ESPECIALIZACION TECNOLOGÍCA ENSEGURIDAD EN REDES DE COMPUTADORES

HEIDY SALCEDO LEON

FICHA 1750311

TEMA

COMANDO NMAP

INSTRUCTOR

RONAL ALEXIS MARTINEZ CERON

SENA

CENTRO DE GESTION AGROEMPRESARIAL DEL ORIENTE VELEZ

22 abril de 2019
 INTRODUCCION

El análisis de las normas de seguridad y las capas TCP, en los sistemas de seguridad
informática y el análisis de escaneo de los puertos.

Nmap comenzó como un analizador de puertos eficiente, aunque ha aumentado su

funcionalidad a través de los años, aquella sigue siendo su función primaria. La sencilla orden
Nmap <objetivo> analiza más de 1660 puertos TCP del equipo <objetivo>. Aunque muchos
analizadores de puertos han agrupado tradicionalmente los puertos en dos estados: abierto o
cerrado, Nmap es mucho más descriptivo. Se dividen a los puertos en seis estados distintos:
abierto, cerrado, filtrado, no filtrado, abierto filtrado, o cerrado filtrado.

Estos estados no son propiedades intrínsecas del puerto en sí, pero describen como los ve
Nmap. Por ejemplo, un análisis con Nmap desde la misma red en la que se encuentra el
objetivo puede mostrar el puerto 135/tcp como abierto, mientras que un análisis realizado al
mismo tiempo y con las mismas opciones, pero desde Internet, puede presentarlo como
filtrado.

OBJETIVOS

Identificar cuales sistemas están activos para luego identificar aquellos puertos abiertos
en búsqueda de posibles vulnerabilidades

Identificación de hosts de la red, por ejemplo, enlistando los que responden a un ping o tienen cierto
puerto abierto.

Detección del sistema operativo y alguna característica del hardware de la red

Actividades a desarrollar

Para el desarrollo de la Tarea 1 - Interpretación del modelo de seguridad X.800 de la UIT, es

necesario que el estudiante revise el material de estudio correspondiente a la unidad 1 ubicado
en el entorno de conocimiento.

Cada estudiante debe resolver:

1. De acuerdo al modelo de referencia TCP/IP, diligenciar la siguiente tabla.

Nombre de la Función Protocolos Explicación

capa involucrados
APLICACIÓN Representa los HTTP Aquí se transmite la
datos a los TELNET información por el
usuarios FTP medio físico (cable,
RIP etc.).
RSH Es independiente del
RCP hardware. Da igual
 NFS que tipo de cable se
NIS utilice. El dato llegará
DNS igual.
LDAP Datos: proceso en
TFTP donde el mensaje se
SNMTP entrega en formato a
SNMP la siguiente capa.
TRANSPORTE Permite la TCP Es quien envía o
comunicación UDP recibe los datos y en
entre dispositivos SCTP su caso comprueba
de diferentes que la información
redes haya llegado en el
orden adecuado
Los protocolos que
funcionan en esta
capa son:

TCP ->Se encarga de

comprobar que los
datos que se reciben
son correctos. Para
ello se establece una
conexión entre el
emisor y el receptor
que garantiza que la
información sea
correcta y si no lo es
se vuelve a solicitar.
Envía los datos en
paquetes (paquete
top). Esta
comunicación se hace
entre una "oreja" que
escucha y una "boca"
que transmite
llamados sockets.

UDP ->Se encarga de

enviar una
determinada
información. No se
establecen
conexiones por lo que
no se garantiza que la
información llegue.
Funciona como la
tele. Se emiten
"señales" a los que se
llama paquetes id y
no se tiene constancia
desde el emisor de si
alguien ha recibido.
Segmentos: los datos
se dividen en
segmentos TCP
donde se le otorga
una etiqueta que
contiene los procesos
que deben ejecutar
además de la
 información para re
ensamblarla.
INTERNET Determina la IP En situaciones en las
mejor ruta a ARP que los dos
través de la red RARP dispositivos estén
ICPM conectados a redes
IPv4 diferentes, se
IPv6 necesitan una serie
de procedimientos
para permitir que los
datos atraviesen las
diferentes redes
interconectadas.

Los protocolos que

funcionan en esta
capa son:

IP -> protocolo que

lleva el dato de un
nodo a otro.
Encuentra el camino
para llegar aunque
tenga que enrutar
entre redes. Si es
físicamente posible
siempre llega. Envía
la información en
datagramas
(paquetes ip)

ARP -> Protocolo que

averigua la Mac de
destino a partir de la
ip

RARP -> Protocolo

que averigua la IP a
partir de la Mac

ICMP ->Cuando un
usuario envía
datagramas a un
equipo remoto y este
no los recibe o los
recibe mal por
diversas
circunstancias el
protocolo ICMP se
encargará de enviar
un mensaje de error
al host de origen
Paquetes: aquí los
segmentos TCP se
encapsulan de un
paquete IP, donde se
asignan un
encabezado en cual
contiene la dirección
IP de cada host.
 ACCESO A LA Controla los ETHERNET Tramas: aquí el
RED dispositivos FAST- ETHERNET paquete IP se
hardware y los SLIP & PPP encapsula en una
medios de red FDDI trama la cual contiene
ATM, FRAME la información de la
RELAY Y SMDS dirección física
PROXY ARP (dirección MAC).
RARP

2. Elaborar un mapa mental que resuma los servicios y mecanismos de seguridad de la

recomendación X.800 de la unión internacional de telecomunicaciones. Para ello puede hacer
uso de la siguiente herramienta online gratuita gocongr, o cualquier aplicación en línea.

3. Elaborar un resumen con los tipos de ataques más comunes en redes TCP/IP.

La última década ha sido testigo del cambio de paradigma en el que los hackers buscan
explotar vulnerabilidades dentro de las organizaciones y las infraestructuras nacionales. Con
el fin de contrarrestar, todos tenemos que cambiar nuestra perspectiva hacia la forma en que
percibimos la seguridad, conocer ciertos ataques y cómo podemos aprender de los mismos
para estar lo mejor preparados posibles, ya que no es posible decir en seguridad “preparados”
a secas.

ACTIVOS
Producen cambios en la información.

PASIVOS
Registran el uso de los recursos y/o acceden a la información del sistema.

Vulnerabilidad en los sistemas: detección de fallas en los sistemas para desarrollo de

herramientas de “ataque” conocidas como “exploits”

Algunas de las fuentes de amenazas más comunes en el ámbito de sistemas de información son:

Malware o código malicioso: permite realizar diferentes acciones a un atacante. Desde ataques
genéricos mediante la utilización de troyanos, a ataques de precisión dirigidos, con objetivos
específicos y diseñados para atacar a un dispositivos, configuración o componente específico de
la red.
Ingeniería social: Utilizan técnicas de persuasión que aprovechan la buena voluntad y falta de
precaución de la víctima para obtener información sensible o confidencial. Los datos así
obtenidos son utilizados posteriormente para realizar otro tipo de ataques, o para su venta.

APT o Amenazas Persistentes Avanzadas (Advanced Persistent Threats): son ataques

coordinados dirigidos contra una empresa u organización, que tratan de robar o filtrar información
sin ser identificados. Se suelen ayudar de técnicas de ingeniería social y son difíciles de detectar.

Botnets: conjunto de equipos infectados que ejecutan programas de manera automática y

autónoma, que permite al creador del botnet controlar los equipos infectados y utilizarlos para
ataques más sofisticados como ataques DDoS.

Redes sociales: el uso no controlado de este tipo de redes puede poner en riesgo la reputación
de la empresa.

Servicios en la nube: una empresa que contrate este tipo de servicios tiene que tener en cuenta
que ha de exigir los mismos criterios de seguridad que tiene en sus sistemas a su proveedor de
servicios. Se ha de asegurar de contratarlos con empresas cuya seguridad este demostrada, y
firmar SLA o ANS (Acuerdos de Nivel de Servicio) en los que quede definida la seguridad que
necesita la empresa.

La diferencia entre vulnerabilidad y amenaza es muy interesante, aunque son términos que se
confunden a menudo. Veamos cómo se definen:

Una vulnerabilidad (en términos de informática) es una debilidad o fallo en un sistema de

información que pone en riesgo la seguridad de la información pudiendo permitir que un atacante
pueda comprometer la integridad, disponibilidad o confidencialidad de la misma, por lo que es
necesario encontrarlas y eliminarlas lo antes posible. Estos «agujeros» pueden tener distintos
orígenes por ejemplo: fallos de diseño, errores de configuración o carencias de procedimientos.

Por su parte, una amenaza es toda acción que aprovecha una vulnerabilidad para atentar contra
la seguridad de un sistema de información. Es decir, que podría tener un potencial efecto
negativo sobre algún elemento de nuestros sistemas. Las amenazas pueden proceder de
ataques (fraude, robo, virus), sucesos físicos (incendios, inundaciones) o negligencia y
decisiones institucionales (mal manejo de contraseñas, no usar cifrado). Desde el punto de vista
de una organización pueden ser tanto internas como externas.

Por tanto, las vulnerabilidades son las condiciones y características propias de los sistemas de
una organización que la hacen susceptible a las amenazas. El problema es que en el mundo
real, si existe una vulnerabilidad, siempre existirá alguien que intentará explotarla, es decir, sacar
provecho de su existencia.

Una vez que tenemos clara la diferencia entre amenaza y vulnerabilidad, es interesante introducir
el concepto de riesgo. El riesgo es la probabilidad de que se produzca un incidente de seguridad,
materializándose una amenaza y causando pérdidas o daños. Se mide asumiendo que existe
una cierta vulnerabilidad frente a una determinada amenaza, como puede ser un hacker, un
ataque de denegación de servicios, un virus… El riesgo depende entonces de los siguientes
factores: la probabilidad de que la amenaza se materialice aprovechando una vulnerabilidad y
produciendo un daño o impacto. El producto de estos factores representa el riesgo.

Algunas de las fuentes de amenazas más comunes en el ámbito de sistemas de información son:

Malware o código malicioso: permite realizar diferentes acciones a un atacante. Desde ataques
genéricos mediante la utilización de troyanos, a ataques de precisión dirigidos, con objetivos
específicos y diseñados para atacar a un dispositivos, configuración o componente específico de
la red.
Ingeniería social: Utilizan técnicas de persuasión que aprovechan la buena voluntad y falta de
precaución de la víctima para obtener información sensible o confidencial. Los datos así
obtenidos son utilizados posteriormente para realizar otro tipo de ataques, o para su venta.

APT o Amenazas Persistentes Avanzadas (Advanced Persistent Threats): son ataques

coordinados dirigidos contra una empresa u organización, que tratan de robar o filtrar información
sin ser identificados. Se suelen ayudar de técnicas de ingeniería social y son difíciles de detectar.

Botnets: conjunto de equipos infectados que ejecutan programas de manera automática y

autónoma, que permite al creador del botnet controlar los equipos infectados y utilizarlos para
ataques más sofisticados como ataques DDoS.

Redes sociales: el uso no controlado de este tipo de redes puede poner en riesgo la reputación
de la empresa.

Servicios en la nube: una empresa que contrate este tipo de servicios tiene que tener en cuenta
que ha de exigir los mismos criterios de seguridad que tiene en sus sistemas a su proveedor de
servicios. Se ha de asegurar de contratarlos con empresas cuya seguridad este demostrada, y
firmar SLA o ANS (Acuerdos de Nivel de Servicio) en los que quede definida la seguridad que
necesita la empresa.

Algunos incidentes pueden implicar problemas legales que pueden suponer sanciones
económicas y daños a la reputación e imagen de la empresa. Por eso, es importante conocer los
riesgos, medirlos y evaluarlos para evitar en la medida de lo posible los incidentes, implantando
las medidas de seguridad adecuadas.

Podemos identificar los activos críticos de los sistemas de información que pueden suponer un
riesgo para la empresa, realizando un análisis de riesgos. Análisis que nos llevará a obtener una
imagen rigurosa de los riesgos a los que se encuentra expuesta nuestra empresa. Estas fases
son las siguientes:

¿La diferencia entre vulnerabilidad y amenaza es muy interesante, aunque son términos que se
confunden a menudo. Veamos cómo se definen:

 Una vulnerabilidad (en términos de informática) es una debilidad o fallo en un sistema

de información que pone en riesgo la seguridad de la información pudiendo permitir
que un atacante pueda comprometer la integridad, disponibilidad o confidencialidad de
la misma, por lo que es necesario encontrarlas y eliminarlas lo antes posible. Estos
«agujeros» pueden tener distintos orígenes por ejemplo: fallos de diseño, errores de
configuración o carencias de procedimientos.
 Por su parte, una amenaza es toda acción que aprovecha una vulnerabilidad para
atentar contra la seguridad de un sistema de información. Es decir, que podría tener un
potencial efecto negativo sobre algún elemento de nuestros sistemas. Las amenazas
 pueden proceder de ataques (fraude, robo, virus), sucesos físicos (incendios,
inundaciones) o negligencia y decisiones institucionales (mal manejo de contraseñas,
no usar cifrado). Desde el punto de vista de una organización pueden ser tanto internas
como externas.

Por tanto, las vulnerabilidades son las condiciones y características propias de los sistemas de
una organización que la hacen susceptible a las amenazas. El problema es que en el mundo
real, si existe una vulnerabilidad, siempre existirá alguien que intentará explotarla, es decir, sacar
provecho de su existencia.
Una vez que tenemos clara la diferencia entre amenaza y vulnerabilidad, es interesante introducir
el concepto de riesgo. El riesgo es la probabilidad de que se produzca un incidente de seguridad,
materializándose una amenaza y causando pérdidas o daños. Se mide asumiendo que existe
una cierta vulnerabilidad frente a una determinada amenaza, como puede ser un hacker, un
ataque de denegación de servicios, un virus… El riesgo depende entonces de los siguientes
factores: la probabilidad de que la amenaza se materialice aprovechando una vulnerabilidad y
produciendo un daño o impacto. El producto de estos factores representa el riesgo.

Algunas de las fuentes de amenazas más comunes en el ámbito de sistemas de información son:

 Malware o código malicioso: permite realizar diferentes acciones a un atacante. Desde

ataques genéricos mediante la utilización de troyanos, a ataques de precisión dirigidos,
con objetivos específicos y diseñados para atacar a un dispositivos, configuración o
componente específico de la red.
 Ingeniería social: Utilizan técnicas de persuasión que aprovechan la buena voluntad y
falta de precaución de la víctima para obtener información sensible o confidencial. Los
datos así obtenidos son utilizados posteriormente para realizar otro tipo de ataques, o
para su venta.
 APT o Amenazas Persistentes Avanzadas (Advanced Persistent Threats): son ataques
coordinados dirigidos contra una empresa u organización, que tratan de robar o filtrar
información sin ser identificados. Se suelen ayudar de técnicas de ingeniería social y
son difíciles de detectar.
 Botnets: conjunto de equipos infectados que ejecutan programas de manera
automática y autónoma, que permite al creador del botnet controlar los equipos
infectados y utilizarlos para ataques más sofisticados como ataques DDoS.
 Redes sociales: el uso no controlado de este tipo de redes puede poner en riesgo
la reputación de la empresa.
 Servicios en la nube: una empresa que contrate este tipo de servicios tiene que tener
en cuenta que ha de exigir los mismos criterios de seguridad que tiene en sus sistemas
a su proveedor de servicios. Se ha de asegurar de contratarlos con empresas cuya
 seguridad este demostrada, y firmar SLA o ANS (Acuerdos de Nivel de Servicio) en los
que quede definida la seguridad que necesita la empresa.

Algunos incidentes pueden implicar problemas legales que pueden suponer sanciones
económicas y daños a la reputación e imagen de la empresa. Por eso, es importante conocer los
riesgos, medirlos y evaluarlos para evitar en la medida de lo posible los incidentes, implantando
las medidas de seguridad adecuadas.
Podemos identificar los activos críticos de los sistemas de información que pueden suponer un
riesgo para la empresa, realizando un análisis de riesgos. Análisis que nos llevará a obtener una
imagen rigurosa de los riesgos a los que se encuentra expuesta nuestra empresa.
Estas fases son las siguientes:

Este análisis nos servirá para averiguar la magnitud y la gravedad de las consecuencias del
riesgo a la que está expuesta nuestra empresa y, de esta forma, gestionarlos adecuadamente.
Para ello tendremos que definir un umbral que determine los riesgos asumibles de los que no lo
son. En función de la relevancia de los riegos podremos optar por:

 Evitar el riesgo eliminando su causa, por ejemplo, cuando sea viable optar por no
implementar una actividad o proceso que pudiera implicar un riesgo.
 Adoptar medidas que mitiguen el impacto o la probabilidad del riesgo a través de
la implementación y monitorización de controles.
 Compartir o transferir el riesgo con terceros a través de seguros, contratos etc.
 Aceptar la existencia del riesgo y monitorizarlo.

1. Ataque DoS
En un ataque de denegación de servicio (DoS), un atacante intenta evitar la legitimidad
de que los usuarios accedan a información o al servicios.
El tipo más común y obvio de ataque DoS ocurre cuando un atacante "inunda" una red
con información. Cuando escribimos una URL de un sitio web en particular en nuestro
navegador, estamos enviando una solicitud al servidor web del sitio para poder ver la
página en concreto. El servidor solo puede procesar una cierta cantidad de solicitudes
de una vez, por lo que si un atacante sobrecarga el servidor con solicitudes, no puede
procesarse dicha solicitud. Esto es una "denegación de servicio" ya que no se puede
acceder al sitio.

Síntomas DDoS

 Rendimiento de la red inusualmente lento (abrir archivos o acceder a sitios web)

 Indisponibilidad de un sitio web en particular
 Incapacidad para acceder a cualquier sitio web
 Aumento dramático en la cantidad de spam que recibimos
Tipos de ataques DoS:

1. ICMP Flood Attack

2. Tear Drop Attack

 Una serie de paquetes de datos se envían a la computadora destino con superposición

de valores de campo y cargas útiles de gran tamaño. Como resultado, el objetivo no
puede volver a ensamblar estos paquetes y se fuerza a que se bloquee o incluso a
reiniciar.

3. Smurf Attack

 El atacante envía una gran cantidad de solicitudes de eco ICMP a la dirección IP

Broadcast. Estas solicitudes ICMP tienen una dirección de origen falsificada de la
víctima. Por ello, si el dispositivo de enrutamiento entrega tráfico a esas direcciones de
difusión, entrega la transmisión IP a todos los hosts, la mayoría de las direcciones IP
envían un Mensaje de respuesta ECHO. Sin embargo, en una red de difusión de
acceso múltiple, cientos de computadoras podría responder a cada paquete cuando la
red objetivo se vea abrumada por todos los mensajes enviados simultáneamente. La
red no podrá funcionar con normalidad.

4. SYN Flood

 La inundación SYN envía una inundación de paquetes TCP / SYN, a menudo con un
remitente falsificado en dirección. Cada uno de estos paquetes se maneja como una
solicitud de conexión, causando al servidor una conexión semiabierta, mediante el
envío de un paquete TCP / SYN-ACK, y esperando un paquete en respuesta de la
dirección del remitente. Sin embargo, como la dirección del remitente está falsificada, la
respuesta nunca llega. Estos halfopen en conexiones, saturan la cantidad de
conexiones disponibles que el servidor puede hacer, evitando que responda a
solicitudes legítimas hasta después de que el ataque termine.

5. Land Attack

 El atacante envía un paquete TCP SYN falsificado en el que la dirección IP del objetivo
se completa en los campos de origen y destino. Al recibir el paquete falsificado, el
objetivo se confunde y se bloquea. Estos tipos de ataques son detectados por Anti-
virus.

6. Jolt Dos Attack

 Un atacante fragmenta el paquete ICMP de tal manera que el objetivo no puede volver
a armarlo, como consecuencia, el uso de la CPU aumenta y se crean cuellos de botella
y estrechamientos.

7. Fraggle Dos Attack

 El atacante envía una gran cantidad de tráfico de solicitudes de eco UDP a una
dirección IP de Difusión. Estos paquetes UDP tienen una dirección fuente falsificada de
la víctima prevista. Por ello, si el dispositivo de enrutamiento entrega tráfico a esas
direcciones, entrega la transmisión IP a todos los hosts, donde la mayoría de las
direcciones IP envían un mensaje de respuesta ECHO. Sin embargo, en una red de
difusión de acceso múltiple, cientos de computadoras pueden responder a cada
paquete cuando la red objetivo es abrumada por todos los mensajes enviados
simultáneamente, y la red será incapaz de trabajar con normalidad
2. Ping Flood

Ping flood se basa en enviar a la víctima una cantidad abrumadora de paquetes ping,
usualmente usando el comando "ping" de UNIX como hosts (el indicador -t en los sistemas
Windows tiene una función mucho menos maligna). Es muy simple de lanzar, el requisito
principal es tener acceso a un ancho de banda mayor que la víctima.

3. Ping de la muerte

El atacante envía un paquete ICMP de más de 65.536 bytes. Como el sistema operativo no
sabe cómo manejar un paquete tan grande, se congela o se cuelga en el momento de volver a
montarlo. Hoy en día, el sistema operativo descarta dichos paquetes por sí mismo. Pero debía
enumerar dicho ataque mítico (Otros muchos de esta lista están obsoletos, pero debían ser
enumerados)

 Distributed Denial of Service (DDos): En un ataque distribuido de denegación de

servicio (DDoS), un atacante puede usar su computadora para atacar a otra
computadora. Al aprovechar las vulnerabilidades o debilidades de seguridad, un
atacante podría tomar el control del PC / Servidor. Él o ella podría obligar al PC a
enviar grandes cantidades de datos a un sitio web o enviar correo no deseado a
direcciones de correo electrónico particulares. El ataque se "distribuye" porque el
atacante está utilizando varios PCs, incluida la suya, para lanzar el ataque de
denegación de servicio. Actualmente dichos ataques son lanzados desde las Botnet

¿Cómo prevenir ataques DDoS?

1. Aplicación de filtrado de enrutador

2. Bloquear direcciones IP sin usar
3. Permitir el acceso a la red solo al tráfico deseado
4. Deshabilitar servicios de red innecesarios
5. Actualización de antivirus regularmente
6. Tener una muy buena política de contraseñas
7. Limitar la cantidad de ancho de banda de la red
8. Uso de la red de filtrado de acceso

4. Escaneo de puertos

El escaneo de puertos es una de las técnicas de reconocimiento más populares que utilizan los
atacantes para descubrir los servicios expuestos a posibles ataques. Todas las máquinas
conectadas a una red de área local (LAN) o Internet ejecutan muchos servicios que escuchan
en puertos conocidos y no tan conocidos. Un escaneo de puertos ayuda al atacante a
encontrar qué puertos están disponibles (es decir, qué servicio podría estar enumerando un
puerto).
Esencialmente, un escaneo de puertos consiste en enviar un mensaje a cada puerto, uno a
uno. El tipo de respuesta recibida indica si el puerto está a la escucha y, por lo tanto, puede
probarse más detalladamente para detectar debilidad.

 Puertos conocidos (0 - 1023)

 Puertos registrados (1024 - 49151)
 Puertos dinámicos y / o privados (49152 - 65535)

5. ARP Spoofing

ARP Poison Routing (APR), es una técnica utilizada para atacar una red cableada o
inalámbrica de Ethernet. ARP Spoofing puede permitir que un atacante detecte frameworks de
datos en una red de área local (LAN), modifique el tráfico o detenga el tráfico por completo. El
ataque solo se puede usar en redes que realmente usan ARP y no en otro método de
resolución de direcciones.

La detección la realizamos mediante ARP inverso (RARP) que es un protocolo utilizado para
consultar la dirección IP asociada con una dirección MAC dada. Si se devuelve más de una
dirección IP, la clonación MAC está presente.

Tipos de ataques ARP Spoofing:

1. Ataque de inundación MAC:

 En un ataque típico de inundación MAC, un switch se inunda con paquetes, cada uno
con diferentes direcciones MAC de origen. La intención es consumir la memoria
limitada reservada en el switch para almacenar la tabla de traducción de puerto a físico
de MAC.
El resultado de este ataque hace que el switch ingrese a un estado llamado modo de
apertura fallida, en el cual todos los paquetes entrantes se emiten en todos los puertos
(como con un concentrador), en lugar de simplemente hacia abajo del puerto correcto
según la operación normal. Un usuario malintencionado podría utilizar un analizador de
paquetes (como Wireshark) ejecutándose en modo promiscuo para capturar datos
confidenciales de otras computadoras (como contraseñas no encriptadas, correo
electrónico y conversaciones de mensajería instantánea), que no serían accesibles si el
interruptor funcionara con normalidad.

2. Envenenamiento de caché DNS:

 Esta es una situación creada o no intencionalmente creada que proporciona datos a un

servidor de nombres de almacenamiento en caché que no se originó en fuentes
autorizadas del Sistema de nombres de dominio (DNS). Esto puede suceder a través
del diseño incorrecto del software, la mala configuración de los servidores de nombres
y los escenarios diseñados maliciosamente que explotan la arquitectura
tradicionalmente abierta del sistema DNS. Una vez que un servidor DNS ha recibido
datos no auténticos y los almacena en caché para aumentar el rendimiento en el futuro,
se considera envenenado, proporcionando los datos no auténticos a los clientes del
servidor.

3. IP Spoofing:

 La suplantación de IP se refiere a la creación de paquetes de Protocolo de Internet (IP)

con un forjado de dirección IP de origen, llamada suplantación de identidad, con el
propósito de ocultar la identidad del remitente o hacerse pasar por otro sistema
informático.

6. ACK flood

Esta es una técnica para enviar un paquete TCP / ACK al objetivo a menudo con una dirección
IP falsificada. Es muy similar a los ataques de inundación TCP / SYN

7. Ataque FTP Bounce

El atacante puede conectarse a los servidores FTP y tiene la intención de enviar archivos a
otros usuarios / máquinas que usan el comando PORT. Para que el servidor FTP intente enviar
el archivo a otras máquinas en un puerto específico y verifique que el puerto esté abierto. Es
obvio que la transferencia de FTP estaría permitida en los firewalls. En estos días casi todos
los servidores FTP se implementan con el comando PORT desactivado.
8. TCP Session Hijacking

Es el caso cuando el "Hacker" toma la sesión TCP existente, ya establecida entre las dos
partes. En la mayoría de las sesión TCP la autenticación ocurre al comienzo de la sesión, los
piratas informáticos realizan este ataque en dicho momento.

9. Ataque Man-In-The-Middle

Un ataque MITM ocurre cuando una comunicación entre dos sistemas es interceptada por una
entidad externa. Esto puede suceder en cualquier forma de comunicación en línea, como
correo electrónico, redes sociales, navegación web, etc. No solo están tratando de escuchar
nuestras conversaciones privadas, sino que también pueden dirigir toda la información dentro
de los dispositivos.

Quitando todos los detalles técnicos, el concepto de un ataque MITM se puede describir en un
escenario simple. Si imaginamos que volvemos a los tiempos antiguos cuando el correo de
caracol abundaba. Jerry le escribe una carta a Jackie en la que le expresa su amor después de
años de ocultar sus sentimientos. Él envía la carta a la oficina de correos y es recogido por un
cartero entrometido. La abre y, por puro gusto, decide reescribir la carta antes de entregar el
correo a Jackie. Esto puede hacer que Jackie odie a Jerry por el resto de su vida.

Un ejemplo más moderno sería un hacker entre nosotros (y nuestro navegador) y el sitio web
que está visitando para interceptar y capturar cualquier información que enviamos al sitio, como
credenciales de inicio de sesión o información financiera.

¿Como prevenir ataques Man-In-The-Midle?

Los ataques de MITM realmente pueden "incomodar" simplemente al escuchar su concepto

básico, pero eso no significa que sean imposibles de evitar. La tecnología PKI puede ayudarlo
a protegerse de algunos de los tipos de ataques que discutimos anteriormente.

1. S / MIME

 Extensiones de correo de Internet seguras / multipropósito, o S / MIME abrevia,

encripta los correos electrónicos en reposo o en tránsito, asegurando que solo los
destinatarios puedan leerlos y sin dejar margen para que los piratas informáticos se
introduzcan y alteren nuestros mensajes. Además, S / MIME permite firmar
digitalmente los correo electrónico con un Certificado digital único para cada persona.
Esto vincula la identidad virtual a nuestro correo electrónico y brinda a los destinatarios
la garantía de que el correo electrónico que recibieron en realidad proviene de nosotros
(a diferencia de un hacker que accede a nuestro servidor de correo). Si bien los piratas
informáticos pudieran tener acceso a los servidores de correo de las empresas para
firmar digitalmente los mensajes, también necesitarían acceder a las claves privadas
de los empleados, que generalmente se almacenan de forma segura en otro lugar.
Estandarizar la firma digital de mensajes y educar a los destinatarios para que solo
confíe en los mensajes de la empresa que se han firmado puede ayudar a diferenciar
los correos electrónicos legítimos de los que se han falsificado.

2. Certificados de autenticación

 Los piratas informáticos nunca desaparecerán, pero una cosa que podemos hacer es
que sea prácticamente imposible penetrar en los sistemas (por ejemplo, redes Wi-Fi,
sistemas de correo electrónico, redes internas) mediante la implementación de
autenticación basada en certificados para todas las máquinas y dispositivos de los
 empleados. Esto significa que solo los puntos finales con certificados configurados
correctamente pueden acceder a sus sistemas y redes. Los certificados son fáciles de
usar (no se necesita hardware adicional para administrar o se necesita mucha
capacitación del usuario) y las implementaciones se pueden automatizar para
simplificar las cosas y hacer que los hackers tengan más difícil un ataque.

10. Ataque Ingeniería Social

La ingeniería social es el arte de manipular a las personas para que renuncien a la información
confidencial. Los tipos de información que buscan estos delincuentes pueden variar, pero
cuando los individuos son blanco, los delincuentes generalmente intentan engañarlo para que
le dé su contraseña o información bancaria, o acceda a su pc para instalar en secreto el
software malicioso, que le dará acceso a sus contraseñas e información bancaria, así como
para darles control sobre el mismo.

Los delincuentes usan tácticas de ingeniería social porque generalmente es más fácil explotar
la inclinación natural a confiar que descubrir formas de hacker tu software. Por ejemplo, es
mucho más fácil engañar a alguien para que le dé su contraseña que intentar piratear su
contraseña (a menos que la contraseña sea realmente débil).

La seguridad se trata de saber en quién y en qué confiar. Saber cuándo y cuándo no hacerlo,
para tomar la palabra de una persona; cuándo confiar en que la persona con la que nos
estamos comunicando es de hecho la persona con la que piensas que te estás comunicando;
cuándo confiar en que un sitio web es o no es legítimo; cuándo confiar en que la persona que
está hablando por teléfono es o no es legítima; cuando proporcionar nuestra información es o
no es una buena idea.

Pregúntele a cualquier profesional de la seguridad y te dirán que el eslabón más débil en la

cadena de seguridad es el ser humano que acepta a una persona o un escenario al pie de la
letra. No importa cuántas cerraduras y cerrojos hay en nuestras puertas y ventanas, o si
tenemos perros guardianes, sistemas de alarma, reflectores, cercas con alambre de púas y
personal de seguridad armado; si confiamos en la persona de la puerta que dice que él es el
repartidor de pizzas y lo dejamos entrar sin verificar primero si es legítimo, estamos
completamente expuesto a cualquier riesgo que represente dejarle entrar.

OS Finger Printing

El término "huella digital del sistema operativo" / OS Finger Printing en Ethical Hacking se
refiere a cualquier método utilizado para determinar qué sistema operativo se ejecuta en una
computadora remota. Al analizar ciertos indicadores de protocolo, opciones y datos en los
paquetes que un dispositivo envía a la red, podemos hacer conjeturas relativamente precisas
sobre el sistema operativo que envió esos paquetes. Al identificar el sistema operativo exacto
de un host, un atacante puede lanzar un ataque preciso contra una máquina destino. En un
mundo de desbordamientos de búfer, conocer el sabor y la arquitectura exacta de un sistema
operativo podría ser toda la oportunidad que un atacante necesita.

KeyLoggers

Un keylogger puede ser un programa de software o un hardware que utiliza un atacante para
registrar las pulsaciones de teclas en el teclado de un usuario. Con un Keylogger, un atacante
puede conocer remotamente sus contraseñas, números de tarjetas de crédito / débito,
mensajes, correos electrónicos y todo lo que escriba.
Es más probable que los registradores de pulsaciones de teclas estén basados en software
que en hardware, ya que estos últimos requerirían acceso físico al dispositivo.

Los registradores de pulsaciones basados en software generalmente infectan el sistema en

forma de un malware que un usuario podría haber descargado haciendo clic en un enlace
malicioso, ya sea en línea o enviándolo por correo electrónico.
Un software de captura de teclas se ejecuta en segundo plano sin notificar al usuario y tomará
nota de cada golpe de teclado y luego lo alimentará a un servidor en línea al que puede
acceder el atacante.

Revisar todo el historial de registros de teclas puede brindarle a cualquiera una idea de los
sitios web que visitó y la información que ingresó en ellos, lo que le da una forma fácil de
acceder a la tarjeta de crédito o credenciales de banca por Internet. Los ataques de teclado son
utilizados por los atacantes con intención maliciosa de monitorear las pulsaciones de teclas,
siendo importante protegerse contra ellos, para que no seamos vulnerable a perder información
de identificación personal, incluidas las credenciales personales o corporativas.

ICMP Tunneling

El tunneling se usa a menudo para eludir los firewalls que no bloquean los paquetes ICMP, o
para establecer un canal de comunicación cifrado y difícil de rastrear entre dos computadoras
sin interacción directa de la red. Un túnel ICMP establece una conexión encubierta entre dos
computadoras remotas (un cliente y un proxy), utilizando solicitudes de eco ICMP y paquetes
de respuesta. Un ejemplo de esta técnica es tunelizar el tráfico TCP completo a través de
peticiones y respuestas de ping.

Ataque LOKI

LOKI es un programa cliente / servidor publicado en la publicación en línea Phrack. Este

programa es una prueba de concepto que funciona para demostrar que los datos se pueden
transmitir de forma secreta a través de una red escondiéndolos en el tráfico que normalmente
no contiene cargas útiles. Por ejemplo, el código puede tunelizar el equivalente de una sesión
RCMD / RSH de Unix en paquetes de solicitud de eco ICMP (ping) o tráfico UDP al puerto
DNS. Esto se usa como una puerta trasera en un sistema Unix después de que el acceso a la
raíz ha sido comprometido. La presencia de LOKI en un sistema es evidencia de que el sistema
se ha visto comprometido en el pasado.
Actividad practica

1. Este punto involucra el concepto de escáner de vulnerabilidades, utilizando la herramienta

NMAP.

Cada estudiante debe realizar un informe de la instalación de la herramienta, junto con un

escaneo utilizando la función “Intense Scan”. Colocando como objetivo un servidor de
universidad o el que ustedes prefieran (no incluir www). Una vez finalizado el escáner verificar:

1. Se descarga el software nmap, despues se ejecuta

Ingresamos a la consola de Windows

2. Aceptar la licencia
 • Dirección IP del servidor objetivo
• Puertos tiene abiertos, incluir en una tabla el tipo de servicio y el protocolo que utiliza.

El estudiante debe entregar un único documento presentado en PDF, con el siguiente nombre:
nombre_apellido_Tarea1; se debe incluir: portada, introducción, objetivos, desarrollo de la
actividad colaborativa, conclusiones y bibliografía.

REFERENCIA BIBILOGRAFICA

(Riascos, 2012)

(TELEFÓNICO, 1991)

(ciberseguridad, 2017)

(RUBEN.RAMIRO, 2018)