Beruflich Dokumente
Kultur Dokumente
Identificar los campos más importantes de los protocolos: ICMP, IP, TCP y
UDP.
Reconocer los distintos tipos de patrones de ataque en el tráfico de red.
Manejar herramientas de software de detección de sistemas operativos.
Temas:
1. Suite TCP/IP.
2. Fragmentación.
3. Internet Control Message Protocol (ICMP).
4. Teoría de estímulo y respuesta.
5. Uso de NMAP para escaneo de redes
CIBERTEC
Aspectos Básicos de Redes 2
1. Suite TCP/IP
A. Interfase de red
Define las capas física y enlace del modelo OSI, así como, el modo en el que
TCP/IP accede a las redes de transporte de datos, tanto LAN como WAN. Sin
embargo, no define el funcionamiento de la red, sólo cómo se accede a ella.
B. Internet
La capa de red del modelo OSI define el modo en que son encaminados los
paquetes, a través de rutas lógicas, bajo un determinado formato de paquetes,
que incluyen direcciones fuente y destino, siguiendo un esquema de
direccionamiento. Entre otras funciones tiene:
CIBERTEC
Aspectos Básicos de Redes 3
C. Transporte
Este protocolo está descrito en el RFC 793 y es un servicio orientado a
conexión, y de naturaleza confiable. Tiene una conexión punto a punto, cuyas
características principales son:
Sólo existe una ruta de destino, es decir, un punto por el cual el paquete
ingresa y sale.
Tipos de conexión
Servicios orientados a conexión: primero deben establecer una conexión
antes de transferir algún dato.
Consta de 3 fases:
Establecimiento de conexión
Transferencia de datos
Finalización de conexión
CIBERTEC
Aspectos Básicos de Redes 4
2. Fragmentación
CIBERTEC
Aspectos Básicos de Redes 5
Hay una secuencia de los paquetes fragmentados, de tal manera que son
ubicados en una posición específica en el buffer de almacenamiento.
Todas las porciones de datos son ubicadas en paquetes IP. Las cabeceras de
paquetes son copias del original con algunas modificaciones.
- El bit del campo More Fragments (MF) es fijado a 1 en todos los
fragmentos menos en el último.
- El campo fragment offset es fijado en cada paquete a la ubicación de
la porción de datos, ocupado en el paquete original relativo al comienzo
del paquete original no fragmentado. El offset es medido en unidades
de 8 bytes.
- Si fueron incluidas opciones en el paquete original, el bit de alto orden
del tipo de opción, determina si ellos serán o no, copiados a todos los
paquetes fragmentados o sólo en el primero. Por instancia, la opción
Source Route tiene que ser copiado en todos los fragmentos y por lo
tanto, ellos tienen este bit fijado a 1.
- El campo header length del nuevo paquete es fijado.
- El campo total length del nuevo paquete es fijado.
- El campo header checksum es recalculado.
CIBERTEC
Aspectos Básicos de Redes 6
Cuando los fragmentos subsecuentes del paquete principal llegan antes de que
el temporizador expire, el dato es copiado en el buffer de almacenamiento en la
ubicación indicada por el campo fragment offset.
En el paquete original, la suma de las cabeceras y los datos ICMP suman 4028 bytes.
Este paquete al ser transmitido en una red Ethernet deberá ser fragmentado,
generandose así 3 paquetes de 1500 bytes o menos. Cada fragmento llevará
obligatoriamente al menos la cabecera IP (necesaria para saber hacia dónde se dirige
el fragmento), que en este caso ocupa 20 bytes, así que tendremos realmente 1480
bytes útiles.
CIBERTEC
Aspectos Básicos de Redes 7
A. Teardrop / Teardrop2
B. Ping of death
CIBERTEC
Aspectos Básicos de Redes 8
C. ICMP
CIBERTEC
Aspectos Básicos de Redes 9
ICMP es un protocolo estándar descrito en los RFC 792 y 950. Es utilizado cuando un
ruteador o host destino, debe informar al host o ruteador fuente, acerca de errores en
el procesamiento de los paquetes. Tiene como propósito, proveer retroalimentación
acerca de problemas en el ambiente de comunicación.
No existen mecanismos que permitan indicar que los paquetes han sido entregados.
Algunos paquetes pueden no ser entregados. Además, los protocolos de alto nivel que
utilizan IP deben implementar sus propios procedimientos de confiabilidad si desean
una comunicación confiable.
ICMP es aparentemente un protocolo simple; sin embargo, puede ser utilizado con
propósitos destructivos.
CIBERTEC
Aspectos Básicos de Redes 10
El mensaje ICMP consta de una cabecera, donde aparecen los campos tipo,
código, SVT e información variable, y un cuerpo de datos.
CIBERTEC
Aspectos Básicos de Redes 11
CIBERTEC
Aspectos Básicos de Redes 12
Los siguientes 32 bits después del campo SVT, información variable, tienen un
propósito que varía y se especifican de forma diferente para cada tipo de
mensaje ICMP considerado. Este campo resulta muy útil para aplicar
traducción de direcciones (NAT) a los mensajes de ICMP.
CIBERTEC
Aspectos Básicos de Redes 13
CIBERTEC
Aspectos Básicos de Redes 14
CIBERTEC
Aspectos Básicos de Redes 15
Hackers y otros expertos en redes, descubrieron que este protocolo podía ser
utilizado con fines hostiles, como:
3.3.1. Reconocimiento
Detección de estaciones.
Identificación de la topología de red.
Detección de listas de control de acceso (ACL).
Detección de filtros de paquetes.
Identificación de sistemas operativos.
a. Detección de Estaciones
CIBERTEC
Aspectos Básicos de Redes 16
c. Protocol/Port Scan
CIBERTEC
Aspectos Básicos de Redes 17
CIBERTEC
Aspectos Básicos de Redes 18
CIBERTEC
Aspectos Básicos de Redes 19
a. Smurf DoS
CIBERTEC
Aspectos Básicos de Redes 20
c. WinFreeze
ICMP puede también ser utilizado como un covert channel (canal oculto
de transmisión de datos), a través de la red por la cual pasa.
LOKI explota el covert channel que existe dentro del tráfico ICMP echo.
Estos paquetes tienen la opción de incluir datos en el paquete. Esta
sección de datos es utilizada cuando es especificada la opción record
route, o el caso más común para almacenar información de registro de
tiempo (timing) para determinar el tiempo de ida y vuelta. Aunque la
parte de datos es información de timing, no hay chequeo del contenido.
La mayoría de los dispositivos de red no filtra el contenido del tráfico
ICMP echo. El paquete troyano es enmascarado como tráfico ICMP
echo común.
CIBERTEC
Aspectos Básicos de Redes 21
CIBERTEC
Aspectos Básicos de Redes 22
Ventajas:
- No se necesita privilegios especiales para realizar el análisis.
- Se consigue una gran velocidad al analizar puertos en paralelo.
Desventajas:
- Muy fácil de filtrar y detectar, ya que en los registros del sistema para cada puerto
analizado, aparece que se ha intentado establecer una conexión y a continuación, se
ha cerrado la conexión sin enviar la información.
Ventajas:
- Los IDS más modestos (basados en conexión) no registran este intento de conexión
- Se consigue una gran velocidad al analizar puertos en paralelo.
Desventajas:
- Hacen falta privilegios de administrador para construir el paquete SYN inicial.
CIBERTEC
Aspectos Básicos de Redes 23
Ventajas:
- Los paquetes SYN|ACK son capaces de pasar a través de algunos cortafuegos que
sólo filtran paquetes SYN a puertos restringidos.
- Los IDS más modestos no registran este intento de conexión.
Desventajas:
- Se pueden producir falsos positivos lentos.
- La familia de sistemas BSD (BSD, OpenBSD, NetBSD y FreeBSD) ignoran los
paquetes SYN|ACK, sea cual sea el estado del puerto.
Ventajas:
- Evita IDS.
- Es difícil de registrar.
- Los paquetes ACK se pueden utilizar para mapear el conjunto de reglas de algunos
cortafuegos que no devuelven respuesta para los puertos filtrados.
Desventajas:
- Su funcionamiento depende del sistema operativo del ordenador analizado, que
debe ser de tipo BSD.
CIBERTEC
Aspectos Básicos de Redes 24
Ventajas:
- Los paquetes FIN son capaces de pasar a través de cortafuegos que filtran paquetes SYN
a puertos restringidos.
Desventajas:
- Algunos sistemas (por ej. Microsoft) responden paquetes RST, sea cual sea el estado del
puerto.
- Se pueden producir falsos positivos lentos.
Ventajas:
- Los paquetes NULL son capaces de evitar algunos sistemas de detección de intrusos.
Desventajas:
- Su funcionamiento depende del sistema operativo del ordenador analizado, que debe ser
una variante de Unix.
- Es fácil de detectar y registrar.
- Se pueden producir falsos positivos lentos.
Ventajas:
- Los paquetes XMAS son capaces de evitar algunos sistemas de detección de intrusos.
Desventajas:
- Su funcionamiento depende del sistema operativo del ordenador analizado, que debe ser
una variante de Unix.
- Es fácil de detectar y registrar.
- Se pueden producir falsos positivos lentos.
CIBERTEC
Aspectos Básicos de Redes 25
Ventajas:
- Permite saber qué puertos UDP están abiertos.
- Evita IDS que sólo registran tráfico TCP.
Desventajas:
- Hacen falta privilegios de administrador.
- Es lento.
- Es fácilmente detectable.
- No se garantiza la llegada de los paquetes UDP ni de los errores ICMP, así que en el
análisis, se pueden encontrar falsos positivos debido a paquetes que no llegaron.
CIBERTEC
Aspectos Básicos de Redes 26
CIBERTEC
Aspectos Básicos de Redes 27
no ip unreachables
CIBERTEC
Aspectos Básicos de Redes 28
Estas respuestas también pueden ser utilizadas por los hackers para
efectuar pruebas de reconocimiento en la red objetivo y por lo tanto, es
recomendable filtrar en la red.
CIBERTEC
Aspectos Básicos de Redes 29
Jolt2 envía una corriente de tráfico sin fin de paquetes ICMP Echo-
Request hacia un objetivo Windows. Estos paquetes son fragmentos
con el mismo identificador de fragmento, pero con desplazamientos de
fragmento no cero duplicados.
CIBERTEC
Aspectos Básicos de Redes 30
CIBERTEC
Aspectos Básicos de Redes 31
CIBERTEC
Aspectos Básicos de Redes 32
CIBERTEC
Aspectos Básicos de Redes 33
El estado puede ser open (abierto), filtered (filtrado), closed (cerrado) o unfiltered (no
filtrado).
CIBERTEC
Aspectos Básicos de Redes 34
CIBERTEC
Aspectos Básicos de Redes 35
ESPECIFICACIÓN DE OBJETIVO
Se pueden indicar nombres de sistema, direcciones IP, redes, etc.
Ej: scanme.nmap.org, microsoft.com/24, 192.168.0.1; 10.0.0-255.1-254
DESCUBRIMIENTO DE HOSTS
Sondeo de lista.
-sL:
Simplemente lista los objetivos a analizar.
-sP: Sondeo Ping Sólo determina si el objetivo está vivo.
-P0: Asume que todos los objetivos están vivos.
-
Análisis TCP SYN, ACK o UDP de los puertos indic
PS/PA/PU [listadepuertos]
ados.
:
Solicita un análisis ICMP del tipo echo, marca de fe
-PE/PP/PM:
cha y máscara de red.
No hace resolución DNS / Siempre resolver [por o
-n/-R:
misión: a veces]
--dns-
servers <serv1[,serv2],...> Especifica servidores DNS específicos.
:
--system-dns: Utiliza la resolución del sistema operativo.
TÉCNICAS DE ANÁLISIS
CIBERTEC
Aspectos Básicos de Redes 36
-
Sólo sondea los puertos indicados.
p <rango de puertos>:
Rápido -
-F: Analiza sólo los puertos listados en el archivo nmap-
services
-r: Analiza los puertos secuencialmente, no al azar..
DETECCIÓN DE SERVICIO/VERSIÓN
TEMPORIZADO Y RENDIMIENTO
--scan-delay/--max-
Ajusta el retraso entre sondas.
scan-delay <msegs>:
CIBERTEC
Aspectos Básicos de Redes 37
SALIDA
CIBERTEC
Aspectos Básicos de Redes 38
MISCELÁNEO:
Ejemplos:
nmap -v -A scanme.nmap.org
nmap -v -sP 192.168.0.0/16 10.0.0.0/8
nmap -v -iR 10000 -P0 -p 80
- Especificación de objetivos
Los rangos no tienen por qué estar limitados a los últimos octetos. Por ejemplo,
si especifica 0-255.0-255.13.37 se realizará un sondeo en todo Internet de las
direcciones IP que terminan en 13.37. Este tipo de muestreo amplio puede ser
útil para encuestas en Internet y con fines de investigación.
CIBERTEC
Aspectos Básicos de Redes 39
- Descubriendo sistemas
Los usuarios pueden evitar el paso de ping utilizando un sondeo de lista (-sL) o
deshabilitando el ping (-P0), o enviando combinaciones arbitrarias de sondas
TCP SYN/ACK, UDP e ICMP a múltiples puertos de la red remota. El propósito
de estas sondas es solicitar respuestas que demuestren que una dirección IP
se encuentra activa. En varias redes solo un pequeño porcentaje de
direcciones IP se encuentran activos en cierto momento, esto es
particularmente común en las redes basadas en direccionamiento privado
RFC1918, como la 10.0.0.0/8, puesto que dicha red tiene más de 16 millones
de direcciones IP.
CIBERTEC
Aspectos Básicos de Redes 40
* sL (Sondeo de lista)
* sP (Sondeo ping)
La opción -sP envía una solicitud de eco ICMP y un paquete TCP al puerto 80
por omisión. Cuando un usuario sin privilegios ejecuta Nmap se envía un
paquete SYN (utilizando la llamada connect()) al puerto 80 del objetivo.
Los usuarios sin experiencia y los "script kiddies" intentan resolver cada
problema con el sondeo SYN por omisión. Dado que Nmap es libre, la única
barrera que existe para ser un experto en el sondeo de puertos es el
conocimiento.
CIBERTEC
Aspectos Básicos de Redes 41
Para que sea fácil de recordar, las opciones de los sondeos de puertos son del
estilo -sC, donde C es una letra característica del nombre del sondeo. La única
excepción a esta regla es la opción obsoleta de sondeo FTP rebotado (-b).
De los sondeos que se listan en esta sección los usuarios sin privilegios sólo
pueden ejecutar los sondeos Connect() o de rebote FTP.
Nmap tiene menos control sobre la llamada de alto nivel Connect() que cuando
utiliza paquetes en crudo. La llamada al sistema, completa las conexiones para
abrir los puertos objetivo, en lugar de realizar el reseteo de la conexión medio
abierta como hace el sondeo SYN. Esto significa que se tarda más tiempo y
son necesarios más paquetes para obtener la información, pero también
significa que los sistemas objetivos van a registrar probablemente la conexión.
Un IDS decente detectará cualquiera de los dos, pero la mayoría de los
equipos no tienen este tipo de sistemas de alarma. Un administrador que vea
muchos intentos de conexión en sus registros que provengan de un único
sistema debería saber que ha sido sondeado con este método.
CIBERTEC
Aspectos Básicos de Redes 42
Nmap ofrece distintas opciones para especificar los puertos que se van a
sondear y si el orden de los sondeos es aleatorio o secuencial. Nmap, por
omisión, sondea todos los puertos hasta el 1024 además de algunos puertos
con números altos listados en el fichero nmap-services, para los protocolos
que se sondeen.
Nmap envía una serie de paquetes TCP y UDP al sistema remoto, y analiza
todos los bits de las respuestas. Además, compara los resultados de una
docena de pruebas como el análisis de ISN de TCP, el soporte de opciones
TCP y su orden, así como, el análisis de IPID y las comprobaciones de tamaño
inicial de ventana, con su base de datos nmap-os-fingerprints. Esta base de
datos consta de más de 1500 huellas de sistema operativo y cuando existe una
coincidencia se presentan los detalles del sistema operativo. Cada huella
contiene una descripción en texto libre del sistema operativo, una clasificación
que indica el nombre del proveedor, el sistema operativo subyacente, la versión
del SO y el tipo de dispositivo.
Nmap indicará una URL a donde se podrán enviar las huellas si se conoce el
sistema operativo que utiliza el equipo, si no se puede adivinar el sistema
operativo de éste y si las condiciones son óptimas.
CIBERTEC
Aspectos Básicos de Redes 43
La detección de sistema operativo activa una serie de pruebas que hacen uso
de la información que ésta recoge.
Los usuarios con experiencia pueden definir las órdenes a Nmap para obtener
sólo la información que necesitan mientras que, al mismo tiempo, cumplen las
limitaciones de tiempo que tengan. Algunas técnicas que pueden ayudar a
mejorar los tiempos de sondeo son el limitar el número de pruebas que no sean
críticas y actualizar a la última versión de Nmap. La optimización de los
parámetros de control de tiempo puede introducir también diferencias
significativas.
CIBERTEC
Aspectos Básicos de Redes 44
Estas plantillas permiten que el usuario especifique cuan agresivo quiere ser, al
mismo tiempo que deja que sea Nmap el que escoja los valores exactos de
tiempos. Las plantillas hacen también algunos ajustes menores de velocidad
para los cuales no existe aún una opción de control de grano fino. Por ejemplo,
-T4 prohíbe que la expiración en sondeos dinámicos exceda los 10ms para
puertos TCP y -T5 limita ese valor a 5 milisegundos. Las plantillas pueden
utilizarse combinadas con controles de grano fino, siempre que se especifique
primero la plantilla. Si no lo hace así los valores especificados por la plantilla
modificarán los valores que defina como opción. Le recomiendo utilizar -T4
cuando sondee redes razonablemente modernas y fiables. Mantenga esa
opción al principio de la línea de órdenes aún cuando especifique otras
opciones de control de grano fino para poder beneficiarse de las
optimizaciones menores que activa.
Mientras que puede ser útil evitar alarmas de IDS con -T0 y -T1, éste tardará
mucho más tiempo para sondear miles de sistemas o puertos. Para este tipo
de sondeos puede que prefiera fijar los valores exactos de tiempos que
necesita antes que utilizar los valores predefinidos para -T0 y -T1.
CIBERTEC