Está en la página 1de 3

CONCEPTOS

 PORT SCANNING

TCP HANDSHAKE de 3 PASOS

1. Tipos de Escaneo de Puertos:

 Escaneo SYN ("half-open scanning") Ya son detectados por Firewalls

 Escaneo TCP (“CONNECT” para NMAP) Usado como siguiente paso


cuando un escaneo SYN no fue posible. Genera ‘ruido’ Detectado por
LOG de Firewalls y por IDS.

 Escaneo ACK en búsqueda de existencia de Firewalls

 Escaneo FIN bypassea los firewalls


 Escaneo X-mas pasa los Firewalls de Estado pero no los IDS y Firewalls
avanzados (ver XMAS.htm)

----------------------------------------------------------------------------------------

 Falsificación de direcciones IP o IP spoofing se refiere a la


creación paquetes del protocolo de Internet (IP) con una dirección
IP de origen falso, llamadas spoofing, con el propósito de ocultar la
identidad del remitente o hacerse pasar por otro sistema de
computación.

Servicios vulnerables a la suplantación de IP

o RPC (Servicios Llamada a procedimiento remoto)

o Cualquier servicio que utiliza autenticación de direcciones IP

o El sistema de ventanas X

o La suite de servicios R (rlogin, rsh, etc)

Defensa contra ataques de suplantación


El filtrado de paquetes es una defensa contra los ataques de
suplantación de IP. La puerta de enlace a una red normalmente
realiza el filtrado entrante, que bloquea paquetes desde fuera de la
red con una dirección de origen dentro de la red. Esto evita que un
atacante fuera de la red, spofee un IP de una maquina interna. Lo
ideal sería que la puerta de entrada también realizara filtrado
saliente sobre los paquetes salientes (bloqueo de paquetes desde la
red con una dirección de origen que no está dentro). Esto evita que
un atacante dentro de la red realice lanzamiento de ataques de
suplantación de IP contra equipos externos.

También se recomienda el diseño de protocolos de red y servicios


de manera que no se basen en la dirección IP de origen para
la autenticación.

PING SWEEP (Barrido de ping)

Método de estabelecer um rango de direcciones IP, para mapear los


hosts vivos.

La herramienta clásica utilizada para barridos de ping es fping, que


tradicionalmente estuvo acompañado por gping para generar la
lista de anfitriones de grandes subredes, Las herramientas
conocidas con capacidad de barrido de ping incluyen nmap para
sistemas Unix, y el software de Pinger Rhino9 para Windows NT
Hay otras herramientas con esta capacidad, entre ellas:

Hping, Simple Nomad’s ICMPEnum, SolarWind Ping Sweep, y


SuperScan Foundstone.

VER VIDEOS NMAP

(junto con MAN en español y técnicas scanning.htm)