270 likes | 458 Views
Ataques. El atacante manda un paquete IP dividido en fragmentos Los fragmentos en total exceden la longitud máxima de un paqute IP (65535 bytes) Al ensamablarse en el destinatario (víctima) da un paquete con una longitud ilegal causando un desborde (overflow) en memoria
E N D
El atacante manda un paquete IP dividido en fragmentos Los fragmentos en total exceden la longitud máxima de un paqute IP (65535 bytes) Al ensamablarse en el destinatario (víctima) da un paquete con una longitud ilegal causando un desborde (overflow) en memoria Las respuestas dependen de las diferentes implementaciones de TCP/IP Comenzó con ping pero no está restringido a eso ping -l 66000 www.maquina.com Ping of Death (ataque DOS)
Descubierto en 1994 Publicado en 1996 (Phrack Mag.) Ataques múltiples en sept. 1996 CERT publica medidas inmediatamente SYN Flood (Ataque DOS)
A un proceso TCP en unservidor Envía ráfagas de segmentos SYN desde direcciones IP “falsas” que no generarán respuesta (SYN+ACK) Al recibir SYN el servidor mantiene estado de la conexión, reservando los recursos necesarios ...... por un rato TCB (Transmission Control Block) Dir Ips, # puertos, apuntadores a los buffers de recepción/transmisión, etc. Mucho más peligroso que otros DOS porque no necesita una gran cantidad de paquetes No intenta sobrecargar la red Tampoco acabar con la memoria de la máquina SYN Flood. Características
TCB 1300+ bytes en Linux 2.6.10 Otros 280+ bytes Se establecen límites (backlog) para mantener TCB activos y no acaberse la memoria Backlog Número máximo de conexiones a medias (half-open) permitidas La espera para desechar la petición de conexión (SYN-RECEIVED timer) en algunos sistemas era de 511 segundos! El cálculo del backlog depende del servidor SYN Flood. Parámetros en el servidor
Tamaño de la ráfaga Mayor que el backlog, depende de la víctima Frecuencia de la ráfaga Cubrir el cronómetro SYN-RECEIVED Selecciones de direcciones IP origen No activas para que no respondan (no RST) Diferentes para no llamar la atención Privadas 10.0.0.0/24, 127.0.0.0/24 , 172.16.0.0/12, 192.168.0.0/16 SYN Flood. Parámetros del ataque
Filtrar tráfico De direcciones privadas Verificar dirección origen y ruteador de entrada Incrementar backlog Cuidado. Más memoria y CPU para búsquedas Reducción del cronómetro SYN-RECEIVED Se pueden eliminar conexiones válidas pero “distantes” Reutilización del TCB más viejo Idem SYN Cache Minimizar la cantidad de información guardada del estado hasta que se reciba el ACK Se puede incrementar el backlog SYN Flood. Defensas
Quote Of The Day (RFC 865) Servicio que escucha en puerto 17 (UDP y TCP) Envía al emisor una cita notable En TCP al abrir una conexión al puerto 17 se manda la cita, inmediatamente después el servidor cierra la conexión En UDP al recibir un datagrama en el puerto 17 se manda la cita Entre dos máquinas → ciclo infinito También se puede correr en la misma máquina Ataque pimpón
Ataque pimpón (QOTD) QOTD Puerto 17 QOTD Puerto 17 “...............” Org: A/17 Dest: B/17 Dest: A/17 Org: B/17 “...........” A B Org: A/17 Dest B/17 E
Echo (RFC 862) Servicio que escucha en puerto 7 (UDP y TCP) Reenvía al emisor lo que le llegue Chargen (RFC 864) Character Generator Servidor chargen escucha en puerto 19 (UDP y TCP) Al recibir un paquete genera entre 0 y 512 caracters aleatorios y los envía al emisor Entre dos máquinas → ciclo infinito También se puede correr en la misma máquina Echo-Chargen
Ataque Echo-Chargen CHAR-GEN Puerto 19 ECHO Puerto 7 Cars repetidos Org: A/7 Dest: B/19 Dest: A/7 Org: B/19 0-512 cars A B Org: A/7 Dest: B/19 E
Atacante A envía pings broadcast (echo request de ICMP) a una red, pero con la dirección IP origen de la víctima V Todas las máquinas de la red contestan con echo reply a la víctima V A V ICMP Flood (Smurf Attack)
Secuestro de Sesion (Session Hijacking) • Se toma el control de una conexión insertando paquetes IP manufacturados por el agresor en el canal de comunicación legítimo. • El agresor excluye a una de las dos partes de la conexión y se hace pasar por esta sin que se altere o se cierre la conexión.
Inicio de sesión y Conversación TCP C S SYN(ISNC) SYN(ISNS), ACK(ISNC) ACK(ISNS) Datos Datos
Secuestro de sesión TCP C S SYN(ISNC) SYN(ISNS), ACK(ISNC) ACK(ISNS) X Datos Necesita: - Ser local - Combinación con ARP poissoning Datos
Predicción de números de secuencia TCP X S SYN(ISNX), org= T SYN(ISNS), ACK(ISNX) T ACK(ISNS), org=T ACK(ISNS), org=T, datos malos
ARP Reply: mi IP es C y mi MAC es 10 IP IP MAC MAC C C 30 10 B B 20 20 ARP Poisoning (Man in the Middle) 10 20 30 40 < < < < A B C D R 99
HUB HUB
Switch (conmutador) SWITCH
DNS 3 2 Cliente 198.182.196.56 1 www.linux.org
DNS (ataque al servidor, registros) 4 3 Cliente www.linux.org 207.46.232.18 2 www.linux.org 1 Cambia ip de www.linux.org a 207.46.232.182 www.windows.com Atacante
DNS Spoofing (con sniffing) Cliente 1 www.mibanco.com 4 2 3 www.ratas.com
DNS Spoofing (con DHCP) DHCP Cliente 1 www.mibanco.com Servidor DHCP 4 2 3 www.jajaja.com