sábado, 18 de septiembre de 2021

6.7 Validación y amenazas al sistema

 Identificar cada usuario que está trabajando en el sistema (usando los recursos).

  • Uso de contraseñas.
  • Vulnerabilidad de contraseñas.

         1.- Que sean complejas y difíciles de adivinar.
         2.- Cambiarlas de vez en cuando.
         3.- Peligro de pérdida del secreto.

  • La contraseña debe guardare cifrada.

Protección por Contraseña

Las clases de elementos de autentificación para establecer la identidad de una persona son:

Algo sobre la persona:

    • Ej.: huellas digitales, registro de la voz, fotografía, firma, etc.

  • Algo poseído por la persona:
    • Ej.: insignias especiales, tarjetas de identificación, llaves, etc.
  • Algo conocido por la persona:
    • Ej.: contraseñas, combinaciones de cerraduras, etc.

El esquema más común de autentificación es la protección por contraseña:

El usuario elige una palabra clave, la memoriza, la teclea para ser admitido en el sistema computarizado:

    • La clave no debe desplegarse en pantalla ni aparecer impresa.

La protección por contraseñas tiene ciertas desventajas si no se utilizan criterios adecuados para:

Elegir las contraseñas.

  • Comunicarlas fehacientemente en caso de que sea necesario.
  • Destruir las contraseñas luego de que han sido comunicadas.
  • Modificarlas luego de algún tiempo.

Los usuarios tienden a elegir contraseñas fáciles de recordar:

Nombre de un amigo, pariente, perro, gato, etc.

  • Numero de documento, domicilio, patente del auto, etc.

Estos datos podrían ser conocidos por quien intente una violación a la seguridad mediante intentos repetidos, por lo tanto, debe limitarse la cantidad de intentos fallidos de acierto para el ingreso de la contraseña.

La contraseña no debe ser muy corta para no facilitar la probabilidad de acierto.

Tampoco debe ser muy larga para que no se dificulte su memorización, ya que los usuarios la anotarían por miedo a no recordarla y ello incrementaría los riesgos de que trascienda.

Contraseñas de un solo uso

•  Al final de cada sesión, se le pide al usuario que cambie la contraseña.

•  Si alguien “roba una contraseña”, el verdadero usuario se dará cuenta cuando vaya a identificarse de nuevo, pues el impostor habrá cambiado la contraseña, con lo que el fallo de seguridad queda detectado.

Verificación de Amenazas

Es una técnica según la cual los usuarios no pueden tener acceso directo a un recurso:

Solo lo tienen las rutinas del S. O. llamadas programas de vigilancia.

  • El usuario solicita el acceso al S. O.
  • El S. O. niega o permite el acceso.
  • El acceso lo hace un programa de vigilancia que luego pasa los resultados al programa del usuario.
  • Permite:
    • Detectar los intentos de penetración en el momento en que se producen.
    • Advertir en consecuencia.

Amenazas relacionadas con los programas

Los procesos son junto con el cerner, el único medio de realizar un trabajo útil


en una computadora. Por tanto, un objetivo común de los piratas informáticos consiste en escribir un programa que cree una brecha de seguridad. De hecho, las mayorías de las brechas de seguridad no relacionadas con programas tienen por objetivos crear una brecha que si está basada en un programa. Por ejemplo, aunque resulta útil iniciar una sesión en un sistema sin autorización, normalmente es mucho más útil dejar un demonio de tipo puerta trasera que proporcione información o que permita un fácil acceso incluso aunque se bloquee la brecha de seguridad original.

En esta sección, vamos a describir algunos métodos comunes mediante los cuales los programas pueden provocar brechas de seguridad. Hay que resaltar que existe una considerable variación en lo que respecta a los convenios de denominación de los agujeros de seguridad, y que en este texto utilizamos los términos más comunes o descriptivos.

CABALLO DE TROYA

Un programa indudablemente útil e inocente que contiene códigos escondidos que permiten la modificación no autorizada y la explotación o destrucción de la información. Los programas caballo de Troya se distribuyen por lo general por Internet. Los juegos, fresare y protectores de pantalla son los medios comunes que utilizan los caballos de Troya.


Se denomina troyano (o caballo de Troya, traducción más fiel del inglés Trujan morse, aunque no tan utilizada) a un programa malicioso capaz de alojarse en computadoras y permitir el acceso a usuarios externos, a través de una red local o de Internet, con el fin de recabar información o controlar remotamente a la maquina anfitriona.

Un troyano no es de por sí, un virus, aun cuando teóricamente pueda ser distribuido y funcionar como tal. La diferencia fundamental entre un troyano y un virus consiste en su finalidad. Para que un programa sea un "troyano" solo tiene que acceder y controlar la maquina anfitriona sin ser advertido, normalmente bajo una apariencia inocua. Al contrario que un virus, que es un huésped destructivo, el troyano no necesariamente provoca daños porque no es su objetivo.

Suele ser un programa pequeño alojado dentro de una aplicación, una imagen, un archivo de música u otro elemento de apariencia inocente, que se instala en el sistema al ejecutar el archivo que lo contiene. Una vez instalado parece realizar una función útil (aunque cierto tipo de troyanos permanecen ocultos y por tal motivo los antivirus o anti troyanos no los eliminan) pero internamente realiza otras tareas de las que el usuario no es consciente, de igual forma que el Caballo de Troya que los griegos regalaron a los troyanos.

Habitualmente se utiliza para espiar, usando la técnica para instalar un software de acceso remoto que permite monitorizar lo que el usuario legítimo de la computadora hace (en este caso el troyano es un spyware o programa espía) y, por ejemplo, capturar las pulsaciones del teclado con el fin de obtener contraseñas (cuando un troyano hace esto se le cataloga de keylogger) u otra información sensible.

La mejor defensa contra los troyanos es no ejecutar nada de lo cual se desconozca el origen y mantener software antivirus actualizado y dotado de buena heurística; es recomendable también instalar algún software anti troyano, de los cuales existen versiones gratis, aunque muchas de ellas constituyen a su vez un troyano. Otra solución bastante eficaz contra los troyanos es tener instalado un firewall.

Otra manera de detectarlos es inspeccionando frecuentemente la lista de procesos activos en memoria en busca de elementos extraños, vigilar accesos a disco innecesarios, etc.

Lo peor de todo es que últimamente los troyanos están siendo diseñados de tal manera que es imposible poder detectarlos excepto por programas que a su vez contienen otro tipo de troyano, inclusive y aunque no confirmado, existen troyanos dentro de los programas para poder saber cuál es el tipo de uso que se les y poder sacar mejores herramientas al mercado llamados también "troyanos sociales"

Los troyanos están actualmente ilegalizados, pero hay muchos crackers que lo utilizan.

PUERTA TRASERA

En la informática, una puerta trasera (o en ingles backdoor), es una secuencia especial dentro del código de programación mediante el programador puede acceder o escapar de un programa en caso de emergencia o contingencia en algún problema.

A su vez, estas puertas también pueden ser perjudiciales debido a que los crackers al descubrirlas pueden acceder a un sistema en forma ilegal y aprovecharse la falencia.

“Cualquier medio capaz de ampliar el alcance del hombre es lo suficientemente poderoso como para derrocar su mundo. Conseguir que la magia de ese medio trabaje para los fines de uno, antes que, en contra de ellos, es alcanzar el conocimiento.” Alan Kay.


“Es extraña la ligereza con que los malvados creen que todo les saldrá bien.” Víctor Hugo.

A pesar de que no se consideran propiamente como virus, representan un riesgo de seguridad importante, y usualmente son desconocidas la inmensa gama de problemas que estas puedan llegar a producir. Al hablar de estas nos referimos genéricamente a una forma "no oficial" de acceso a un sistema o a un programa.

Algunos programadores dejan puertas traseras a propósito, para poder entrar rápidamente en un sistema; en otras ocasiones existen debido a fallos o errores.

Ni que decir tiene que una de las formas típicas de actuación de los piratas informáticos es localizar o introducir a los diversos sistemas una puerta trasera y entrar por ella.

El termino es adaptación directa del inglés bajador que comúnmente significa “puerta de atrás”.

Lo usual en estos programas los cuales no se reproducen solos como los virus, sino que nos son enviados con el fin de tener acceso a nuestros equipos muchas veces a través del correo electrónico, por lo que la mayoría de las veces no son fáciles de detectar y por si solos no siempre causan danos ni efectos inmediatos por su sola presencia, siendo así pueden llegar a permanecer activos mucho tiempo sin que nos percatemos de ello.

Generalmente estos se hacen pasar por otros, es decir, se ocultan en otro programa que les sirve de caballo de Troya para que el usuario los instale por error.

Lo peor que puede pasarle cuando está en el Messenger o en el ICQ
no es que contraiga su PC un virus. Lo peor es que alguien instale un bajador en su PC. Las puertas traseras son fáciles de entender.

Como todo en Internet se basa en la arquitectura cliente / servidor, solo se necesita instalar un programa servidor en una máquina para poder controlarla a distancia desde otro equipo, si se cuenta con el cliente adecuado, esta puede bien ser la computadora de un usuario descuidado o poco informado.

Las puertas traseras (backdoors) son programas que permiten acceso prácticamente ilimitado a un equipo de forma remota. El problema, para quien quiere usar este ataque, es que debe convencerlo a usted de que instale el servidor.

Por eso, si aparece un desconocido ofreciéndole algún programa maravilloso y tentador, no le crea de inmediato. Lo que están probablemente a punto de darle es un troyano, un servidor que le proporcionara a algún intruso acceso total a su computadora.

Con todo el riesgo que esto implica, hay una forma simple y totalmente segura de evitarlo: no acepte archivos ni mucho menos ejecute programas que le hayan mandado siendo estos sobre todo de procedencia dudosa.

Los programas que se clasifican como “backdoors” o "puertas traseras" son utilerías de administración remota de una red y permiten controlar las computadoras conectadas a esta.

El hecho que se les clasifique como software malévolo en algunos casos, es que cuando corren, se instalan en el sistema sin necesidad de la intervención del usuario y una vez instalados en la computadora, no se pueden visualizar estas aplicaciones en la lista de tareas en la mayoría de los casos.

Consecuentemente un bajador puede supervisar casi todo proceso en las computadoras afectadas, desinstalar programas, descargar virus en la PC remota, borrar información y muchas cosas más.

No es sencillo darle forma a un tema de esta complejidad en pocas líneas. Lo importante finalmente es comprender que, si no se toman ciertas medidas mínimas, la información sensible que se encuentre en cualquier equipo sobre la faz de la tierra, con el simple hecho de que tenga acceso a la red de redes (Internet) es suficiente para que pueda estar expuesto a ataques de diversa índole.

Concluimos esto, recomendando ciertas medidas muy básicas para estar a salvo de las puertas traseras y el delicado riesgo para la seguridad que estas representan. A saber:

  1. Es recomendable asegurarnos de que cada cosa que ejecutamos este bajo nuestro control. Una buena guía para ello es el sentido común (el menos común de los sentidos).
  2. Procure no ejecutar programas de los que no sepamos su procedencia, tanto en anexos de correo, ICQ, Messenger y descargas de Internet (ya sean vía Web o FTP).
  3. La información nos protege. Es recomendable enterarse un poco de las noticias de virus y programas dañinos relacionados, visitando por lo menos las páginas de las distintas empresas antivirus o suscribiéndose a algunos boletines.
  4. Es necesario instalar un antivirus y mantenerlo actualizado. En la actualidad se protege al usuario no solo contra virus, sino también contra gusanos, programas de puerta trasera, troyanos y algunos programas maliciosos.
  5. Es bueno tener presente que existen virus y troyanos que pueden aparentar ser amigables (una simple tarjeta de San Valentín), o que provienen de gente que conoces (como es el caso del gusano Sircan). Siendo así, no confíes en ningún programa ni en nada que recibas hasta no revisarlo con el Antivirus.
  6. Mantenga al día todas las actualizaciones de seguridad de Microsoft, para todas y cada una de las distintas aplicaciones

BOMBA LOGICA


Este tipo de delito forma parte de los sistemas informáticos que realizan ataques a la parte lógica del ordenador.

Se entiendo por bomba lógica (en inglés denominado time bombs), aquel software, rutinas o modificaciones de programas que producen modificaciones, borrados de ficheros o alteraciones del sistema en un momento posterior a aquel en el que se introducen por su creador.

 

El disparador de estos programas puede ser varios, desde las fechas de los sistemas, realizar una determinada operación o que se introduzca un determinado código que será el que determine su activación.

Son parecidas al Caballo de Troya, aunque lo que se pretende es dañar al sistema o datos, aunque se pueden utilizar para ordenar pagos, realizar transferencias de fondos, etc...

Características principales:

  • El tipo de actuación es retardada.
  • El creador es consciente en todo momento del posible daño que puede causar y del momento que este se puede producir.
  • Este ataque está determinado por una condición que determina el creador dentro del código.
  • El código no se replica.
  • Los creadores de este tipo de códigos malignos suelen ser personal interno de la empresa, que por discrepancias con la dirección o descontento suelen programarlas para realizar el daño.

VIRUS

Un virus informático es un programa que se copia automáticamente y que tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o el conocimiento del usuario. Aunque popularmente se incluye al "malware" dentro de los virus, en el sentido estricto de esta ciencia los virus son programas que se replican y ejecutan por sí mismos. Los virus, habitualmente, reemplazan archivos ejecutables por otros infectados con el código de este. Los virus pueden destruir, de manera intencionada, los datos almacenados en un ordenador, aunque también existen otros más benignos, que solo se caracterizan por ser molestos.



Los virus informáticos tienen, básicamente, la función de propagarse, replicándose, pero algunos contienen además una carga dañina (palead) con distintos objetivos, desde una simple broma hasta realizar daños importantes en los sistemas, o bloquear las redes informáticas generando trafico inútil.

El funcionamiento de un virus informático es conceptualmente simple. Se ejecuta un programa que está infectado, en la mayoría de las ocasiones, por desconocimiento del usuario. El código del virus queda residente (alojado) en la memoria RAM de la computadora, aun cuando el programa que lo contenía haya terminado de ejecutarse. El virus toma entonces el control de los servicios básicos del sistema operativo, infectando de, manera posterior, archivos ejecutables que sean llamados para su ejecución. Finalmente se añade el código del virus al del programa infectado y se graba en disco, con lo cual el proceso de replicado se completa.

Amenazas del Sistema y de la Red

Las amenazas basadas en programas utilizan típicamente un fallo en los mecanismos de protección de un sistema para atacar a los programas. Por contraste, las amenazas del sistema y de la red implican el abuso de los servicios y de las conexiones de red. En ocasiones, se utiliza un ataque del sistema y de la red para lanzar un ataque de programa, y viceversa.


Las amenazas del sistema y de la red crean una situación en la que se utilizan inapropiadamente los recursos del sistema operativo y los archivos del usuario. En esta sección vamos a analizar algunos ejemplos de estas amenazas, incluyendo los gusanos, el escaneo de puertos y los ataques por denegación de servicio.

Es importante destacar que las mascaradas y los ataques por reproducción también resultan comunes en las redes que interconectan los sistemas. De hecho, estos ataques son más efectivos y más difíciles de contrarrestar cuando están implicados múltiples sistemas. Por ejemplo, dentro de una computadora, el sistema operativo puede determinar, usualmente, el emisor y el receptor de un mensaje. Incluso si el emisor adopta el ID de alguna otra persona, puede que exista un registro de dicho cambio de ID. Cuando están implicados múltiples sistemas, especialmente sistemas que son controlados por los atacantes, realizar esa labor de traza resulta mucho más difícil.

La generalización de este concepto es que el compartir secretos (para demostrar la identidad y en forma de claves de cifrado) es una necesidad para la autenticación del cifrado, y que esa compartición resulta más sencilla en aquellos entornos (por ejemplo, con un único sistema operativo) en los que existan métodos seguros de compartición. Estos métodos incluyen la memoria compartida y los mecanismos de comunicación interprocesos.

GUSANOS

Un gusano es un virus informático o programa auto replicante que no altera los archivos, sino que reside en la memoria y se duplica a sí mismo. Los gusanos utilizan las partes automáticas de un sistema operativo que generalmente son invisibles al usuario. Es algo usual detectar la presencia de gusanos en un sistema cuando, debido a su incontrolada replicación, los recursos del sistema se consumen hasta el punto de que las tareas ordinarias del mismo son excesivamente lentas o simplemente no pueden ejecutarse.

Un gusano, al igual que un virus, esta diseñado para copiarse de un equipo a otro, pero lo hace automáticamente. En primer lugar, toma el control de las características del equipo que permiten transferir archivos o información. Una vez que un gusano este en su sistema, puede viajar solo. El gran peligro de los gusanos es su habilidad para replicarse en grandes números. Por ejemplo, un gusano podría enviar copias de sí mismo a todos los usuarios de su libreta de direcciones de correo electrónico, lo que provoca un efecto domino de intenso tráfico de red que puede hacer más lentas las redes empresariales e Internet en su totalidad.

Cuando se lanzan nuevos gusanos, se propagan muy rápidamente. Bloquean las redes y posiblemente provocan esperas largas (a todos los usuarios) para ver las páginas Web en Internet.

Gusano Subclase de virus. Por lo general, los gusanos se propagan sin la intervención del usuario y distribuye copias completas (posiblemente modificadas) de sí mismo por las redes. Un gusano puede consumir memoria o ancho de banda de red, lo que puede provocar que un equipo se bloquee.

Debido a que los gusanos no tienen que viajar mediante un programa o archivo "host", también pueden crear un túnel en el sistema y permitir que otro usuario tome el control del equipo de forma remota. Entre los ejemplos recientes de gusanos se incluyen: Yasser y Blíster.

ESCANEO DE PUERTOS

El escaneo de puertos es una de las más populares técnicas utilizadas para descubrir y mapear servicios que están escuchando en un puerto determinado.


Usando este método un atacante puede crear una lista de las potenciales debilidades y vulnerabilidades en un puerto para dirigirse a la explotación del mismo y comprometer el host remoto Una de las primeras etapas en la penetración / auditoria de un host remoto es primeramente componer una lista de los puertos abiertos utilizando una o más de las técnicas descritas abajo.   Una vez establecida, los resultados ayudaran al atacante a identificar los servicios que están corriendo en ese puerto utilizando una lista de puertos que cumplen con el RFC (la función /etc./cervices in UNIX, getservbyport () automáticamente hace esto) permitiendo comprometer el host remoto en la etapa de descubrimiento inicial.  

Las técnicas de escaneo de puertos se dividen en tres tipos específicos y diferenciados:   *. escaneo abierto *. escaneo medio abierto *. escaneo oculto   Cada una de esas técnicas permite un ataque para localizar puertos abiertos y cerrados en un servidor, pero saber hacer el escaneo correcto en un ambiente dado depende de la topología de la red, IDS, características de jogging del servidor remoto. Aunque un escaneo abierto deja bitácoras grandes y es fácilmente detectable produce los mejores resultados en los puertos abiertos y cerrados.  

Alternativamente, utilizar un escaneo oculto permite evitar ciertos IDS y pasar las reglas del firewall, pero el mecanismo de escaneo como pace flas utilizados para detectar estos puertos puede dejar muchos paquetes caídos sobre la red dando resultados positivos siendo estos falsos. Más adelante se discutirá esto en la sección de escaneo FIN de este documento. Enfocándonos más directamente en cada una de las técnicas anteriores, estos métodos se pueden categorizar en tipos individuales de escaneo. Veamos un modelo básico de escaneo incluyendo un barrido de ping.


Fig. 6.7.1 Modelo básico de escaneo.

DENEGACION DE SERVICIO

En seguridad informática, un ataque de denegación de servicio, también llamado ataque Dos (de las siglas en ingles Denia of Servicie), es un ataque a un sistema de ordenadores o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos. Normalmente provoca la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima.

Se genera mediante la saturación de los puertos con flujo de información, haciendo que el servidor se sobrecargue y no pueda seguir prestando servicios, por eso se le dice "denegación", pues hace que el servidor no de abasto a la cantidad de usuarios. Esta técnica es usada por los llamados crackers para dejar fuera de servicio a servidores objetivo.

El llamado Dos (siglas en ingles de Distributor Denia of Servicie, denegación de servicio distribuida) es una ampliación del ataque Dos, se efectúa con la instalación de varios agentes remotos en muchas computadoras que pueden estar localizadas en diferentes puntos. El invasor consigue coordinar esos agentes para así, de forma masiva, amplificar el volumen del floor o saturación de información, pudiendo darse casos de un ataque de cientos o millares de computadoras dirigido a una maquina o red objetivo. Esta técnica se ha revelado como una de las más eficaces y sencillas a la hora de colapsar servidores, la tecnología distribuida ha ido sofisticándose hasta el punto de otorgar poder de causar danos serios a personas con escaso conocimiento técnico.

En ocasiones, esta herramienta ha sido utilizada como un notable método para comprobar la capacidad de tráfico que un ordenador puede soportar sin volverse inestable y perjudicar los servicios que desempeña. Un administrador de redes puede así conocer la capacidad real de cada máquina.

Métodos de ataque de negación de servicios

Un ataque de "Denegación de servicio" previene el uso legítimo de los usuarios al usar un servicio de red. El ataque se puede dar de muchas formas, como, por ejemplo:

Inundación SYN (SYN Floods)

TCP SYN Scanning el protocolo TCP se basa en una conexión en tres pasos (Three Way Handshake). Pero, si el paso final no llega a establecerse, la conexión permanece en un estado denominado "semiabierto".
El SYN Flood es el más famoso de los ataques del tipo Denial of Service, publicado por primera vez en la revista Under Phrack; y se basa en un "saludo" incompleto entre los dos hosts.
El Cliente envía un paquete SYN pero no responde al paquete ACK ocasionando que la pila TCP/IP espere cierta cantidad de tiempo a que el Host hostil responda antes de cerrar la conexión. Si se crean muchas peticiones incompletas de conexión (no se responde a ninguna), el Servidor estará inactivo mucho tiempo esperando respuesta. La denegación de servicios se da por que el sistema está a la espera de que baje el umbral que generalmente es 1 minuto para aceptar más conexiones, cada conexión generada por un SYN, tienen un temporizador de 1 minuto, cuando se excede el límite de tiempo o umbral, se libera la memoria que mantiene el estado de la conexión y la cuenta de la cola de servicios se disminuye en 1.


SYN Flood aprovecha la mala implementación del protocolo TCP, funcionando de la siguiente manera:
Se envía al destino, una serie de paquetes TCP con el bit SYN activado, (petición de conexión) desde una dirección IP Solfeada. Esta última debe ser inexistente para que el destino no pueda completar el saludo con el cliente.

Aquí radica el fallo de TCP: ICMP reporta que el cliente es inexistente, pero TCP ignora el mensaje y sigue intentando terminar el saludo con el cliente de forma continua.
Cuando se realiza un Ping a una máquina, esta tiene que procesarlo. Y aunque se trate de un proceso sencillo, (no es más que ver la dirección de origen y enviarle un paquete Reply), siempre consume recursos del sistema. Si no es un Ping, sino que son varios a la vez, la máquina se vuelve más lenta... si lo que se recibe son miles de solicitudes, puede que el equipo deje de responder (Flood).
Es obligatorio que la IP origen sea inexistente, ya que sino el objetivo, logrará responderle al cliente con un SYN/ACK, y como esa IP no pidió ninguna conexión, le va a responder al objetivo con un RST, y el ataque no tendrá efecto. El problema es que muchos sistemas operativos tienen un límite muy bajo en el número de conexiones "semiabiertas" que pueden manejar en un momento determinado (5 a 30). Si se supera ese límite, el servidor sencillamente dejará de responder a las nuevas peticiones de conexión que le vayan llegando. Las conexiones "semiabiertas" van caducando tras un tiempo, liberando "huecos" para nuevas conexiones, pero mientras el atacante mantenga el SYN Flood, la probabilidad de que una conexión recién liberada sea capturada por un nuevo SYN malicioso es muy alta. Esto ocasiona la lentitud en los demás servicios

En la Figura se observa un escenario típico de un ataque y se observa como la máquina atacante con la dirección IP 10.1.1.10/24 usa una dirección de broadcast 10.1.1.255 para perpetrar el ataque y para que las máquinas víctima le contesten las peticiones, no sin antes pasando por todas las direcciones IP de la red, haciendo más efectivo el ataque. De esta forma, todas las respuestas individuales se ven amplificadas y propagadas a todos los ordenadores pertenecientes a la red amplificándolas y propagándolas consiguiendo una alta efectividad en el ataque.



Ataque LAND (LAND attack)

Un ataque LAND se realiza al enviar un paquete TCP/SYN falsificado con la dirección del servidor objetivo como si fuera la dirección origen y la dirección destino a la vez. Esto causa que el servidor se responda a si mismo continuamente y al final falle.

Este ataque, que está dirigido a aplicaciones vulnerables, bloquea los sistemas o los vuelve inestables. Los sistemas más modernos ya no son vulnerables a este tipo de ataque. Los sistemas más modernos ya no son vulnerables a este tipo de ataque.

 

Inundación ICMP (ICMP floods)

Es una técnica DoS que pretender agota el ancho de banda de la víctima. Consiste en enviar de forma continuada un número elevado de paquetes ICMP echo requeté (ping) de tamaño considerable a la víctima, de forma que esta ha de responder con paquetes ICMP echo replay (ponga) lo que supone una sobrecarga tanto en la red como en el sistema de la víctima. Dependiendo de la relación entre capacidad de procesamiento de la víctima y atacante, el grado de sobrecarga varia, es decir, si un atacante tiene una capacidad mucho mayor, la víctima no puede manejar el tráfico generado.

Modelos de ataques

Existe una variante denominada surf que amplifica considerablemente los efectos de un ataque ICMP. En el smurf el atacante dirige paquetes ICMP echo request a una dirección IP de broadcast10.

Existen tres partes en un ataque smurf: El atacante, el intermediario y la victima (comprobaremos que el intermediario también puede ser víctima).

Cuando el atacante genera el paquete ICMP echo request, este es dirigido a una dirección IP de broadcast, pero la dirección origen del paquete IP la cambia por la dirección de la víctima (IP spoofing), de manera que todas las maquinas intermediarias (maquinas pertenecientes a la red donde se envió el paquete) responden con ICMP echo reply a la víctima. Como se dijo anteriormente, los intermediarios también sufren los mismos problemas que las propias víctimas.

Inundación UDP (UDP floods)

Básicamente este ataque consiste en generar grandes cantidades de paquetes UDP contra la victima elegida. Debido a la naturaleza sin conexión del protocolo UDP, este tipo de ataques suele venir acompañado de IP spoofing6.

Es usual dirigir este ataque contra maquinas que ejecutan el servicio echo8 de forma que se generan mensajes echo de un elevado tamaño.

a la/s
Etiquetas:

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)

1.1. Definición y concepto

Sin el software, una computadora solo es una masa metálica sin utilidad. Con el software, una computadora puede almacenar, procesar y recupe...