Los ataques que explotan deficiencias de programación mediante cadenas de for
mato se producen en el momento de imprimir o copiar una cadena de caracteres
desde un buffer sin las comprobaciones necesarias
Se basa en la posibilidad de escribir información más all�á de los limites de una tupla almacenada en la pila de ejecución. A partir de esta tupla, asociada a una llamada a función dentro del programa, se puede conseguir corromper el flujo de la ejecución modificando el valor de regreso de la llamada a la función
Un exploit es un programa, generalmente escrito en C o ensamblador, que fuerza
las condiciones necesarias para aprovecharse de un error de seguridad subyacente.
TRIN00 es un conjunto de herramientas master-slave utilizadas para sincronizar distintos
equipos que cooperarán, de forma distribuida, en la realización de una denegación de ser
vicio.
Definimos denegación de servicio como la imposibilidad de acceder a un recurso
o servicio por parte de un usuario legítimo. Es decir, la apropiación exclusiva de un recurso o servicio con la intención de evitar cualquier acceso a terceras partes.
Para solucionar el uso de la fragmentación fraudulenta y garantizar una correcta
inspección de paquetes, es necesaria la implementación del proceso de fragmentación y el reensamblado de datagramas en dispositivos de prevención y detección.
La fragmentación divide los datagramas IP en fragmentos de menor longitud y se
realiza en el nivel inferior de la arquitectura para que sea posible recomponer los
datagramas IP de forma transparente en el resto de niveles. El reensamblado realiza
la operación contraria.
El objetivo de un ataque de suplantación de ARP es poder capturar tráfico ajeno sin
necesidad de poner en modo promiscuo la interfaz de red. Envenenando la tabla
de ARP de los equipos involucrados en la comunicación que se quiere capturar se
puede conseguir que el conmutador les haga llegar los paquetes
Una solución para evitar esta técnica consiste en la segmentación de la red y de
los equipos mediante el uso de conmutadores (switches). Al segmentar la red y los equipos, el único tráfico que tendrían que ver las máquinas sería el que les pertenece, puesto que el conmutador se encarga de encaminar hacia el equipo únicamente aquellos paquetes destinados a su dirección MAC
Un sniffer no es más que un sencillo programa que intercepta toda la información
que pase por la interfaz de red a la que esté asociado. Una vez capturada, se podrá almacenar para su an�álisis posterior.
Nmap, junto con Nessus, son dos de las herramientas más frecuentemente utili
zadas tanto por administradores de redes como por posibles atacantes, puesto que ofrecen la mayor parte de los datos necesarios para estudiar el comportamiento de un sistema o red que se quiere atacar
Mediante la exploración de puertos UDP es posible determinar si un sistema está
o no disponible, asíı como encontrar los servicios asociados a los puertos UDP que
encontramos abiertos.
lizando todos los puertos posibles
Topic flotante
La exploración de puertos puede permitir el reconocimiento de los servicios ofre
cidos por cada uno de los equipos encontrados en la red escogida.
La fase de recogida de información podría comenzar con la utilización de todas aquellas aplicaciones de administración que permitan la obtención de información de un Sistema como, por ejemplo, ping, traceroute, whois, finger, rusers, nslookup, rcpinfo, telnet, dig, etc
La utilización de estas técnicas se conoce con el nombre de fingerprinting, es decir, obtención de la huella identificativa de un sistema o equipo conectado a la red.
Mecanismos de Prevención
Mecanismos de Protección
Seguridad en Redes de Computadores-971051070
Ataques Contra las Redes TCP/IP
Deficiencias de Programación
Cadenas de Formato
Desbordamiento de Buffer
Ataques de Denegación de Servicio
Ataques Distribuidos: un ataque de denegación de servicio en el que existen múltiples equipos sincronizados de forma distribuida que se unen para atacar un mismo objetivo
Ping of death: Al igual que otros
ataques de denegación existentes, utiliza una definición de longitud máxima de datagrama
IP fraudulenta.
Snork: se basa en una utilización malintencionada de dos servicios típicos
en sistemas Unix: el servicio CHARGEN (CHARacter GENerator, generador de
caracteres) y el servicio ECHO
Teardrop: intentará realizar una utilización fraudulenta de la fragmenta
coin IP para poder confundir al sistema operativo en la reconstrucción del datagrama original y colapsar así el sistema
TCP/SYN Flooding: se aprovecha del número de conexiones que est�án
esperando para establecer un servicio en particular para conseguir la denegación del
servicio
Smurf: es una variante del ataque anterior (IP Flooding), pero realizando una suplantación de las direcciones de origen y destino de una petición ICMP del tipo echo-reques
IP Flooding: se basa en una inundación masiva de la red mediante datagramas IP.
Fragmentación IP
Fragmentación para emmascaramiento de datagramas IP
Fragmentación en Redes Ethernet
Ultimo Fragmento
Fragmento Siguiente
Fragmento Inicial
Escuchas de Red
Herramientas disponibles para realizar sniffing
Suplantación de ARP
Desactivación de Filtro MAC
Actividades previas a la realización de un ataque
Exploración de Puertos
TCP Null scan. En el caso de poner a cero todos los indicadores de la cabecera TCP, la exploración deberíıa recibir como resultado un paquete de reset en los puertos no
activos
TCP Xmas Tree scan. Esta técnica es muy similar a la anterior, y también se obtiene como resultado un paquete de reset si el puerto está cerrado.
TCP FIN scan: Al enviar un paquete FIN a un puerto, deberíamos recibir un paquete de reset (RST) si dicho puerto est�á cerrado
TCP SYN scan: Enviando únicamente paquetes de inicio de conexión (SYN) por cada uno de los puertos que se quieren analizar se puede determinar si ´estos están abiertos
o no.
TCP connect scan: Mediante el establecimiento de una conexión TCP completa (completando los tres pasos del establecimiento de la conexión) la exploración puede ir analizando todos los puertos posibles
Búsqueda de Huellas Identificativas
Identificación de Respuestas ICMP
ICMP information: consiste en permitir que
ciertos equipos que no disponen de disco puedan extraer su propia configuración, autoconfigurarse en el momento de inicio, obtener su dirección IP, etc.
ICMP timestamp: si un sistema está activo, se recibir�á un paquete de tipo timestamp-reply,
indicando si es posible conocer la referencia de tiempo en el sistema de destino.
ICMP echo: permite la exploración de sistemas activos
Identificación de mecanismos de control TCP
Utilización de Herramientas de Administración
Grupos de Notificas e
Identificadores de Internet
Cadenas Identificativas
Información de Dominios
Descubrimiento de Usuarios
Seguridad en redes TCP/IP
Capa de Aplicación
Capa de Transporte
Capa de Internet
Capa de Red
