PDF de programación - Ataques contra redes TCP/IP

Ataques contra redes
TCP/IP

Joaquín García Alfaro

Índice

Ataques contra redes TCP/IP

Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Objectivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1.1. Seguridad en redes TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1.2. Actividades previas a la realización de un ataque . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.2.1. Utilización de herramientas de administración . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.2.2. Búsqueda de huellas identificativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.2.3. Exploración de puertos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1.3. Escuchas de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.3.1. Desactivación de filtro MAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.3.2. Suplantación de ARP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.3.3. Herramientas disponibles para realizar sniffing . . . . . . . . . . . . . . . . . . . . . . . . . . .

1.4. Fragmentación IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.1. Fragmentación en redes Ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.2. Fragmentación para emmascaramiento de datagramas IP . . . . . . . . . . . . . . . . .

1.5. Ataques de denegación de servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.5.1. IP Flooding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.5.2. Smurf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.5.3. TCP/SYN Flooding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.5.4. Teardrop . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.5.5. Snork. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.5.6. Ping of death . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.5.7. Ataques distribuidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1.6. Deficiencias de programación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.6.1. Desbordamiento de buffer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.6.2. Cadenas de formato . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

3

4

5

10
10
14
16

21
22
23
25

26
27
32

34
35
37
37
38
40
41
42

47
48
56

Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

59

Glosario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

60

Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

62

© FUOC • P06/M2107/01769 Introducción

3

Ataques contra redes TCP/IP

Durante los primeros años de internet, los ataques a sistemas informáticos requerían pocos
conocimientos técnicos. Por un lado, los ataques realizados desde el interior de la red se
basaban en la alteración de permisos para modificar la información del sistema. Por el
contrario, los ataques externos se producían gracias al conocimiento de las contraseñas
necesarias para acceder a los equipos de la red.

Con el paso de los años se han ido desarrollando nuevos ataques cada vez más sofisticados
para explotar vulnerabilidades tanto en el diseño de las redes TCP/IP como en la confi-
guración y operación de los sistemas informáticos que conforman las redes conectadas a
internet. Estos nuevos métodos de ataque se han ido automatizando, por lo que en muchos
casos sólo se necesita un conocimiento técnico muy básico para realizarlos. Cualquier
usuario con una conexión a internet tiene acceso hoy en día a numerosas aplicaciones para
realizar estos ataques y las instrucciones necesarias para ejecutarlos.

En la mayor parte de la bibliografía relacionada con la seguridad en redes informáticas
podemos encontrar clasificadas las tres generaciones de ataques siguientes:

Primera generación: ataques físicos. Encontramos aquí ataques que se centran en com-
ponentes electrónicos, como podrían ser los propios ordenadores, los cables o los disposi-
tivos de red. Actualmente se conocen soluciones para estos ataques, utilizando protocolos
distribuidos y de redundancia para conseguir una tolerancia a fallos aceptable.

Segunda generación: ataques sintácticos.Se trata de ataques contra la lógica operativa
de los ordenadores y las redes, que quieren explotar vulnerabilidades existentes en el
software, algoritmos de cifrado y en protocolos. Aunque no existen soluciones globa-
les para contrarrestar de forma eficiente estos ataques, podemos encontrar soluciones cada
vez más eficaces.

Tercera generación: ataques semánticos.Finalmente, podemos hablar de aquellos ata-
ques que se aprovechan de la confianza de los usuarios en la información. Este tipo de
ataques pueden ir desde la colocación de información falsa en boletines informativos y
correos electrónicos hasta la modificación del contenido de los datos en servicios de con-
fianza, como, por ejemplo, la manipulación de bases de datos con información pública,
sistemas de información bursátil, sistemas de control de tráfico aéreo, etc.

Antes de pasar a hablar detalladamente de como evitar estos ataques desde un punto de
vista más técnico, introduciremos en este módulo algunas de las deficiencias típicas de
los protocolos TCP/IP y analizaremos algunos de los ataques más conocidos contra esta
arquitectura.

© FUOC • P06/M2107/01769 Objectivos

4

Ataques contra redes TCP/IP

En este módulo didáctico el estudiante encontrará los recursos necesarios para alcanzar los
siguientes objetivos:

1) Exponer los problemas de seguridad en las redes TCP/IP a partir de algunos ejemplos
de vulnerabilidades en sus protocolos básicos.

2) Analizar algunas de las actividades previas realizadas por los atacantes de redes TCP/IP
para conseguir sus objetivos.

3) Aprender cómo funcionan las técnicas de sniffing en redes TCP/IP para comprender el
peligro que comportan en la seguridad de una red local.

4) Estudiar con más detalle algunos ataques concretos contra redes TCP/IP, como pueden
ser los ataques de denegación de servicio y las deficiencias de programación.

© FUOC • P06/M2107/01769 1.1. Seguridad en redes TCP/IP
.

5

Ataques contra redes TCP/IP

Durante la década de los 60, dentro del marco de la guerra fría, la Agencia de Proyectos
de Investigación Avanzada del Departamento de Defensa de los Estados Unidos (DARPA)
se planteó la posibilidad de que un ataque afectara a su red de comunicaciones y financió
equipos de investigación en distintas universidades con el objetivo de desarrollar una red
de ordenadores con una administración totalmente distribuida.

Como resultado de la aplicación de sus estudios en redes de conmutación de paquetes, se
creó la denominada red ARPANET, de carácter experimental y altamente tolerable a fallos.
Más adelante, a mediados de los 70, la agencia empezó a investigar en la interconexión de
distintas redes, y en 1974 estableció las bases de desarrollo de la familia de protocolos que
se utilizan en las redes que conocemos hoy en día como redes TCP/IP.

La familia de protocolos TCP/IP se divide en las cuatro capas siguientes:

1) Capa de red. Normalmente está formada por una red LAN* o WAN** (de conexión
punto a punto) homogénea. Todos los equipos conectados a internet implementan esta
capa. Todo lo que se encuentra por debajo de la IP es la capa de red física o, simplemente,
capa de red.

-* En inglés, Local Area
Network.
-** En inglés, Wide Area
Network.

RedModelo TCP/IPInternetTransporteAplicacinRedInternetTransporteAplicacinRed© FUOC • P06/M2107/01769 6

Ataques contra redes TCP/IP

2) Capa de internet (o capa de internetworking) . Da unidad a todos los miembros de la
red y, por lo tanto, es la capa que permite que todos se puedan interconectar, independien-
temente de si se conectan mediante línea telefónica o mediante una red local Ethernet. La
dirección y el encaminamiento son sus principales funciones. Todos los equipos conecta-
dos a internet implementan esta capa.

3) Capa de transporte. Da fiabilidad a la red. El control de flujo y de errores se lleva a
cabo principalmente dentro esta capa, que sólo es implementada por equipos usuarios de
internet o por terminales de internet. Los dispositivos de encaminamiento* (encaminado-
res) no la necesitan.

4) Capa de aplicación. Engloba todo lo que hay por encima de la capa de transporte. Es
la capa en la que encontramos las aplicaciones que utilizan internet: clientes y servidores
de web, correo electrónico, FTP, etc. Sólo es implementada por los equipos usuarios de
internet o por terminales de internet. Los dispositivos de encaminamiento no la utilizan.