Ataques TCP/IP

Comienza Ya. Es Gratis
ó regístrate con tu dirección de correo electrónico
Ataques TCP/IP por Mind Map: Ataques TCP/IP

1. ¿Que es TCP/IP?

1.1. Es un modelo de conexión de red el cual está constituido por un grupo de protocolos de red que hacen posible la transferencia de datos en redes y por lo tanto entre equipos informáticos e internet.

1.1.1. 1. Nivel de enlace o acceso a la red: ofrece la posibilidad de acceso físico a la red

1.1.2. 2. Nivel de Red o internet: Proporciona el paquete de datos o datagramas y administra las direcciones IP.

1.1.3. 3. Nivel de transporte: Permiten conocer el estado de la transmisión, así como los datos de enrutamiento.

1.1.4. 4. Nivel de aplicación: Es la parte superior del protocolo TCP/IP y suministra las aplicaciones de red tipo Telnet, FTP o SMTP, que se comunican con las capas anteriores (con protocolos TCP o UDP).

2. Tipos de ataques TCP/IP

2.1. Ataque de saturación de SYN

2.1.1. Una solicitud SYN es la comunicación inicial que se envía para establecer una conexión TCP. Este tipo de ataque abre de forma aleatoria los puertos TCP en el origen del ataque y satura el equipo o la PC de la red con una gran cantidad de solicitudes SYN falsas provocando la denegación de la sesión a otros usuarios

2.2. Ataque DoS

2.2.1. La denegación de servicio (DoS, Denial of Service) es una forma de ataque que les impide a los usuarios acceder a servicios normales, como correo electrónico o un servidor Web, debido a que el sistema está ocupado respondiendo a cantidades anormalmente grandes de solicitudes.

2.2.1.1. Interrupción

2.2.1.2. Intercepción

2.2.1.3. Modificación

2.2.1.4. Fabricación

2.3. Ataque DDoS

2.3.1. Los ataques de DoS distribuida (DDoS, Distributed DoS) utilizan muchas PC infectadas, denominadas “zombis” o “botnets”, para iniciar un ataque, donde el objetivo es obstruir o saturar el acceso a un servidor especifico, empleando para ello a las PC zombis que se ubicarían en distintos puntos geográficos, por lo que resultaría muy difícil rastrear el origen del ataque.

2.4. Suplantación de identidad

2.4.1. Es una técnica de "ingeniería social", lo que significa que no aprovecha una vulnerabilidad en los ordenadores sino un "fallo humano" al engañar a los usuarios de Internet con un correo electrónico que aparentemente proviene de una empresa fiable, comúnmente de una página Web bancaria o corporativa.

2.5. Ataque por intermediario

2.5.1. Un atacante realiza un ataque man-in-the-middle (intermediario) al interceptar las comunicaciones entre las PC para robar la información que transita por la red. También se puede utilizar este tipo de ataque para manipular mensajes y transmitir información falsa entre hosts, puesto que los hosts no saben que se modificaron los mensajes.

2.6. Reproducción

2.6.1. Para realizar un ataque de reproducción, el atacante intercepta y registra las transmisiones de datos, luego, esas transmisiones se reproducen en la PC de destino y la PC de destino trata a esas transmisiones reproducidas como si fueran auténticas y las enviara a la fuente original, de esta forma, el atacante logra ingresar sin autorización a un sistema o una red.

2.7. Envenenamiento de DNS

2.7.1. En este tipo de ataque los registros DNS del sistema se cambian para que señalen a servidores impostores, donde el usuario intenta acceder a un sitio legítimo, pero el tráfico se desvía a un sitio impostor logrando que el sitio impostor se utilice para obtener información confidencial, como nombres de usuario y contraseñas, para que luego el atacante recupere los datos desde esa ubicación

3. ¿Cómo defendernos?

3.1. La defensa consiste básicamente en el filtrado de las direcciones IP atacantes. Sin embargo, para esto se requiere estar en constante monitoreo de los servidores y de las conexiones independientes.

3.2. Limitar el número de nuevas conexiones concurrentes por IP.

3.3. Utilizar procesos, herramientas y técnicas como: footprinting, fingerprinting, escaneo de puertos y vulnerabilidades, escaneo basado en protocolos ICMP, IDS, encriptación: SSL, PGP, S/MIME.

3.4. Revisar la configuración de Routers y Firewalls para detener IPs inválidas.

3.5. Filtrar protocolos que no sean necesarios.

3.6. Habilitar la opción de logging (logs) para llevar un control adecuado de las conexiones que existen con dichos routers.

4. ¿Cómo prevenirlos?

4.1. 1. Restringir el tráfico de broadcast desde fuera de la red hacia dentro, evitando así ser usados como multiplicadores de tráfico.

4.2. 2. Limitar la tasa de tráfico proveniente de un único host.

4.3. 3. Limitar el número de conexiones concurrentes al servidor.

4.4. 4. Restringir el uso del ancho de banda por aquellos hosts que cometan violaciones.

4.5. 5. Realizar un monitoreo de las conexiones TCP/UDP que se llevan a cabo en el servidor ya que permite identificar patrones de ataque.

4.6. 6. Aumento del Backlog Queue.

4.7. 7. Filtro del Firewall.

4.8. 8. Proteger nuestra infraestructura de servidores como de dispositivos que componen nuestra red, tales como routers o switches

4.9. 9. Desactivar todos los puertos que no sean necesario.

4.10. 10. Disponer del sistema CAPTCHA en los formularios de nuestra web (En caso de implementar servidores en nuestro equipo).

4.11. 11. Comprobar cada cierto tiempo el estado del software e instalar lo antes posible las actualizaciones de seguridad.