Miguel Angel Molinero Alvarez

mmolinero@udc.es
Departamento de Computación
Universidade de A Coruña

Amenazas en redes GNU/Linux

Herramientas de seguridad para redes: recopilación de información y
análisis de tráfico

Ferramentas de seguridade en GNU/Linux

Curso de Extensión Universitaria

25 de xuño de 2008
 Índice de Contenidos

Seguridad en Sistema Informáticos

Amenazas a la seguridad
Tipos de ataques
Fundamentos de redes
Elementos de redes de computadores
Cómo obtener datos de la red
Cómo detectar sniffers
Herramientas
Conclusiones

2
Seguridad en Sistemas
Informáticos

3
 Seguridad en Sistemas Informáticos

Es un elemento fundamental para proteger las

estructuras organizativas de hoy en día.

La mejor arma para defendernos de ataques es

utilizar el sentido común en el diseño de sistemas y
contemplar todas las posibilidades: claves
robustas, cambio periódico de claves, formación
del personal, cuidado en la eleeción de nombres de
equipos, etc.

Una máxima: El sistema de seguridad no puede ser

más valioso que el sistema o los datos que protege.

4
 Seguridad en Sistemas Informáticos

La seguridad debe garantizar la

confidencialidad, la integridad y la
disponibilidad de los datos protegidos.

La mayor parte de los ataques exitosos son

debidos a Ingeniería Social total o parcialmente.

Kevin Mitnick es considerado el primer hacker que

la usó. (Doc: Freedom downtown)

5
 Seguridad en Sistemas Informáticos

Pocos ataques tienen éxito sin una preparación

previa: Infiltrado de programas, recopilación de
información sobre usuarios, claves, etc.

Un sistema de seguridad es tan fuerte como su

eslabón más débil.

Para poder defender nuestros sistemas, es

necesario conocer la forma en que los atacantes
actúan y cuáles son sus armas.

6
Amenazas a la seguridad

7
 Amenazas a la seguridad

Existen cuatro tipos de amenazas:

Interrupción: Hace que el objetivo del ataque

se pierda, quede inutilizable o no disponible.
Interceptación: Consiste en acceder a un
determinado objeto del sistema.
Modificación: Además de la interceptación, el
objeto del ataque es modificado.
Fabricación: Modificación destinada a suplantar
el objeto real.

8
 Amenazas a la seguridad

Origen de las amenazas

Personas: Piratas que buscan nivel de

privilegios en un sistema. Además de
conocimientos técnicos, usan tácticas como la
Ingeniería Social y el Basureo.
Personal de la organización: Cualquier
empleado puede ser una amenaza. Pueden causar
daños no intencionados, pero cuando lo hacen de
forma intencionada son extremadamente dañinos.
Ex-empleados: Pueden tener motivos para
atacar.
Curiosos: Aunque se trata de ataques no
destructivos, el borrado de huellas puede causar
daños.

9
 Amenazas a la seguridad

Origen de las amenazas:

Personas:
Crackers: Realizan ataques malignos con el
objetivo de utilizar, modificar o incluso destruir.
Terroristas: Ataques destructivos con ideologías
religiosas o políticas.
Intrusos remunerados: Es el grupo más
peligroso pero el menos habitual. Son piratas con
experiencia pagados por terceros para atacar a la
competencia empresarial, política, etc.

10
 Amenazas a la seguridad

Origen de las amenazas:

Amenazas Lógicas: Son todo tipo de

programas que de una forma u otra pueden
dañar nuestro sistema, ya sea
intencionadamente o por error.
Software incorrecto: Son la amenaza más
habitual. Programas con bugs que generan errores
en el sistema o que los intrusos pueden
aprovechar (exploits).
Herramientas de seguridad: Son armas de
doble filo. Las usa el administrador para detectar
fallos en los sistemas, pero también los atacantes
para recopilar información.
Puertas traseras: Son ‘atajos’ dejados por los
programadores para acelerar los procesos de
pruebas del software. 11
 Amenazas a la seguridad

Origen de las amenazas:

Amenazas Lógicas:

Bombas lógicas: Partes del código de ciertos

programas que permanecen inactivos hasta que
se cumple cierta condición (ausencia o presencia
de ciertos ficheros, fechas, etc.).
Canales de comunicación ocultos: Permiten
que un proceso transfiera información de forma
que viole la política de seguridad.
Virus: Son secuencias de código que se insertan
en un fichero ejecutable denominado huesped.
Gusanos (worms): Programas capaces de
ejecutarse y propagarse por sí mismos a través de
redes.
12
 Amenazas a la seguridad

Origen de las amenazas:

Amenazas Lógicas:

Caballos de Troya (Troyanos): Son

instrucciones de código escondidas en programa
que realizan funciones ocultas, generalmente
destinadas a tomar el control de un sistema (Por
ejemplo, rootkit).
Programas conejo (Bacterias): Son programas
que no hacen nada salvo reproducirse hasta
agotar los recursos del sistema.
Técnicas salami: Robo automatizado de
pequeñas cantidades de bienes de una gran
cantidad original.

13
 Amenazas a la seguridad

Origen de las amenazas:

Catástrofes: Sean naturales o artificiales,

constituyen la amenaza menos probable. La
defensa contra ellos se basa en recursos físicos
y diseño adecuado de la sede física de nuestros
sistemas.

Incendios
Inundaciones
Terremotos
Tormentas eléctricas
Temperaturas extremas

14
Tipos de ataques

15
 Tipos de ataques

Tipos de ataques:

Ingeniería Social: Manipular a las personas del

entorno para obtener acceso a los sistemas o
información fundamental para realizar ataques
técnicos.
Shoulder-surfing (‘mirar por encima del
hombro’): Relacionado con el control de acceso
físico. Consiste en espiar físicamente a los
usuarios descuidados.
Piggy-backing: Relacionado con el anterior.
Hoy en día hace referencia al uso de redes
wireless ajenas, pero su significado original era
el de ‘colarse’ en un lugar detrás de otra
persona.
16
 Tipos de ataques

Tipos de ataques:

Masquerading (Suplantación): Suplantación

electrónica o física de personas autorizadas para
acceder al sistema u obtener información
relevante sobre el mismo. El fishing podría
considerarse un tipo de suplantación

Basureo: Paradójicamente, uno de los ataques

más efectivos. Consiste en inspeccionar los
dehechos en papeleras, contenedores, etc.

Actos delictivos: Actos tipificados como delito

como la amenaza, el chantaje o el soborno.
17
Fundamentos de redes

18
 Fundamentos de redes

Protocolo TCP/IP

Nivel Aplicación
Nivel Aplicación: Es nivel que las aplicaciones
más comunes usan para comunicarse a través
de una red con otros programas.
Nivel Transporte
Incluye protocolos de alto nivel como HTTP
Nivel Internet
(Hyper Text Transfer Protocol), FTP (File
Transfer Protocol), etc.
Nivel Enlace

Nivel Físico

19
 Fundamentos de redes

Protocolo TCP/IP

Nivel
NivelAplicación
Aplicación

Nivel
NivelTransporte
Transporte Nivel Transporte: Los protocolos del nivel de
transporte se encargan de gestionar la
Nivel
Nivel Internet
Internet fiabilidad y el orden de recepción de los
paquetes enviados. También en este nivel se
Nivel
Nivel Enlace
Enlace
determina a qué aplicación (puerto) van
dirigidos los datos.
Nivel
Nivel Físico
Físico Existen dos protocolos fundamentales: TCP
(fiable y orientado a conexión) y UDP (sin
gestión de conexión).

20
 Fundamentos de redes

Protocolo TCP/IP

Nivel
NivelAplicación
Aplicación

Nivel
NivelTransporte
Transporte

Nivel
Nivel Internet
Internet
Nivel Internet: Este nivel se encarga de
transportar paquetes a través de una red
sencilla. Incluye el enrutamiento de paquetes a
Nivel
Nivel Enlace
Enlace
través de la red.
Nivel
Nivel Físico
Físico
El protocolo fundamental es el IP (Internet
Protocol) que permite asignar direcciones
únicas a los sistemas. Otros como ICMP
(Internet Control Message Protocol) pueden ser
considerados de este nivel a pesar de estar por
encima de IP.

21
 Fundamentos de redes

Protocolo TCP/IP

Nivel
NivelAplicación
Aplicación

Nivel
NivelTransporte
Transporte

Nivel
Nivel Internet
Internet

Nivel
Nivel Enlace
Enlace Nivel Enlace: Especifica cómo son
transportados los paquetes sobre el nivel físico,
incluyendo los delimitadores. Es dependiente
Nivel
Nivel Físico
Físico
del hardware de red que utilicemos (tarjeta de
red).
Podemos encontrar tecnologías como Ethernet,
ATM, token ring, etc.
A este nivel se corresponden las direcciones
MAC (Medium Access Control address).
22
 Fundamentos de redes

Protocolo TCP/IP

Nivel
NivelAplicación
Aplicación

Nivel
NivelTransporte
Transporte

Nivel
Nivel Internet
Internet

Nivel
Nivel Enlace
Enlace

Nivel
Nivel Físico
Físico Nivel Físico: Describe las características
físicas de la comunicación. Detalla los
conectores, código de canales y modulación,
potencias de señal, longitudes de onda,
temporización, etc.

23
 Fundamentos de redes

Protocolo TCP/IP

Sistema Origen Sistema Destino

Nivel Aplicación Nivel
NivelAplicación
Aplicación

Nivel Transporte Nivel

NivelTransporte
Transporte

Nivel Internet Nivel

Nivel Internet
Internet

Nivel Enlace Nivel

Nivel Enlace
Enlace

Nivel Físico Nivel Físico

Nivel Físico

Dir. MAC1 Dir. MAC2

Medio Físico
24
 Fundamentos de redes

Protocolo TCP/IP

Sistema Origen (Dir. IP1) Sistema Destino (Dir. IP2)

Dato X Dato X
Paquete X1 Paquete X2 Paquete X3

Dir. MAC1 Dir. MAC2

Medio Físico

25
 Fundamentos de redes

Protocolo TCP/IP

En la práctica, una máquina tiene dos direcciones:


Dirección IP (Nivel Internet): 192.168.100.1

Dirección MAC (Nivel Enlace): 12:34:56:78:9A:BC

26
 Fundamentos de redes

Protocolo TCP/IP

Sistema Origen Sistema Destino

Nivel
NivelAplicación
Aplicación Nivel
NivelAplicación
Aplicación

Nivel
NivelTransporte
Transporte Nivel
NivelTransporte
Transporte

Nivel
Nivel Internet
Internet Nivel
Nivel Internet
Internet

Nivel
Nivel Enlace
Enlace Nivel
Nivel Enlace
Enlace

Nivel
Nivel Físico
Físico Nivel Físico
Nivel Físico

Dir. MAC1 Dir. MAC2

Medio Físico

27
 Fundamentos de redes

Modo Promiscuo (Modo Monitor):

En modo promiscuo, una máquina intermedia

captura todos los paquetes que desecharía.
En lugar de limitar su recorrido al nivel de
enlace, los paquetes pueden pueden ser
procesados por aplicaciones en los niveles
superiores.

¡¡GRAN FUENTE DE INFORMACION!!

Las máquinas en modo promiscuo suelen copiar

cada paquete y ponerlo de nuevo en el medio
para que lleguen a su destino real.
28
 Fundamentos de redes

Modo Promiscuo (Modo Monitor):

Como herramienta de administración, el modo

promiscuo resulta muy útil para conocer que
paquetes atraviesan nuestra red.
Es especialmente útil en los routers que unen
varias redes: detectar errores, ataques, pérdida
de paquetes o actividades extrañas.
Como herramienta de ataque, permite obtener
datos de la red. Incluso es posible obtener datos
concretos de las aplicaciones de un equipo e
incluso nombres de usuario y passwords.
En Linux, podemos activar el modo promiscuo
simplemente haciendo:

sudo ifconfig <interfaz> promisc (-promisc)

29
 Elementos de redes de computadores

Elementos:
Hub: Extienden las redes LAN. Son
simplemente repetidores que envían TODOS los
paquetes por TODOS sus puertos conectados.
Switch: Son hubs avanzados. Son capaces de
reconocer direcciones MAC de los equipos
conectados a cada uno de sus puertos y
redirigir el tráfico a su correcto destinatario.
Router: Conecta subredes trabajando en el
niver internet. Es decir, es capaz de distribuir el
tráfico en base a direcciones IP. Además, es
capaz de ejecutar aplicaciones de control,
filtrado, etc. sobre los paquetes que distribuye.

30
Cómo obtener datos de la red

31
 Cómo obtener datos de la red

Capturando paquetes de red:

Es necesario estar en modo promiscuo y estar

conectado al mismo segmento de red que la
víctima.
Si el elemento que une las redes es un hub (que
actúa a nivel de enlace), no necesitamos
realizar ningún paso adicional.
En cambio, si es un router (que actúa a nivel de
red o nivel internet) sólo podremos engañarlo si
le saturamos o suplantamos la IP de la puerta
de enlace.

32
 Cómo obtener datos de la red

Capturando paquetes de red:

Si lo que tenemos es un switch, es posible

capturar paquetes de la red mediante ciertas
técnicas.

33
 Cómo obtener datos de la red

Capturando paquetes de red:

Un switch trabaja en el nivel de enlace,

habitualmente en modo hardware para ser más
rápido.

Los switches son la forma más común de

segmentar redes en subredes para mejorar su
rendimiento y su seguridad

No distingue los protocolos del nivel superior

(IP, IPX, Appletalk, etc. ) y por lo tanto toma
decisiones menos inteligentes que un router.

34
 Cómo obtener datos de la red

Capturando paquetes de red:

Habitualmente, funcionan en modo aprendizaje

(memorizar parejas MAC-puerto).
En este modo, crea una tabla con las
direcciones MAC de origen de los paquetes que
van pasando por él:
Si llega una nueva MAC de origen que no está en
sus tablas, la guarda junto con el número de
puerto por el que llegó.
Si llega una nueva MAC de destino que no está
en su tabla se reenvía por todos los puertos
menos por el que llegó.

35
 Cómo obtener datos de la red

Capturando paquetes de red:

Es posible configurar el modo de

funcionamiento del switch entre modo
aprendizaje o modo manual (la tabla de
direcciones debe crearse manualmente).

36
 Cómo obtener datos de la red

Engañando al switch: Saturando el switch

El switch tiene un espacio de memoria para

direcciones limitado.
Cuando la memoria se llena, es decir, cuando el
switch se satura, puede actuar de varias
maneras:
Enviar las tramas a todos los puertos.
Ignorar las direcciones que no estén en sus
tablas.
Enviar las tramas por puertos equivocados.
Reiniciarse.
La defensa contra este tipo de ataques consiste
en usar siempre el modo manual.
37
 Cómo obtener datos de la red

Engañando al switch: ARP redirect

Incluso estando en modo promiscuo, es posible

que no todos los paquetes lleguen a nuestra
máquina.
Podemos forzar esta situación haciendo creer al
resto de equipos de la subred que nuestra
máquina es la puerta de enlace de la red.
Para ello, podemos utilizar el paquete dsniff:
Este paquete contiene una serie de
herramientas para captura y análisis de
paquetes de una red.

38
 Cómo obtener datos de la red

Engañando al switch: ARP redirect

El comando arpspoof permite engañar a la red

enviando un paquete diciendo que la dirección
MAC de la puerta de enlace es precisamente
nuestra MAC.

Lograremos esto enviando paquetes ARP no

solititadas a nuestra victima/s:
sudo arpspoof -t <ip_victima> <ip_puerta_de_enlace>

39
 Cómo obtener datos de la red

Engañando al switch: ARP redirect

La víctima procesará este mensaje y tomarñá

nuestro equipo como puerta de enlace de la
red.
Este efecto es temporal, ya que la puerta de
enlace verdadera también enviará sus propios
paquetes.
Por defecto, Linux descarta todos los paquetes
que no son dirigidos a nosotros, así que para
que la víctima no pierda la conexíón, debemos
redirigir todos los paquetes a la puerta de
enlace original:
echo “1” > /proc/sys/net/ipv4/ip_forward
echo “0” > /proc/sys/net/ipv4/ip_forward (para desconectarlo)
40
 Cómo obtener datos de la red

Engañando al switch: Técnicas ICMP

ICMP sirve fundamentalmente para enviar

informaciones de control entre las máquinas.
ICMP Redirect: Sirve para decir a una máquina
que utilice una ruta (una puerta de enlace)
alternativa. De este modo, podriamos decir que
envíe todo su tráfico a nuestra máquina para que
podamos capturarlo.
ICMP Router Advertisements:Informa
directamente cuál es el router.
La mayoría de los sistemas no usan estos
paquetes ICMP. Incluso es posible encontrar el
puerto ICMP cerrado (Puerto 8) para paquetes
ICMP echo (ping).
41
 Cómo obtener datos de la red

Engañando al switch: Suplantar MAC de la vícitma

Para capturar el tráfico de una máquina o

subred concreta, podemos suplantar su
identidad.

Enviaremos al switch paquetes ARP en los que

hayamos cambiado nuestra MAC por la de la
víctima. Así, el switch asociará a nuestro puerto
todo el tráfico que vaya destinado a esa
máquina o subred.

42
 Cómo obtener datos de la red

Engañando al switch: Suplantar MAC de la vícitma

Sin embargo, este efecto es temporarl puesto

que la máquina real enviará también tramas al
switch:

Podemos hacer un ataque de Denegación de

Servicio (DoS) a la máquina objetivo.
Podemos robar todas las tramas enviando
paquetes que suplanten su MAC continuamente.
Los paquetes que recibamos para la víctima,
debe de serle reenviados.

43
 Cómo obtener datos de la red

Engañando al switch: usando un hub

Si tenemos acceso físico a la red, podemos

capturar todo su tráfico simplemente poniendo
un hub entre dos switches.
Esta técnica es tremendamente efectiva y muy
difícil de detectar.

¡¡LA SEGURIDAD FÍSICA ES MUY IMPORTANTE!!

44
Cómo detectar sniffers

45
 Cómo detectar sniffers

La idea es detectar equipos en la red que estén en

modo promiscuo.

La mayoría de las técnicas se basan en intentar

que el intruso se traicione a sí mismo
respondiendo a un mensaje al que nadie debería
responder.

46
 Cómo detectar sniffers

El método Ping: Consiste simplemente en

enviar una petición ICMP echo request, con una
dirección IP de destino correcta, y una
dirección MAC incorrecta.
Una máquina en modo promiscuo responderá
a este mensaje delatándose.
Algunos sniffers ya cuentan con protección
ante esto mediante filtrados de direcciones
MAC.

El método ARP: Similar al anterior pero con

paquetes ARP.

47
 Cómo detectar sniffers

Método de Decodificación: Consiste en

establecer varias conexiones en las que se
transmita sin cifrar el usuario y contraseña de
cuentas ficticias.
Luego, monitorizaremos dichas cuentas para
detectar si algún intruso las ha utilizado y por
tanto estaba a la escucha.

Medidas temporales: Existen otros métodos

basados en sobrecargar la red con muchos
paquetes, de modo que la máquina en modo
promiscuo se sobrecargue también. En este
caso podríamos descubrirla comparando los
tiempos de repuesta de ciertas peticiones (Por
ejemplo ping).
48
Herramientas

49
 Herramientas

Sniffers/Capturadores de Tráfico:
tcpdump:

Está formado por un conjunto de programas

cuya utilidad principal es analizar el tráfico que
circula por la red.

No suele instalarse por defecto con las

distribuciones Linux.

Ofrece múltiples opciones usando parámetros al

ejecutarlo: tamaño de paquetes capturados,
resolución de nombres de máquinas, redirección
a fichero de los resultados, etc.

Para ejecutarlo:
tcpdump -i <interfaz>
50
 Herramientas

Sniffers/Capturadores de Tráfico:
tcpdump:

Permite establecer filtros para determinar que

paquetes capturar en base a tres modificadores:

Tipo: Puede ser host (una máquina), net (una red)

o port (un puerto/protocolo).
tcpdump -i eth0 host este.uvigo.es
Dirección del flujo: Puede ser src (origen) o dst
(destino).
tcpdump -i eth0 src este.uvigo.es
Protocolo: Puede ser tcp, udp, ip, ether, arp, y
muchos otros.
tcpdump -i eth0 tcp

51
 Herramientas

Sniffers/Capturadores de Tráfico:
tcpdump:

Los filtros pueden combinarse mediante

conectores lógicos (and, or y not) para generar
filtros más complejos:

tcpdump -i eth0 tcp and host este.uvigo.es

tcpdump -i eth0 http or telnet
tcpdump -i eth0 tcp and (port 22 or port 23)

52
 Herramientas

Sniffers/Capturadores de Tráfico:
Wireshark (Antes Ethereal):

Es un analizador de tráfico de red OpenSource

de gran potencia.

Es un front (una interfaz) para tcpdump por lo

que sus funcionalidades son las de éste, más
algunas propias de la interfaz.

Proporciona poderosos filtros de captura y de

visualización así como estadísticas del tráfico de
red.

53
 Herramientas

Sniffers/Capturadores de Tráfico:
Wireshark:

Funcionalidades:

Opciones de captura.
Tres visualizaciones de los datos: resumido, por
protocolos y binario.
Muestra identificador, marca de tiempo, IP origen,
IP destino, protocolo e información extra.
Filtros de captura: Similares a tcpdump, pero
además permite acceso a bytes concretos del
paquete (icmp[0]==8).
Filtros de captura predefinidos.
Filtros de visualización con acceso a bytes
concretos (tcp.flags).
Estadísticas detalladas: por protocolos y
conversaciones.
54
 Herramientas

Sniffers/Capturadores de Tráfico:
Wireshark:

Paquetes TCP:

src > dst:flags [dataseq ack window urgent options]

src: Dirección y puerto de origen.

dst: Dirección y puerto de destino
flags: Dan información de control y tipo del
paquete
ack: Indica el número siguiente de secuencia
que espera recibir en una comunicación.

este.uvigo.es.2 > servidor.uvigo.es.22: . ack 2

55
 Herramientas

Sniffers/Capturadores de Tráfico:
Wireshark:

Paquetes UDP:

src.srcport > dst.dstport: udp len

src: Nombre o dirección de origen

srcport: Puerto de origen
dst: Nombre o dirección de destino
dstport: Puerto de destino
len: Longitud de los datos del usuario

192.168.100.11.1050 > 192.168.100.33: udp 121

56
 Herramientas

Escaneado de puertos:
NMap: Es probablemente una de las
herramientas más completas para escanear
redes.

Normalmente se instala por defecto en todas las

distribuciones de Linux.

Se basa en el intercambio y análisis de paquetes

TCP con las máquinas objetivo.

Es capaz de reconocer el Sistema Operativo de

una máquina, los servicios que están activos y
las versiones de los mismos.

57
 Herramientas

Escáneado de puertos:
NMap:

Es muy sigiloso y difícil de detectar.

Como herramienta de administración, permite

encontrar vulnerabilidades antes que los
atacantes.

Usa una base de datos de ‘huellas’

(OSfingerprint) para identificar remotamente el
Sistema Operativo.

58
 Herramientas

Escáneado de puertos:
NMap:
Técnica Básica:

Nuestro Sistema
Intento de conexión TCP (Flag SYN)
NMap

Sistema Objetivo
IP: 192.168.100.1
Puerto 8

59
 Herramientas

Escáneado de puertos:
NMap:
Técnica Básica:

Nuestro Sistema
Si no hay servicio devuelve Flag RST
NMap

Sistema Objetivo
IP: 192.168.100.1
Puerto 8

¡Sabemos que ese puerto está cerrado!

60
 Herramientas

Escáneado de puertos:
NMap:
Técnica Básica:

Nuestro Sistema
Si hay servicio envía Flags SYN y ACK
NMap

Sistema Objetivo
IP: 192.168.100.1
Puerto 8

61
 Herramientas

Escáneado de puertos:
NMap:
Técnica Básica:

Nuestro Sistema
Envía un ACK que estable la conexión
NMap

Sistema Objetivo
IP: 192.168.100.1
Puerto 8

62
 Herramientas

Escáneado de puertos:
NMap:
Técnica Básica:

Nuestro Sistema
Envía un RST que cierra conexión
NMap

Sistema Objetivo
IP: 192.168.100.1
Puerto 8

¡Sabemos que ese puerto está abierto y tiene un servicio escuchando!

Pero... Saben que hemos estado ahí :(

63
 Herramientas

Escáneado de puertos:
NMap:
Técnica Sigilosa:

Nuestro Sistema
Intento de conexión TCP (Flag SYN)
NMap

Sistema Objetivo
IP: 192.168.100.1
Puerto 8

64
 Herramientas

Escáneado de puertos:
NMap:
Técnica Sigilosa:

Nuestro Sistema
Si hay servicio envía Flags SYN y ACK
NMap

Sistema Objetivo
IP: 192.168.100.1
Puerto 8

65
 Herramientas

Escáneado de puertos:
NMap:
Técnica Sigilosa:

Nuestro Sistema
Envía un RST que cierra conexión
NMap

Sistema Objetivo
IP: 192.168.100.1
Puerto 8

¡Sabemos que ese puerto está abierto y tiene un servicio escuchando!

Y al no haber conexión, no hay registro :)

66
 Herramientas

Escáneado de puertos:
NMap:
Usando paquetes especialmente manipulados
(FIN, XMAS y NULL) con combinaciones no
conocidas de Flags, NMap averigua de qué
Sistema Operativo se trata en base a la
respuesta obtenida.

Por Ejemplo: Los sistemas Windows, ante un

paquete de petición de conexión desconocido,
resetean la conexión. Los sistemas Linux ignoran
el paquete y no dan respuesta.

67
 Herramientas

Escáneado de puertos:
NMap:

Ping Scan (-sP): Muestra todas las máquinas que

responden a un ping en un rango dado.

Escaneados básicos (-sT y -sS): Se escanea

usando conexión TCP completa o sigilosa
respectivamente.

Escaneados con paquetes imposibles (-sF, -sN y

-sX): Se utilizan los paquetes FIN, Null y Xmas
para determinar la información del objetivo.

68
 Herramientas

Escáneado de puertos:
NMap:

Idle Scanning (-sI): Es una forma de escanear

muy sigilosa. Se base en predecir los
identificadores que se asignaran a cada nuevo
paquete IP. Se realiza suplantando a otra
máquina que se conoce como zombie. Un
análisis del ataque tomará al zombie como el
causante.

Detección de versión (-V): Intenta averiguar la

versión del servicio.

Completo (-A): Activa la detección de versión y

el OSfingerprint.
69
 Herramientas

Otras Aplicaciones:

Ettercap: Otro capturador analizador de

paquetes.

Aircrack: Suite completa para descifrar claves

WEP de redes wireless.

Superscan: Potente (aunque no tanto como

nmap) escaneador de puertos.

70
 Conclusiones

Existen herramientas tan potentes que la

seguridad mediante la oscuridad mediante la falta
de información, no es eficiente.

El cifrado de los datos es fundamental en la

seguridad de los sistemas informáticos.

71
Miguel Angel Molinero Alvarez
mmolinero@udc.es
Departamento de Computación
Universidade de A Coruña

Amenazas en redes GNU/Linux

Herramientas de seguridad para redes: recopilación de información y
análisis de tráfico

Ferramentas de seguridade en GNU/Linux

Curso de Extensión Universitaria

25 de xuño de 2008