ATAQUES CONTRA REDES TCP/IP

MARIA DEL ROSARIO PINTO QUINTERO

UNIVERSIDAD FRANCISCO DE PAULA SANTANDER FACULTAD DE INGENIERIAS INGENIERIA DE SISTEMAS OCAA 2013

ATAQUES CONTRA REDES TCP/IP

MARIA DEL ROSARIO PINTO QUINTERO Cd. 190323

Informe presentado para la materia de Sistemas Operativos.

Profesor Byron Cuesta Ingeniero de Sistemas

UNIVERSIDAD FRANCISCO DE PAULA SANTANDER FACULTAD DE INGENIERIAS INGENIERIA DE SISTEMAS OCAA 2013

Ejercicio 1: A continuacin se presenta una lista de ataques relacionados con redes TCP/IP. Para cada uno de ello explique, CON SUS PALABRAS, su funcionamiento, la caracterstica o defecto que aprovechan e indique bajo qu circunstancias son posibles: 1. Teardrop Funcionamiento Se basa en el uso fraudulento del fragmento de IP para poder confundir al sistema operativo a travs de la reconstruccin del datagrama original (que contiene una posicin y una longitud) con el fin de colapsar el sistema. Caracteristica o defecto que aprovecha Se caracteriza por el aprovechamiento de la fragmentacin de paquetes que realiza el protocolo IP en los datagramas para sobrescribir con informacin errnea o incoherente en el momento de reensamblarlo. Por ejemplo: Supongamos que deseamos enviar un fichero de 1024 bytes a una red con un MTU (Maxim Transfer Unit) de 512 bytes. Ser suficiente enviar dos fragmentos de 512 bytes:

El objetivo de Teardrop ser realizar las modificaciones necesarias en los campos de posicin y longitud para introducir incoherencias cuando se produzca la reconstruccin del datagrama original:

De esta forma, Teardrop y sus variantes directas conseguirn que el datagrama se sobrescriba y produzca un error de buffer-overrun (Se puede producir a causa de la existencia de desplazamientos negativos) al ser reensamblado.

Otra posibilidad consiste en enviar centenares de fragmentos modificados malintencionadamente, con el objetivo de saturar la pila de protocolo IP del equipo atacado (a causa de una superposicin de distintos datagramas IP). (Alfaro, 2012)

Bajo que circunstancias es posible realizarse

Es posible cuando despus de la fragmentacin de los paquetes que realiza el protocolo IP se hace necesario el reensamble de los mismos es en ese momento donde puede verse afectado el sistema.

2. Smurf Funcionamiento Este tipo de denegacin de servicio realiza una suplantacin de direcciones de origen y destino de una peticin tipo Echo-Request.

Como direccin de origen se pone la direccin IP de la mquina que debe ser atacada. En el campo de la direccin IP de destino se pone la direccin de difusin de la red local o red que se utilizara como trampoln para colapsar a la victima. Con esta peticin fraudulenta, se consigue que todas las mquinas de la red respondan a la vez a una misma mquina, consumiendo todo el ancho de banda disponible y saturando el ordenador atacado. (Alfaro, 2012)

Caracteristica o defecto que aprovecha Se caracteriza por utilizar o aprovechar determinados recursos dentro de internet para amplificar la inundacin original hacia la vctima. (Bertoln, 2008) El popular ataque "smurf" hace uso de una caracterstica de los enrutadores (routers) para enviar una secuencia de paquetes a miles de mquinas. Cada paquete contiene una direccin IP de origen que es suplantada de una vctima. Las mquinas a las que estos paquetes falsificados son enviados inundan a la mquina vctima generalmente son detenidos (www.vsantivirus.com)

Bajo que circunstancias es posible realizarse

Este tipo de ataque es posible si el sistema no esta protegido. El atacante no requiere de ninguna sofisticacin de infraestructura previa para realizarlo.

Cuando el router de acceso est mal configurado. Cuando se usa el protocolo UDP (Unidad de Datos de Protocolo) que no esta orientado a conexin. (Bertoln, 2008)

3. Envenenamiento ARP o suplantacin de ARP (ARP poisong) Funcionamiento Su propsito es poder capturar trfico ajeno sin necesidad de falsificar la interfaz de red. Envenenando la tabla de ARP de los equipos involucrados en la comunicacin que se quiere capturar se puede conseguir que el conmutador les haga llegar los paquetes. Si el engao es posible, cuando las dos mquinas empiecen la comunicacin enviaran sus paquetes hacia la mquina donde est el sniffer. ste, para no descubrir el engao, se encargar de encaminar el trfico que ha interceptado. En la siguiente figura se puede ver cmo la mquina C se coloca entre dos mquinas (A y B) y les enva paquetes de tipo arp-reply:

De esta forma, toda comunicacin entre las mquinas A y B pasar por la mquina C (ya que tanto A como B dirigen sus paquetes a la direccin MAC 0C:0C:0C:0C:0C:0C). El flujo de arp-reply ser constante, para evitar que la tabla de ARP de las mquinas A y B se refresque con la informacin correcta. Este proceso corresponde al

envenenamiento de ARP. A partir del momento en que el envenenamiento se haga efectivo, los paquetes enviados entre A y B irn encaminados a C. (Alfaro, 2012)

Caracteristica o defecto que aprovecha

-

Ausencia absoluta de autenticacin en el protocolo. Una mquina modificar su comportamiento acorde con los paquetes ARP recibidos, sin poder determinar de ningn modo la autenticidad de los mismos.

Cachs sujetas a alteraciones externas. Es posible modificar los contenidos de una cach ARP tan slo con construir y enviar una peticin o respuesta adecuada.

Actualizacin de las cachs a iniciativa externa. Con la tcnica de ARP gratuito, una mquina puede actualizar las cachs ARP del resto en cualquier momento. (webcache.googleusercontent.com)

Bajo que circunstancias es posible realizarse Un ataque de este tipo se produce en las siguientes condiciones: La mquina atacante, conociendo las direcciones IP de los dos nodos cuyas comunicaciones se quieren intervenir, resuelve mediante ARP, si es necesario, las direcciones MAC que les corresponden. Bien mediante respuestas ARP o mediante la tcnica de ARP gratuito, el atacante modifica el contenido de las cachs de las vctimas de forma que para la direccin IP de su interlocutor se corresponda la direccin MAC real del atacante. Cada vez que alguno de los nodos quiera enviar informacin al otro, resolver la direccin MAC del mismo mediante su cach de ARP previamente envenenada, enviando as el trfico al atacante en vez de al destinatario real. El switch enviar las tramas por la boca del destinatario, que en este caso es el atacante. ste las recibir y las pasar a la aplicacin adecuada, que puede ser un sniffer que capture todo el trfico. Al estar todas las tramas destinadas a su direccin MAC, no es necesario que la tarjeta de red se encuentre en modo falsificado.

El atacante reenviar el contenido de las tramas al destinatario real. La nica diferencia entre la trama original y la modificada es, en un principio, la direccin Ethernet del destinatario, que vara de la del atacante a la de una de las vctimas. (webcache.googleusercontent.com)

4. Snork Funcionamiento Se basa en la denegacin de servicio cuando se hace el envo de un datagrama especial al ordenador de destino, que una vez reconocido, enviar una respuesta al equipo de origen.

Caracteristica o defecto que aprovecha El ataque snork se basa en el uso malintencionado se dos tipos de servicio de Unix: el servicio CHARGEN (CHARarcter GENerator- Generador de Caracteres) y el servicio ECHO. CHARGEN: Se limita a responder con una serie aleatoria de caracteres a las peticiones que recibe. ECHO: Se usa como un mtodo de pruebas para comprobar el funcionamiento del protocolo IP. (Alfaro, 2012)

Bajo que circunstancias es posible realizarse

Este tipo de ataques es posible realizarse cuando se hace un cruce entre los servicios ECHO y CHARGEN, mediante el envo de una peticin falsa al servicio CHARGEN, habiendo colocado previamente como direccin de origen la direccin IP de la mquina que hay que atacar (con el puerto del servicio ECHO como puerto de respuesta). De esta forma, se inicia un juego de ping-pong infinito.

ste ataque puede realizarse con diferentes pares de equipos de la red logrando un consumo masivo de ancho de banda hasta degradar el rendimiento de la misma. Adems se puede efectuar contra una misma mquina (ella misma se enva una peticin y su respuesta) logrando consumir los recursos (CPU y memoria) de este equipo. (Alfaro, 2012)

5. TRIN00 Funcionamiento TRIN00 es un conjunto de herramientas master-slave utilizadas para sincronizar distintos equipos que cooperaran, de forma distribuida, en la realizacin de una denegacin de servicio. El primer paso para realizar un ataque con TRIN00 consiste en la instalacin de las herramientas en los equipos desde los que partir el ataque. Para ello, el atacante necesitar obtener privilegios de administrador en estos equipos (que habr conseguido mediante tcnicas de sniffing, explotacin de servicios, etc.). Estos sistemas deberan ser equipos interconectados en grandes redes corporativas con un gran ancho de banda y en los que el origen del ataque pudiera pasar desapercibido entre cientos o millares de sistemas dentro la misma red. El atacante tratar de realizar un ataque de intrusin a un primer equipo de estas redes, desde donde continuar con la bsqueda de nuevos equipos vulnerables y proceder a su infeccin de igual manera como se realiz con el primer equipo. En la siguiente figura se puede observar el diagrama de tres capas que conforma un ataque ejecutado mediante TRIN00. Y cmo a partir de un nico ordenador, el atacante

podr llegar a obtener toda una red de equipos a su disposicin para la realizacin del ataque distribuido (Alfaro, 2012):

Caracteristica o defecto que aprovecha El atacante debe tener conocimiento de los bugs del sistema (buffer overflow) o

mediante tcnicas de sniffing con explotacin de servicios. (amayac.zxq.net) Bajo que circunstancias es posible realizarse La comunicacin entre las distintas capas es posible realizarse mediante conexiones TCP (fiables) para la parte atacante-master, y conexiones UDP (no fiables) para la parte master-save y slave-master, en puertos especficos para cada mquina. (Alfaro, 2012)

Ejercicio 2: a) Explique con sus propias palabras, en que consiste un desbordamiento de la pila de ejecucin. La pila es una estructura de datos que mantiene registro de punto deben devolver las subrutinas de un programa de control cuando termine de ejecutar. Las direcciones de retorno son empujados en la pila como las subrutinas son que se invoca, cuando la subrutina termina su ejecucin la direccin de retorno es tirado de la pila. Si hay muchas subrutinas y no hay espacio en la pila ocurre un desbordamiento de pila. Tambin en la pila est diseado para almacenar variables locales por lo que si una variable local es demasiado grande, es ms probable la pila no tiene espacio para guardarlo, si este es el caso de un desbordamiento de pila sucede demasiado. En el diagrama se est representando la estructura de una pila cuando un DrawLine subrutina se llama desde otra subrutina llamada DrawSquare.

Desbordamiento de la pila: se produce cuando se utiliza demasiada memoria en la pila de llamadas. En muchos lenguajes de programacin, la pila de llamadas contiene una cantidad limitada de memoria, generalmente determinado al principio del programa. Generalmente hay dos situaciones, cuando esto sucede:

La primera es cuando tienes un error en el cdigo, provocando un bucle recursivo sin una salida. Por ejemplo, una propiedad de lectura de s mismo: public int Length { get { return Length; } } La segunda es cuando se tiene un bucle recursivo que es demasiado profundo. Como el espacio de la pila es limitado, slo puede anidar un algoritmo un nmero determinado de veces. Si est anidado su algoritmo demasiado profundo as que sale del espacio de la pila antes de que exista, obtendr un desbordamiento de pila. Por ejemplo: public bool Odd(int value) { if (value == 0) { return false; } else { return !Odd(value - 1); } } Si llama a este mtodo con un valor demasiado grande, se anidamiento es demasiado profundo y pueden provocar un desbordamiento de pila. (es.softuses.com, 2013)

b) los ataques por desbordamiento de la pila de ejecucin dependen de la arquitectura del sistema atacado? Razone su respuesta.

Mas que a la arquitectura del sistema atacado se debe a deficiencias que dejan un agujero en la seguridad, que se convierten en vulnerabilidades. (www.docstoc.com) Aunque para llevar a cabo un desbordamiento es necesario conocer muy bien la arquitectura del sistema en el que se esta ejecutando el programa as como su sistema operativo adems de ciertos conocimientos avanzados para poder realizar el desbordamiento. (Alfaro, 2012)

c) Busque en internet 5 vulnerabilidades relacionadas con el desbordamiento de la pila de ejecucin que afecte al software apache 2. Enumrelas y describa brevemente la problemtica de cada vulnerabilidad. 1. CVE-2004-0786 Las rutinas de anlisis de URI IPv6 en la biblioteca de apr-util para Apache 2.0.50 y anteriores permite a atacantes remotos provocar una denegacin de servicio (cada proceso hijo) a travs de un URI determinado, como se ha demostrado con la herramienta Codenomicon HTTP Test. (www.cve.mitre.org) 2. CVE-2004-0747 Desbordamiento de bfer en Apache 2.0.50 y anteriores permite a usuarios locales conseguir privilegios a travs de un archivo de apache. Htaccess que causa el desbordamiento durante la expansin de variables de entorno. (www.cve.mitre.org) 3. CVE-2004-0751 La funcin char_buffer_read en el mdulo mod_ssl de Apache 2.x, cuando retrocede el proxy a un servidor SSL, permite a atacantes remotos provocar una denegacin de servicio (fallo de segmentacin).(www.cve.mitre.org) 4. CVE-2004-0748 mod_ssl de Apache 2.0.50 y anteriores permite a atacantes remotos provocar una denegacin de servicio (consumo de CPU) por abortar una conexin SSL de una manera que hace que un proceso hijo Apache para entrar en un bucle infinito. (www.cve.mitre.org) 5. CVE-2011-3192 El filtro ByteRange en el Servidor HTTP Apache 1.3.x, 2.0.x por 2.0.64, 2.2.19 y 2.2.x travs permite a atacantes remotos provocar una denegacin de servicio (la memoria y el consumo de CPU) a travs de una cabecera Range que expresa mltiple superposicin de rangos, como explotados en la naturaleza. (Pearanda, 2012)

Ejercicio 3: a) Realice una exploracin de puertos TCP una y otro UDP de una mquina del aula de simulacin con Nmap. (utilice Linux para hacer las pruebas). Indique las instrucciones utilizadas y comente brevemente los resultados obtenidos. b) Escriba qu instruccin utilizara a fin de que el Nmap muestre el estado de los servicios HTTP (puerto TCP/80) en las mquinas que cuelgan de la red del aula de simulacin. Comente brevemente los resultados obtenidos c) Inicie el servicio FTP de su mquina Linux. Utilizar un sniffer de red (por ejemplo ethereal o wireshark), para que se capture los paquetes TCP que circulan a travs de la interfaz 'loopback' de su mquina. A continuacin, realice una conexin TCP al servicio FTP local y valdese. Haga un esquema indicando el intercambio de mensajes y la informacin transmitida. d) Utilice un sniffer de red (por ejemplo ethereal o wireshark) para que capture los paquetes UDP que ciculan a travs de la interfaz 'loopback' de su mquina. A continuacin, realice una exploracin de puerto (solamente uno) UDP donde sepa que tiene un servicio funcionando y la exploracin de otro puerto UDP donde sepa que no hay ningn otro servicio funcionamiento. Para cada uno de las exploraciones realizadas se pide: 1) Muestre los parmetros del comando Nmap utilizado. 2) Reconstruya el intercambio de mensajes entre Nmap y el puerto explorado. 3) Comente cmo Nmap interpreta el resultado de estas capturas con el fin de determinar si sobre el puerto explorado funciona algn servicio o no.

Nota: utilizar la opcin '-P0' para evitar que Nmap genere mensajes previos intentando determinar si la mquina se encuentra activa o no. e) Inicie el servidor web Apache en su mquina virtual y realcele un anlisis de vulnerabilidad utilizando la herramienta Nessus. Muestre y comente el resultado de su exposicin (solamente aquello referente en el puerto TCP/80). REFERENCIAS BIBLIOGRFICAS:

Alfaro, J. G. (2012). Computacion, ciencia, tecnologa y multimedia. Recuperado el 19 de febrero de 2013, de Computacion, ciencia, tecnologa y multimedia: http://ocw.uoc.edu/computer-science-technology-and-multimedia/advancedaspects-of-network-security/advanced-aspects-of-networksecurity/P06_M2107_01769.pdf Bertoln, J. A. (2008). Seguridad de la informacin: redes, informtica y sistemas de informacin. En J. A. Bertoln, Seguridad de la informacin: redes, informtica y sistemas de informacin (pg. 170). Espaa: Parainfo. REFERENCIAS ELECTRNICAS: es.softuses.com. (2013). Recuperado el 24 de febrero de 2013, de es.softuses.com: http://es.softuses.com/152260 amayac.zxq.net. (s.f.). Recuperado el 21 de febrero de 2013, de amayac.zxq.net: http://amayac.zxq.net/unab/trin000.html seguridadinformaticaufps.wikispaces.com. (s.f.). Recuperado el 22 de febrero de 2013, de seguridadinformaticaufps.wikispaces.com: https://seguridadinformaticaufps.wikispaces.com/file/view/NESSUS+1150111.pdf webcache.googleusercontent.com. (s.f.). Recuperado el 21 de febrero de 2013, de webcache.googleusercontent.com: http://webcache.googleusercontent.com/search?q=cache:cyEFQ-dBDsJ:blackspiral.org/docs/arp_spoofing.html+cuando+ocurre+un+envenenamiento +arp&cd=4&hl=es&ct=clnk&gl=co www.cve.mitre.org. (s.f.). Recuperado el 22 de febrero de 2013, de www.cve.mitre.org: http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0786 www.cve.mitre.org. (s.f.). Recuperado el 22 de febrero de 2013, de www.cve.mitre.org: http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0747 www.cve.mitre.org. (s.f.). Recuperado el 22 de febrero de 2013, de www.cve.mitre.org: http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0751

www.cve.mitre.org. (s.f.). Recuperado el 22 de febrero de 2013, de www.cve.mitre.org: http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0751 www.cve.mitre.org. (s.f.). Recuperado el 22 de febrero de 2013, de www.cve.mitre.org: http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0748 www.docstoc.com. (s.f.). Recuperado el 22 de febrero de 2013, de www.docstoc.com: http://www.docstoc.com/docs/38767370/Aspectos-de-Seguridad-En-Redes www.vsantivirus.com. (s.f.). Recuperado el 19 de febrero de 2013, de

www.vsantivirus.com: http://www.vsantivirus.com/20vul.htm