El cracker usa la máquina A, mientras que C representa la máquina de confianza. A(C) significa que el paquete se envía desde A con la dirección IP de C burlada.
Nota: Existe un programa llamado mendax que implementa estos mecanismos de IP Spoofing.
-
Denegación de Servicio (DoS)
En seguridad informática, un ataque de denegación de servicio, también llamado ataque DoS (de las siglas en inglés Denial of Service), es un ataque a un sistema de ordenadores o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos. Normalmente provoca la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima.
Se genera mediante la saturación de los puertos con flujo de información, haciendo que el servidor se sobrecargue y no pueda seguir prestando servicios, por eso se le dice "denegación", pues hace que el servidor no de abasto a la cantidad de usuarios. Esta técnica es usada por los llamados crackers para dejar fuera de servicio a servidores objetivo.
El llamado DDoS (siglas en inglés de Distributed Denial of Service, denegación de servicio distribuida) es una ampliación del ataque DoS, se efectúa con la instalación de varios agentes remotos en muchas computadoras que pueden estar localizadas en diferentes puntos. El invasor consigue coordinar esos agentes para así, de forma masiva, amplificar el volumen del flood o saturación de información, pudiendo darse casos de un ataque de cientos o millares de computadoras dirigidas a una máquina o red objetivo. Esta técnica se ha revelado como una de las más eficaces y sencillas a la hora de colapsar servidores, la tecnología distribuida ha ido sofisticándose hasta el punto de otorgar poder de causar daños serios a personas con escaso conocimiento técnico.
En ocasiones, esta herramienta ha sido utilizada como un notable método para comprobar la capacidad de tráfico que un ordenador puede soportar sin volverse inestable y perjudicar los servicios que desempeña. Un administrador de redes puede así conocer la capacidad real de cada máquina [24].
-
Saturación de Red (Net Flood)
El objetivo de éste ataque es degradar la capacidad de conexión a la red de un sistema, saturando sus enlaces de comunicaciones. Por ejemplo, si el enlace de una organización dispone de un ancho de banda de 34 Mb, y un atacante dispone de un enlace de 155 Mb, prácticamente la totalidad del tráfico cursado por la organización pertenecerá al atacante, por lo que no podrá enviarse tráfico útil.
Para disponer de altos anchos de bandas puede recurrirse a la obtención de múltiples sistemas desde los que pueden efectuarse el ataque o apoderarse de sistemas mal administrado y protegidos que posean redes de gran capacidad, como por ejemplo, los existentes en las universidades.
Las dos técnicas aplicadas en este tipo de ataques se basan en los protocolos ICMP y UDP, al tratarse de protocolos no orientados a conexión y que permiten el envío de paquetes sin requisitos previos: ICMP Flood y UDP Flood [25].
-
Falsificación de IPs (Smurf)
El protocolo ICMP es el encargado de realizar el control de flujo de los datagramas IP que circulan por Internet. Este protocolo consta de diversas funcionalidades que permiten desde la comunicación de situaciones anómalas (no se ha podido realizar la entrega del paquete IP) hasta la comprobación del estado de una máquina en Internet (ping - pong o ECHO - ECHO REPLY).
Este tipo de ataque se basa en falsear las direcciones de origen y destino de una petición ICMP de ECHO (ping).
Como dirección de origen colocamos la dirección IP de la máquina que va a ser atacada. En el campo de la dirección de destino situamos la dirección broadcast de la red local o red que utilizaremos como “lanzadera” para colapsar al sistema elegido [26].
La Figura 1.24 muestra el Ataque Smurf en una Red de Datos.
Figura 1.24 Ataque Smurf
Con esta petición fraudulenta, se consigue que todas las máquinas de la red contesten a la vez a una misma máquina, consumiendo el ancho de banda disponible y saturando al ordenador elegido.
-
Llamada de la Muerte (Ping of death)
El PING de la muerte (Ping of death) ha sido probablemente el ataque de denegación de servicio mas conocido y que más artículos de prensa ha conseguido.
Este ataque utiliza una vez más las definiciones de la longitud máxima de paquetes de los protocolos IP/UDP/TCP/ICMP así como la capacidad de fragmentación de los datagramas IP [27].
La longitud máxima de un datagrama IP es de 64K (65535 Bytes) incluyendo la cabecera del paquete (20 Bytes) y asumiendo que no hay opciones especiales especificadas.
El protocolo ICMP es el que se utiliza para la comunicación de mensajes de control de flujo en las comunicaciones (si la red está congestionada, si la dirección de destino no existe o es inalcanzable...) y tiene una cabecera de 8 bytes.
De esta forma tenemos que para enviar un mensaje ICMP tenemos disponibles 65535 - 20 - 8 = 65507 Bytes.
En el caso de enviar más de 65535 bytes el paquete se fragmenta y se reconstruye en el destino utilizando un mecanismo de posición y desplazamiento relativo.
No obstante, si enviamos ordenes al sistema operativo para que envíe un datagrama con una longitud de 65510 bytes (correcto, puesto que es inferior a 65507 bytes):
ping -l 65510 direcion_ip [Windows]
ping -s 65510 direccion_ip [Unix]
Obtenemos que el tamaño es inferior a los 65535 con lo que los datos a enviar cogen en un único paquete IP (fragmentado en N trozos, pero pertenecientes al mismo datagrama IP).
Sumando el tamaño de las cabeceras obtenemos:
20 bytes cabecera IP + 8 bytes cabecera ICMP + 65510 bytes de datos = 65538!!!!!
Sin embargo debido a la cabecera ICMP el espacio disponible tan sólo era de 65507 bytes!!. En consecuencia al reensamblar el paquete en el destino se suelen producir errores de overflow/coredump que causan la parada del servicio o del sistema atacado.
-
Canales Encubiertos (Loki)
Este ataque fue inicialmente el nombre de un proyecto, pasando posteriormente a convertirse en una herramienta cuyo objetivo es demostrar la posibilidad de encubrir tráfico en túneles ICMP y UDP, bajo lo que se ha dado en denominar canales encubiertos. En el caso de que este tráfico este permitido a través de los firewalls, el ataque es posible. Debe tenerse en cuenta que en la mayoría de ocasiones es necesario habilitar al menos ciertos tipos de paquetes ICMP, como los de la familia unreachable, para que funcionalidades de la pila TCP/IP se desarrollen, por ejemplo, el algoritmo PMTUD, Path MTU Discovery.
El objetivo del ataque es introducir tráfico encubierto, típicamente IP, en paquetes ICMP (o UDP) que son permitidos. La herramienta consta de un cliente, loki, y un servidor, loki, que se encargan de encapsular y desencapsular el tráfico en ambos extremos.
-
Lazo IP (Land)
Este tipo de ataque se basa en falsear la dirección y puerto origen para que sean las mismas que la del destino. De esta forma, se envían al ordenador atacado peticiones de conexión desde él mismo hasta él mismo.
La Figura 1.25 muestra el Ataque LAND.
Dostları ilə paylaş: |