Vulnerabilidades y amenazas

de IP, TPC y UDP

Ing. Alvaro Rodrigo Antezana Meza
ARAM © 2021
TEMARIO 2

1. IPv4 y IPv6
2. Ataques ICMP
3. Ataques de reflexión y
amplificación
4. Ataques de suplantación
de direcciones
TEMARIO 3

5. Encabezado de Segmento TCP

6. Servicios TCP
7. Ataques de TCP
8. Encabezado y Operación del
Segmento UDP
9. Ataques UDP
 4

1.
IPv4 y IPv6
Describir los principales ataques al protocolo IP
Ataques comunes relacionados con las cabecereas de IP 5

Ataques ICMP, utilizan los paquetes de echo (ping) del Protocolo de

Mensajes de Control de Internet (ICMP) para descubrir subredes y hosts
en una red protegida, para generar ataques de inundación de DoS y para
alterar las tablas de enrutamiento de los hosts

Ataque Reflejo Amplificado, impiden que los usuarios legítimos accedan

a la información o a los servicios mediante ataques DoS y DDoS.

Ataques de suplantación de direcciones, falsifican la dirección IP de

origen en un paquete IP para realizar una blind spoofing o non-blind
spoofing
Herramientas de hacking y seguridad 6

Ataques Man-in-the-middle (MITM), Los actores de la

amenaza se posicionan entre una fuente y un destino para
vigilar, capturar y controlar de forma transparente la
comunicación. Podrían espiar inspeccionando los paquetes
capturados, o alterar los paquetes y reenviarlos a su destino
original.

Secuestros de Sesiones, un actor de amenaza que consigue

un accesos físico a la red, para luego realizar un ataque de
MITM para secuestrar un sesión activa.
 7

2.
Ataques ICMP
Describir los tipos de ataque al protocolo ICMP
 8

» Los ataques para el reconocimiento y escaneo de un red

de datos por lo general utilizan ICMP, para descubrir qué
hosts están activos (alcanzables), identificar el sistema
operativo del host (fingerprinting del SO) y determinar el
estado de un firewall. Los actores de amenaza también
“
utilizan ICMP para los ataques DoS.
» Las redes deben tener filtros estrictos de lista de control
de acceso (ACL) en el perímetro de la red para evitar
sondeos de ICMP desde Internet. Los analistas de
seguridad deben ser capaces de detectar ataques
relacionados con ICMP observando el tráfico capturado
y los archivos de registro. En el caso de redes grandes,
los dispositivos de seguridad (como firewalls y sistemas
de detección de intrusiones o IDS) deben detectar este
tipo de ataques y generar alertas para los analistas de
seguridad.
Mensajes comunes de ICMP usados para ataques 9

Petición de echo y respuesta de echo ICMP, se usan

para verificar un host activo y para los ataques DoS.

ICMP inalcanzable, se usan para realizar ataques de

reconocimiento y escaneo de la red.

Respuesta de máscara de red ICMP, se usan para

mapear una red IP interna.
Mensajes comunes de ICMP usados para ataques 10

Redireccionamientos ICMP, Esto se utiliza

para atraer a un host objetivo para enviar
todo el tráfico a través de un dispositivo
comprometido y crear un ataque MITM.

Descubrimiento de router ICMP, Se utiliza

para inyectar entradas de ruta falsas en la
tabla de rutas de un host objetivo.
 11

3.
Ataques de reflexión y amplificación
Describir como funcionan estos ataques
 12

1) Amplificación – El actor de
amenaza reenvía mensajes de
solicitud de echo de ICMP a
muchos hosts. Estos mensajes
contienen la dirección IP de
origen de la víctima.
2) Reflexión – Todos estos hosts
responden a la dirección IP falsa
de la víctima para abrumarla.

Nota: Actualmente se están utilizando nuevas formas de ataques de amplificación y reflexión, como
los ataques de reflexión y amplificación basados en el DNS y los ataques de amplificación del
Network Time Protocol (NTP).
 13

4.
Ataques de suplantación de direcciones
Describir como funcionan estos ataques
 14

“
Los ataques de “spoofing” de direcciones IP se producen cuando un
actor de amenaza crea paquetes con información falsa de la
dirección IP de origen para ocultar la identidad del remitente o para
hacerse pasar por otro usuario legítimo de la red. El actor de
amenaza puede entonces acceder a datos que de otro modo serían
inaccesibles o eludir las configuraciones de seguridad. La
suplantación de identidad suele incorporarse a otro ataque, como el
ataque de Smurf.
Blind y No Blind Spoofing 15

» Non‐Blind Spoofing: El atacante puede ver el trafico que se

envía entre el host y el destino. El agente de amenaza usa
este tipo de suplantación para inspeccionar el paquete de
respuesta de la víctima. La suplantación de identidad non-
blind determina el estado de un firewall y la predicción del
número de secuencia. También puede secuestrar una sesión
autorizada.
» Blind Spoofing: el atacante no puede ver el tráfico que se
envía entre el host y el destino. Este tipo de suplantación se
utiliza en ataques de DoS..
 16

Los ataques de suplantación de

dirección MAC se utilizan cuando los
actores de amenaza tienen acceso a
la red interna. Los actores de
amenaza cambian la dirección MAC
de su host para que coincida con otra
dirección MAC conocida de un host
de destino, como se ve en el grafico.
Luego, el host atacante envía una
trama a través de la red con la
dirección MAC recién configurada.
Cuando el switch recibe la trama,
examina la dirección MAC de origen.
 17

El switch sobrescribe la entrada

actual en la tabla CAM y asigna la
dirección MAC al puerto nuevo, como
se ve en la figura. Luego, reenvía las
tramas destinadas al host de destino
al host atacante.

La suplantación de aplicaciones o
servicios es otro ejemplo de
suplantación. Un actor de la amenaza
puede conectar un servidor DHCP
deshonesto para crear una condición
MITM.
 18

5.
Encabezados del segmento TCP
Describir los principales campos del segmento TCP
 Bits de control del segmento TCP 19

Los siguientes son los seis bits de control del

segmento TCP:

❑ URG – Campo indicador de urgencia

significativo
❑ ACK – Campo de reconocimiento
significativo
❑ PSH – Función de empuje
❑ RST- Reiniciar la conexión
❑ SYN – Sincronizar los números de secuencia
❑ FIN – No hay más datos del remitente
 20

6.
Servicios TCP
Describir los principales servicios que ofrece TCP
Servicos orientados al conexion y fiabilidad de TCP 21

Entrega confiable, el protocolo TCP utiliza acuses de recibido para garantizar la

entrega confiable, si el remitente no recibe en un tiempo prudente el acuse de
recibido retransmite nuevamente los datos enviados, algunos protocolos como
ejemplo que usan TCP son FTP, HTTP. SSH, SSL, entre otros

Control de flujo, se reconoce múltiples segmentos con un único segmento de

reconocimiento, en lugar de reconocer uno por vez.

Comunicación con estado, antes de transferir los datos mediante el TCP, se

realiza un apretón de manos de tres vías para abrir la conexión TCP, si ambas
partes están de acuerdo con la conexión TCP, los datos pueden ser enviados y
recibidos por ambas partes utilizando el TCP.
 22

Una conexión TCP se establece con un

apretón de manos de tres pasos:
“
» El cliente inicia la comunicación
solicitando una sesión al servidor.
» El servidor reconoce la sesión de
comunicación cliente a servidor y solicita
una sesión de comunicación servidor-
cliente.
» El cliente reconoce la sesión de
comunicación de servidor a cliente.
 23

7.
Ataques de TCP
Describir los distintos tipos de ataques a TCP
 24

Un ataque de inundación de TCP SYN (TCP

SYN FLOOD) explota el apretón de manos
de tres pasos, en donde un actor de
amenaza envía de forma continua
“
paquetes de solicitud de sesión TCP SYN
con una dirección IP de origen falsa, el
dispositivo destino responde con un
paquete TCP SYN-ACK a la dirección falsa
origen y espera por el paquete TCP ACK,
pero esta respuesta nunca llega y en
eventualmente el host objetivo de ataque
tendrá muchas conexiones TCP semi
abiertas que provocaran que los servicios
TCP se nieguen a los usuarios legítimos
 25

Un ataque de restablecimiento TCP puede ser usado

“
para finalizar la comunicación entre dos host, TCP puede
terminar una conexión de forma civilizada (normal) y no
civilizada (abrupta).
Como se observa en la figura para terminar una conexión
civiliza TCP utiliza un intercambio de cuatro vías, que
consiste en un par de segmentos FIN y ACK de cada host
para cerra la conexión TCP establecida.
La terminación no civilizada se realiza cuando un host
recibe un segmento TCP con el conjunto de bits RST, esto
indica al receptor que deje de usar la conexión TCP
inmediatamente, un actor de amenaza podría realizar un
ataque de reinicio de TCP por medio de un paquete falso
que contenga un TCP RST a uno o ambos puntos finales de
una conexión TCP
 26

“
Otra vulnerabilidad es el secuestro (Hijacking) de sesiones de TCP,
es te ataque es difícil de realizar, pero permite que un actor de
amenaza tome el control de un host ya autenticado mientras se
comunica con el destino. El actor de amenaza tendría que suplantar
la dirección IP de un host, predecir el siguiente número de secuencia y
enviar un ACK al otro host. Si tiene éxito, el actor de amenaza puede
enviar datos desde el dispositivo de destino, aunque no puede
recibirlos.
 27

8.
Encabezado y operación del segmento UDP
Describir como opera el protocolo UDP
 28

“
Aunque UPD es poco fiable, en contraste con la fiabilidad del TCP, no significa
que las aplicaciones que utilizan el protocolo de transmisión UDP sean
siempre poco fiables, ni tampoco que el UDP sea un protocolo inferior.
Significa que estas funciones no las proporciona el protocolo de la capa de
transporte y que deben implementarse en otro lugar si es necesario.
La baja sobrecarga de UDP hace que sea muy conveniente para los protocolos
que realizan transacciones sencillas de solicitud y respuesta. Por ejemplo, el
uso de TCP para DHCP introduciría un tráfico de red innecesario. Si no se
recibe respuesta, el dispositivo reenvía la solicitud.
 29

“
DNS, TFTP, NFS y SNMP utilizan generalmente UDP. También lo utilizan las aplicaciones en tiempo real, como la
transmisión multimedia o VoIP. UDP es un protocolo de capa de transporte sin conexión. Tiene una sobrecarga
mucho menor que TCP ya que no está orientado a la conexión y no proporciona los mecanismos sofisticados de
retransmisión, secuenciación y control del flujo que ofrecen confiabilidad. La estructura de segmento de UDP es
mucho menor que la estructura de segmento de TCP, como se ve en la figura.
 30

9.
Ataques a UDP
Describir como se realizan los ataques al protocolo UDP
 31

“
UPD es un protocolo que al igual que otros no protege sus datos mediante
cifrado, por tanto cualquiera con acceso al red pude ver el trafico, cambiarlo y
renviarlo al destino. Si bien UDP posee un campo de comprobación de 16 bits
para verificar la alteración de la carga de datos que transporta esta es
opcional y no siempre es usada.
Un actor de amenaza podría alterar los datos y generar una nueva suma de
comprobación y luego retrasmitirla, para que el dispositivo destino verifique
que los datos transportados por UDP coinciden con la suma de verificación sin
percatarse que fueron alterados, pero este tipo de ataque no es muy usado.
Ataque de inundación UDP 32

» Un ataque de inundación (flood) UDP consume todos los

recursos de red, para esto un actor de menaza puede usar
herramientas como UDP Unicorn o Low Orbit Ion Cannon, por
medio de estas se envían inundaciones de paquetes UDP,
mediante un host falso, a un servidor especifico en alguna
subred, barriendo con todos los puertos conocidos en busca de
puertos cerrados en el servidor, para que el servidor responda
con un mensaje de ICMP inalcanzable, creando de esta forma
mucho tráfico en el segmento que utilizará la mayor parte del
ancho de banda, este ataque es muy similar a un taque DoS.
Gracias! 33

Alguna consulta?

Ing. Alvaro Antezana:

» +591 69304565
» tj.alvaro.antezana.m@upds.net.bo