1 / 27

Ataques

Ataques. El atacante manda un paquete IP dividido en fragmentos Los fragmentos en total exceden la longitud máxima de un paqute IP (65535 bytes) Al ensamablarse en el destinatario (víctima) da un paquete con una longitud ilegal causando un desborde (overflow) en memoria

tamal
Télécharger la présentation

Ataques

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Ataques

  2. El atacante manda un paquete IP dividido en fragmentos Los fragmentos en total exceden la longitud máxima de un paqute IP (65535 bytes) Al ensamablarse en el destinatario (víctima) da un paquete con una longitud ilegal causando un desborde (overflow) en memoria Las respuestas dependen de las diferentes implementaciones de TCP/IP Comenzó con ping pero no está restringido a eso ping -l 66000 www.maquina.com Ping of Death (ataque DOS)

  3. Descubierto en 1994 Publicado en 1996 (Phrack Mag.) Ataques múltiples en sept. 1996 CERT publica medidas inmediatamente SYN Flood (Ataque DOS)‏

  4. A un proceso TCP en unservidor Envía ráfagas de segmentos SYN desde direcciones IP “falsas” que no generarán respuesta (SYN+ACK) Al recibir SYN el servidor mantiene estado de la conexión, reservando los recursos necesarios ...... por un rato TCB (Transmission Control Block) Dir Ips, # puertos, apuntadores a los buffers de recepción/transmisión, etc. Mucho más peligroso que otros DOS porque no necesita una gran cantidad de paquetes No intenta sobrecargar la red Tampoco acabar con la memoria de la máquina SYN Flood. Características

  5. TCB 1300+ bytes en Linux 2.6.10 Otros 280+ bytes Se establecen límites (backlog) para mantener TCB activos y no acaberse la memoria Backlog Número máximo de conexiones a medias (half-open) permitidas La espera para desechar la petición de conexión (SYN-RECEIVED timer) en algunos sistemas era de 511 segundos! El cálculo del backlog depende del servidor SYN Flood. Parámetros en el servidor

  6. Tamaño de la ráfaga Mayor que el backlog, depende de la víctima Frecuencia de la ráfaga Cubrir el cronómetro SYN-RECEIVED Selecciones de direcciones IP origen No activas para que no respondan (no RST) Diferentes para no llamar la atención Privadas 10.0.0.0/24, 127.0.0.0/24 , 172.16.0.0/12, 192.168.0.0/16 SYN Flood. Parámetros del ataque

  7. Filtrar tráfico De direcciones privadas Verificar dirección origen y ruteador de entrada Incrementar backlog Cuidado. Más memoria y CPU para búsquedas Reducción del cronómetro SYN-RECEIVED Se pueden eliminar conexiones válidas pero “distantes” Reutilización del TCB más viejo Idem SYN Cache Minimizar la cantidad de información guardada del estado hasta que se reciba el ACK Se puede incrementar el backlog SYN Flood. Defensas

  8. DDOS

  9. Quote Of The Day (RFC 865) Servicio que escucha en puerto 17 (UDP y TCP) Envía al emisor una cita notable En TCP al abrir una conexión al puerto 17 se manda la cita, inmediatamente después el servidor cierra la conexión En UDP al recibir un datagrama en el puerto 17 se manda la cita Entre dos máquinas → ciclo infinito También se puede correr en la misma máquina Ataque pimpón

  10. Ataque pimpón (QOTD) QOTD Puerto 17 QOTD Puerto 17 “...............” Org: A/17 Dest: B/17 Dest: A/17 Org: B/17 “...........” A B Org: A/17 Dest B/17 E

  11. Echo (RFC 862) Servicio que escucha en puerto 7 (UDP y TCP) Reenvía al emisor lo que le llegue Chargen (RFC 864) Character Generator Servidor chargen escucha en puerto 19 (UDP y TCP) Al recibir un paquete genera entre 0 y 512 caracters aleatorios y los envía al emisor Entre dos máquinas → ciclo infinito También se puede correr en la misma máquina Echo-Chargen

  12. Ataque Echo-Chargen CHAR-GEN Puerto 19 ECHO Puerto 7 Cars repetidos Org: A/7 Dest: B/19 Dest: A/7 Org: B/19 0-512 cars A B Org: A/7 Dest: B/19 E

  13. Atacante A envía pings broadcast (echo request de ICMP) a una red, pero con la dirección IP origen de la víctima V Todas las máquinas de la red contestan con echo reply a la víctima V A V ICMP Flood (Smurf Attack)‏

  14. Secuestro de Sesion (Session Hijacking)‏ • Se toma el control de una conexión insertando paquetes IP manufacturados por el agresor en el canal de comunicación legítimo. • El agresor excluye a una de las dos partes de la conexión y se hace pasar por esta sin que se altere o se cierre la conexión.

  15. Inicio de sesión y Conversación TCP C S SYN(ISNC) SYN(ISNS), ACK(ISNC) ACK(ISNS) Datos Datos

  16. Secuestro de sesión TCP C S SYN(ISNC) SYN(ISNS), ACK(ISNC) ACK(ISNS) X Datos Necesita: - Ser local - Combinación con ARP poissoning Datos

  17. Predicción de números de secuencia TCP X S SYN(ISNX), org= T SYN(ISNS), ACK(ISNX) T ACK(ISNS), org=T ACK(ISNS), org=T, datos malos

  18. ARP Reply: mi IP es C y mi MAC es 10 IP IP MAC MAC C C 30 10 B B 20 20 ARP Poisoning (Man in the Middle)‏ 10 20 30 40 < < < < A B C D R 99

  19. HUB HUB

  20. Switch (conmutador) SWITCH

  21. Construcción tabla MAC en un Switch

  22. MAC spoofing en un Switch

  23. MAC flood en un Switch

  24. DNS 3 2 Cliente 198.182.196.56 1 www.linux.org

  25. DNS (ataque al servidor, registros) 4 3 Cliente www.linux.org 207.46.232.18 2 www.linux.org 1 Cambia ip de www.linux.org a 207.46.232.182 www.windows.com Atacante

  26. DNS Spoofing (con sniffing) Cliente 1 www.mibanco.com 4 2 3 www.ratas.com

  27. DNS Spoofing (con DHCP) DHCP Cliente 1 www.mibanco.com Servidor DHCP 4 2 3 www.jajaja.com

More Related