information, La finalidad de los paquetes es de tipo information-request y su respuesta asociada consiste en que ciertos equipos que no disponen de disco puedan extraer su propia configuracion.
ICMP timestamp, si un sistema esta activo se recibira un paquete de tipo timestamp-reply indicando si es posible concer la referencia de tiempo en el sistema de destino.
ICMP echo, permite la exploracion de sistemas activos.
Vulnerabilidades mas comunes de las distintas capas que veremos con mas detalle a lo largo de este modulo :
Vulnerabilidades de la capa de aplicacion
Hypertext Transfer Protocol
File Transfer Protocol
Telnet
Servicio de nombres de dominio
Vulnerabilidades de la capa de transporte
Vulnerablidades de la capa internet
Vulnerabilidades de la capa de red.
Fragmento inicial
La cabeccera IP original se clonora para que contenga un identificador de fragmento identico.
Fragmentacion IP
Divide los datagrama IP en fragmentatos de menor longitud y se realiza en el nivel inferior de la arquitectura para que sea posible recomponer los datagramas IP de forma transparente en el resto de niveles.
Suplantacion de ARP
Es el encargado de traducir direcciones IP de 32 bits a las correspondientes direcciones hardware, generalmente de 48 bits en dispositivos ethernet.
El objetivo de un ataque de suplantacion de ARP es poder capturar trafico ajeno sin necesidad de poner en modo promiscuo la interfaz de red.
Ataques de denegacion de servicio
Como la imposiblidad de acceder a un recurso o servicio por parte de un susario legitimo.
Desactivacion del filtro MAC
Para evitar que cualquier maquina se pueda apropiar de informacion fraudalenta, las tarjetas ethernet incorporan un filtro que ignora todo el trafico que no les pertence.
Actividades previas a la realización de un ataque.
Utilización de herramientas de administración
Búsqueda de huellas identificadas, la utilización de esta técnica se conoce como fingerprinting es decir obtención de huella identificada de un sistema conectado a la red.
Cadenas indicativas, el atacante ira complementado la informacion recogida con toda aquella informacion que pueda serle de utilidad para explotar posibles deficiencias en el sistema.
Informacion de dominio, La recogida de infomacion puede empezar extrayendo todo lo relacionado con la organizacion asi como las subredes correspondientes.
Descubrimiento de usuarios , otra informacion relevante de un sistema es el nombre de usuario que tienen acceso a estos equipos
Puede comenzar por todas aquellas herrmientas administrativas que permitan obtener informacion : ping , traceroute, whois, finger , rusers, nslookup, tenet, dig, etc.
Protoco TCP/IP se divide en las cuatro capas siguiente :
Capa de aplicacion
Capa de transporte
Capa de internet
Capa de red
