Documente Academic
Documente Profesional
Documente Cultură
EJERCICIOS A REALIZAR:
Las vulnerabilidades pretenden describir las debilidades y los métodos más comunes que se
utilizan para perpetrar ataques a la seguridad de la familia de protocolos TCP/IP
(confidencialidad, integridad y disponibilidad de la información).
- Usuarios autentificados, al menos a parte de la red, como por ejemplo empleados internos
o colaboradores externos con acceso a sistemas dentro de la red de la empresa. También
denominados insiders.
Amenazas Consecuencias
INTEGRIDAD
Datos modificados Información perdida
Caballo de Troya Maquina penetrada
Memoria cambiada Vulnerabilidad a otras amenazas
Mensajes modificados (en
transito)
CONFIDENCIALIDAD
Mensajes escuchados en la red Perdida de privacidad
Datos robados de servidores Revela contraseñas etc.
Análisis de trafico Identifica patrones de acceso
Detecta configuración de la red Facilita otros ataques
DENIAL OF SERVICE
Procesos matados Molestias
Inundación con paquetes Interferencia con trabajo
Llenado de discos
Aislamiento de maquinas (DNS)
AUTENTIFICACION
1 de 38
PARA EL GRUPO DE TELEMATICA UNAD.
1.2
El objetivo primordial suele ser obtener el sistema operativo que se ejecuta en la máquina
destino de la inspección. Esta información junto con la versión del servicio o servidor facilitará
la búsqueda de vulnerabilidades asociadas al mismo.
Las diferentes pruebas a realizar para diferenciar los sistemas operativos son:
2 de 38
PARA EL GRUPO DE TELEMATICA UNAD.
- Bogus flag probe: Se activa un flag TCP aleatorio en un paquete SYN. La respuesta
de implementaciones como Linux devuelven un SYN-ACK con el mismo flag activo.
- Monitorización del “Don´t fragment bit”: Se analiza si el sistema operativo establece por
defecto el bit de no fragmentación (DF) como activo o no.
- Tamaño de ventana TCP inicial: El tamaño de ventan empleado por defecto en cada
implementación es muy particular y ayuda a descubrir de cual puede tratarse.
- Valor de ACK: El valor del número de secuencia asignado en el campo ACK diferencia
también la implementación, ya que algunas devuelven el valor recibido como número de
secuencia mientras que otras lo incrementan en uno.
- Mensaje de error de ICMP quenching: El RFC 1812 determina que el control de flujo de
mensajes de error debe limitarse. Al enviar un paquete UDP a un número elevado de
puerto, aleatoriamente, se puede medir el número de mensajes de tipo unreachable por
unidad de tiempo.
- ICMP message quoting: Los comentarios añadidos a los mensajes de error ICMP varían
en función del sistema operativo.
- Mensajes de error ICMP-integridad: Las cabeceras IP pueden ser alteradas por las
diferentes implementaciones al devolver mensajes de error ICMP. Un análisis exhaustivo
de los cambios en las cabeceras puede permitir determinar el S.O.
- TOS (Tipo de Servicio): Ante los mensajes “ICMP port unreachable” puede examinarse
el campo TOS, que suele ser cero pero puede variar.
- Opciones TCP: Los RFCs 793 y 1323 definen las opciones TCP posibles. Mediante el
envío de paquetes con muchas opciones avanzadas activas (no operation, MSS, Window
scale factor, timestamps...) puede descubrirse el comportamiento de cada S.O.
3 de 38
PARA EL GRUPO DE TELEMATICA UNAD.
Dos de las herramientas que facilitan esta tarea son NMAP y QUESO. Mientras que la
funcionalidad de la primera es muy amplia, la segunda sólo se aplica a la aplicación de esta
técnica (identificación de sistemas a través del comportamiento de la pila TCP/IP).
TECNICAS UTILIZADAS:
Sniffing: consiste en que sin necesidad de acceso a ningún sistema de la red, un atacante
podrá obtener información sobre cuentas de usuario, claves de acceso o incluso mensajes
de correo electrónico en el que se envían estas claves.
La forma más habitual de realizar técnicas de sniffing en una red, probablemente porque
está al alcance de todo el mundo, es la que podríamos denominar sniffing software,
utilizando las aplicaciones que ya mencionadas.
4 de 38
PARA EL GRUPO DE TELEMATICA UNAD.
Para este ejercicio, lo aplique en los equipos de la empresa con el siguiente esquema.
5 de 38
PARA EL GRUPO DE TELEMATICA UNAD.
172.26.96.97
172.26.96.27/2 /24
4 Dirección IP
Linux Ubuntu Fija
810 Debian
Atacante
Lenny
PC Atacado
Linux
172.26.96.162/24
Windows Server
2003
Asigna DHCP y
controla
Dominio
Router
172.26.96.241
La denegación de servicios se da por que el sistema esta a la espera de que baje el umbral
que generalmente es 1 minuto para aceptar mas conexiones, cada conexión generada por
un SYN, tienen un temporizador de 1 minuto, cuando se excede el limite de tiempo o umbral,
se libera la memoria que mantiene el estado de la conexión y la cuenta de la cola de
servicios se disminuye en 1.
El atacante debe usar un IP falso para que no le hagan seguimiento a las conexiones.
6 de 38
PARA EL GRUPO DE TELEMATICA UNAD.
ORIGEN DESTINO
IP=1.2.3.4 → SYN IP=172.26.96.97
IP=1.2.3.4 ← SYN/ACK IP=172.26.96.97
Nunca responde con ACK El IP=172.26.96.97 guarda en la cola la
petición de conexión por 1 minuto
Se repite la secuencia de requerimiento El IP=172.26.96.97 se satura por tanto
requerimiento encolado y ocurre el DoS
Cualquier IP cliente pide servicio al servidor El IP=172.26.96.97 no puede atender
requerimientos pues esta en medio de un
ataque DoS. Solamente cuando cese el
ataque automáticamente se atienden los
requerimientos de los clientes
7 de 38
PARA EL GRUPO DE TELEMATICA UNAD.
PROCEDIMIENTO:
PARAMETRO DESCRIPCION
172.26.96.97 IP de la Victima
--rand-source IP ficticio o spoofed, se genera aleatorio, la idea
es que no exista en la red, al no existir este no
responde y así el atacante pasa inadvertido
--debug Muestra cada intento
-S Indica el flag “S” o SYN para solicitar un servico
--destport Indica el servicio requerido, es clave que este
servicio este habilitado en la victima
8 de 38
PARA EL GRUPO DE TELEMATICA UNAD.
Si el servidor esta blindado con un firewall que sea stateful entonces el servidor víctima será
capaz de revisar las sesiones y se dará cuenta del ataque en curso. Esto hará que el ataque
fracase.
Debe inundarse la red con muchos paquetes por segundo para que el ataque sea efectivo.
CAPTURA EN LA VÍCTIMA:
9 de 38
PARA EL GRUPO DE TELEMATICA UNAD.
“NOTESE, que no cargo completamente, ya que cuando se lanzó el ataque desde la 172.26.96.27, no
se completó el servicio.
10 de 38
PARA EL GRUPO DE TELEMATICA UNAD.
Aca se observa una apertura normal de paquetes y servicios con solicitudes al puerto 80. La
solicitud la hace la máquina víctima 172.26.96.97 a un DNS amayac.iespana.es con
respuesta.
11 de 38
PARA EL GRUPO DE TELEMATICA UNAD.
En ele momento de presentar el ataque, se observa la petición por parte del atacante quién
pregunta por 172.26.96.97. Se empieza a observar la inundación de paquetes SYN con la
intención de complementar el protocolo.
Luego se observa que se llega al límite al generar cada paquete un SYN/ACK cuando se
llena el tamaño del bufer que almacena las peticiones.
12 de 38
PARA EL GRUPO DE TELEMATICA UNAD.
13 de 38
PARA EL GRUPO DE TELEMATICA UNAD.
Resumo para este ejercicio de la PEC que “Smurf” maneja tres elementos diferentes que
trabajando entre si generan el ataque, estos son:
IP (Internet Protocol), el cual es usado por los usuarios para enviar cualquier
paquete/mensaje en Internet. Por ejemplo se pueden enviar paquetes a una "dirección
broadcast".
Si por ejemplo, una persona logra ejecutar un ataque "smurf" por intermedio de una red (con
su IP broadcast habilitado) que tiene 40 computadores, un solo mensaje ping creará 40 de
respuesta . Que los recibirá la víctima.
14 de 38
PARA EL GRUPO DE TELEMATICA UNAD.
Deben existir varias maquinas en la red de tal forma que todas respondan con icmp-reply a
la víctima hasta inundarla. Debe inundarse la red con muchos paquetes por segundo
para que el ataque sea efectivo.
Para ello, arme una red local con cuatro (4 equipos).
Cumpliendo algunas fases previas como las que se recomiendan para empezar ha
realizar un ataque. Como la de capturar información.
10.1.1.5/24
Knoppix STD
10.1.1.4/2 0.1
4
Windows
XP
Router ADSL 524B
Dlink
10.1.1.1 Gateway
Asugna direcciones
por
DHCP a la LAN Intern
et
10.1.1.3/2
4
Windows
XP
10.1.1.2/24
Ubuntu 8.10
Equipo
Victima
15 de 38
PARA EL GRUPO DE TELEMATICA UNAD.
También verifique los sistemas operativos que tenían los hosts de la red
16 de 38
PARA EL GRUPO DE TELEMATICA UNAD.
ATAQUE
root@carlosubuntu:/home/carlos# ifconfig
eth0 Link encap:Ethernet HWaddr 00:a0:d1:9b:b4:56
inet addr:10.1.1.2 Bcast:10.1.1.255 Mask:255.255.255.0
inet6 addr: fe80::2a0:d1ff:fe9b:b456/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:85146 errors:0 dropped:4 overruns:0 frame:0
TX packets:84610 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:94913189 (94.9 MB) TX bytes:8073180 (8.0 MB)
Interrupt:16
Usando la herramienta ‘hping2’ que lance desde el equipo con Knoppix STD 0.1, el cual
instalé con el DVD que sumnistro la UOC. Instalado localmente en un disco duro destinado
para ello, es decir no en modo live cd.
17 de 38
PARA EL GRUPO DE TELEMATICA UNAD.
PARAMETRO DESCRIPCION
10.1.1.255 Red que se usara como medio para atacar a la maquina,
es el campo destino del paquete IP, el objetivo es
hacerle echo-request a cada una de las maquinas de la
red.
-spoof 10.1.1.2 Ip de la maquina a atacar, campo de la IP fuente del
paquete IP, a esta IP las maquinas de la red le
enviaran un icmp-reply hasta saturarla y colapsarla.
--icmp Indica el protocolo que se usara, en este caso es
icmp
-C o --icmp-request Indica el tipo de paquete ICMP, para este caso
icmp- request que es el defecto
-y Indica que no fragmente los paquetes
-V Muestra información adicional de lo que está ocurriendo
-d 56 Tamaño de los datos a enviar. 56 es el estandar del
tamaño ping
18 de 38
PARA EL GRUPO DE TELEMATICA UNAD.
PARA AUMENTAR
19 de 38
PARA EL GRUPO DE TELEMATICA UNAD.
Desde el punto de vista del atacante, (en este caso la 10.1.1.5 l equipo con Kanoppix STD
0.1) smurf genera un tráfico de red así:
Acá se puede observar que se realizan varios icmp echo request a diferentes direcciones
broadcast que en este caso particular se encuentran en mi red local (una sola), dichos
paquetes llevan como dirección origen 10.1.1.2 que en este caso es la máquina víctima.
Las capturas del wireshark son en el equipo victima. Se configuto eth0 en modo promiscuo,
20 de 38
PARA EL GRUPO DE TELEMATICA UNAD.
Con un frame de 98 Bytes se observa como las peticiones fluyen del broadcast inundando la victima
con dirección IP 10.1.1.2
21 de 38
PARA EL GRUPO DE TELEMATICA UNAD.
22 de 38
PARA EL GRUPO DE TELEMATICA UNAD.
Por otro lado, existe un servicio proporcionado en muchos sistemas operativos tipo UNIX y
Windows denominado CHARGEN (CHARacter GENerator, generador de caracteres) que
dada una petición responde con
una secuencia aleatoria de caracteres.
Este ataque puede realizarse entre varios computadores (consumiendo ancho de banda y
degradando el
rendimiento de la red) o desde un mismo computador (él mismo se envía una petición y el
mismo se (él responde) consiguiendo consumir los recursos existentes (especialmente CPU
y memoria) de la máquina
atacada.
En versiones antiguas de linux para habilitar los servicios echo y chargen se debe editar el
archivo /etc/inetd.conf y quitar el signo comentarios “#” de las lineas echo y chargen, luego
se debe reiniciar el servicio “inetd” con el comando /etc/init.d/inetd stop y /etc/init.d/inetd
start, y se verifica con status.
Los Linux mas modernos en cambio del archivo de configuración /etc/inetd.conf usan
archivos con el nombre del servicio y están en el directorio /etc/xinetd.d/, en este directorio
existen archivos que representan los servicios de red, en estos archivos existe una variable
llamada “disable” que debe ser igual a la palabra “no” para habilitar el servicio, luego se
debe reiniciar el servicio “xinetd” con el comando /etc/init.d/xinetd stop y /etc/init.d/xinetd
start.
PARA EL CASO DEL EJERCICIO PARA LA PEC:
Instale los tres equipos, todos con tres versiones distintas de linux. Entre ellas la versión del
knoppix STD que me suministro la UOC para realizar los ataques: Todas las tres máquinas
conectadas al router ADSL 524B que me suministra mi ISP. Este router tiene como
gateway1 10.0.0.1 y asigna direcciones Ip automáticos. Excepto la del Debian Lenny que le
asigne manual 10.0.0.60 por que ahí tengo implementado un ervidor proxy squid stable 2.7
23 de 38
PARA EL GRUPO DE TELEMATICA UNAD.
10.1.1.60/24
ECHO 10.1.1.60 IP
10.1.1.2/24 Dirección IP
Origen es Falsa
Linux Ubuntu Fija
10.1.1.60
810 Debian
Lenny
Atacante Linux
PC Atacado
Router ADSL
10.0.1.1
ASIGNA DHCP
El servicio echo estaría en la maquina 10.1.1.3 es decir en la maquina con Knoppix STD 0.1
en el archivo /etc/xinetd.d/echo-udp :
En Knoppiz STD (el equipo que use) este servicio se encuentra en un solo archivo tanto
para TCP como para UDP. En totras versiones este archivo esta separado y hay que
editarlos por separado, es decir esta en : /etc/xinetd.d/echo-udp y /etc/xinetd.d/echo-tcp
ESTOS FUERON LOS COMANDOS EJECUTADOS EN KNOPPIX STD 0.1(la máquina que va
hacer funciones de lanzadora).
root@kstd:~# ifconfig
eth0 Link encap:Ethernet HWaddr 00:50:04:82:0C:B0
inet addr:10.1.1.3 Bcast:10.1.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:9 errors:0 dropped:0 overruns:0 frame:0
TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:1769 (1.7 KiB) TX bytes:1723 (1.6 KiB)
Interrupt:11 Base address:0xdc00
24 de 38
PARA EL GRUPO DE TELEMATICA UNAD.
root@kstd:~#
root@kstd:~# cd /etc/xinetd.d/
root@kstd:/etc/xinetd.d# ls
Aca me muestra los archivos configurables que contiene el xinet.d
default: off
# description: An xinetd internal service which echo's characters back to
# clients.
# This is the tcp version. (opciones para el TCP)
service echo
{
disable = yes
type = INTERNAL
id = echo-stream
socket_type = stream
protocol = tcp
user = root
wait = no
}
25 de 38
PARA EL GRUPO DE TELEMATICA UNAD.
puerto)
FLAGS = IPv6 IPv4
root@kstd:/etc#
# default: off
# description: An xinetd internal service which generate characters. The
# xinetd internal service which continuously generates characters until the
# connection is dropped. The characters look something like this:
# !"#$%&'()*+,-./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`abcdefg
# This is the tcp version.
service chargen
{
disable = yes
type = INTERNAL
id = chargen-stream
socket_type = stream
protocol = tcp
user = root
wait = no
}
26 de 38
PARA EL GRUPO DE TELEMATICA UNAD.
root@kstd:/etc/xinetd.d# cd /etc/
root@kstd:/etc# gvim services
27 de 38
PARA EL GRUPO DE TELEMATICA UNAD.
root@kstd:~# cd /etc/
root@kstd:/etc# gvi
gview gvim gvimdiff
root@kstd:/etc# gvim inetd.conf
28 de 38
PARA EL GRUPO DE TELEMATICA UNAD.
root@kstd:/etc#
root@kstd:/etc/init.d#root@kstd:/etc# cd /etc/init.d/
root@kstd:/etc/init.d# inetd stop
root@kstd:/etc/init.d# inetd stop
root@kstd:/etc/init.d# inetd start
root@kstd:/etc/init.d#
El servicio chargen estaría en la maquina 10.1.1.60 (La maquina debian que tenfgo con la
versión Lenny)
ESCENARIO DEL ATAQUE: Mi red LAN cuenta con direcciones dentro del esquema
10.1.1.0/24
Use nmap para verificar los tres equipos de la red, es decir para explorarlos: Esta
exploración la lanzo desde mi maquina Ubuntu 10.1.1.2 que es la que va a realizar el ataque
Luego use el comando nmap nuevamente para explorar los servicios UDP de las
maquinas 10.1.1.3 10.1.1.60.
con esto me escaneara los puertos UDP y los servicios relacionados de todos los
equipos de la red:
29 de 38
PARA EL GRUPO DE TELEMATICA UNAD.
30 de 38
PARA EL GRUPO DE TELEMATICA UNAD.
31 de 38
PARA EL GRUPO DE TELEMATICA UNAD.
Los parámetros con los que llamé al comando ‘hping2’ a mi máquina para enviar un paquete
UDP que genere el bucle infinito entre 10.1.1.3 y 10.1.1.60
Primero desde la maquina atacante es decir mi Ubuntu con IP 10.1.1.2 debo enviar una
petición UDP al servicio ECHO de la maquina Lanzadera es decir el Knoppix con IP
10.1.1.3 , puerto destino (7), pero con puerto UDP fuente Chargen (19) e IP fuente de la
victima, es decir el Debian con IP 10.1.1.60
PARÁMETRO DESCRIPCIÓN
10.1.1.3 IP del PC que se usara de lanzadera para atacar a la
víctima
-a 10.1.1.60 IP de la victima, campo de la IP fuente del paquete
IP, acá se hace el IP spoof
--udp Esto indica que el protocolo que se usara será UDP
--keep -a No permite que el puerto origen y destino se
incrementen en forma numérica
32 de 38
PARA EL GRUPO DE TELEMATICA UNAD.
En la máquina victima, es decir el Debian con IP 10.1.1.60 , ejecutéi un sniffer para ver el
tráfico de la eth0 en modo promiscuo.
Desde la victima:
33 de 38
PARA EL GRUPO DE TELEMATICA UNAD.
18:21:00.812105 IP 10.1.1.3 > squideb.cat: ICMP 10.1.1.3 udp port echo unreachable, length 36
18:21:01.812214 IP 10.1.1.3 > squideb.cat: ICMP 10.1.1.3 udp port echo unreachable, length 36
18:21:02.812330 IP 10.1.1.3 > squideb.cat: ICMP 10.1.1.3 udp port echo unreachable, length 36
18:21:03.812437 IP 10.1.1.3 > squideb.cat: ICMP 10.1.1.3 udp port echo unreachable, length 36
18:21:04.812550 IP 10.1.1.3 > squideb.cat: ICMP 10.1.1.3 udp port echo unreachable, length 36
18:21:05.812675 IP 10.1.1.3 > squideb.cat: ICMP 10.1.1.3 udp port echo unreachable, length 36
18:21:06.812801 IP 10.1.1.3 > squideb.cat: ICMP 10.1.1.3 udp port echo unreachable, length 36
18:21:07.812910 IP 10.1.1.3 > squideb.cat: ICMP 10.1.1.3 udp port echo unreachable, length 36
CONCLUSION:
El proceso para el ataque fué el correcto. Se observa que en efecto estan las peticiones de
la maquina intermedia 10.1.1.3 a la victima a traves del UDP puerto 7 con el servicio echo.
PERO NO FUNCIONO....................
Por que parece ser que el puerto 7 UDP con el serviio echo no esta abierto,
Lo comprobé verificando desde una maquina de la red si ese servicio estaba abierto así:
34 de 38
PARA EL GRUPO DE TELEMATICA UNAD.
Intente abrirlo de otra forma en esa maquina Knoppix STD 0.1 con IP 10.1.1.3 editando el
archivo inetd.conf ubicado en /etc/inetd.conf
Para ello descomente las lineas echo y chargen referentes al protocolo UDP
35 de 38
PARA EL GRUPO DE TELEMATICA UNAD.
Se puede concluir que se requieren de varias máquinas para hacer un ataque mas efectivo.
3.5 instruccion
hping2 localhost -s 7 -p 19 -c 1 -d 8 -a localhost
36 de 38
PARA EL GRUPO DE TELEMATICA UNAD.
en esta parte se pretende que la misma máquina se ataque con inundación de paquetes al
servicio loopback 127.0.0.1
Que lo pueden consultar en este link,, o liga como dicen los Españoles..
http://www.scribd.com/doc/21197404
37 de 38
PARA EL GRUPO DE TELEMATICA UNAD.
38 de 38