1. 1.5 Los Ataques de denegacion de servicio
1.1. Los Ataques contra redes TCP/IP
1.1.1. Primera generación: ataques fısicos.consiste en ataques que se centran en componentes electronicos, como podrıan ser los propios ordenadores, los cables o los dispositivos de la red. Actualmente se conocen soluciones para estos ataques, utilizando protocolosdistribuidos y de redundancia para conseguir una tolerancia a fallos aceptable.
1.1.1.1. Goal 1
1.1.1.2. Goal 2
1.1.2. Segunda generacion: ataques sintacticos. consiste en ataques contra la logica operativa de los ordenadores y las redes, que quieren explotar vulnerabilidades existentes en el software, algoritmos de cifrado y en protocolos. Aunque no existen soluciones globalespara contrarrestar de forma eficiente estos ataques, podemos encontrar soluciones cada vez más eficaces
1.1.2.1. Session Rule 1
1.1.2.2. Session Rule 2
1.1.2.3. Session Rule 2
1.2. Definimos denegacion de servicio como la imposibilidad de acceder a un recurso o servicio por parte de un usuario legıtimo.
1.3. 1.5.1 IP Flooding
1.3.1. Aleatorio.
1.3.2. Definido o dirigido.
1.3.2.1. UDP
1.3.2.2. ICMP
1.3.2.3. TCP.
1.4. 1.5.2 Smurf
1.5. 1.5.3 TCP/SYN Flooding
1.5.1. El ataque de TCP/SYN Flooding consiste en aprovecha del numero de conexiones que estan esperando para establecer un servicio en particular para conseguir la denegacion del servicio.
1.6. 1.5.4 Teardrop
1.6.1. El ataque Teardrop intentara realizar una utilizaci´on fraudulenta de la fragmentaci on IP para poder confundir al sistema operativo en la reconstruccion del datagrama original y colapsar as´ı el sistema.
1.7. 1.5.5Snork
1.7.1. El ataque Snork se basa en una utilizacion malintencionada de dos servicios t´ıpicos en sistemas Unix: el servicio CHARGEN (CHARacter GENerator, generador de caracteres) y el servicio ECHO.
1.7.1.1. El ataque Snork consiste en el cruce de los servicios ECHO y CHARGEN, mediante el env´ıo de una petici´on falsa al servicio CHARGEN, habiendo colocado previamente como direcci´on de origen la direcci´on IP de la m´aquina que hay que atacar (con el puerto del servicio ECHO como puerto de respuesta). De esta forma, se inicia un juego de ping-pong infinito
1.8. 1.5.6 Ping of death
1.9. 1.5.7 Los Ataques distribuidos
1.9.1. TRIN00
1.9.2. Tribe Flood Network
1.9.3. Shaft
2. 1.6 Las Deficiencias de programación
2.1. Entradas no controladas por el autor de la aplicacion, que pueden provocar acciones malintencionadas y ejecuci´on de codigo malicioso
2.2. Uso de caracteres especiales que permiten un acceso no autorizado al servidor que ofrece los servicios.
2.3. Entradas inesperadamente largas que provocan desbordamientos dentro de la pila de ejecucion y que pueden implicar una alteración en el código que hay que ejecutar.
2.4. Un exploit es un programa, comunmente escrito en C o ensamblador, que fuerza las condiciones necesarias para aprovecharse de un error de seguridad.
2.5. 1.6.1 Desbordamiento de buffer
2.5.1. Ejecuci´on local de un desbordamiento de buffer
2.6. 1.6.2 Cadenas de formato
2.6.1. Explotaci´on remota mediante una cadena de formato
3. 1.3 Las Escuchas de red
3.1. Un sniffer es un sencillo programa que intercepta toda la informacion que pase por la interfaz de red a la que este asociado. Una vez capturada, se podra almacenar para su an´alisis posterior.
3.2. 1.3.1 Desactivacion de filtro MAC
3.3. 1.3.2 Suplantacion de ARP
3.4. 1.3.3 Las Herramientas disponibles para realizar sniffing
4. 1.4 La Fragmentacion IP
4.1. 1.4.1 Fragmentacion en redes Ethernet
4.1.1. 1.4.1.1 Cada fragmento tiene que estar asociado a otro utilizando un identificador de fragmento comun. Este se clonara desde un campo de la cabecera IP, conocido como identificador IP (tambi´en llamado ID de fragmento).
4.1.1.1. Fragmento siguiente
4.1.1.2. Fragmento inicial
4.1.1.3. Ultimo fragmento
4.2. 1.4.2 Fragmentacion para emmascaramiento de datagramas IP
5. 1.2 Actividades previas a la realizacion de un ataque
5.1. 1.2.1 Utilizacion de herramientas de administracion
5.1.1. Grupos de noticias y buscadores de internet
5.1.2. Descubrimiento de usuarios
5.1.3. Cadenas identificativas
5.1.4. Informacion de dominio
5.2. 1.2.2 Busqueda de huellas identificativas
5.2.1. Identificacion de mecanismos de control TCP
5.2.2. Identificacion de respuestas ICMP
5.2.2.1. ICMP echo. Como hemos visto anteriormente, el uso de trafico ICMP de tipo echo permite la exploracion de sistemas activos. Ası, con esta exploracion se pretende identificar los equipos existentes dentro de la red que se quiere explorar, normalmente accesibles desde internet.
5.2.2.2. ICMP timestamp. Mediante la transmisi´on de un paquete ICMP de tipo timestamprequest, si un sistema est´a activo, se recibir´a un paquete de tipo timestamp-reply, indicando si es posible conocer la referencia de tiempo en el sistema de destino.
5.2.2.3. ICMP information. La finalidad de los paquetes ICMP de tipo informationrequest y su respuesta asociada, information-reply, consiste en permitir que ciertos equipos que no disponen de disco puedan extraer su propia configuracion, autoconfigurarse en el momento de inicio, obtener su direccion IP, etc.
5.3. 1.2.3 Exploracion de puertos
5.3.1. La exploracion de puertos puede permitir el reconocimiento de los servicios ofrecidos por cada uno de los equipos, servidores, paginas web, etc encontrados en la red escogida. Con esta informacion, el atacante podrıa realizar posteriormente una busqueda de exploits que le permitiera un ataque de intrusion en el sistema analizado,
5.3.1.1. Exploracion de puertos TCP
5.3.1.1.1. TCP connect scan.
5.3.1.1.2. TCP SYN scan.
5.3.1.1.3. TCP FIN scan
5.3.1.1.4. TCP Xmas Tree scan.
5.3.1.1.5. TCP Null scan.
5.3.1.2. Exploracion de puertos UDP
5.3.1.2.1. Nmap
6. 1.1 La Seguridad en redes TCP/IP
6.1. Vulnerabilidades
6.1.1. V. de la capa de Red
6.1.2. V. de la capa de Internet
6.1.3. V. de la capa de transporte
6.1.4. V, de la capa de aplicacion