1. Tribe Flood Network 2000
1.1. La comunicaci´on master-slave se realizan ahora mediante protocolos TCP, UDP, ICMP o los tres a la vez de forma aleatoria.
1.2. Los ataques contin´uan siendo los mismos (ICMP Flooding, UDP Flooding, SYN Flooding y Smurf ). Aun as´ı, el demonio se puede programar para que alterne entre estos cuatro tipos de ataque, para dificultar la detecci´on por parte de sistemas de monitorizacion en la red.
1.3. Las cabeceras de los paquetes de comunicaci´on master-slave son ahora aleatorias, excepto en el caso de ICMP (donde siempre se utilizan mensajes de tipo echo-reply). De esta forma se evitara una detecci´on mediante patrones de comportamiento.
1.4. Todos los comandos van cifrados. La clave se define en tiempo de compilacion y se utiliza como contrase˜na para acceder al cliente
1.5. Cada demonio genera un proceso hijo por ataque, tratando de diferenciarse entre s´ı a traves de los argumentos y par´ametros que se pasan en el momento de ejecucion. Ademas, se altera su nombre de proceso para hacerlo pasar por un proceso m´as del sistema.
2. La exploracion de puertos puede permitir el reconocimiento de los servicios ofrecidos por cada uno de los equipos encontrados en la red escogida. Con esta informacion, el atacante podrıa realizar posteriormente una busqueda de exploits que le permitiera un ataque de intrusi´on en el sistema analizado,
2.1. Exploracion de puertos TCP
2.1.1. TCP connect scan.
2.1.2. TCP SYN scan.
2.1.3. TCP FIN scan
2.1.4. TCP Xmas Tree scan.
2.1.5. TCP Null scan.
2.2. Exploracion de puertos UDP
2.2.1. Herramientas para realizar la exploracion de puertos
2.2.1.1. Nmap
2.2.1.1.1. Descubrimiento de direcciones IP activas mediante una exploraci´on de la red: nmap -sP IP ADDRESS/NETMASK
2.2.1.1.2. Exploracion de puertos TCP activos: nmap -sT IP ADDRESS/NETMASK
2.2.1.1.3. Exploracion de puertos UDP activos: nmap -sU IP ADDRESS/NETMASK
2.2.1.1.4. Exploracion del tipo de sistema operativo de un equipo en red: nmap -O IP ADDRESS/NETMASK
3. Escuchas de red
3.1. Un sniffer no es mas que un sencillo programa que intercepta toda la informacion que pase por la interfaz de red a la que este asociado. Una vez capturada, se podra almacenar para su an´alisis posterior.
3.2. Sniffing hardware Es posible analizar el trafico de una red pinchando en un cable de red de un dispositivo por el que circula todo el trafico. Tambi´en se pueden utilizar receptores situados en medios de comunicaciones sin cables
3.2.1. Herramientas disponibles para realizar sniffing
3.3. Desactivacion de filtro MAC
3.4. Suplantacion de ARP
4. Actividades previas a la realizacion de un ataque
4.1. Utilizacion de herramientas de administracion
4.2. Descubrimiento de usuarios
4.3. Informacion de dominio
4.4. Cadenas identificativas
4.5. Grupos de noticias y buscadores de internet
4.6. Busqueda de huellas identificativas
4.7. Identificacion de mecanismos de control TCP
4.8. Identificacion de respuestas ICMP
4.8.1. ICMP echo. Como hemos visto anteriormente, el uso de trafico ICMP de tipo echo permite la exploracion de sistemas activos. As´ı, con esta exploracion se pretende identificar los equipos existentes dentro de la red que se quiere explorar, normalmente accesibles desde internet.
4.8.2. ICMP timestamp. Mediante la transmisi´on de un paquete ICMP de tipo timestamprequest, si un sistema est´a activo, se recibir´a un paquete de tipo timestamp-reply, indicando si es posible conocer la referencia de tiempo en el sistema de destino.
4.8.3. ICMP information. La finalidad de los paquetes ICMP de tipo informationrequest y su respuesta asociada, information-reply, consiste en permitir que ciertos equipos que no disponen de disco puedan extraer su propia configuracion, autoconfigurarse en el momento de inicio, obtener su direccion IP, etc.
4.9. Exploracion de puertos
5. Fragmentacion IP
5.1. Fragmentacion en redes Ethernet
5.1.1. Cada fragmento tiene que estar asociado a otro utilizando un identificador de fragmento comun. Este se clonara desde un campo de la cabecera IP, conocido como identificador IP (tambi´en llamado ID de fragmento).
5.1.1.1. Fragmento inicial
5.1.1.2. Fragmento siguiente
5.1.1.3. Ultimo fragmento
5.1.2. Informacion sobre su posicion en el paquete inicial (paquete no fragmentado).
5.1.3. Informacion sobre la longitud de los datos transportados al fragmento
5.1.4. Cada fragmento tiene que saber si existen mas fragmentos a continuacion. Esto se indica en la cabecera, dejando o no activado el indicador de mas fragmentos (more fragments, MF) del datagrama IP.
5.2. Fragmentacion para emmascaramiento de datagramas IP
6. Ataques de denegaci´on de servicio
6.1. Definimos denegacion de servicio como la imposibilidad de acceder a un recurso o servicio por parte de un usuario legıtimo. Es decir, la apropiaci´on exclusiva de un recurso o servicio con la intencion de evitar cualquier acceso a terceras partes
6.2. IP Flooding
6.2.1. Aleatorio.
6.2.2. Definido o dirigido.
6.2.2.1. UDP
6.2.2.2. ICMP
6.2.2.3. TCP.
6.3. Smurf
6.4. TCP/SYN Flooding
6.4.1. El ataque de TCP/SYN Flooding se aprovecha del n´umero de conexiones que est´an esperando para establecer un servicio en particular para conseguir la denegaci´on del servicio.
6.5. Teardrop
6.5.1. El ataque Teardrop intentara realizar una utilizaci´on fraudulenta de la fragmentaci on IP para poder confundir al sistema operativo en la reconstruccion del datagrama original y colapsar as´ı el sistema.
6.6. Snork
6.6.1. El ataque Snork se basa en una utilizacion malintencionada de dos servicios t´ıpicos en sistemas Unix: el servicio CHARGEN (CHARacter GENerator, generador de caracteres) y el servicio ECHO.
6.6.1.1. El ataque Snork consiste en el cruce de los servicios ECHO y CHARGEN, mediante el env´ıo de una petici´on falsa al servicio CHARGEN, habiendo colocado previamente como direcci´on de origen la direcci´on IP de la m´aquina que hay que atacar (con el puerto del servicio ECHO como puerto de respuesta). De esta forma, se inicia un juego de ping-pong infinito
6.7. Ping of death
7. Ataques distribuidos
7.1. TRIN00
7.2. Tribe Flood Network
7.3. Shaft
8. Deficiencias de programaci´on
8.1. Entradas no controladas por el autor de la aplicaci´on, que pueden provocar acciones malintencionadas y ejecuci´on de c´odigo malicioso
8.2. Uso de caracteres especiales que permiten un acceso no autorizado al servidor del servicio.
8.3. Entradas inesperadamente largas que provocan desbordamientos dentro de la pila de ejecucion y que pueden implicar una alteraci´on en el c´odigo que hay que ejecutar.
8.4. Un exploit es un programa, generalmente escrito en C o ensamblador, que fuerza las condiciones necesarias para aprovecharse de un error de seguridad subyacente.
8.5. Desbordamiento de buffer
8.5.1. Ejecuci´on local de un desbordamiento de buffer
8.6. Cadenas de formato
8.6.1. Explotaci´on remota mediante una cadena de formato
9. Ataques contra redes TCP/IP
9.1. Primera generaci´on: ataques f´ısicos. Encontramos aqu´ı ataques que se centran en componentes electronicos, como podr´ıan ser los propios ordenadores, los cables o los dispositivos de red. Actualmente se conocen soluciones para estos ataques, utilizando protocolosdistribuidos y de redundancia para conseguir una tolerancia a fallos aceptable.
9.1.1. Goal 1
9.1.2. Goal 2
9.2. Segunda generacion: ataques sintacticos.Se trata de ataques contra la logica operativa de los ordenadores y las redes, que quieren explotar vulnerabilidades existentes en el software, algoritmos de cifrado y en protocolos. Aunque no existen soluciones globalespara contrarrestar de forma eficiente estos ataques, podemos encontrar soluciones cada vez m´as eficaces
9.2.1. Session Rule 1
9.2.2. Session Rule 2
9.2.3. Session Rule 2
9.3. Tercera generacion: ataques semanticos.Finalmente, podemos hablar de aquellos ataques que se aprovechan de la confianza de los usuarios en la informacion. Este tipo de ataques pueden ir desde la colocaci´on de informaci´on falsa en boletines informativos y correos electronicos hasta la modificacion del contenido de los datos en servicios de confianza, como, por ejemplo, la manipulacion de bases de datos con informacion publica, sistemas de informacion bursatil, sistemas de control de trafico aereo, etc.
10. Seguridad en redes TCP/IP
10.1. Capa de red.
10.2. Capa de internet (o capa de internetworking) .
10.3. Capa de transporte. Da fiabilidad a la red.
10.4. Capa de aplicacion.
11. vulnerabilidades mas comunes de las distintas capas que veremos con mas detalle
11.1. Vulnerabilidades de la capa de red.
11.2. Vulnerabilidades de la capa internet.
11.3. Vulnerabilidades de la capa de transporte
11.4. Vulnerabilidades de la capa de aplicacion.
11.4.1. Servicio de nombres de dominio.
11.4.2. Telnet.
11.4.3. File Transfer Protocol.
11.4.4. Hypertext Transfer Protocol.