Documente Academic
Documente Profesional
Documente Cultură
4,5 EUROS
00026
8 414090 202756
P
A
S
O
a
a
a
a
a
a
a
P A S Oa
a
a
a
a
a
a
a
a
a
a
EDITORIAL:
C.I.F:
EDITOTRANS S.L.
B43675701
Director de la Publicacin
J. Sents
E-mail contacto
director@hackxcrack.com
Director Editorial
I. SENTIS
E-mail contacto
director@editotrans.com
Ttulo de la publicacin
Los Cuadernos de HACK X CRACK.
Nombre Comercial de la publicacn
PC PASO A PASO
Web: www.hackxcrack.com
Direccin: PERE MARTELL N 20, 2 - 1.
43001 TARRAGONA (ESPAA)
Diseo grfico:
J. M. Velasco
E-mail contacto:
grafico@hackxcrack.com
Redactores
AZIMUT, ROTEADO, FASTIC, MORDEA, FAUSTO,
ENTROPIC, MEIDOR, HASHIMUIRA, BACKBONE,
ZORTEMIUS, AK22, DORKAN, KMORK, MAILA,
TITINA, SIMPSIM... ... ... ... ...
Contacto redactores
redactores@hackxcrack.com
Colaboradores
Mas de 130 personas: de Espaa, de Brasil, de
Argentina, de Francia, de Alemania, de Japn y
algn Estadounidense.
E-mail contacto
colaboradores@hackxcrack.com
4
15
43
44
67
Imprime
I.G. PRINTONE S.A. Tel 91 808 50 15
DISTRIBUCIN:
HORARIO DE ATENCIN:
DE 9:30 A 13:30
(LUNES A VIERNES)
La red Ethernet
La red Ethernet fue desarrollada por la compaa Xerox
pionera en las redes LAN (redes de rea local) que se
puede implementar bsicamente utilizando cable coaxial,
fibra ptica o par trenzado. Existen diversas topologas
disponibles, por ejemplo, cuando se utiliza la fibra ptica
la topologa ser de estrella y cuando usemos cable coaxial
la topologa ser de bus.
La idea fundamental: una red Ethernet nos permite de
alguna manera poder compartir una conexin y poder
conectar varias computadoras entre si.
Protocolo ARP
Al enviar un paquete de informacin la cabecera de dicho
paquete contiene la direccin de la mquina destino. De
hecho, para que dos hosts en una red local se puedan
comunicar es necesario realizar una asociacin entre las
direcciones de red (direcciones IP) y las direcciones
fsicas (direcciones MAC). Sern las direcciones fsicas
(MAC) de las tarjetas de red las que identifican
unvocamente a un host (PC) en una red de rea local.
Para asociar direcciones de red (IPs) con direcciones fsicas
(MACs) existe un protocolo llamado "Address Resolution
Protocol" o Protocolo de Resolucin de Direcciones (desde
ahora ARP) y que dentro del modelo OSI se sita en el
nivel de enlace o acceso a la red.
Modelo OSI...
C:\>ipconfig /all
Puede "falsearse"...
Pgina 5
Ve r s a l g o
como esto (a
m me salen
muchas, pero
t quizs solo
tengas una o
dos )
Esas son todas
las tarjetas de
red que tengo
instaladas en
el PC desde el
que escribo
este artculo.
Pulsa sobre
cualquiera de
ellas con el
botn derecho
del Mouse y en
el
men
contextual que
aparecer
selecciona
propiedades
Pgina 6
PC PASO A PASO N 26
PC PASO A PASO N 26
Pgina 7
DNS Test
Latency Test
Pgina 8
ARP Test
Antes, cuando te he explicado el ARP, es posible que te hayas
dado cuenta de que si una mquina que NO esta en modo
promiscuo recibe una peticin ARP que no es para ella, nunca la
ver pero qu pasa si la interfaz trabaja en modo promiscuo?
En ese caso s que procesara la peticin ya que la interfaz recibira
la solicitud y al considerarla como legtima har que la mquina
responda.
PC PASO A PASO N 26
Prodetect
Una sencilla aplicacin para Window$ que te ser muy til es
Prodetect y la tienes disponible de forma gratuita aqu:
http://sourceforge.net/projects/prodetect/
Tras descargarlo y ejecutarlo se os mostrar el InstallShield
tpico para la instalacin en la que os podis limitar a pulsar en
Siguiente cuando os aparezca.
Ettercap
Empezamos con una potente aplicacin que tenis disponible en
varias plataformas incluyendo Window$ XP/2K/23K, FreeBSD,
OpenBSD, NetBSD, Linux 2.4.x / 2.6.x y Solaris genial no?
Promiscan
Se trata de una sencilla aplicacin que funciona bajo Window$
que podis obtener tambin de forma gratuita desde la url de
inters http://www.securityfriday.com. Requiere WinPcap instalado
en el sistema para poder funcionar, lo tienes disponible en
http://winpcap.polito.it
3.- Ethereal
Ethereal es un potentsimo analizador de protocolos que tenemos
a nuestro alcance de forma gratuita tanto para entornos Linux
como Window$. Lo tienes disponible para bajar plenamente
funcional
desde
la
siguiente
URL:
http://www.ethereal.com/download.html
PC PASO A PASO N 26
Pgina 9
Pgina 10
PC PASO A PASO N 26
PC PASO A PASO N 26
Pgina 11
De entre todos los campos que hay y que son muchos, hay algunos
que nos interesan de forma especial como TCP, IP, ICMP, TELNET,
SSH, MySQL, HTTP, ARP y otros tantos tu mismo puedes ver que
hay para todas las necesidades
Respecto a los operadores tenemos los tpicos: mayor, menor,
menor o igual, mayor o igual, diferente, igual y adems is present
(est presente), contains (contiene) y matches (igual a...
o encaja con... ) con lo que podemos construir nuestras
expresiones con total libertad.
El ejemplo que se muestra en la captura es algo como ip.dst !=
127.0.0.1 que significa muestra todo lo que NO nos tenga como
destino. No es complicado ir ahora aadiendo ms reglas verdad?..
podemos complicarlo tanto como queramos.
Aunque la sintaxis es
muy intuitiva es buena
idea usar el asistente
que trae Ethereal, lo
puedes activar desde
la opcin Expression,
su icono en la barra,
o bien, desde el men
Analyze > Display
filters -> Expression
te aparecer una
ventana como la que
se te muestra en la
imagen.
Pgina 12
PC PASO A PASO N 26
4.2.-
Revisando
el
correo
Pgina 14
PC PASO A PASO N 26
PC PASO A PASO N 26
Pgina 17
cuando
se
dirija
educacional
dirigiendo
Para abrir...
Pantalla 1. Procesos
en el Administrador de
Tareas.
Pgina 19
COMO UTILIZAN
CLIENTES
DNS
LOS
PC PASO A PASO N 26
PC PASO A PASO N 26
VERDADES Y MENTIRAS,
MICROSOFT Y NETBIOS
Como dije antes (y no son palabras mas sino
de Microsoft) a partir de la versin Windows
2000, Microsoft implementa el servicio de
cliente DNS para prescindir de sus antiguos
protocolos y servicios como son NetBios y
Wins.
Por si no lo sabes: tanto NetBIOS como
Wins son una forma de comunicar equipos
Windows entre ellos o con el mundo exterior
y aunque el responsable en el desarrollo de
NetBIOS no fue Microsoft, es la arquitectura
por la que ha optado durante muchos aos.
Ahora Microsoft dice que su Sistema Operativo
ya no requiere de NeTBIOS, es ms, hasta
incluye opciones para deshabilitar NetBIOS.
Pgina 21
Pantalla 2. Cmo
deshabilitar NetBios
sobre TCP/IP
Pantalla 4. Detener el
Servicio NetBIOS
Pantalla 3. Valores
del Registro de
Windows con
NetBIOS
desactivado....
WINDOWS NO ARRANCAR!!!! As
que no lo hagis, no toquis esos valores
del registro que os cargis vuestro bonito
Windows.
Pantalla 5. Detener el
servicio NetBIOS en
un Servidor DNS.
Pantalla 6.
Deteniendo el Servicio
NetBIOS en una
mquina
Pgina 23
Pantalla 7.
Deteniendo el servicio
NeTBIOS por
segunda ocasin...
Pantalla 8. Iniciar el
Servicio NetBIOS
"detenido"
previamente
Pgina 24
FELIZ VUELO!!!
Pantalla 9. Acceder a
una red sin NetBIOS
pero con TCP/IP
activado....
PC PASO A PASO N 26
Pgina 25
EL ARCHIVO hosts
El archivo hosts lo puedes encontrar en:
%systemroot%\system32\drivers\etc
Es un archivo que contiene una asignacin
manual (administrativa por parte del usuario)
que relaciona nombres de dominio con sus
IPs de tal forma que despus de comprobar
que el nombre de dominio a buscar no existe
en cach, se examina el contenido del archivo
hosts antes de realizar la peticin a un servidor
DNS.
Tambin puedes modificar o comprobar la
ubicacin de este archivo si accedemos al
registro y buscamos la clave:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters
Para acceder...
Pgina 26
PC PASO A PASO N 26
hosts
la
verdadera
IP
de
PC PASO A PASO N 26
Pgina 27
PC PASO A PASO N 26
CONSIDERACIONES DE LA CACH
DNS DEL LADO DE UN CLIENTE
WINDOWS.
La cach DNS de los clientes Windows est
HABILITADA por defecto y el valor
predeterminado de la misma es de 86.400
Ese nmero son los segundos que una
entrada positiva permanece en cach...
86.400 segundos es UN DA!!!
24 horas x 60 minutos x 60segundos =
86.400segundos.
Esto es importante... un valor inferior a
86.400 DESHABILITA LA CACH!!!!
No obstante, cuando la consulta es resuelta
por un servidor DNS, ste tambin indica el
tiempo de vida (TTL) de esa resolucin en
cach, o sea, que si un cliente pide que le
resuelvan un nombre de dominio y el
servidor DNS le coloca un tiempo de vida
mayor, se queda con ese valor... y si le
enva uno menor, se queda con 86.400.
PC PASO A PASO N 26
Pgina 29
Tipo de registro: 1
Tiempo de vida: 50
Longitud de datos: 4
Seccin: Answer
Un registro Host: 66.102.11.99
El FQDN est claro. Igual ocurre con el
tiempo de vida que son 50 segundos pero
como el valor predeterminado de existencia
en cach es de 86.400, sern estos y no los
50 segundos lo que sobreviva la entrada,
recuerda que se queda con el valor ms
grande.
Pgina 30
PC PASO A PASO N 26
Pantalla 16.
Resultado de la orden
ipconfig/flushdns
Pantalla 17.
Resultado de la orden
ipconfig/displaydns
PC PASO A PASO N 26
Figura 2. Escenario
de pruebas para el
ataque
VMWARE:
http://www.hackxcrack.com/phpBB2/viewtopic.php?t=14307
Pgina 32
ingenioso,
verdad?
PREPARANDO
NECESITAMOS
LO
QUE
PC PASO A PASO N 26
te
aparecer una
pantalla con una
nica entrada (si
es la primera vez
que lo usas), si
no
es
as
te
aparecern las
que
ya
se
Y pulsamos en OK
La
siguiente
pantalla
(nmero
21)
h u b i e s e n
definido... el caso
FQDN
es que
PC PASO A PASO N 26
Pgina 35
Pantalla 25.
Configuracin
completa de la zona
inversa
Pantalla 23.
Configuracin de la
zona inversa
Pgina 36
PC PASO A PASO N 26
dirija a www.redhat.es
La zona de reenvo es la que traducir
los nombres por IPs, mientras que la zona
Inversa en la que traduce IPs en
nombres, por eso elegimos la primera, la
zona esclava se usa cuando disponemos
de varios servidores BIND y queremos
disponer de un respaldo o para actualizaciones,
ya te digo que hay mucho que hablar de los
servidores DNS... pulsamos en OK.
Aparecer otro cuadro de dilogo, algunas
de las casillas ya las cumplimenta lo nico
que tendremos que poner aqu de momento
es el servidor de nombre primario SOA
igual que antes, pero con los datos
manipulados...
Observa que puse ns1.microsoft.com.
(Termina en un punto) ese ser el FQDN del
Servidor de Nombres.
Pantalla 29 TTL de la
zona
Pgina 37
Pantalla 32.
Resultados de las
entradas ns1 y www
Pantalla 33.
Configuracin para
microsoft.com
PC PASO A PASO N 26
Pantalla 35.
Configuracin
finalizada de
microsoft.com
ENHORABUENA!!!
PC PASO A PASO N 26
Pgina 40
PC PASO A PASO N 26
JUNTNDOLO TODO
Pantalla 41.
qu no
Pantalla 42.
Reiniciamos y
comprobamos el
funcionamiento del
servidor DNS
Pgina 41
Pgina 42
SUSCRIBETE
A
PC PASO A PASO
SUSCRIPCIN POR:
1 AO
11 NUMEROS
Contra
R e e m b o l s o G i r o P o s ta l
ina
L A C A PA I P 3 PA R T E :
F R AG M E N TAC I o N D E DATAG R A M A S
Este mes hay MUCHA miga:
- Nos meteremos de lleno en los algoritmos de fragmentacin y reensambado de paquetes
- Trataremos los problemas de seguridad derivados de la fragmentacin de datagramas
- DoS / Exploits Jolt, Jolt2 y TEARDROP / Floog Y Nuke
- Saltaremos Firewalls e IDSs
INTRODUCCIN
Cada vez me voy sintiendo ms a gusto
escribiendo para esta revista, ya que hemos
avanzado juntos ya muchsimos pasos durante
todos estos meses de curso TCP/IP y tambin,
por supuesto, con la serie RAW.
Esto hace que cada vez pueda hablar con ms
soltura, sin pensar en todo momento si los
lectores conocern tal cosa a la que hago
referencia. Mis referencias son cada vez ms
a artculos ya escritos, ms que a cosas
totalmente desconocidas para vosotros. Esto
me da muchsima ms libertad para centrarme
en temas ms especficos, y este artculo es
buena prueba de ello.
Difcilmente habra podido escribir este artculo
sin asumir que parts ya de una base bastante
slida.
Quiz os parezca que abuso un poco de
vosotros, ya que para poder seguir este artculo
enterndose de todo no slo es imprescindible
haber seguido mi curso de TCP/IP, si no
que tambin asumo que habis seguido el
resto de la revista.
Para seguir este artculo es necesario que
hayis seguido el imprescindible curso de
Linux de la revista (ya que centro en Linux
mis ejemplos), as como el magnfico curso
de diseo de firewalls (basado en iptables),
y otros artculos, como los que hablaban del
uso de exploits.
Pgina 44
2. Algoritmos de fragmentacin
y reensamblado
En el RFC 791 se explica en detalle un
algoritmo para la fragmentacin de
datagramas, y otro para su reensamblado. Si
habis ojeado el RFC, estoy seguro de que la
mayora de vosotros habris pasado ese punto
al encontrar un montn de letras raras que
n o o s i n t e r e s a b a n l o m s m n i m o.
Pgina 46
Paso 5
--> Si viene algn coche por la derecha,
entonces pasamos al Paso 7.
--> Si no viene ningn coche por la derecha,
entonces continuamos por el Paso 6.
Paso 6: Podemos cruzar la calle. FIN.
Paso 7: Miramos a la derecha. La diferencia
de este paso con el 4, es que como aqu
permaneceremos un tiempo mirando a la
derecha, durante este tiempo podra volver a
haber coches en el lado izquierdo, por lo que
antes de cruzar tendremos que volver a
comprobar este lado, tal y como veremos
ahora mismo.
Paso 8:
--> Si no viene ningn coche por la derecha,
entonces volvemos al Paso 2.
--> Si viene algn coche por la derecha,
entonces volvemos al Paso 7.
No creo que haya ninguna duda sobre el
funcionamiento de este algoritmo, ya que
todos lo utilizamos casi inconscientemente.
Un programador se tiene que encontrar
constantemente con este problema de
racionalizar y detallar en un algoritmo muchas
cosas que hacemos de forma inconsciente sin
reparar en la complejidad de lo que estamos
haciendo.
Por supuesto, este algoritmo para cruzar una
calle es muy simple, y el que utilizamos
nosotros realmente es mucho ms complejo.
Nuestro cerebro tiene en cuenta mil factores
ms: que la calle sea de doble o nico sentido,
que haya semforos, que los coches estn
atascados, etc, etc.
Ahora que ya comprendemos el mecanismo
bsico de un algoritmo, podemos enfrentarnos
al algoritmo de fragmentacin planteado
en el RFC.
Para ello, en primer lugar tenemos que dar
nombres a una serie de variables que se van
a utilizar en el algoritmo.
TL Longitud total del datagrama (antes de
ser fragmentado). [Total Length]
PC PASO A PASO N 26
en los RFCs.
OIHL
Variable de uso auxiliar, que nos
permite recordar el tamao de la cabecera
IP que tena el datagrama antes de ser
fragmentado. [Old Internet Header Length]
Paso 0
OTL
Variable de uso auxiliar, que nos
permite recordar el tamao total del
datagrama antes de ser fragmentado. [Old
Total Length]
FO
Campo de la cabecera IP Fragment
Offset, que nos permite saber qu posicin
ocupa un fragmento dentro del datagrama
original. [Fragment Offset]
OFO
Variable de uso auxiliar, que nos
permite recordar el Fragment Offset del
datagrama antes de ser fragmentado. [Old
Fragment Offset]
MF Flag de la cabecera IP que indica que
este fragmento no es el ltimo, y an han de
venir ms fragmentos del mismo datagrama.
[More Fragments]
el problema. FIN.
Si el flag DF no est activo, entonces podemos
continuar por el Paso 1.
Este paso, tal y como est escrito, es como
solemos hablar nosotros informalmente. Pero
esta no es una buena forma de detallar un
algoritmo, ya que se presta a muchas
ambigedades.
Una forma mucho ms correcta es utilizar
ciertas estructuras bien conocidas para detallar
OMF
Variable de uso auxiliar, que nos
permite recordar el flag MF del datagrama
antes de ser fragmentado. [Old More
Fragments]
PC PASO A PASO N 26
Pgina 47
Pgina 48
Paso 2
Damos valor a las variables auxiliares, ya que
necesitamos seguir conociendo los datos del
datagrama original, pero tenemos que
modificar las variables TL, IHL, FO, y MF para
nuestro nuevo fragmento.
OIHL = IHL.
OTL = TL.
OFO = FO
OMF = MF
Paso 3
NFB = (MTU IHL x 4) / 8.
Calculamos el tamao de los datos del
fragmento. El tamao mximo para todo el
datagrama est determinado por la MTU.
Como, adems de los datos, hay que incluir
la cabecera, el tamao de los datos estar en
funcin de la MTU y del tamao de la cabecera
(IHL).
Paso 4Aadir al fragmento NFB x 8 bytes de datos.
Ahora ya no slo tenemos la cabecera del
fragmento, si no tambin los datos, que son
solo una porcin de todos los datos que haba
en el datagrama original.
Paso 5Ahora que ya est el fragmento casi construido,
slo nos queda modificar la cabecera para que
se vea claramente que es el primer fragmento.
Activamos el flag MF.
TL = (IHL x 4) + (NFB x 8).
Calculamos un checksum para este fragmento,
una vez modificada la cabecera.
Como en OTL hemos guardado la longitud
total del datagrama original, podemos
sobrescribir el valor de la variable TL sin perder
ese dato, que ms adelante nos har falta. El
nuevo TL (para este fragmento) se calcula en
funcin de la cabecera (IHL) y de los datos
(NFB).
PC PASO A PASO N 26
Paso 9
IHL) x 4).
PC PASO A PASO N 26
IHL = ((OIHL x 4) L + 3) / 4.
TL = OTL (NFB x 8) ((OIHL
FO = OFO + NFB.
MF = OMF.
es complicado.
PC PASO A PASO N 26
que
encaja
en
nuestro
puzzle
3. Problemas de seguridad de la
fragmentacin de datagramas.
Llegamos ya a la parte ms divertida.
Los ataques que aprovechan la fragmentacin
IP han estado siempre muy extendidos, y esto
ha dado lugar incluso a la aparicin de un par
de RFCs tratando exclusivamente este
problema.
El RFC que trata algunos de estos problemas
de forma ms general es el RFC 1858. El
RFC 3128 trata sobre una tcnica concreta
de explotacin, y la proteccin contra la misma,
ampliando as la informacin del RFC 1858.
Pgina 52
Pgina 53
Pgina 54
PC PASO A PASO N 26
PC PASO A PASO N 26
Pgina 55
Pgina 56
PC PASO A PASO N 26
3.1.2.Jolt y jolt2
Estos dos exploits explotan dos bugs
diferentes, pero ambos relacionados con la
fragmentacin.
Jolt es ms antiguo, y os costar encontrar
alguna mquina vulnerable hoy da, pero
Jolt2 se supone que puede tirar a varios
sistemas, incluido Windows 2000.
No hay mucho que explicar sobre estos
exploits, ya que lo que hacen simplemente
es enviar una serie de paquetes fragmentados
que muchos sistemas operativos no saben
cmo tratar y, por tanto, pueden colgar el
sistema.
Y por qu no hay mucho que contar? Pues
porque son unas tcnicas ms empricas que
lgicas. Al menos hasta donde yo he podido
documentarme, no he encontrado ninguna
explicacin convincente de por qu estos
paquetes pueden colgar un sistema. De hecho,
lo que s que he encontrado han sido
discusiones en foros de seguridad sobre qu
hace o deja de hacer cada uno, y por qu lo
hace o lo deja de hacer.
En cualquier caso, sea magia o sea ciencia,
el caso es que ambos exploits han sido de
los ms famosos en la historia de los nukes.
Como ya cont en otro artculo, existen
bsicamente dos tipos de DoS: el flood y el
nuke.
PC PASO A PASO N 26
PC PASO A PASO N 26
3.1.4. Teardrop
4. Cmo prescindir de la
fragmentacin, y que todo siga
funcionando.
Empecemos preguntndonos, realmente
debemos prescindir de la fragmentacin?
Pues ya hemos visto muchos motivos de
seguridad por los que la fragmentacin es
poco deseable. Aunque la mayora de las
tcnicas que he explicado estn prcticamente
obsoletas hoy da, est claro que la
fragmentacin da mucho juego para encontrar
nuevas formas de retorcer los protocolos
hasta conseguir que hagan lo que se supone
que no deberan hacer.
Por otra parte, el nico motivo por el que la
fragmentacin no es deseable no es slo la
seguridad. Tambin es importante el consumo
extra de recursos que supone tener que
gestionar la fragmentacin, y sobre todo el
reensamblado. Una mquina que tenga que
estar reensamblando datagramas tendr un
aumento en su consumo de CPU y de
memoria, dos recursos que en muchas
mquinas valen como el oro, y hay que
intentar optimizar al mximo.
Despus de todo lo que hemos visto, a que
os dan ganas de meter estas lneas en las
iptables?
iptables -A INPUT --fragment -j DROP
iptables -A FORWARD --fragment -j DROP
Estas lneas rechazaran cualquier paquete
fragmentado, fuese de la naturaleza que
fuese. Pero claro, ponemos eso, y lgicamente
todo dejar de funcionar.... o no?
Para escribir este artculo he tenido que
documentarme mucho sobre el tema (como
es lgico), y en ningn sitio he ledo que nadie
aconseje aplicar unas reglas tan radicales a
un firewall. De hecho, las reglas que tena yo
en mis propias iptables (cuando me curr mi
Pgina 62
En principio, ste podra ser el valor que daramos al campo MSS, indicando
que TCP puede procesar paquetes de hasta 64KB. Pero, qu utilidad
tendra esto si sabemos de antemano que otras capas inferiores no van
a poder con ese paquete? Vale, nosotros no sabemos cual es la PMTU,
es decir, no sabemos cmo de pequeos tendrn que ser los paquetes
para poder recorrer toda la ruta, pero lo que s que sabemos es cul es
NUESTRA MTU, es decir, el tamao mximo de paquete para la red
a la que nosotros estamos conectados.
Por tanto, lo ms lgico es partir ya en principio de una primera
aproximacin a la PMTU, ya que sabemos de antemano que la
PMTU nunca podr ser mayor que nuestra propia MTU (ya que
la PMTU es la menor de todas las MTUs que haya en toda la ruta,
incluida la nuestra, por supuesto).
Pongmonos en el caso de que nuestra red sea una Ethernet,
que tiene una MTU de 1500 bytes. Debemos poner entonces
1500 en el campo MSS? Pues no! No tan rpido! Hay que tener
en cuenta que 1500 bytes es el tamao mximo para un
datagrama, es decir, para un paquete IP.
Pero la opcin MSS no se refiere a paquetes IP, si no a paquetes
TCP. Un paquete TCP es un paquete IP al cual le hemos quitado
(o ms bien, an no le hemos aadido) la cabecera IP. Y el campo
MSS se refiere al tamao de los datos de un paquete TCP (es
decir, sin la cabecera TCP).
Pgina 64
PC PASO A PASO N 26
intentado acceder.
PC PASO A PASO N 26
Pgina 65
# PMTUD
iptables -A INPUT -p tcp --fragment -j DROP
iptables -A FORWARD -p tcp --fragment -j DROP
iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type destination-unreachable -j ACCEPT
Resumiendo
Esta es la solucin que propongo yo para implementar un firewall
con iptables protegido contra los ataques de fragmentacin.
Por supuesto, estoy abierto a todo tipo de mejoras, dudas, crticas, o
comentarios de cualquier tipo:
# Bloqueo de ataques con ICMP fragmentados
iptables A INPUT p icmp --fragment j LOG --log-prefix ICMP Frag:
# PMTUD
Pgina 66
PC PASO A PASO N 26