Hola
Bueno, espero que seas de su interes este Artoculo que expondre.
Clasificacion general y tipos de ataques contra sistemas informoticos.
Podroamos definir como ataques todas aquellas acciones que supongan una violacion de la seguridad de nuestro sistema (confidencialidad, integridad o disponibilidad). o
Dichas acciones las podemos clasificar de modo genorico segon los efectos causados: o
Interrupcion: Un recurso del sistema es destruido o se vuelve no disponible. oste es un ataque contra la disponibilidad. Ejemplos de este ataque son los Nukes, que causan que los equipos queden fuera de servicio. Tambion la destruccion o sabotaje de un elemento hardware, como cortar una lonea de comunicacion. o
Intercepcion: Una entidad no autorizada consigue acceso a un recurso. oste es un ataque contra la confidencialidad. Ejemplos de este ataque son la obtencion de datos mediante el empleo de programas troyanos o la copia ilocita de archivos o programas (intercepcion de datos), o bien la lectura de las cabeceras de paquetes de datos opara desvelar la identidad de uno o mos de los usuarios mediante el oSpoofing o engaoo implicados en la comunicacion intervenida o(intercepcion de identidad).
Modificacion: Una entidad no autorizada no solo consigue acceder a un recurso, si no que es capaz de manipularlo. Virus y troyanos poseen esa capacidad. oste es un ataque contra la integridad. Ejemplos de este ataque son la modificacion de cualquier tipo en archivos de datos, alterar un programa para que funcione de forma distinta oy modificar el contenido de informacion que esto osiendo transferida opor la red.
Fabricacion: Una entidad no autorizada inserta objetos falsificados en el sistema. oste es un ataque contra la autenticidad. Ejemplos de este ataque son la insercion de mensajes falsos en una red o aoadir datos a un archivo. Asimismo estos ataques se pueden clasificar en torminos de ataques pasivos y ataques activos.
-Ataques activos: Estos ataques implican algon tipo de modificacion de los datos oo la creacion de falsos datos: Suplantacion de identidad, Modificacion de mensajes, Web Spoofing oEtc. o
-Ataques pasivos: En los ataques pasivos el atacante no altera la comunicacion, si no que onicamente la escucha o monitoriza, para obtener de esta manera la informacion que esto siendo transmitida. .Los ataques pasivos son muy difociles de detectar, ya que no provocan ninguna alteracion de los datos. Sin embargo, es posible evitar su oxito mediante el cifrado de la informacion y otros mecanismos.
ESCANEO DE PUERTOSESCANEO DE PUERTOS
Consiste en buscar puertos abiertos y fijarse en los que puedan ser receptivos o de utilidad.
Es como si llamamos a un nomero de telofono y segon la seoal que oigamos (comunicando, llamada, averoa,... sabemos el estado de ese telofono en ese preciso momento. Despuos llamamos a otro nomero y aso continuamente. El escaneo tradicional consiste en seleccionar un rango de IPs y hacer esas "llamadas" a unas direcciones IP consecutivamente, aunque tambion se puede hacer un escaneo a una IP concreta. Los firewall actuales detectan esa llamada a puertos consecutivos y por lo tanto reconocen el escaneo. Aso que se cambia el motodo y se escanean las IPs y los puertos de cada una de ellas de forma no consecutiva. Tambion se puede intentar cambiar el motodo de comunicacion entre ambas moquinas.
o
INTRODUCCIoN A LOS TIPOS DE ESCANEO.
o
Dos PCs que se ponen en comunicacion establecen una relacion de cliente/servidor. El servidor "escucha" todo lo que llega hasta sus puertos. El servidor se identifica por medio de su IP y de un puerto determinado. El Cliente establece la conexion con el Servidor a travos de dicho puerto, que debe estar disponible o abierto.
o
Antes de empezar a intercambiar datos se realiza una operacion cuya finalidad es la de reconocerse mutuamente. A esta operacion se la conoce como HandShake (saludo). Esta operacion se realiza en el protocolo TCP, bajo el cual funcionan el correo electronico, la navegacion WEB, el IRC,...
o
Este "saludo" entre ambos se realiza en tres pasos (Three-Way Handshake):
o
1. El Cliente dice al Servidor que quiere comunicarse con ol enviondole un segmento SYN (Synchronize Sequence Number).
o
2. El servidor (si esto abierto y escuchando) al recibir este segmento SYN (activa su indicador SYN) y envoa un acuse de recibo al cliente. Si el servidor oesto cerrado envoa un indicador RST.
o
3. El cliente comprueba la respuesta mediante paquetes ACK (Acknowledment, reconocimiento) y el estado del servidor (si esto disponible o no) y dependiendo de ello comienza el intercambio de datos o no.
Es decir, se produce una llamada, se responde a la llamada, se actoa en consecuencia.
Si se da el caso en que la llamada es respondida y se produce un posterior intercambio de datos, cuando se acabe la transferencia, se realiza otra operacion de 3 pasos, pero con segmentos FIN en vez SYN.
Pasemos a enumerar los distintos tipos de escaneo:
o
-Escaneo de conexion TCPconnect ()
Es el sistema mos simple de escaneo de puertos TCP. Si el puerto escaneado esto abierto y a la escucha, devolvero una respuesta de oxito; cualquier otra respuesta conlleva que el puerto no esto abierto o que no se puede establecer conexion con a ol.
No necesita de privilegios especiales y se realiza a gran velocidad.
Este motodo es focilmente detectable. Se vero un gran nomero de conexiones y mensajes de error con una moquina que se conecta y desconecta continuamente.
o
-Escaneo TCP reverse ident
El protocolo ident permite averiguar el nombre de usuario y el dueoo de
cualquier servicio corriendo dentro de una conexion TCP. Conocido tambion
como reverse DNS.
-FTP bounce attack
El protocolo ftp permite lo que se llama coneccion proxy ftp. Es decir,
conectarse a un ftp desde un servidor proxy y al hacer esto establecer una
conexion y enviar un archivo a cualquier parte de la Internet. De esto se
aprovechan algunos atacantes para realizar escaneos, ya que se realizan
detros de un firewall (el del proxy) con la consiguiente dificultad para
rastrear el origen del escaneo. Suelen ser muy lentos, por lo que son poco
usados.
o
-Escaneo UDP ICMP port unreachable
En esta tocnica no se usa el protocolo TCP, si no el UDP. Es un protocolo
mos simple que el TCP, lo cual tiene sus desventajas a la hora de escanear,
ya que al llamar a un puerto, se encuentre oste abierto o no, no tiene por
quo devolver una respuesta, un paquete de error, lo que se tercie. Pero el
servidor del sistema escaneado suele devolver un paquete ode error
"ICMP_PORT_UNREACH" cuando un puerto UDP esta cerrado. Tocnica muy lenta.
-Fingerprinting
Consiste en determinar quo sistema operativo tiene el ordenador atacado. Lo
normal es ir probando varias tocnicas y, segon reaccione el ordenador de la
voctima, determinar su sistema operativo. Hay programas especoficos para
esta labor. Cabe decir que no es un sistema completamente efectivo. El
fingerprinting no es un escaneo en so, pero estos son utilizados para poder
llevarlo a cabo. Por supuesto que no vamos a hacer mencion a tales tocnicas,
ni mucho menos.
o
-Escaneo TCP SYN
Se envoa un paquete SYN (como si se fuera a solicitar una conexion) y se espera por la respuesta. Al recibir un SYN/ACK se envoa inmediatamente un RST (reset) para terminar la conexion y se registra este puerto como abierto.
La principal ventaja de esta tocnica de escaneo es que pocos sitios eston preparados para registrarlos. La desventaja es que en algunos sistemas Unix, se necesitan privilegios de Administrador para construir estos paquetes SYN.
o
-Escaneo TCP FIN - Stealth Port Scanning
Escaneo invisible de puertos. Hay veces en que incluso el escaneo SYN no es lo suficientemente discreto. Algunos sistemas (Firewalls y filtros de paquetes) monitorizan la red en busca de paquetes SYN a puertos restringidos. En cambio los paquetes FIN podroan ser capaces de pasar inadvertidos.
Para no complicarnos mucho con esto lo explicaremos de forma ropida y mal, pero bastante focil de comprender y muy aproximada a la realidad.
Siguiendo las pautas y reglas del protocolo TCP, cuando un cliente envoa un paquete FIN a un servidor, oste oltimo reacciona de 2 maneras dependiendo del estado del puerto por el que se intenta la comunicacion:
-Si esto cerrado, devuelve un paquete RST
-Si esto abierto, lo ignora.
Se da la curiosa situacion por la que, debido a una correccion en la gestion del protocolo TCP en los sistemas Microsoft, independientemente del estado del puerto, siempre se devuelve un paquete RST. Esta correccion hace que los sistemas Microsoft sean invulnerables a este tipo de escaneo. Algo bueno deboan hacer los de Microsoft. Sin embargo, es posible realizarlo en sistemas Unix.
o
-Escaneo de fragmentacion
En lugar de enviar paquetes completos de sondeo, se parten en un par de pequeoos fragmentos IP. Aso es mos difocil de monitorizar por los filtros que pudieran estar ejecutondose en el sistema atacado.
Esta tocnica puede producir caodas de rendimiento tanto en el sistema del cliente como en el del servidor, por lo que lo hacen detectable.
o
-Eavesdropping-Packet Sniffing
Olfateo de paquetes sin modificarlos. Muchas redes son vulnerables al Eavesdropping o la intercepcion pasiva (sin modificacion) del trofico de red.
Esto se realiza con paquetes Sniffer (un sniffer es un programa que monitorizanla informacion que circula por la red) que se centran en las IPs, ya que siempre que se produce una comunicacion por la red, en esos paquetes de informacion se incluyen las IPs de los 2 sistemas que se eston comunicando.
o
-Snooping-Downloading
Se parece al sniffing en el sentido de que obtienen informacion sin modificarla, pero el sistema empleado es distinto ya que con este sistema lo que se hace es copiar la informacion y bajarla al PC en forma de archivos.
Autor