ATAQUES A REDES IP

1
LUIS REOYO
 1. Introducción ataques de red IP
Índice del curso

1. Terminología hacking

2. Fases en una auditoría

3. Recopilar información

4. Escaneo de objetivos

5. Análisis de vulnerabilidades

6. Explotación

7. Documentación

2
 1. Terminología hacking

Hacking: Es cuando se consigue alterar el comportamiento de un Sistema explotando una

vulnerabilidad.

Hacker (RAE): Persona experta en el manejo de computadoras, que se ocupa de la

seguridad de los sistemas y de desarrollar técnicas de mejora.

Hacker: Persona que estudia el funcionamiento de una tecnología para encontrar una
brecha de seguridad con la que manipular dicha tecnología con el fin de mejorar la
seguridad de la misma.

Cracker: Persona que se aprovecha de sus conocimientos para acceder ilegalmente a

sistemas informáticos ajenos para apropiárselos u obtener información secreta.

La gran diferencia entre ambos esta en la intención.

3
- Vulnerabilidad/bug: Error de implementación o configuración en un software que puede
llevar a un comportamiento inesperado y no deseado del equipo y puede permitir
explotar un Sistema para alterar su comportamiento determinado.

- Pentesting: Conjunto de técnicas utilizadas para descubrir vulnerabilidades.

- Exploit: Fragmento de código diseñado para aprovecharse de una vulnerabilidad en el

software y explotarla.

- Payload (carga útil): Instrucciones contenidas en un exploit, para ser ejecutadas por este
a la hora de explotar una vulnerabilidad.

- 0day: Vulnerabilidad que lleva 0 días publicado y no existe parche para su solución

- Backdoor (puerta trasera): Acceso oculto dentro de un sistema por el que se puede
acceder saltándose los sistemas de seguridad.

- Spoofing: falsificar una identidad, por ejemplo una dirección IP o mac address

- Phishing: falsificar una identidad con intención de robar información confidencial.

- Brute Force Attack: Ataque a contraseñas, que consiste en probar todas las
posibilidades hasta encontrar la contraseña correcta.
- Sniffer: programa que captura y analiza los paquetes que son transmitidos en una red
por diferentes protocolos.

- Defacement: cambiar el diseño original de una web.

- Botnet: conjunto de equipos infectados y controlados por un atacante de forma remota.

- DOS/Denegación de servicio: cualquier ataque que impida a los usuarios acceder al

servicio o que impida su correcto funcionamientos.

- Flood: inundar de tráfico un Sistema con el fin de consumir los recursos de un equipo y
provocar una denegación de servicio.

- Fuzzing: envío de tráfico con datos inválidos, inesperados o aleatorios con la intención
de provocar un error en el Sistema.

- Hijacking: técnica que permite el robo de información, el secuestro de una conexión de

red, de sesiones, etc.
 FASES EN UNA AUDITORIA DE RED

6
 1.RECOPILAR INFORMACIÓN

Footprinting: consiste en recolectar cuanta más información posible del objetivo, esta información
la mayoría de las veces está públicamente accesible desde internet. En esta fase son útiles
herramientas hacking tales como: ipv4info.com, whois, Netcraft, Google dorks, Shodan,
Censys, ,dnsdumpster, dig, urlscan.

Las fases de recopilación de información pueden ser de forma pasiva o activa.

Activa: se realiza la recopilación de información con la interactuación del propio sistema, si se realiza
de esta forma se recomienda hacerlo de forma anónima para no dejar pistas.

Pasiva: se realiza la recopilación de información a través de terceros, esta forma es mucho más
segura ya que el atacante no deja pista.
 1.1HERRAMIENTAS
ipv4info: esta herramienta nos va proporcionar información de los bloques de red de una empresa,
así como sus dominios y ASN. Esto nos permite conocer bastantes datos de la infraestructura de la
red.
Whois: nos proporciona información sobre un dominio registrado, tales como
contactos asociados al dominio: propietario, contacto administrativo, agente
registrador del dominio. Comando: whois altran.com

Netcraft: herramienta que cuenta con una gran base de datos de dominios y que
nos puede ayudar a determinar qué sistema operativo y qué tecnologías utiliza un
determinado sitio
https://toolbar.netcraft.com/site_report?url=http://www.altran.com
Google dorks: trata de utilizar operadores para realizar una búsqueda más
especifica con el fin de obtener información sensible o encontrar brechas de
seguridad. En la siguiente web podemos encontrar varios ejemplos de búsqueda.

https://www.exploit-db.com/google-hacking-database

Shodan: motor de búsqueda que recopila datos de equipos y webs, nos ayuda a
obtener información de puertos abiertos, servicios y sistemas utilizados.
https://github.com/jakejarvis/awesome-shodan-queries
Censys: motor de búsqueda que recopila datos de equipos y webs, nos ayuda a
obtener información de puertos abiertos, servicios y sistemas utilizados.

Dnsdumpster: nos devolverá información del servidor DNS, registros MX,

registros TXT y un interesante esquema de las relaciones del dominio analizado.
Dig: es un comando que nos permite realizar peticiones al servidor DNS, en cual
vamos a utilizar para realizar un mapeo IP y un mapeo de dominios.
urlscan.io: Web que nos proporciona una completa información de los recursos
que solicita una web.

https://urlscan.io
 2. Escaneo

Fingerprinting: consiste en recolectar información del sistema

operativo utilizado, determinar qué puertos hay abiertos y las versiones de los
servicios.

Al igual que el footprinting se puede realizar de forma pasiva o activa.

Herramientas útiles: nmap, nessus, snmpcheck.

14
 2.1HERRAMIENTAS
Nmap: es una herramienta que nos permite identificar dispositivos, sistema
operativo, puertos abiertos e incluso vulnerabilidades mediante la utilización de
scripts.
COMANDOS BASICOS NMAP
Sintaxis básica
nmap [Tipo de escaneo] [Opciones] {IP de destino}

Identificando dispositivos
nmap -sP {IP de destino}

TCP SYN
nmap -sS {IP de destino}

Scan UDP
nmap -sU {IP de destino}

Identificar versión del servicio

nmap -sV {IP de destino}

Identificar sistema operativo

nmap -O {IP de destino}

Lanzar scripts por defecto

nmap –sC {IP de destino}

Modo agresivo
nmap -A {IP de destino}
Equivale a nmap -O -sV -sC --traceroute

Lanzar scripts por defecto

nmap --script {nombre-script} {IP de destino}

Especificar puerto
nmap -p {num-port} {IP de destino}
SNMPCHECK: esta herramienta nos permite leer la configuración snmp del
dispositivo objetivo, nos servirá para enumerar información acerca del hardware,
software, red …
 3. Análisis de vulnerabilidades

Esta etapa consiste en identificar a partir del escaneo de puertos si las

versiones de los servicios encontrados tienen alguna vulnerabilidad.

Para identificar vulnerabilidades podemos utilizar las siguientes herramientas

las cuales tienen una gran base de datos.

3.1HERRAMIENTAS
https://www.cvedetails.com/ : Esta web nos permite encontrar
vulnerabilidades por medio del producto y la versión.

18
También nos proporciona la siguiente información:
• CVSS: sistema de puntaje que nos permite identificar su impacto
• Exploits https://www.securityfocus.com/bid/66690/exploit
• Si existe un exploit en metasploit https://
www.cvedetails.com/cve-details.php?t=1&cve_id=cve-2014-0160
Nessus: programa que se utiliza para identificar vulnerabilidades conocidas y
malas configuraciones.
Searchsploit: Nos permite buscar exploits en nuestro sistema y en la base de
datos Exploit-DB.

Búsqueda por título

searchsploit -t java

Muestra ruta complete del exploit

searchsploit -p 39166

Copia exploit en el directorio actual

searchsploit -m 39166

Leer funcionalidad del exploit

searchsploit 39166 –examine

Buscar exploit a partir de escaneo nmap

nmap -sV [IP] -oX resultado.xml
searchsploit -x --nmap resultado.xml
 4. Explotación

Metasploit: es una herramienta que se utiliza para buscar, desarrollar y

ejecutar exploits.

Buscar exoloit
search type:exploit ssh

Usar exploit
use exploit/apple_ios/ssh/cydia_default_ssh

Mostrar opciones
show options

Configurar opciones
set rhosts <IP>

Ejecutar exploits
exploit

22
 Ataques DOS: este tipo de ataques consisten en provocar la denegación o el
mal funcionamiento de un servicio.

4.1 Tips de ataques de red DOS

Flood TCP SYN

Esta técnica consiste en enviar multitud de peticiones de conexión SYN pero
sin llegar a completar el establecimiento de conexión, al mantener en espera
dicha solicitudes se crean estructuras de memoria sobre los datos de la
conexión, este comportamiento puede facilitar a un atacante a saturar la
memoria del equipo víctima y evitar así que los clientes puedan establecer
nuevas conexiones.

Flood UDP
Este ataque consiste en inundar la red con un gran número de datagramas
UDP en poco tiempo, al enviar un paquete UDP a un puerto cerrado este
responderá con un paquete ICMP ERROR, estos mensajes consumen tiempo
de procesamiento y pueden provocar un elevado consumo de recursos en el
equipo víctima.

23
 Flood fragment
Consiste en enviar una gran cantidad de paquetes fragmentados, al llegar al
equipo victima este debe desfragmentarlo, esto hace que el equipo utilice
recursos de CPU y ante un elevado consumo de recursos el equipo puede
quedar inutilizable.

Smurf
Consiste en spoofear la IP origen con IP del equipo victima y enviar dicho
paquete a una dirección de broadcast, de esta forma con el envió de un solo
paquete conseguimos que todos los equipos de ese segmento de red
respondan al equipo victima saturando así su ancho de banda

FUZZ
Se envían paquetes malformado mediante técnicas de Fuzzing de los campos
que conforman un paquete, el equipo al recibir un paquete mal formado no
sabe cómo interpretarlo y esto puede provocar la explotación del sistema.

24
 4.2 Inyección de rutas

Route injection OSPF

Consiste en anunciar rutas OSPF falsas con la intención de modificar la tabla
de enrutamiento y dirigir el trafico a nuestro equipo para secuestrar
información.

BGP hijacking
Consiste en anunciar rutas BGP falsas con la intención de modificar la tabla
de enrutamiento y dirigir el trafico a nuestro equipo para secuestrar
información.

Noticia:
https://nakedsecurity.sophos.com/es/2018/10/30/china-hijacking-internet-traffic
-using-bgp-claim-researchers/

25
 5 Documentación

Un documento de auditoría de red puede contener los siguientes apartados:

Objetivo
Explicar el fin de la auditoria

Alcance
Definir cliente, Ips, dominios e impacto de las técnicas que se van a utilizar.

Resumen objetivo
Hacer un resumen de los resultados que han sido positivos en la auditoría.

Fase Footprinting
Mostrar trazas y resultados

Fase Fingerprinting
Mostrar trazas y resultados

26
 5 Documentación

Un documento de auditoría de red puede contener los siguientes apartados:

Explotación
Mostrar trazas y resultados

Nivel de Riesgo
Definir el impacto de riesgo de las vulnerabilidades encontradas.

Medidas de Seguridad
Indicar que posibles soluciones pueden darse a las vulnerabilidades
encontradas

27
28