1. Escuchas de red
1.1. Uno de los primeros ataques contra las dos primeras capas del modelo TCP/IP son las escuchas de red. Se trata de un ataque realmente efectivo, puesto que permite la obtención de una gran cantidad de información sensible
1.1.1. Sniffer
1.1.1.1. es más que un sencillo programa que intercepta toda la información que pase por la interfaz de red a la que esté asociado. Una vez capturada, se podría almacenar para su análisis posterior
1.2. Desactivación de filtro MAC
1.2.1. Una de las técnicas más utilizadas por la mayoría de los sniffers de redes Ethernet se basa en la posibilidad de configurar la interfaz de red para que desactive su filtro MAC
1.3. Suplantación de ARP
1.3.1. Es el encargado de traducir direcciones IP de 32 bits, a las correspondientes direcciones hardware, generalmente de 48 bits en dispositivos Ethernet
2. Fragmentación IP
2.1. El protocolo IP es el encargado de seleccionar la trayectoria que deben seguir los datagramas IP
2.1.1. Fragmentación en redes Ethernet
2.1.1.1. Cada fragmento tiene que estar asociado a otro utilizando un identificador de fragmento com´un
2.1.1.2. Información sobre su posición en el paquete inicial
2.1.1.3. Información sobre la longitud de los datos transportados al fragmento
2.1.1.4. Cada fragmento tiene que saber si existen más fragmentos a continuación
2.1.2. Fragmentación para emmascaramiento de datagramas IP
3. Ataques de denegación de servicio
3.1. Es un incidente en el cual un usuario o una organización es privada de los servicios de un recurso que esperaba obtener
3.1.1. IP Flooding
3.1.1.1. El ataque de IP Flooding se basa en una inundación masiva de la red mediante datagramas IP
3.1.1.1.1. Aleatorio
3.1.1.1.2. Definido o dirigido
3.1.1.1.3. UDP
3.1.1.1.4. ICMP
3.1.1.1.5. TCP
3.1.2. Smurf
3.1.2.1. Suplantación de las direcciones de origen y destino de una petición ICMP del tipo echo-request
3.1.3. TCP/SYN Flooding
3.1.3.1. Aprovecha del número de conexiones que están esperando para establecer un servicio en particular para conseguir la denegación del servicio
3.1.4. Teardrop
3.1.4.1. intentará realizar una utilización fraudulenta de la fragmentación IP para poder confundir al sistema operativo en la reconstrucción del datagrama original y colapsar así el sistema
3.1.5. Snork
3.1.5.1. Se basa en una utilización malintencionada de dos servicios típicos en sistemas Unix: el servicio CHARGEN (CHARacter GENerator, generador de caracteres) y el servicio ECHO
3.1.6. Ping of death
3.1.6.1. utiliza una definición de longitud máxima de datagrama IP fraudulenta
3.1.7. Ataques distribuidos
3.1.7.1. Ataque de denegación de servicio en el que existen múltiples equipos sincronizados de forma distribuida que se unen para atacar un mismo objetivo
3.2. Denegación de servicio
3.2.1. La imposibilidad de acceder a un recurso o servicio por parte de un usuario legítimo
4. Deficiencias de programación
4.1. Desbordamiento de buffer
4.1.1. Se basa en la posibilidad de escribir información más allá de los limites de una tupla almacenada en la pila de ejecución
4.2. Cadenas de formato
4.2.1. Se producen en el momento de imprimir o copiar una cadena de caracteres desde un buffer sin las comprobaciones necesarias
5. Seguridad en redes TCP/IP
5.1. Capa de red
5.1.1. Normalmente está formada por una red LAN* o WAN** (de conexión Network. punto a punto) homog´enea
5.2. Capa de internet (o capa de internetworking)
5.2.1. Da unidad a todos los miembros de la red y, por lo tanto, es la capa que permite que todos se puedan interconectar, independientemente de si se conectan mediante línea telef´onica o mediante una red local Ethernet
5.3. Capa de transporte
5.3.1. El control de flujo y de errores se lleva a cabo principalmente dentro esta capa, que sólo es implementada por equipos usuarios de internet o por terminales de internet
5.4. Capa de aplicación
5.4.1. Engloba todo lo que hay por encima de la capa de transporte. Es la capa en la que encontramos las aplicaciones que utilizan internet: clientes y servidores de web, correo electrónico, FTP, etc
5.5. Vulnerabilidades
5.5.1. Vulnerabilidades de la capa de red
5.5.2. Vulnerabilidades de la capa internet
5.5.3. Vulnerabilidades de la capa de transporte
5.5.4. Vulnerabilidades de la capa de aplicación
5.6. Actividades previas a la realización de un ataque
5.6.1. Utilización de herramientas de administración
5.6.2. Descubrimiento de usuarios
5.6.2.1. [root@atacante /]$ finger -l @ www.victima.com [www.victima.com] Login name: root (messages off) Directory: /root Shell: /bin/bash On since Mar 11 12:04:32 on pts/1 from dummy.victima.com New mail received Mon Mar 8 13:12:05 2001; No Plan
5.6.3. Información de dominio
5.6.3.1. [root@atacante /]$ host -l victima.com
5.6.4. Cadenas identificativas
5.6.4.1. [root@atacante /]$ ftp ftp.victima.com
5.7. Búsqueda de huellas identificativas
5.7.1. La utilización de estas técnicas se conoce con el nombre de fingerprinting
5.8. Identificación de mecanismos de control TCP
5.9. Identificación de respuestas ICMP
5.9.1. ICMP echo
5.9.1.1. Permite la exploración de sistemas activos
5.9.2. ICMP timestamp
5.9.2.1. Consiste en permitir que ciertos equipos que no disponen de disco puedan extraer su propia configuración, autoconfigurarse en el momento de inicio, obtener su dirección IP, etc
5.10. Exploración de puertos
5.10.1. Puede permitir el reconocimiento de los servicios ofrecidos por cada uno de los equipos encontrados en la red escogida
5.10.1.1. Exploración de puertos TCP
5.10.1.1.1. TCP connect scan
5.10.1.1.2. TCP SYN scan
5.10.1.1.3. TCP FIN scan
5.10.1.1.4. TCP Xmas Tree scan
5.10.1.1.5. TCP Null scan
5.11. Exploración de puertos UDP
5.11.1. Descubrimiento de direcciones IP activas mediante una exploración de la red
5.11.1.1. nmap -sP IP ADDRESS/NETMASK
5.11.2. Exploración de puertos TCP activos
5.11.2.1. nmap -sT IP ADDRESS/NETMASK
5.11.3. Exploración de puertos UDP activos
5.11.3.1. nmap -sU IP ADDRESS/NETMASK
5.11.4. Exploración del tipo de sistema operativo de un equipo en red
5.11.4.1. nmap -O IP ADDRESS/NETMASK