av Walter Corea 6 år siden
798
Mer som dette
Desbordamiento de buffer
Cadenas de formato
Los ataques que explotan deficiencias de programacion mediante cadenas de formato se producen en el momento de imprimir o copiar una cadena de caracteres desde un buffer sin las comprobaciones necesarias
Ejecucion local de un desbordamiento de buffer
La construccion de una aplicacion que realizara un desbordamiento de buffer sobre una segunda aplicacion vulnerable (que presenta, por lo tanto, esta deficiencia de programacion) requiere conocimientos mas avanzados sobre el codigo que hay que atacar
Un ataque de desbordamiento de buffer se basa en la posibilidad de escribir informacion mas alla de los limites de una tupla almacenada en la pila de ejecucion.
La mayor parte de estas deficiencias de programacion pueden suponer un agujero en la seguridad de la red debido a situaciones no previstas como
Ataques distribuidos
Tribe Flood Network 2000
La arquitectura basica en la que existe un atacante que utiliza clientes para gobernar los distintos demonios instalados en las maquinas infectadas se mantiene, de forma que el control de este tipo de ataques mantiene la premisa de tener el maximo numero de ordenadores segmentados. De esta forma, si un cliente es neutralizado, el resto de la red continua bajo control
Shaft
conjunto de herramientas derivado de los dos anteriores (TRIN00 y TFN) es Shaft. La jerarquoia utilizada por Shaft es similar a las demas herramientas analizadas. Una vez mas, se basa en varios masters (denominados ahora Shaftmasters) que gobiernan a su vez diversos slaves (Shaftnodes).
Tribe Flood Network
Tribe Flood Network (TFN) es otra de las herramientas existentes para realizar ataques de denegacion de servicio distribuidos que utiliza un esquema master-slave para coordinar ataques de denegacion tradicionales (ICMP Flooding, SYN Flooding, UDP Flooding y Smurf ). Al igual que TRIN00, permite dejar abierta una consola de administración a la maquina de origen (escuchando por un puerto TCP determinado) ofreciendo un acceso ilimitado a los equipos infectados.
TRIN00
TRIN00 es un conjunto de herramientas master-slave utilizadas para sincronizar distintos equipos que cooperaran, de forma distribuida, en la realizacion de una denegacion de servicio. Las primeras implementaciones de TRIN00 fueron implementadas unicamente para sistemas Sun Solaris (en los que se produjeron los primeros ataques conocidos).
Un ataque de denegacion de servicio distribuido es aquel en el que una multitud de En ingl es, Distributed Denial of Service (DDoS). sistemas (que previamente han sido comprometidos) cooperan entre ellos para atacar a un equipo objetivo, causandole una denegacion de servicio. El flujo de mensajes de entrada que padece el equipo atacado le dejara sin recursos y sera incapaz de ofrecer sus servicios a usuarios legitimos.
Ping of death
El ataque de denegacion de servicio ”ping de la muerte”(ping of death) es uno de los ataques mas conocidos y que mas artıculos de prensa ha generado. Al igual que otros ataques de denegacion existentes, utiliza una definicion de longitud maxima de datagrama IP fraudulenta.
Snork
El ataque Snork se basa en una utilizacion malintencionada de dos servicios tıpicos en sistemas Unix: el servicio CHARGEN (CHARacter GENerator, generador de caracteres) y el servicio ECHO.
Teardrop
el protocolo IP especifica unos campos en Fragmentacion IP Para tratar el siguiente ataque, haremos uso de la teoria sobre la fragmentacion IP que hemos visto en este mismo modulo didactico. la cabecera encargados de senalar si el datagrama IP esta fragmentado (forma parte de un paquete mayor) y la posicion que ocupa dentro del datagrama original
TCP/SYN Flooding
El ataque de TCP/SYNFlooding se aprovecha del numero de conexiones que estan esperando para establecer un servicio en particular para conseguir la denegacion del servicio.
Esta debilidad del protocolo TCP proviene de las primeras implementaciones de las pilas TCP.
Subtema
Smurf
Este tipo de ataque de denegacion de servicio es una variante del ataque anterior (IP Flooding), pero realizando una suplantacion de las direcciones de origen y destino de una peticion ICMP del tipo echo-request
IP Flooding
Los datagramas IP utilizados
TCP
ICMP
UDP
trafico
Definido o dirigido
Aleatorio
El ataque de IP Flooding se basa en una inundacion masiva de la red mediante datagramas IP.
Un ataque de denegacion de servicio es un incidente en el cual un usuario o una organizacion es privada de los servicios de un recurso que esperaba obtenerormalmente, la perdida de servicio se corresponde con la imposibilidad de obtener un determinado servicio de red como, por ejemplo, el acceso a una pagina web
Fragmentacion en redes Ethernet
Ultimo fragmento
Fragmento siguiente
Fragmento inicial
La MTU por defecto de un datagrama IP para una red de tipo Ethernet es de 1500 bytes. Asi pues, si un datagrama IP es mayor a este tamano y necesita circular por este tipo de red, sera necesario fragmentarlo por medio del encaminado que dirige la red. Los fragmentos pueden incluso fragmentarse mas si pasan por una red con una MTU mas pequena que su tamano.
El protocolo IP es el encargado de seleccionar la trayectoria que deben seguir los datagramas IP. No es un protocolo fiable ni orientado a conexion, es decir, no garantiza el control de flujo, la recuperacion de errores ni que los datos lleguen a su destino.
Herramientas disponibles para realizar sniffing
Una de las aplicaciones mas conocidas, en especial en sistemas Unix, es Tcpdump. Este programa, una vez ejecutado, captura todos los paquetes que llegan a nuestra maquina y muestra por consola toda la información relativa a los mismos.
Suplantacion de ARP
El protocolo ARP es el encargado de traducir direcciones IP de 32 bits, a las correspondientes direcciones hardware, generalmente de 48 bits en dispositivos Ethernet. Cuando un ordenador necesita resolver una direccion IP en una direccion MAC, lo que hace es efectuar una peticion ARP (arp-request) a la direccion de difusion de dicho segmento de red, FF:FF:FF:FF:FF:FF, solicitando que el equipo que tiene esta IP responda con su direccion MAC
Desactivacion de filtro MAC
Una de las tecnicas mas utilizadas por la mayorıa de los sniffers de redes Ethernet se basa en la posibilidad deconfigurar la interfaz de red para que desactive su filtro MAC (poniendo la tarjeta de red en modo promiscuo).
Escuchas de red o sniffers
Un sniffer no es mas que un sencillo programa que intercepta toda la informacion que pase por la interfaz de red a la que este asociado. Una vez capturada, se podra almacenar para su analisis posterior.
Uno de los primeros ataques contra las dos primeras capas del modelo TCP/IP son las escuchas de red. Se trata de un ataque realmente efectivo, puesto que permite la obtencion de una gran cantidad de informacion sensible
Exploracion de puertos
Exploracion del tipo de sistema operativo de un equipo en red
nmap -O IP ADDRESS/NETMASK
Exploracion de puertos UDP activos:
nmap -sU IP ADDRESS/NETMASK
Exploracion de puertos TCP activos
nmap -sT IP ADDRESS/NETMASK
Descubrimiento de direcciones IP activas mediante una exploracion de la red
nmap -sP IP ADDRESS/NETMASK
Exploracion de puertos UDP
Herramientas para realizar la exploracion de puertos
Mediante la exploracion de puertos UDP es posible determinar si un sistema esta o no disponible, asi como encontrar los servicios asociados a los puertos UDP que encontramos abiertos.
Exploracion de puertos TCP
TCP Null scan
TCP Xmas Tree scan
TCP FIN scan
TCP SYN scan
TCP connect scan
La exploracion de puertos puede permitir el reconocimiento de los servicios ofrecidos por cada uno de los equipos encontrados en la red escogida. Con esta información, el atacante podria realizar posteriormente una busqueda de exploits que le permitiera un ataque de intrusion en el sistema analizado
Buusqueda de huellas identificativas
Identificacion de mecanismos de control TCP
Identificacion de respuestas ICMP
ICMP information
La finalidad de los paquetes ICMP de tipo informationrequest y su respuesta asociada, information-reply, consiste en permitir que ciertos equipos que no disponen de disco puedan extraer su propia configuracion, autoconfigurarse en el momento de inicio, obtener su direccion IP
ICMP timestamp
Mediante la transmision de un paquete ICMP de tipo timestamprequest, si un sistema esta activo, se recibira un paquete de tipo timestamp-reply, indicando si es posible conocer la referencia de tiempo en el sistema de destino.
ICMP echo
permite la exploracion de sistemas activos. Asi, con esta exploracion se pretende identificar los equipos existentes dentro de la red que se quiere explorar, normalmente accesibles desde internet.
La huella identificativa que un atacante querrıa obtener de los sistemas de una red hace referencia a toda aquella informacion de la implementacion de pila TCP/IP de los mismos
La utilizacion de estas tecnicas se conoce con el nombre de fingerprinting, es decir, obtencion de la huella identificativa de un sistema o equipo conectado a la red.
Utilizacion de herramientas de administracion
La fase de recogida de informacion podria empezar con la utilizacion de todas aquellas aplicaciones de administracion que permitan la obtencion de informacion de un sistema como:
dig
telnet
rcpinfo
nslookup
rusers
finger
whois
traceroute
ping
Previamente a la planificacion de un posible ataque contra uno o mas equipos de una red TCP/IP, es necesario conocer el objetivo que hay que atacar. Para realizar esta primera fase, es decir, para obtener toda la información posible de la victima, sera necesario utilizar una serie de técnicas de obtención y recolección de información.
Deficiencias de seguridad a este nivel podrían ser los siguientes:
Hypertext Transfer Protocol
File Transfer Protocol
Telnet
Servicio de nombres de dominio.
Como en el resto de niveles, la capa de aplicación presenta varias deficiencias de seguridad asociadas a sus protocolos. Debido al gran numero de protocolos definidos en esta capa, la cantidad de deficiencias presentes también sera superior al resto de capas.
La capa de transporte transmite informacion TCP o UDP sobre datagramas IP. En esta capa podamos encontrar problemas de autenticacion, de integridad y de confidencialidad. Algunos de los ataques mas conocidos en esta capa son las denegaciones de servicio debidas a protocolos de transporte.
En esta capa se puede realizar cualquier ataque que afecte un datagrama IP. Se incluyen como ataques contra esta capa las tecnicas de sniffing, la suplantacion de mensajes, la modificacion de datos, los retrasos de mensajes y la denegacion de mensajes.
Las vulnerabilidades de la capa de red estan estrechamente ligadas al medio sobre el que se realiza la conexion. Esta capa presenta problemas de control de acceso y de confidencialidad
