Ataques a redes TCPIP

Protoco TCP/IP se divide en las cuatro capas siguiente :

Capa de red

Capa de internet

Capa de transporte

Capa de aplicacion

Actividades previas a la realización de un ataque.

Utilización de herramientas de administración

Puede comenzar por todas aquellas herrmientas administrativas que permitan obtener informacion : ping , traceroute, whois, finger , rusers, nslookup, tenet, dig, etc.

Descubrimiento de usuarios , otra informacion relevante de un sistema es el nombre de usuario que tienen acceso a estos equipos

Informacion de dominio, La recogida de infomacion puede empezar extrayendo todo lo relacionado con la organizacion asi como las subredes correspondientes.

Cadenas indicativas, el atacante ira complementado la informacion recogida con toda aquella informacion que pueda serle de utilidad para explotar posibles deficiencias en el sistema.

Búsqueda de huellas identificadas, la utilización de esta técnica se conoce como fingerprinting es decir obtención de huella identificada de un sistema conectado a la red.

Desactivacion del filtro MAC

Para evitar que cualquier maquina se pueda apropiar de informacion fraudalenta, las tarjetas ethernet incorporan un filtro que ignora todo el trafico que no les pertence.

Ataques de denegacion de servicio

Como la imposiblidad de acceder a un recurso o servicio por parte de un susario legitimo.

Suplantacion de ARP

Es el encargado de traducir direcciones IP de 32 bits a las correspondientes direcciones hardware, generalmente de 48 bits en dispositivos ethernet.

El objetivo de un ataque de suplantacion de ARP es poder capturar trafico ajeno sin necesidad de poner en modo promiscuo la interfaz de red.

Fragmentacion IP

Divide los datagrama IP en fragmentatos de menor longitud y se realiza en el nivel inferior de la arquitectura para que sea posible recomponer los datagramas IP de forma transparente en el resto de niveles.

Fragmento inicial

La cabeccera IP original se clonora para que contenga un identificador de fragmento identico.

Vulnerabilidades mas comunes de las distintas capas que veremos con mas detalle a lo largo de este modulo :

Vulnerabilidades de la capa de red.

Vulnerablidades de la capa internet

Vulnerabilidades de la capa de transporte

Vulnerabilidades de la capa de aplicacion

Servicio de nombres de dominio

Telnet

File Transfer Protocol

Hypertext Transfer Protocol

Identificacion de mecanismos de control TCP

Esta informacion le permitira descubrir de forma muy fiable que sistema operativo se esta ejecutando en la maquina, existen 3 pasos de mecanismos de control propio del protocolo TCP/IP

1.Identificacion de respuestas ICMP, aunque este sirva para notificar errores y condiciones inusuales es posible utilizarlo de forma idenbida para obtener huellas identificativas.

ICMP echo, permite la exploracion de sistemas activos.

ICMP timestamp, si un sistema esta activo se recibira un paquete de tipo timestamp-reply indicando si es posible concer la referencia de tiempo en el sistema de destino.

ICMP information, La finalidad de los paquetes es de tipo information-request y su respuesta asociada consiste en que ciertos equipos que no disponen de disco puedan extraer su propia configuracion.

2. Exploracion de puertos, es una tecnica ampliamente utilziada para idntificar los servicios que ofrecen los sistemas de destino. Existen tecnicas para la exploracion de puertos TCP :

TCP connect scan, analiza todos los puertos posibles y si todo esta ok anotara todos los puertos como abiertos.

TCP SYN scan , envia paquetes unicamente de conexion por cada uno de los puertos que se quieren analizar se puede determinar si estan abiertos o no.

TCP Xmas Tree scan, se obtiene un paquete de reset si e puerto esta cerrado.

TCP Null scan , en caso de poner a cero todos los indicadores de la cabecera TCP, la informacion deberia de ser como resultado un paquete de reset en los puertos activos.

Exploracion de puertos UDP , es posible determinar si un sistema esta o no disponible, asi como servicio asociados apuertos UDP que se encuentren abiertos. Herramientas para la exploracion de puertos :

Nmap , esta tecnica es la mas conocida para la exploracion de puertos y permite descubrir la informacion de los servicios y sistemas encontrados.

Nessus , se trata de una utilidad que permite comprobar si un sistema es vulnerable a un conjunto amplio de problemas de seguridad almacenados en su base de datos.

Escuchas de red

Estas son los primeros ataques de capas modelos TCP/IP con las escuhas de red conocidas sniffers y no es mas que un sencillo programaque intercepta toda la informacion que pase por la interfaz de red a la que esta asociada.

Una de sus variantes es eavesdropping ,se caracteriza por realizar la adquision de trafico que circula en la red de forma pasiva sin modificar el contenido de la informacion.

Otra tecnica es snooping se caracteriza por el almacenamiento de informacion capturada en el ordenador atacante mediante conexion remota.

IP Flooding

Se basa en una inundacion masiva de la red mediante datagrama Ip

El trafico se genera de tipo ataque y puede ser:

Aleatoreo

Definido o dirigido

Los datagramas IP utilizados corresnpodientes:

UDP

ICMP

TCP

Herramientas disponibles para realizar sniffing

Aaplicaciones mas conocidas en Unix es Tepdump.Este programa una vez ejecutado captura todos los paquetes que llegan a nuestra maquina y muestra por consola toda la informacion relativa a los mismos.

Fragmentacion en redes Ethernet

Los fragmentos pueden incluso fragmentarse mas si pasan por una red , para que el equipo de destino pueda reconstruir los fragmentos estos deben contener siguiente informacion.

Informacion sobre su posicion en el paquete incial.

Informacion sobre la longitud de los datos transporte al fragmento.

Cada fragmentacion tiene que saber si existen mas fragmebtados.

Fragmentacion para emmascaramiento de diagrama IP

El atacante trara de provocar intencionalmente una fragmentacion en los datagramas que envian a nuestra red con el objetivo de que pasen desapercibidos por diferentes dispositivos.