Este es el segundo de una serie, aun por determinar, de pequeños post (el primero de los cuales fue TCP/IP 4 Niveles 4 Ataques),  que tienen como intención aclarar e informar sobre ciertos aspectos referentes a la seguridad informática.

Es evidente que no pretendemos entrar en profundidad en ninguno de los temas tratados en este y en los siguientes mini artículos, sino mostrar una breve idea de las vulnerabilidades a las cuales están expuestas nuestras maquinas.

En cualquier caso, si alguien nos escribe solicitando más información o alguna demostración práctica de alguno de los temas tratados, no dudaremos en publicar un articulo con la información mas detallada.

Smurf Attack

Smurf attack, es un tipo de ataque creado con el único propósito de saturar un equipo o red mediante una denegación de servicio producido a través de fuerza bruta. Básicamente el funcionamiento de un Smurf es el siguiente:

  1. Un equipo atacante, en muchos casos también víctima, envía una ping (paquete ICMP tipo echo request) a uno o más direcciones de difusión (Broadcast).
  2. Este paquete ping cuenta con una IP de origen falsificada, que no corresponde al equipo emisor del ping sino al equipo que se quiere atacar.
  3. Todos los equipos dentro del ámbito de la dirección de difusión (Broadcast) responden enviado una respuesta (Echo reply) contra el IP de destino (IP del equipo que se quiere atacar) falsificada previamente.
    De esta manera, cuando el equipo del atacante envía una solicitud a varios servidores de difusión ubicados en diferentes redes, todas las respuestas de estos equipos se redirigirán al equipo de destino (equipo que se quiere atacar). El equipo de destino no puede soportar el volumen de respuestas ping y cae produciendo una denegación de servicio.

smurf.png

Ping of death

El ataque ping of death era un ataque dirigido a la vulnerabilidad del protocolo ICMP asociado a la denegación de servicio.
Este ataque consistía en enviar un ping manipulado, con un tamaño de65.535 bytes, dado que muchos sistemas operativos no podían soportar pings mayores del tamaño común definido para los paquetes IP (64 bytes). Esto producía que los equipos receptores de este ping quedaran colapsados.
Aunque según el protocolo de una red no se puede enviar un ping con un tamaño de 65.536
bytes, si que se puede enviar este paquete de modo fragmentado, por tanto una vez el ordenador une los fragmentos para montar el paquete emitido, el buffer de éste quedaba saturado produciendo un bloqueo del sistema.

¿Qué es la fragmetación?

La fragmentación es un proceso que se lleva a cabo normalmente en los routers, y que nos permite dividir datagramas en unidades más pequeñas.
Esta técnica es utilizada para dividir los datagramas IP en fragmentos de menor tamaño. Esto es necesario ya que cuando los datagramas IP viajan de un lugar a otro, estos pueden atravesar diferentes tipos de redes y por lo tanto diferentes MTU (Unidad máxima de transferencia).
Pasos de la fragmentación:

1. A cada fragmento del datagrama original se le asigna una cabecera de fragmento (Fragment header) que contiene entre otras cosas el Offset que indica la porción de datos enviado en este paquete en relación con el paquete original.
2. El fragmento offset (13 bit en el IP header) está indicado en bloques de 64 bits.
3. Todos los fragmentos, menos el último, tienen el “more fragments flag” con valor “1”, que indica que siguen más fragmentos, por el contrario, si el valor es “0” no siguen más fragmentos.
4. El campo de longitud en el IP header contiene la longitud del fragmento, y se calcula la suma de verificación para cada fragmento de manera independiente, mientras que el resto del header corresponde al header original, Datagram header (cabecera de datagrama).
5. El receptor es el responsable de ensamblar todos los fragmentos en el orden correcto para obtener el datagrama original.

LAN Attack

El ataque LAND Attack, consiste en crear un “bucle infinito”, provocado por el envío de una solicitud SYN con la misma dirección IP de origen y destino. Esto puede provocar que un equipo empiece a generar respuestas ACK tratando de responderse a sí mismo.

El funcionamiento básicamente es el siguiente:

  1. TCP (Protocolo de control de transmisión) controla el envío y recepción de los paquetes de información en que se dividen los datos transmitidos. En el encabezamiento de estos paquetes, hay dos indicadores o flags, que especifican el estado de la comunicación.
  2. El flag SYN se utiliza para establecer una conexión. Una solicitud de conexión (a una dirección IP específica), tiene valores determinados (SYN = 1 y ACK = 0). La máquina que recibe la solicitud envía un paquete con los valores de los flags SYN = 1 y ACK = 1, (lo que se denomina ACK, justificante de recepción).
  3. La dirección origen (el equipo que envía la solicitud), debe ser diferente a la dirección de la máquina que recepciona.
  4. Si se modifica el paquete SYN utilizando la misma dirección para el origen y destino, la máquina se responde a sí misma. De tal forma que si reproducimos este paquete de manera reiterativa (bucle infinito) el equipo se autobloquea y no acepta nuevas solicitudes, al tiempo que agota todos los recursos del procesador produciendo finalmente una denegación de servicio.

 

Fuentes

Anuncios