Pontificia Universidad Javeriana. Fonseca, Gonzlez, Neira.

Prctica de Asalto a una Sesin TCP

Prctica de Asalto a una sesin TCP

Fonseca, Guiller!o. Gonzlez, /aria Ca!ila ' Neira, 4ernardo AndrCs. ?*fonseca, *onzalez!c, 2neiraAL$averiana.edu.co Pontificia Universidad Javeriana

Resumen n este docu!ento se e"#lica estructura de un asalto a una sesin TCP, #resenta un e$e!#lo #rctico utilizando %erra!ienta &unt ' se evidencian los rastros (ue de$an tras el ata(ue.

la se la se

datos i!#ortantes del cliente ' del servidor 8<:8=:> Tu#la> ?)#@Cliente, )#@Servidor, Puerto@Cliente, Puerto@ServidorA 1a finalidad de este docu!ento es !ostrar un ata(ue a una sesin co!o la #revia!ente descrita. s necesario #ri!ero analizar el #a(uete TCP (ue se #uede ver en la Fi*ura B.

ndice de TrminosSesin TCP, Cliente, Servidor, Pa(uete )P, Telnet, &unt, )P S#oofin*, A+P #oisonin*,
).
N ST

)NT+,-UCC).N
S P+ S NTA UN CAS,

-,CU/ NT,

P+0CT)C, - ASA1T, A UNA S S).N TCP.

Para entender la estructura de un asalto a una sesin TCP se de2en tener #resentes al*unos conce#tos 2sicos (ue se e"#lican en la seccin )). 1ue*o se encuentra la descri#cin del ata(ue #aso a #aso #ara dar introduccin a la #rctica realizada con la %erra!ienta &unt. /s adelante, en la seccin 3))), se !uestran los rastros (ue de$a el ata(ue 'a (ue es i!#ortante en la investi*acin forense reconocer las %uellas (ue de$an los atacantes tras cada intrusin. Para finalizar se e"#lica una !anera de corre*ir el ata(ue ' se #resentan las conclusiones de la #rctica realizada. )).
C,NC PT,S 40S)C,S

Figura 1. Paquete TCP

A. Sesin TCP l o2$etivo de una sesin TCP es coordinar !5lti#les cone"iones TCP concurrentes entre un #ar de %osts. Una a#licacin t6#ica de una sesin TCP es la coordinacin entre cone"iones TCP concurrentes entre un servidor 7e2 ' un cliente en donde las cone"iones corres#onden a co!#onentes de una #*ina 7e2. 89: Una sesin TCP se identifica #or una tu#la con los
;

l #a(uete contiene el #uerto ori*en ' el #uerto destino. Ta!2iCn contiene un n5!ero de secuencia de D= 2its (ue identifica el flu$o de cada octeto de datos. ste n5!ero va de E a =D= F B. Cuando se esta2lece una sesin entre dos %osts, estos interca!2ian n5!eros de secuencia. Para efectos del asalto de una sesin TCP se e"#licar la i!#ortancia de estos n5!eros de secuencia ' la seleccin del n5!ero de secuencia inicial. So2re los de!s ca!#os del #a(uete ca2e resaltar las 2anderas (ue son G 2its de control (ue se utilizan de iz(uierda a derec%a #ara indicar> U+G Hel #a(uete es ur*enteI, ACJ Hconfir!acin de reci2ido el anterior #a(ueteI, PS& Hel #a(uete contiene datosI, +ST H#ara resetear una la cone"inI, SKN H#ara sincronizar n5!eros de secuenciaI ' F)N Hno vienen !s datos del e!isorI 8D:.

Asalto a una Sesin TCP

Pontificia Universidad Javeriana. Fonseca, Gonzlez, Neira. Prctica de Asalto a una Sesin TCP

Una sesin TCP e!#ieza #or una sincronizacin entre el cliente ' el servidor. sta sincronizacin se conoce co!o el t%ree Ma' %ands%aNe (ue se %ace #ara (ue las dos !(uinas entre las (ue se va a %acer la cone"in, se#an la es#ecificacin de la otra ' su confi*uracin #ara !ane$ar sesiones TCP. Su#oniendo (ue se esta2le una cone"in TCP entre la !(uina A ' la !(uina 4, la sincronizacin se !uestra a continuacin 8D:> BI A 4 =I A 4 A4 DI A 4 SKN !i n5!ero de secuencia es O ACJ su n5!ero de secuencia es O SKN !i n5!ero de secuencia es K ACJ su n5!ero de secuencia es K

servicio 2rindado #or el servidor o al !enos volverlo !s lento #ara res#onder a otras #eticiones 8BB:. ste ata(ue, el SKN flood, es utilizado #ara sus#ender un servicio en una !(uina, #ara consu!ir los recursos de un servidor o #ara a2rir #aso a un nuevo ata(ue, usual!ente el 2o!2ardeo de SKN se %ace con$unto con el )P s#oofin* de la !(uina atacante #ara evitar rastreos #osteriores. $. %scaneo de Puertos l escaneo de #uertos es una de las tCcnicas de reconoci!iento !s #o#ulares usadas #ara encontrar servicios activados (ue #ueden traducirse co!o %uecos de vulnera2ilidad e"istentes 8BE:. 4sica!ente un escaneo de #uertos consiste en el env6o de una tra!a o de un !ensa$e a la vez, a cada uno de los #uertos de una !(uina, es el ti#o de res#uesta a cada uno de estos !ensa$es lo (ue da una idea al atacante del estado del #uerto, #or e$e!#lo si una !(uina a la (ue se le %a %ec%o un escaneo de #uertos devuelve un SKNRACJ si*nifica (ue tanto la !(uina co!o el #uerto del servicio estn arri2a, si devuelve un +STRACJ la !(uina est arri2a #ero el servicio se encuentra o no dis#oni2le o ine"istente, si el retorno es un !ensa$e )C/P de &ost unreac%a2le si*nifica (ue la !(uina est a2a$o ' si este !is!o !ensa$e va aco!#aSado de un ad!in. Pro%i2ited filter, si*nifica (ue la !(uina est detrs de un fireMall con lista de accesos. %. %n&enenamiento de ARP l #rotocolo A+P HAddress +esolution ProtocolI se encar*a de asociar las direcciones )P de las !(uinas con sus res#ectivas direcciones f6sicas H/ACI en una ta2la din!ica. l #roceso de asociacin se realiza de la si*uiente !anera> cuando un #a(uete es enviado a al*una !(uina, el !dulo A+P 2usca en su ta2la din!ica si la direccin )P de la !(uina destino e"iste. Si la encuentra re*istrada u2ica la corres#ondiente /AC ' si*ue el #roceso de env6o del #a(uete. Si no la encuentra en su ta2la A+P env6a un #a(uete A+P + TU ST (ue es un #a(uete 2roadcast #re*untando (uien tiene la /AC de la direccin )P (ue esta 2uscando. 1ue*o se reci2e un #a(uete PA+P + P1KQ, el cual es unicast, confir!ando la /AC de la direccin )P

B. IP Spoo ing l )P S#oofin* consiste en su#lantar la direccin )P o identidad de una !(uina, esto con el fin de 2eneficiarse de la PconfianzaQ (ue un %ost le ten*a a otro. Para llevar a ca2o este ata(ue es suficiente con !odificar en el #a(uete TCP, el ca!#o con la direccin )P ori*en de la !(uina su#lantada. "isten dos !odalidades de s#oofin*. 1a #ri!era se conoce co!o Non@4lind S#oofin* en la cual el atacante se encuentra en la !is!a su2red de la v6cti!a #or lo (ue #uede tener visi2ilidad del trfico de la !is!a. 1a se*unda !odalidad se conoce co!o 4lind S#oofin*, la cual ocurre desde afuera de la su2red en donde los n5!eros de secuencia ' de confir!acin estn fuera del alcance del atacante 8G:8=:. Con la utilizacin de esta tCcnica se #uede ase*urar (ue los #a(uetes enviados #or el atacante no sern rec%azados #or la !(uina destino. C. S!" F#ood Co!o se e"#lic en el nu!eral A de esta seccin, el #rotocolo TCP se inicia con una cone"in en tres tie!#os, si el #aso final no se co!#leta, la sesin iniciada (ueda en un estado inco!#leto ' #uede llevar a una dene*acin de servicio lla!ada SKN flood. Un cliente (ue no conteste al se*undo ACJ del t%ree Ma' %ands%aNe, lo*ra !antener al servidor Hotro lado de la co!unicacinI en estado de escuc%a #or un tie!#o deter!inado, #or esta razn si se %ace una inundacin de estas cone"iones a P!edio ter!inarQ es #osi2le lo*rar la interru#cin del
Asalto a una Sesin TCP

Pontificia Universidad Javeriana. Fonseca, Gonzlez, Neira. Prctica de Asalto a una Sesin TCP

solicitada. Una vez reci2ido el !ensa$e de res#uesta, se al!acena en la ta2la A+P la nueva infor!acin. l ata(ue de envenena!iento de A+P se 2asa en la de2ilidad de al*unos siste!as o#erativos co!o 1inu" ' 7indoMs (ue no !ane$an estados en el #rotocolo A+P #or lo cual ace#tan !ensa$es PA+P + P1KQ sin i!#ortar si %an enviado antes un !ensa$e PA+P + TU STQ. Un atacante a#rovec%a esta de2ilidad #ara !odificar a su *usto la ta2la A+P de su v6cti!a. F. Sni er Un sni er es un #ro*ra!a (ue es utilizado #ara !onitorear ' analizar el trfico en una red, dando la #osi2ilidad de o2servar los #a(uetes (ue flu'en de un lado a otro. n un se*!ento de red sin un sMitc% o enrutador de #a(uetes, todo el trfico destinado a una !(uina es enviado a todos los inte*rantes del se*!ento, #ero #uesto (ue las direcciones )P no coinciden con las del #a(uete trans!itido, estas si!#le!ente los rec%azan. l sniffer coloca la tar$eta de red del co!#utador en !odo #ro!iscuo, esto es ace#tando a2soluta!ente todos los #a(uetes (ue transitan #or el se*!ento de red #ara #oder o2servarlos He incluso se*uir toda una tra!aI 8et%ereal: ' utilizar la infor!acin en ellos. Un atacante usa esta %erra!ienta #ara o2servar el trfico en la red (ue desea atacar, reco#ilando la infor!acin necesaria #ara cu!#lir sus o2$etivos co!o direccin de la )P de la v6cti!a, n5!eros de secuencia de los #a(uetes ' #rotocolos utilizados HTelnet, Ft#, entre otrosI. ))).
ST+UCTU+A - UN ASA1T, A UNA S S).N TCP

l asalto de una sesin TCP es to!ar control de una sesin e"istente ' enviar los #a(uetes #ro#ios en una tra!a de tal for!a (ue los co!andos ' rdenes trans!itidos sean #rocesados co!o si se fuera el autCntico usuario de la sesin. Co!o cual(uier ata(ue realizado #or un %acNer, el asalto a una sesin TCP inicia #or la 25s(ueda de una v6cti!a. )nde#endiente!ente de la !otivacin, al ele*ir la v6cti!a se averi*ua su )P ' en el caso del asalto a una sesin ta!2iCn se conocen la )P del

servidor ' el #uerto #or el (ue se esta2lece la cone"in con este. Conociendo tres de los cuatro datos (ue identifican una sesin la tu#la ?)P@cliente, )P@servidor, Puerto@cliente, Puerto@ServidorA !encionada con anterioridad se #rocede a averi*uar el #uerto del cliente. -e la !is!a for!a (ue se !enciona2a en la seccin )), la sesin TCP entre dos %osts consta de la tu#la (ue la identifica ' de los n5!eros de secuencia (ue certifican la identidad de cada una de las !(uinas. Posterior al esta2leci!iento de la cone"in no se co!#rue2a la identidad de un %ost, #or lo cual se #uede llevar a ca2o el ata(ue. Para esta clase de ata(ues %a' dos ti#os de !ecanis!os. l #ri!ero, si el atacante no se encuentra en el !is!o se*!ento de red del cliente, de2e %acer un escaneo de #uertos ' de esa for!a averi*uar el #uerto a2ierto #or el (ue reci2e los #a(uetes del servidor. 1ue*o es necesario investi*ar el n5!ero de secuencia del servidor. Para esto se #uede enviar un #a(uete SKN al servidor ' anotar el n5!ero de secuencia (ue se reci2e en el #a(uete de res#uesta al esta2leci!iento de la cone"in HSKN, ACJI. Al %acer lo anterior varias veces se #uede analizar el n5!ero de secuencia (ue si*ue. Ca2e aclarar (ue es necesario %acerlo #or !edio de softMare #or(ue de2e ser un #roceso r#ido 'a (ue el servidor #uede reci2ir otros #a(uetes SKN. Para evitar un SKN flood es necesario finalizar la cone"in enviando un #a(uete +ST al servidor lue*o de tener el n5!ero de secuencia. n el !o!ento de realizar el asalto a la sesin se de2e ase*urar (ue el cliente ' el servidor no estCn co!unicados. Para esto se #ueden enviar varios #a(uetes SKN al cliente ocasionando un SKN flood ' de$ndolo te!#oral!ente fuera de servicio. Con esta tCcnica se #rocede a enviar un #a(uete de sincronizacin HSKNI !odificado con )P s#oofin* con la direccin )P del cliente co!o la direccin ori*en. Si el atacante se encuentra fuera del se*!ento de red del cliente no #odr ver el #a(uete de res#uesta SKNRACJ #ero 'a se ase*ur de (ue el cliente no va a res#onder, ' ade!s 'a sa2e el n5!ero de secuencia con el (ue de2e res#onder el 5lti!o ACJ ' con eso 'a se %a su#lantado al cliente 8B:8<:. n el se*undo la utilizacin de un sniffer en caso en (ue el atacante se encuentre en el !is!o

Asalto a una Sesin TCP

Pontificia Universidad Javeriana. Fonseca, Gonzlez, Neira. Prctica de Asalto a una Sesin TCP

se*!ento de red (ue las !(uinas a las (ue se #lanea %acer el asalto de sesin. Para lo*rar asaltar una sesin TCP se de2en conocer> )P del cliente )P del servidor Puerto del cliente Puerto del servidor N5!eros de secuencia del cliente ' del servidor Una vez se tiene toda la infor!acin anterior, el atacante se #re#ara #ara e$ecutar el asalto de sesin de la si*uiente !anera> Pri!ero se es#era %asta (ue se esta2lezca una cone"in TCP, #ara nuestro caso de estudio se utilizar una sesin Telnet, lue*o el atacante ca!2ia su direccin )P realizando un )P s#oofin* con la direccin )P de la v6cti!a H!(uina (ue ser su#lantadaI, una vez se tiene el ca!2io, co!ienza a enviar #a(uetes A+P al servidor con el fin de forzarlo a actualizar su ta2la A+P ' #or ende el reenv6o de #a(uetes a la !(uina del atacante. Cuando se lo*ra la cone"in con el servidor solo resta realizar las acciones (ue el atacante se #ro#on6a en un #rinci#io He$ecutar cdi*o, o2tener arc%ivos, etcI ' final!ente intentar volver a reesta2lecer la cone"in entre la v6cti!a ' el servidor. sta 5lti!a #arte no es trivial dado, #ero en*aSando a la v6cti!a se #uede restaurar la cone"in. n la seccin 3) so2re &unt se e"#licara la !anera co!o esa %erra!ienta recu#era el control.

A. 'uggernaut Al i*ual (ue la *ran !a'or6a de %erra!ientas $u**ernaut esta 2asada en 1inu" ' fue desarrollada #or un %acNer conocido co!o ProuteQ, a#areci #or #ri!era vez #u2licada en la revista P%racN /a*azine ' aun(ue fue creada %ace 2astante tie!#o aun si*ue siendo una de las !s #redilectas de2ido a al*unas de sus caracter6sticas 5nicas. Uno de sus #rinci#ales atri2utos es la ca#acidad de rastrear sesiones TCP usando un criterio de 25s(ueda He$e!#lo la #ala2ra PASS7,+-I, al actuar co!o sniffer, $u**ernaut #er!ite ver todo el trfico de red ' le da la o#ortunidad al atacante de esco*er cual(uiera de las sesiones activas. ,tra caracter6stica (ue %ace de $u**ernaut una %erra!ienta !u' a#etecida, es la #osi2ilidad de ensa!2lar #a(uetes desde cero, esto inclu'e activar las 2anderas del enca2ezado co!o se desee #ara #asar desa#erci2ido ante al*unos )-S. Sin e!2ar*o una de las desventa$as de $u**ernaut es (ue no #er!ite el env6o de contraseSas desde el servidor H%ostI atacado a la !(uina del atacante, #ara realizar esto es necesario el uso de otras %erra!ientas. sta %erra!ienta se encuentra dis#oni2le en 8B: %tt#>RRMMM=.#acNetstor!securit'.or*Rc*i@ 2inRsearc%Rsearc%.c*iU searc%valueV$u**ernautWt'#eVarc%ives B. TT!()atc*er TTK@7atc%er es una %erra!ienta (ue a diferencia de $u**ernaut, &unt ' otras a#licaciones #ara el asalto de sesiones, solo #uede ser usada en un ti#o de siste!a, las !(uinas Solaris de SUN. Cuando un usuario est conectado a un siste!a Solaris, todos los datos tecleados en la Ter!inal, son auto!tica!ente enviados a la Ter!inal TTK del atacante, #er!itiCndole ver todos los co!andos e$ecutados #or la v6cti!a. TTK F 7atc%er ta!2iCn #er!ite al atacante enviar !ensa$es a su v6cti!a, los cuales sern !ostrados en la Ter!inal de este 5lti!o, esta funcin #uede utilizarse #ara ro2ar todo ti#o de contraseSas o #ara o2li*ar a la v6cti!a a escalar car#etas 8B:. sta %erra!ienta no es *ratuita ' est dis#oni2le en
%tt#>RRMMM.en*arde.co!RsoftMareR.

)3.

&

++A/) NTAS PA+A ASA1TA+ UNA S S).N TCP

"isten un a!#lio n5!ero de %erra!ientas (ue #er!iten la realizacin de un asalto de sesin TCP, la !a'or6a son *ratuitas ' #ueden conse*uirse en )nternet, co!o dato curioso la *ran !a'or6a solo funciona en siste!as o#erativos UN)O.

Asalto a una Sesin TCP

Pontificia Universidad Javeriana. Fonseca, Gonzlez, Neira. Prctica de Asalto a una Sesin TCP

C. $sSni s un con$unto de %erra!ientas #ara la auditor6a de redes ' #rue2as de #enetracin, las #rinci#ales caracter6sticas de este #a(uete son> !onitoreo #asivo de redes, interce#cin de #a(uetes nor!al!ente no dis#oni2les #ara co!#utadoras sin sniffers ' #er!ite i!#le!entar ata(ues de !an@in@t%e@!iddle contra sesiones SS& ' &TTPS. Aun(ue no es una %erra!ienta tan conocida ni de fcil !ane$o Hnecesita la instalacin #revia de otras a#licacionesI se consi*ue en )nternet ' es #ara la #latafor!a Uni". l set de %erra!ientas se encuentra en %tt#>RRMMM.!onNe'.or*RYdu*son*RdsniffR $. T(Sig*t s una %erra!ienta co!ercial #roducida #or n*arde ' es usada solo en #latafor!as 7indoMs. Aun(ue en sus inicios T@Si*%t fue diseSada co!o una %erra!ienta de !onitoreo #ara detectar trfico sos#ec%oso, actual!ente se utiliza #ara ca#tar todas las co!unicaciones de un se*!ento de red en tie!#o real ' #ara realizar asaltos de sesin, es #or esto (ue la e!#resa fa2ricadora n*arde solo #er!ite la utilizacin de la %erra!ienta con al*unas direcciones )P. T@Si*%t es una %erra!ienta de uso !uc%o !s forense (ue intrusito, ade!s cuenta con ciertas caracter6sticas co!o deteccin de intrusiones, con$unto de re#ortes ' *rficas #ara el anlisis #ost@!orte! 8%tt#>RRMMM.runsecure.co!RidsRidXofZ.%t!l:. 3. & ++A/) NTA &UNT Para la e$ecucin del asalto de sesin TCP, o2$eto de estudio de este #a#er, se esco*i &unt, (ue es una %erra!ienta creada #or Pavel Jrauz ' la cual #osee !uc%as si!ilitudes con Ju**ernaut, ta!2iCn sirve en los siste!as o#erativos Uni", #er!ite o2servar todo el trfico TCP ' 2rinda la o#cin de %acer un asalto de sesin si!#le Hinsercin de una sola l6nea de co!ando durante una sesin TelnetI. Una de las #rinci#ales venta$as de &unt es su ca#acidad de resta2lecer cone"iones una vez se %a alcanzado el #ro#sito del ata(ue. l control de una sesin #uede ser devuelto al cliente ori*inal ', si se %ace de una !anera lo suficiente!ente r#ida, a5n as6 #asar desa#erci2ido tanto #ara el servidor co!o
Asalto a una Sesin TCP

#ara el cliente. Ju**ernaut al contrario, re(uiere %acer un ata(ue de dene*acin de servicio, este ti#o de asalto no solo cierra la cone"in con el cliente, sino (ue ta!2iCn i!#osi2ilita la co!unicacin de esa !(uina con otro co!#utador en esa su2red levantando sos#ec%as ' activando alar!as de un #osi2le ata(ue. &unt evita este #ro2le!a %aciendo #arecer la #Crdida te!#oral de cone"in un #e(ueSo error de trans!isin en red o un error del lado del servidor. &unt no solo #er!ite el ata(ue en una !is!a su2red, esta %erra!ienta ta!2iCn #rovee for!as de realizar el asalto a una sesin TCP en un a!2iente sMitc%ado o incluso #or )nternet. &unt se encuentra dis#oni2le en la si*uiente direccin %tt#>RR#acNetstor!.linu"securit'.co!RsniffersR%untR. 3). P+0CT)CA - 1 ASA1T, - UNA S S).N TCP l caso de estudio de este #a#er fue realizado con la %erra!ienta &unt Hseccin 3I a continuacin se e"#licar #aso a #aso las acciones realizadas durante el asalto de sesin TCP. B. Se utilizaron cuatro co!#utadores conectados a un %u2 #ara la #rctica del asalto, en uno se ten6a un servidor ft#Rtelnet con a!2os servicios arri2a la )P de esta !(uina era la B9=.BG<.B.B ' el siste!a o#erativo era 7indoMs, el cliente Hv6cti!a en este casoI #ose6a una cuenta en el servidor !encionado anterior!ente ' esta2a co!enzando una sesin Telnet. Su direccin )P era la B9=.BG<.B.= ' su siste!a o#erativo ta!2iCn era 7indoMs, el tercer co!#utador (ue era la !(uina del atacante corr6a la %erra!ienta &unt ' el siste!a o#erativo era Uni", edicin U2untu, #or 5lti!o el cuarto co!#utador sola!ente esta2a corriendo et%ereal ' su #ro#sito era ca#turar el trfico durante el esta2leci!iento ' #osterior!ente el asalto de la sesin. =. l co!#utador cliente accede nor!al!ente al servicio telnet desde su consola, #ara lo*rar la cone"in re!ota con el servidor.

D. 1a consola de telnet a#arece en la #antalla

Pontificia Universidad Javeriana. Fonseca, Gonzlez, Neira. Prctica de Asalto a una Sesin TCP

del cliente ' la sesin es esta2lecida

de ACJ o ACJ Stor!. <. Cuando la v6cti!a intenta se*uir utilizando su sesin ' env6a los #a(uetes al verdadero servidor, su n5!ero de secuencia #ara la sincronizacin 'a no funciona.

X. Al !is!o tie!#o el atacante (ue %a e$ecutado la %erra!ienta &unt, co!ienza a %acer un escaneo en el se*!ento de red al (ue #ertenecen los X e(ui#os involucrados, #ara 2uscar sesiones telnet activas. Z. Una vez la sesin a#arece en la consola del atacante, se realiza el ata(ue con una inundacin de #a(uetes A+P %acia el cliente, #ara (ue este 5lti!o actualice su ta2la A+P ' #iense (ue el servidor se encuentra en una /AC diferente.

-urante el env6o de A+P &unt ca!2ia la direccin /AC real del atacante #or la del servidor (ue ofrece Telnet, de esta for!a el cliente no se da cuenta de la !odificacin ' si*ue la sesin nor!al!ente. G. Una vez la PfalsificacinQ se %a lo*rado del lado del cliente, es %ora de en*aSar al servidor, esto se lo*ra ca!2iando la ca2ecera de los #a(uetes enviados #or el atacante usando los datos reales de la v6cti!a

s entonces cuando se #resenta un ACJ Stor!, co!o #uede verse en la i!a*en, el cliente env6a #a(uetes ACJ con un n5!ero de secuencia no vlido #ara esa sesin ' #or su lado el servidor intenta sincronizarlo nueva!ente envindole el nuevo n5!ero de secuencia, este #roceso #uede ocurrir !uc%as veces H#ues es un cicloI, %aciendo (ue &unt cancele el asalto de la sesin, ' es una de las for!as !s co!unes de detectar un asalto de sesin. 9. Una caracter6stica 5nica de &unt es la #osi2ilidad de resta2lecer la sesin TCP asaltada, #ara lo*rarlo, se env6a un !ensa$e al cliente el cual indica (ue el servidor se %a ca6do ' #or lo tanto es necesaria una re sincronizacin.

[.

s as6 co!o se consu!a el asalto de sesin, es en este !o!ento en (ue el atacante #uede utilizar los #er!isos de la v6cti!a #ara escalar #rivile*ios, crear nuevos usuario o incluso de$ar 2acNdoors o #uertas traseras #ara futuras #enetraciones. Aun(ue el ca!2io de #a(uetes (ue %ace &unt evita la deteccin del asalto, en al*unas ocasiones se #resenta un fen!eno (ue es la inundacin

-e esta for!a, los n5!eros de secuencia son nueva!ente sincronizados ' la sesin #uede se*uir siendo utilizada. BE. Final!ente es i!#ortante anotar (ue el asalto de una sesin TCP de2e %acerse de la for!a !s r#ida #osi2le, evitando as6 levantar alar!as Hde )-S\s #or e$e!#loI ' de$ar la !enor cantidad de rastros #osi2le. 3)). +AST+,S - 1 ASA1T, A 1A S S).N TCP Aun(ue el asalto a una sesin TCP es en la !a'or6a de los casos dif6cil de detectar Hsolo si %a' *randes daSos causados al siste!a o el ata(ue fue realizado de !anera descuidadaI, se #uede detectar una so2recar*a en la red de2ido al envenena!iento de A+P. Sin e!2ar*o, %a' ciertos indicios (ue #ueden

Asalto a una Sesin TCP

Pontificia Universidad Javeriana. Fonseca, Gonzlez, Neira. Prctica de Asalto a una Sesin TCP

a#arecen durante la e$ecucin del ata(ue. Al*unos de estos s6nto!as de (ue al*o no anda 2ien en la sesin TCP son> 1a a#licacin del cliente H#or e$e!#lo TelnetI co!ienza a res#onder de for!a lenta o incluso tra2ada Hfrozen screenI Alta actividad en la red #or un corto #eriodo de tie!#o, %aciendo !s lento el co!#utador Tie!#os de res#uesta lentos #or #arte del servidor Hesto ocurre de2ido a (ue se est Pco!#itiendoQ con el atacante #ara los servicios (ue 2rinda el servidorI Cuando se utiliza un sniffer de #a(uetes es necesario enfocarse en D factores #ara intentar detectar el asalto de una sesin TCP> Actualizacin re#etida de la ta2la A+P.

!Ctodos de co!unicacin (ue #er!it6an un asalto de sesin sin dificultades ' sus nuevas versiones o nuevos !ecanis!os de se*uridad. Sesiones con Problemas Telnet FTP &TTP )P Cone"iones +e!otas +edes con &U4\s Soluciones actuales SS& HSecure S%ellI sFTP Hsecure FTPI SS1 HSecure SocNet 1a'erI )P sec 3PN H3irtual Private NetMorNI +edes con SMitc%\s

Pa(uetes enviados entre un Cliente ' un Servidor con diferentes direcciones /AC ' final!ente tor!entas de #a(uetes ACJ re#entinas

)ncluso i!#le!entando las soluciones dadas en la ta2la anterior, la !e$or #rctica #ara evitar el asalto de sesiones es li!itar el n5!ero de accesos re!otos ' el n5!ero de cone"iones a ciertos servicios. 4sica!ente, si se tiene un fireMall #rote*iendo un siste!a H(ue es lo !s reco!enda2leI se de2e dar #er!iso de entrada ' salida sola!ente a lo (ue es estricta!ente necesario ' 5nica!ente con %osts confia2les. )O. C,NC1US),N S /uc%as %erra!ientas e"isten actual!ente #ara la e$ecucin de un asalto de sesin TCP, %a' al*unas *ratuitas ' otras con #recio co!ercial, aun(ue la *ran !a'or6a solo funcionan #ara #latafor!as UN)O, T@si*%t es una a#licacin (ue funciona #ara 7indoMs ' %a de!ostrado ser 2astante eficiente, tanto #ara rastreo co!o #ara ata(ue. Aun(ue el asalto de sesin es un ata(ue con !uc%os aSos de anti*]edad, todav6a es usado #ara atacar !(uinas con las de2ilidades e"#uestas en este art6culo, #or lo tanto si no se tienen en cuenta las reco!endaciones ' no se a#a*an servicios co!o telnet o ft# o se ca!2ian #or las versiones con se*uridad HSS& ' sFTPI, se #ueden estar corriendo los !is!os ries*os de %ace una dCcada o incluso !enos. Una 2uena for!a de evitar un ata(ue de asalto de sesin es tratar de li!itar el n5!ero de cone"iones re!otas #er!itidas a una !(uina ' ade!s utilizar los nuevos #rotocolos de trans!isin (ue son !s se*uros en cuanto a co!unicacin entre = !(uinas.

ste 5lti!o factor es sin e!2ar*o tenido en cuenta #or al*unas %erra!ientas de asalto de sesin co!o &unt, la cual interca!2ia direcciones /AC en la ta2la A+P, %aciendo dif6cil de u2icar las verdaderas direcciones tanto de la v6cti!a co!o del servidor 8B:. 3))). C,++ CC).N - 1 ASA1T, -e2ido a la for!a en (ue el #rotocolo TCP est i!#le!entado ' la facilidad #ara ca!2iar #a(uetes una vez se %a esta2lecido una cone"in, el asalto de las sesiones TCP es un #ro2le!a con soluciones restrin*idas. Sin e!2ar*o una solucin (ue %a #ro2ado e"itosa es la de i!#le!entar sesiones con un nivel de se*uridad !s al*o, #or e$e!#lo encri#tacin de datos. 1a si*uiente ta2la !uestra un #aralelo entre
Asalto a una Sesin TCP

Pontificia Universidad Javeriana. Fonseca, Gonzlez, Neira. Prctica de Asalto a una Sesin TCP O. + F + NC)AS

<

8B: 7%itaNer, A. NeM!an, d. Penetration Testin* and NetMorN -efense, Cisco Press. 8=: J1/. +e!ote 4lind TCPR)P s#oofin*, P%racN /a*azine, issue GX. -is#oni2le en %tt#>RRMMM.#%racN.or*Rissues.%t!lU issueVGXWidVBZ^article 8D: +FC [9D. Protocolo TCP, -ata )nternet Pro*ra!. -is#oni2le en %tt#>RRMMM.rfc@ es.or*RrfcRrfcE[9D@es.t"t 8X: Telnet, *u6a de /icrosoft #ara usuarios de 7indoMs. 8Z: -ittric%, -ave. Anato!' of a &i$acN. Universit' of 7as%in*ton. -is#oni2le en %tt#>RRstaff.Mas%in*ton.eduRdittric%RtalNsR(s!@ secRscri#t.%t!l 8G: Tanase, /at%eM. )P S#oofin*> an )ntroduction, dis#oni2le en %tt#>RRMMM.securit'focus.co!RinfocusRBG[X 8[: Alvisi, 1orenzo. 4ressoud T%o!as, C. lJ@ J%as%a2, A'!an. /arzullo, Jeit%. _a*orodnov, -!itrii. 7ra##in* Server@Side TCP to /asN Connection Failures. -is#oni2le %tt#>RRciteseer.ist.#su.eduRcac%eR#a#ersRcsR==BZGR%tt #>zSzzSzMMM.ieee@ infoco!.or*zSz=EEBzSz#a#erzSz[GX.#dfRalvisiEEM ra##in*.#df 8<: Stevens, 7 +ic%ard. TCPR)P )llustrated, 3olu!e B> T%e Protocols. 89: Pad!ana2%an, 3enNata N. Coordinatin* Con*estion /ana*e!ent and 4andMidt% S%arin* for &etero*eneous -ata Strea!s %tt#>RRciteseer.ist.#su.eduRcac%eR#a#ersRcsRBEBB[R%tt #>zSzzSzMMM.researc%.!icrosoft.co!zSzY#ad!an a2zSz#a#erszSznossdav99@e"#n.#dfRcoordinatin*@ con*estion@!ana*e!ent@and.#df 8BE: Port Scannin*. -is#oni2le en %tt#>RRMMM.audit!'#c.co!RfreescanRreadin*roo!R# ort`scannin*.as#
Asalto a una Sesin TCP

8BB: )nundacin #a(uetes SKN, dis#oni2le en %tt#>RRMMM.#utoa!o.%ost.sNR%acNRte"tosRs'n a=Eflood.%t!