Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Para profundizar
1. Conceptos básicos
A. Sesión TCP
Alfaomega
Gráfico A2.1
Paquete TCP
Sobre los demás campos del paquete cabe resaltar las banderas que
son 6 bits de control que se utilizan de izquierda a derecha para indicar: URG
(el paquete es urgente), ACK (confirmación de recibido el anterior paquete),
PSH (el paquete contiene datos), RST (para resetear una la conexión), SYN
(para sincronizar números de secuencia) y FIN (no vienen más datos del
emisor) (3 RFC 793).
Una sesión TCP empieza por una sincronización entre el cliente y el
servidor. Esta sincronización se conoce como el three way handshake que
se hace para que las dos máquinas, entre las que se va a hacer la conexión,
sepan la especificación de la otra y su configuración para manejar sesiones
TCP. Suponiendo que se establece una conexión TCP entre la máquina A y
la máquina B, la sincronización se muestra a continuación (3 RFC 793):
B. IP Spoofing
Alfaomega
C. SYN Flood
D. Escaneo de puertos
E. Envenenamiento de ARP
Alfaomega
F. Sniffer
El asalto de una sesión TCP es tomar control de una sesión existente y enviar
los paquetes propios en una trama, de tal forma que los comandos y órdenes
transmitidos sean procesados como si se fuera el auténtico usuario de la
sesión.
Como cualquier ataque realizado por un hacker, el asalto a una
sesión TCP inicia por la búsqueda de una víctima. Independientemente de
la motivación, al elegir la víctima se averigua su IP y, en el caso del asalto a
una sesión, también se conocen la IP del servidor y el puerto por el que se
establece la conexión con éste. Conociendo tres de los cuatro datos que
identifican una sesión, la tupla {IP-cliente, IP-servidor, Puerto-cliente, Puerto-
Servidor} mencionada antes, se procede a averiguar el puerto del cliente.
De la misma forma como se menciona en la sección II, la sesión
TCP entre dos hosts consta de la tupla que la identifica y de los números de
Alfaomega
Alfaomega
se logra la conexión con el servidor, solamente resta realizar las acciones que
el atacante se proponía en un principio (ejecutar código, obtener archivos,
etc.), y finalmente intentar volver a restablecer la conexión entre la víctima y
el servidor. Esta última parte no es trivial dado, pero engañando a la víctima
se puede restaurar la conexión. En la sección F sobre Hunt se explica la
manera como esa herramienta recupera el control (gráfico A2.2).
Gráfico A2.2
Recuperación del contol
A. Juggernaut
Alfaomega
B. TTY-Watcher
C. DsSniff
D. T-Sight
4. Herramienta Hunt
Alfaomega
Gráfico A2.3
Alfaomega
Gráfico A2.4
Cuadro A2.1
Alfaomega
Cuadro A2.2
Cuadro A2.3
Alfaomega
Gráfico A2.5
Cuadro A2.4
Alfaomega
Cuadro A2.5
Cuadro A2.6
Alfaomega
Conclusiones
Actualmente existen muchas herramientas para ejecutar un asalto de
sesión TCP; hay algunas gratuitas y otras con precio comercial, aunque la
gran mayoría solamente funcionan para plataformas Unix; T-Sight es una
aplicación que funciona para Windows y ha demostrado ser bastante
eficiente tanto para rastreo como para ataque.
Aunque el asalto de sesión es un ataque con muchos años de
antigüedad, todavía se usa para atacar máquinas con las debilidades
expuestas en Para profundizar; por lo tanto, si no se tienen en cuenta
las recomendaciones y no se apagan servicios como Telnet o FTP, o se
cambian por las versiones con seguridad (SSH y sFTP), se pueden estar
corriendo los mismos riesgos de hace una década o incluso menos.
Una buena forma de evitar un ataque de asalto de sesión es tratar
de limitar el número de conexiones remotas permitidas a una máquina, y
además utilizar los nuevos protocolos de transmisión que son más seguros
en cuanto a comunicación entre 2 máquinas.
Alfaomega
Enlaces en el Web
Referencias*
Alvisi, Lorenzo. Bressoud Thomas, C. ElK-Khashab, Ayman. Marzullo, Keith.
Zagorodnov, Dmitrii. (s.f.). Wrapping Server-Side TCP to Mask Connection
Failures. Disponible http://citeseer.ist.psu.edu/cache/papers/cs/22156/
http:zSzzSzwww.ieee-infocom.orgzSz2001zSzpaperzSz764.pdf/alvisi00wrapping. pdf
Dittrich, Dave. (s.f.). Anatomy of a Hijack. University of Washington. Disponible en
http://staff.washington.edu/dittrich/talks/qsm-sec/script.html
Inundación paquetes SYN. (s.f.). disponible en http://www.putoamo.host.sk/hack/
textos/syn%20flood.htm
KLM. (s.f.). Remote Blind TCP/IP spoofing, Phrack Magazine, issue 64. Disponible
en http://www.phrack.org/issues.html?issue=64&id=15#article
Padmanabhan, Venkata N. (s.f.). Coordinating Congestion Management and
Bandwidth Sharing for Heterogeneous Data Streams http://citeseer.ist.psu.
edu/cache/papers/cs/10117/http:zSzzSzwww.research.microsoft.comzSz~pad
manabzSzpaperszSznossdav99-expn.pdf/coordinating-congestion-
management-and.pdf
Port Scanning. (s.f.). Disponible en http://www.auditmypc.com/freescan/
readingroom/port_scanning.asp
RFC 793. (s.f.). Protocolo TCP, Data Internet Program. Disponible en http://www.
rfc-es.org/rfc/rfc0793-es.txt
Stevens, W. Richard. (s.f.). TCP/IP Illustrated, Volume 1: The Protocols.
Tanase, Mathew. (s.f.). IP Spoofing: Aan Introduction, disponible en http://www.
securityfocus.com/infocus/1674
Telnet, guía de Microsoft para usuarios de Windows. (s.f.).
Whitaker, A. y Newman, D. (s.f.). Penetration Testing and Network Defense, Cisco
Press.
Alfaomega
Bibliografía
Alfaomega
Power, R. (2000). Tangled Web. Tales of digital crime from the shadows of
cyberspace. QUE Corporation.
Reyes Echandía, A. (2003). Criminología. Cuarta reimpresión de la octava
edición. Editorial Temis.
Rogers, M. (1999). A new hacker taxonomy. Department of Psychology. University
of Manitoba. Research Paper.
Rogers, M. (2001). A social learning theory and moral disengagement analysis
of criminal computer behavior: An exploratory study. Doctoral Thesis.
Department of Psychology. University of Manitoba. Winnipeg, Manitoba.
Canadá.
Schneier, B. (2003). Beyond Fear. Copernicus Books.
Shiffman, M. (2003). Hacker Challenge. Test your incident respond skills using 20
scenarios. McGraw-Hill.
Stephenson, P. (1999). Investigation Computer Related Crime. CRC Press.
Alfaomega