El documento describe las fases de un ataque de hackeo y una denegación de servicio, incluyendo el reconocimiento, escaneo, acceso, mantenimiento del acceso y borrado de actividades en el hackeo, y varios tipos de ataques de denegación de servicio como Smurf, buffer overflow y SYN flooding. También menciona herramientas comunes para cada tipo de ataque.
2. Fases de un Hackeo
Reconocimiento.
Escaneo.
Acceso.
Mantener el acceso.
Borrar actividades.
2
Seguridad, Departamento de Telecomunicaciones, UTLP 2009
3. Reconocimiento
El atacante obtiene la mayor cantidad de
información del (los) posible (s) objetivo (s).
Footprinting.
Dumpster diving.
Fingerprinting.
Ingeniería social.
3
Seguridad, Departamento de Telecomunicaciones, UTLP 2009
4. Tipos de reconocimiento
Pasivo
Obtener información sin interacción directa con
la(s) victima(s).
Activo
Interacción directa a través de cualquier medio.
4
Seguridad, Departamento de Telecomunicaciones, UTLP 2009
5. Escaneo
Fase en la cual el atacante obtiene
información del sistema de la victima.
Escaneos de puertos, de red y de vulnerabilidades.
Obtiene entre otras:
IP’s, MAC’s.
Sistema operativo.
Puertos abiertos.
Servicios.
Etc.
5
Seguridad, Departamento de Telecomunicaciones, UTLP 2009
6. Tipos de escaneo
Port scanning.
Comprueba los servicios corriendo en el equipo
victima.
Network scanning.
Identificar host activos en la red.
Vulnerability scanning.
Identifica las vulnerabilidades del sistema o de los
servicios activos.
6
Seguridad, Departamento de Telecomunicaciones, UTLP 2009
7. Scaneos utilizando banderas
TCP.
Half open can (No abre una full tcp conn).
SYN/ACK scan.
XMAS scan (Envía todas las banderas).
FIN scan (Solo unix).
ACK scan (Utiliza el valor del TTL).
NULL scan (Solo unix).
IDLE scan (IP Spoofing).
Full open scan (Detectable).
7
Seguridad, Departamento de Telecomunicaciones, UTLP 2009
8. Acceso
El atacante penetra en el equipo victima,
explota vulnerabilidades del sistema, de
alguna aplicación en particular o en la red.
Desbordamiento.
DoS.
Secuestro de sesión.
Crackeo de contraseñas.
8
Seguridad, Departamento de Telecomunicaciones, UTLP 2009
9. Mantener el acceso
El atacante intenta mantener el acceso,
puede cargar, descargar o manipular datos de
aplicaciones o las configuraciones.
Backdoors.
Rootkits.
Troyanos.
9
Seguridad, Departamento de Telecomunicaciones, UTLP 2009
10. Borrar actividades.
El hacker cual astuto ladrón destruye todos
los rastros dejados a su paso.
Steganography.
Tunneling.
Alterar logs del sistema.
10
Seguridad, Departamento de Telecomunicaciones, UTLP 2009
11. Herramientas
Hping2.
Firewalk.
NMAP.
Netscan.
Netdiscover.
Dsniff.
Global network inventor.
Nessus.
11
Seguridad, Departamento de Telecomunicaciones, UTLP 2009
12. Denegación de servicio.
El objetivo de este ataque es dejar inútil al
equipo victima.
Evita el acceso a los datos.
Interrumpe la conexión entre equipos.
12
Seguridad, Departamento de Telecomunicaciones, UTLP 2009
13. Tipos
Smurf.
Buffer overflow.
Ping of death.
Teardrop.
SYN y SYN Flooding attack.
PDoS (Permanent DoS).
13
Seguridad, Departamento de Telecomunicaciones, UTLP 2009
14. Smurf.
Envia tráfico ICMP a direcciones broadcast
con la dirección spoofed de la victima.
Las direcciones broadcast responderán a la
dirección spoofed de la victima, inundandola.
14
Seguridad, Departamento de Telecomunicaciones, UTLP 2009
15. Buffer overflow
El ataque consiste en desbordar el buffer de
memoria asignado a una aplicación
determinada.
15
Seguridad, Departamento de Telecomunicaciones, UTLP 2009
16. Ping of death
Enviar paquetes IP con un tamaño mayor al
65536 bytes.
El sistema no puede controlar paquetes con
un tamaño mayor al mencionado.
IP Spoofing.
16
Seguridad, Departamento de Telecomunicaciones, UTLP 2009
17. Teardrop
Se envía un paquete bastante grande que
será fragmentado.
El atacante coloca un valor confuso o erroneo
en algún paquete intermedio.
Detectado por firewalls.
17
Seguridad, Departamento de Telecomunicaciones, UTLP 2009
18. SYN attack
Envia requisitos TCP SYN falsos.
El atacante explota el three way handshake.
SYN Flooding
Envia paquetes SYN ilimitados al sistema, pero
no responde a los ACK.
El sistema no puede responder por que el
proceso de envio es muy alto y la cola de escucha
se llena rápido.
18
Seguridad, Departamento de Telecomunicaciones, UTLP 2009
19. PDoS
Plashing.
Ataque que daña un sistema y su reparación
requiere el cambio de hardware.
Aprovecha defectos de seguridad.
El atacante deja un hueco de seguridad para
que el atacante ingrese a realizar
modificaciones en el firmware del dispositivo.
19
Seguridad, Departamento de Telecomunicaciones, UTLP 2009
20. Ataque DDoS
Una multiplicidad de sistemas intervenidos
atacan a un solo blanco.
Los sistemas comprometidos se denominan
victimas secundarias.
Los servicios bajo ataque pertenecen a la
victima primaria.
Dificil detección.
20
Seguridad, Departamento de Telecomunicaciones, UTLP 2009
21. Herrmientas DoS
Nemesy.
Panther2.
Crazy pinger.
UDP flood.
Trinoo y Trinity (DDoS).
Ettercap.
PlashDance (PDoS).
21
Seguridad, Departamento de Telecomunicaciones, UTLP 2009