DOCUMENTACIÓN PRACTICA DE LABORATORIO

HOST A HOST B HOST C

192.168.30.2/24 192.168.30.2/24 192.168.30.2/24

PUERTO: enp2s0

CONFIGURACIÓN DE SNORT:

En el host C se instaló y se configuró snort para que detecte el tráfico del atacante (host A):

Colocamos el puerto por donde va a escuchar snort (enp2s0):

Ahora, ingresamos la ip de nuestra red (192.168.30.0):

Reiniciamos el servicio de snort

Ahora debemos configurar las reglas del snort en el archivo de configuración de reglas:
Luego, debemos agregar las reglas al archivo de configuración de snort, se agrega en el apartado “Step
#7” al final de este:

Ahora ingresamos a la carpeta de snort y ejecutamos el servicio con los siguientes comandos:

Red usada en el laboratorio

En este laboratorio se usó la red 192.168.30.0/24, en el cual el host A (host atacante) tiene la dirección
192.168.30.4/24, el host B (host victima) tiene la dirección 192.168.30.6/24, y el host C (host de
escucha) tiene la dirección 192.168.30.2/24

Ataque LAND

Debido a que TCP/IP en realidad utiliza muchos mas protocolos que solo estos dos, esto lo hace nuy
complejo y por ende tener debilidades. El ataque Land se aprovecha de la vulnerabilidad de ciertas
implementaciones del protocolo TCP/IP en los sistemas.
El ataque Land consiste en enviar un paquete con la misma dirección IP y el mismo numero de puertos
en los campos fuente y destino de los paquetes IP.

Referencia: https://es.ccm.net/contents/11-ataque-land
- primero configuramos el paquete para realizar este ataque en el programa packETH
configurando para enviar 10 paquetes en este ataque-land
Con wireshark podemos verificar que este ataque si se realizó
Ataque SYN FLOOD

Se envía un exceso paquetes de sincronización TCP, se crea un numero alto de conexiones que nunca
son finalizadas, agotando los recursos de procesamiento y tumbando finalmente el servicio.

Referencia: http://www.securitybydefault.com/2010/02/syn-flood-que-es-y-como-mitigarlo.html?m=1

- Realizamos este ataque a la dirección del hos B con los siguientes comandos

Al haber realizado este ataque podemos ver en el programa wireshark la prueba de dicho ataque
Ataque Teardrop

Un “Fragment Attack” es un tipo de ataque de saturación de red en el que se explota el principio de

fragmentación del protocolo IP. Teardrop Attack es un tipo de Fragment Attack en el que se incerta
información falsa en el Offset de los paquetes fragmentados, esto con el objetivo de que durante el re
ensamblamiento hayan paquetes vacíos, o hayan paquetes que se sobrelapen, causando así que el
sistema sea inestable.

Referencia: https://ccm.net/contents/15-teardrop-attack

- Para realizar este ataque debemos armas 2 paquetes, donde se debe configurar el offset de forma que
no puedan ser fragmentados de forma correcta
paquete1:
paquete2:
Tomamos ambos paquetes y los enviamos al host B
Vemos que efectivamente se realizó el ataque