Técnicas de ataques comunes

Actualmente los hackers disponen de una amplia variedad de herramientas para efectuar sus ataques contra las redes. Por lo que se refiere a los sistemas que operan bajo ambiente TCP/IP, existen algunas técnicas que son muy utilizadas y que se mencionan brevemente a continuación:

− Ping sweep (barrido de ping): como el mismo nombre sugiere, mediante esta técnica un intruso envía un ping a una serie de direcciones IP. Un ping es la solicitud de “eco” contenida en mensajes ICMP (Internet control message protocol). El objetivo es encontrar máquinas a las cuales se les puedan detectar vulnerabilidades para luego penetrarlas. Una variación de esta técnica utiliza una serie aleatoria de direcciones IP para hacer más difícil su descubierto.

− Port scan (escaneo de puerto): una vez que el hacker sabe que una máquina está viva, su próximo paso probablemente sea el determinar cuáles servicios

están disponibles. En las máquinas hay procesos que están "escuchando", es decir, monitoreando, los puertos TCP y UDP esperando solicitudes por parte de los usuarios. Si hay una respuesta en un determinado puerto, el intruso puede aprovecharse de ciertas vulnerabilidades conocidas para determinados servicios.

− Dig (excavar): una buena fuente de información sobre la red que se quiere atacar son los servidores DNS (domain name system). Dig es una herramienta común que se encuentra en la mayoría de los sistemas Unix y puede usarse para copiar un banco de datos entero desde cualquier servidor DNS.

− SYN flood (inundación de SYN): con esta técnica no se pretende penetrar en una máquina, sino más bien saturarla a fin de impedir que preste servicio a los usuarios legítimos. Se trata de una clase de ataque conocida como denial-of-service (negación de servicio). El bombardeo de SYN probablemente es el más conocido de estos ataques y consiste en enviar un flujo continuo de solicitudes de establecimiento de conexiones TCP mediante mensaje SYN de sincronismo. En efecto, cuando una máquina cliente establece una conexión TCP con un servidor, hay un intercambio de mensajes iniciales. El cliente envía un mensaje SYN, el servidor contesta con un mensaje SYN-ACK y por último el cliente manda un mensaje ACK estableciéndose así la conexión. Pero el intruso no completa la secuencia correcta del protocolo, ya que no envía el SYN-ACK luego que la máquina le contesta, por lo que la máquina queda con un gran número conexiones TCP semiabiertas, así que finalmente no puede abrir más de ellas. Este ataque produce una saturación de memoria por creación de conexiones incompletas TCP y afecta a todos los servicios de red del sistema.

− ICMP flood (inundación ICMP): este es el ataque de negación de servicio más directo, ya que una máquina recibe tantos pings que no puede manejar el resto de tráfico.

− UDP flood (inundación UDP): UDP es un protocolo de tipo connectionless (sin conexión) ya que el receptor no confirma la recepción de los paquetes.

Además, debido a que no se establece ninguna conexión antes de enviar los paquetes, el bombardeo de una máquina con paquetes UDP hace que al emisor no lo puedan bloquear. Un hacker podría lanzar un ataque de negación de servicio enviando paquetes UDP a un puerto que no se use. La máquina responderá con un mensaje "ICMP port unreachable" (puerto ICMP no accesible) por cada paquete UDP enviado. Si se envían muchos paquetes UDP, la máquina se bloqueará (también pueden quedar bloqueadas las máquinas en el mismo segmento compartido debido a la cantidad de tráfico).

− Ping of Death (ping de la muerte): esta técnica consiste en enviar un paquete de ping ilegalmente grande que inunda los buffers de la máquina atacada, haciendo que se cuelgue. Muchos sistemas Unix, Windows NT y routers eran vulnerables a este ataque cuando fue descubierto hace un par de años, y si bien los fabricantes rápidamente elaboraron parches, todavía existen muchas máquinas indefensas en las organizaciones.

− Land (tierra): técnica que es usada para lograr que una máquina se cuelgue

“land attack”, donde se envían paquetes con idénticos números de puerto e idénticas direcciones IP de origen y destino. Este ataque tiene variantes, por ejemplo fuentes idénticas pero ausencia del número del puerto.

− Supernuke: un ataque específico a Windows es supernuke (también conocido como winnuke), el cual causa que se bloqueen las máquinas que escuchan al puerto 139 UDP.

− Teardrop (lágrima): esta técnica de ataque consiste en activar la bandera

"urgente" en el header (encabezamiento) del fragmento de un mensaje TCP.

Algunas implementaciones del protocolo TCP/IP no logran ensamblar correctamente los fragmentos que se solapan, causando que el sistema se cuelgue. El sistema Windows NT 4.0 es particularmente afectado, incluso si se aplica del Service Pack 3. Un parche salió a la luz pública en enero de 1998.

− Tojan horse (caballo de Troya): es un programa que imita la ejecución de otro programa, pero realiza funciones completamente distintas a las esperadas, permitiendo al intruso tomar el control de la máquina remotamente, abriendo algún puerto en el sistema.

− Spoofing (falsificación): se trata de falsificar el origen de los mensajes para que aparenten venir de otra fuente. Existen dos ataques tipo spoofing: IP Spoofing y DNS Spoofing. El primero de ellos se hizo famoso al usarlo Kevin Mitnick en su ataque en Diciembre de 1995 a la red informática de Tsutomu Shimomura, un especialista en seguridad que trabajaba en el Centro de Supercomputación de San Diego.

El ataque DNS Spoofing consiste en la manipulación de paquetes UDP para así comprometer el cache del servidor de nombres (DNS). Si se permite el método de recursión en la resolución de "nombre < - - > dirección IP" en el DNS, es posible controlar algunos aspectos del DNS remoto. La recursión consiste en la capacidad de un servidor de nombres para resolver una

petición de dirección IP a partir de un nombre que no figura en su base de datos. Este es el método típico de funcionamiento.

− Spamming (bombardeo de e-mail): es un ataque que utiliza el servicio de correo electrónico y consiste en mandar múltiples mensajes a una dirección particular. El spamming puede dañar aún más si los destinatarios contestan ese e-mail, causando que todas las direcciones originales reciban esa contestación. Esto puede ocurrir de forma inocente, resultado de mandar el mensaje a listas de correo y esas listas multiplican ese mensaje. El spamming puede combinarse con el spoofing para ocultar la procedencia del mensaje.