Ataque SYN
El "ataque SYN" (también denominado "inundación TCP/SYN") consiste en saturar el tráfico de la red (denegación de servicio) para aprovechar el mecanismo de negociación de tres vías del protocolo TCP.
Dicho mecanismo permite que cualquier conexión a Internet "segura" (una que utiliza el
Gráfico III.13.-Funcionamiento del Protocolo TCP
Cuando un cliente establece una conexión con un servidor, envía una solicitud SYN; el servidor responde con un paquete SYN/ACK y el cliente valida la conexión con un paquete ACK (reconocimiento).
No es posible establecer una conexión TCP hasta haber finalizado estas tres vías. El ataque SYN consiste en enviar una gran cantidad de solicitudes SYN a través de un ordenador con una dirección IP inexistente o no válida. En consecuencia, el equipo de destino no puede recibir un paquete ACK.
Los equipos vulnerables a los ataques SYN dejan las conexiones abiertas en cola en una estructura de memoria de datos y aguardan la recepción de un paquete ACK. Existe un mecanismo de caducidad que posibilita rechazar los paquetes una vez transcurrido un determinado período de tiempo. No obstante, cuando la cantidad de paquetes SYN es bastante considerable, si el equipo de destino utiliza todos los recursos para almacenar las solicitudes en cola, corre el riesgo de volverse inestable, lo que puede provocar la caída o el reinicio del sistema.
3.2. Protocolo FTP
Ataque FTP bounce
Conforme con el protocolo FTP, el comando PORT hace que la máquina que lo origina especifique una máquina de destino y un puerto arbitrarios para la conexión de datos. Sin embargo, esto también significa que un hacker puede abrir una conexión a un puerto del hacker eligiendo una máquina que puede no ser el cliente original.
El protocolo ftp permite lo que se llama conexión proxy ftp. Es decir, conectarse a un ftp desde un servidor proxy y al hacer esto establecer una conexión y enviar un archivo a cualquier parte de la Internet. De esto se aprovechan algunos atacantes para realizar escaneos, ya que se realizan detrás de un firewall (el del proxy) con la consiguiente dificultad para rastrear el origen del escaneo. Suelen ser muy lentos, por lo que son poco usados.
Funcionamiento
El ataque FTP bounce no sería posible si no existiera el FTP en modo pasivo. Con FTP en modo pasivo, las conexiones de comandos están completamente separadas de las conexiones de datos. Esto permite que el servidor FTP pueda correlacionarse de buena forma con los cortafuegos, porque el servidor FTP es responsable de la construcción de la conexión de datos de salida con la máquina remota. Sin embargo, también significa que un usuario pueda enviar un comando PORT a un servidor FTP.
Desde una perspectiva de seguridad, un servidor FTP "bounceable" es una grave preocupación. Para los efectos de escaneo de puertos, sin embargo, esta situación no podría ser más conveniente. El ataque FTP bounce se aprovecha de estos servidores FTP mal configurados para localizar los puertos abiertos.
Para empezar el proceso de ataque, se deberá iniciar la sesión en el servidor FTP que será utilizado como intermediario. Una vez conectado al servidor de FTP, se envía el comando PORT para dirigir todas las conexiones de datos a la dirección IP de destino y al puerto TCP.
El comando PORT tiene una sintaxis única. El comando PORT es seguido por seis números que están separadas por comas. Los cuatro primeros números se refieren a los cuatro octetos de la dirección IP de destino, y los dos últimos números se refieren al número de puerto en el dispositivo remoto. Para calcular el número de puerto en decimales, multiplicar el segundo-a-último número por 256 y añadirlo a la última cifra. Por ejemplo, el comando PORT 192,168,0,5,2,44 se refiere a la dirección IP 192.168.0.5 y el puerto (2 * 256) 44, o el puerto 556
Ahora, se envía una lista de comandos para iniciar la conexión de datos a través de la dirección IP y el puerto TCP. El servidor FTP intenta una conexión con el dispositivo especificado con el comando PORT.
Un puerto cerrado no permitirá que la conexión se establezca
Gráfico III.14.-Funcionamiento del Ataque FTP Bounce
Gráfico III.15.-Funcionamiento del Ataque FTP Bounce
3.3. Protocolo Telnet
TELNET provee acceso de terminal a un sistema. El protocolo incluye previsiones para soportar varios seteos de terminal como ser raw mode, eco de caracteres, etc. Generalmente, el demonio de telnet llama al programa login para autenticar al usuario e iniciar la sesión. El mismo provee un nombre de cuenta y una password para el login. Pero en la mayoría de los casos, la mayoría de las sesiones de telnet vienen de sistemas no confiables. Es decir, no podemos confiar ni en el sistema operativo que hace telnet al nuestro, ni en las redes que intervienen en el proceso. La password y la sesión entera son fácilmente visibles para los ojos de un espía, típicamente usando sniffers.
Telnet Brute forcé
Se denomina ataque de fuerza bruta a la forma de recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso.
Dicho de otro modo, define al procedimiento por el cual a partir del conocimiento del algoritmo de cifrado empleado y de un par texto claro/texto cifrado, se realiza el cifrado (respectivamente, descifrado) de uno de los miembros del par con cada una de las posibles combinaciones de clave, hasta obtener el otro miembro del par. El esfuerzo
requerido para que la búsqueda sea exitosa con probabilidad mejor que la par será 2n − 1 operaciones, donde n es la longitud de la clave (también conocido como el espacio de claves).
Actualmente los ataques de fuerza bruta sobre el protocolo Telnet están muy restringidos debido a la poca implementación de este protocolo en la Internet moderna. Pero sigue siendo útil, dentro de unos márgenes, ya que es muy usado por los Routers Cisco (Gama profesional) y los típicos Adsl (Hogares).