Escolar Documentos
Profissional Documentos
Cultura Documentos
Temas:
1.
Suite TCP/IP.
2.
Fragmentacin.
3.
4.
5.
CIBERTEC
1.
Suite TCP/IP
CIBERTEC
Establecimiento de conexin
Transferencia de datos
Finalizacin de conexin
CIBERTEC
2.
Fragmentacin
CIBERTEC
CIBERTEC
Cuando los fragmentos subsecuentes del paquete principal llegan antes de que
el temporizador expire, el dato es copiado en el buffer de almacenamiento en la
ubicacin indicada por el campo fragment offset.
En el paquete original, la suma de las cabeceras y los datos ICMP suman 4028 bytes.
Este paquete al ser transmitido en una red Ethernet deber ser fragmentado,
generandose as 3 paquetes de 1500 bytes o menos. Cada fragmento llevar
obligatoriamente al menos la cabecera IP (necesaria para saber hacia dnde se dirige
el fragmento), que en este caso ocupa 20 bytes, as que tendremos realmente 1480
bytes tiles.
El primer fragmento contendr la Cabecera IP + la cabecera ICMP + la informacin
restante para llegar a 1500 bytes, en este caso 1472 bytes. Puesto que es el primer
fragmento, el valor de Offset valdr 0 y el bit MF valdr 1 ya que hay ms paquetes.
CIBERTEC
CIBERTEC
C. ICMP
ICMP es un protocolo estndar descrito en los RFC 792 y 950. Es utilizado
cuando un ruteador o host destino, debe informar al host o ruteador fuente,
acerca de errores en el procesamiento de los paquetes. Tiene como
propsito, proveer retroalimentacin acerca de problemas en el ambiente de
comunicacin.
CIBERTEC
3.
ICMP es un protocolo estndar descrito en los RFC 792 y 950. Es utilizado cuando un
ruteador o host destino, debe informar al host o ruteador fuente, acerca de errores en
el procesamiento de los paquetes. Tiene como propsito, proveer retroalimentacin
acerca de problemas en el ambiente de comunicacin.
No existen mecanismos que permitan indicar que los paquetes han sido entregados.
Algunos paquetes pueden no ser entregados. Adems, los protocolos de alto nivel que
utilizan IP deben implementar sus propios procedimientos de confiabilidad si desean
una comunicacin confiable.
ICMP es aparentemente un protocolo simple; sin embargo, puede ser utilizado con
propsitos destructivos.
CIBERTEC
10
El mensaje ICMP consta de una cabecera, donde aparecen los campos tipo,
cdigo, SVT e informacin variable, y un cuerpo de datos.
A continuacin, se listan algunos tipos de mensajes ICMP comunes.
Tipo 0: Echo Reply
Respuesta de eco
Tipo 3: Destination
Unreachable
Destino Inaccesible
Enviado
por
un
router
cuando
debe
Cadencia de envo
demasiado elevada
Tipo 5: Redirect
Redireccionar
Tipo 8: Echo Request
Peticin de Eco
Tipo 9: Router
Advertisement
Aviso de Router
direccin de multicast.
Tiempo Sobrepasado
CIBERTEC
11
Peticin de Mscara de
Direccin
Tipo 18. Address Mask
Reply
Respuesta de Mscara de
Direccin
paquete
IP
que
contiene
la
opcin
velocidad,
saltos
sobre
la
red
conectada al router.
CIBERTEC
12
CIBERTEC
13
CIBERTEC
14
CIBERTEC
15
Deteccin de estaciones.
Identificacin de la topologa de red.
Deteccin de listas de control de acceso (ACL).
Deteccin de filtros de paquetes.
Identificacin de sistemas operativos.
a. Deteccin de Estaciones
Mediante comando ICMP echo-request se pueden identificar
estaciones que son alcanzables desde Internet. Mediante Traceroute
se puede mapear una red mediante la identificacin del trayecto de un
paquete desde el host emisor hasta el host destino.
b. Deteccin de Listas de Control de Acceso (ACL)
Los mensajes de error ICMP pueden ayudar a determinar el tipo de
ACL que el dispositivo de filtrado est utilizando y permitir escoger las
tcticas de ataque.
El concepto es manipular la longitud total del campo Header IP y crear
un paquete modificado con este campo de longitud mayor de lo que
realmente es. Cuando estos paquetes alcanzan el host, tratar de
grabar los datos en el rea que no existe. El host de esta manera,
emitir un paquete de tipo ICMP Parameter Problem, de regreso a la
direccin IP origen del trfico.
Para identificar a un dispositivo de filtrado de trfico, se evala a toda
la red destino con todas las posibles combinaciones de protocolos y
servicios existentes, lo cual permitir determinar qu listas de control
de acceso existen.
El paquete modificado puede ser ICMP, TCP o UDP.
CIBERTEC
16
c. Protocol/Port Scan
Los mensajes de error ICMP (Protocol /Port Unreachable) son
mecanismos comunes para determinar qu tipo de puertos/protocolos
estn ejecutndose en el host.
NMAP utiliza este mecanismo mediante el envo de paquetes IP
toscos, sin cabecera de protocolo (payload), a cada protocolo
especfico en la mquina destino. Si es recibido un mensaje ICMP
Protocol Unreachable, entonces el protocolo no es utilizado.
d. Identificacin de Sistema Operativo
Para poder identificar el sistema operativo, se sigue el principio: cul
sistema operativo responde a que tipo de mensaje ICMP?
Esto es posible debido a las diferentes implementaciones de sistemas
operativos. Algunos no cumplen estrictamente al RFC, mientras que
para otros, el RFC puede ser opcional.
La identificacin del S.O. puede ser efectuada utilizando:
CIBERTEC
17
CIBERTEC
18
CIBERTEC
19
CIBERTEC
20
c. WinFreeze
Es un tipo de ataque contra Windows. Un cdigo pequeo puede causar
que una caja Windows 9x/NT se congele completamente. El programa
inicia una tormenta de mensajes ICMP/Redirect-host que aparenten
venir de un ruteador. La mquina Windows recibir mensajes de tipo
redirect-host provocando que cambie su tabla de rutas, lo que provoca
que trabaje lentamente hasta que se ejecute un reinicio.
CIBERTEC
4.
21
CIBERTEC
22
Ventajas:
- No se necesita privilegios especiales para realizar el anlisis.
- Se consigue una gran velocidad al analizar puertos en paralelo.
Desventajas:
- Muy fcil de filtrar y detectar, ya que en los registros del sistema para cada puerto
analizado, aparece que se ha intentado establecer una conexin y a continuacin, se
ha cerrado la conexin sin enviar la informacin.
Ventajas:
- Los IDS ms modestos (basados en conexin) no registran este intento de conexin
- Se consigue una gran velocidad al analizar puertos en paralelo.
Desventajas:
- Hacen falta privilegios de administrador para construir el paquete SYN inicial.
CIBERTEC
23
Ventajas:
- Los paquetes SYN|ACK son capaces de pasar a travs de algunos cortafuegos que
slo filtran paquetes SYN a puertos restringidos.
- Los IDS ms modestos no registran este intento de conexin.
Desventajas:
- Se pueden producir falsos positivos lentos.
- La familia de sistemas BSD (BSD, OpenBSD, NetBSD y FreeBSD) ignoran los
paquetes SYN|ACK, sea cual sea el estado del puerto.
Ventajas:
- Evita IDS.
- Es difcil de registrar.
- Los paquetes ACK se pueden utilizar para mapear el conjunto de reglas de algunos
cortafuegos que no devuelven respuesta para los puertos filtrados.
Desventajas:
- Su funcionamiento depende del sistema operativo del ordenador analizado, que
debe ser de tipo BSD.
CIBERTEC
24
Ventajas:
- Los paquetes FIN son capaces de pasar a travs de cortafuegos que filtran paquetes SYN
a puertos restringidos.
Desventajas:
- Algunos sistemas (por ej. Microsoft) responden paquetes RST, sea cual sea el estado del
puerto.
- Se pueden producir falsos positivos lentos.
Ventajas:
- Los paquetes NULL son capaces de evitar algunos sistemas de deteccin de intrusos.
Desventajas:
- Su funcionamiento depende del sistema operativo del ordenador analizado, que debe ser
una variante de Unix.
- Es fcil de detectar y registrar.
- Se pueden producir falsos positivos lentos.
Ventajas:
- Los paquetes XMAS son capaces de evitar algunos sistemas de deteccin de intrusos.
Desventajas:
- Su funcionamiento depende del sistema operativo del ordenador analizado, que debe ser
una variante de Unix.
- Es fcil de detectar y registrar.
- Se pueden producir falsos positivos lentos.
CIBERTEC
25
Ventajas:
- Permite saber qu puertos UDP estn abiertos.
- Evita IDS que slo registran trfico TCP.
Desventajas:
- Hacen falta privilegios de administrador.
- Es lento.
- Es fcilmente detectable.
- No se garantiza la llegada de los paquetes UDP ni de los errores ICMP, as que en el
anlisis, se pueden encontrar falsos positivos debido a paquetes que no llegaron.
CIBERTEC
26
CIBERTEC
27
tel_client.com.38060
>
myhost.com.telnet:
17:14:27.776662 tel_client.com.38060
74957990(0) win 8760 <mss 1460> (DF)
myhost.com.telnet:
>
CIBERTEC
28
>
myhost.com.53:2+
A?
CIBERTEC
29
CIBERTEC
30
CIBERTEC
31
CIBERTEC
32
CIBERTEC
5.
33
CIBERTEC
34
CIBERTEC
35
ESPECIFICACIN DE OBJETIVO
Se pueden indicar nombres de sistema, direcciones IP, redes, etc.
Ej: scanme.nmap.org, microsoft.com/24, 192.168.0.1; 10.0.0-255.1-254
-iL <archivo_entrada>:
-exclude <sist1[,sist2][,sist3],.
..>:
-excludefile <fichero_exclusi
n>:
DESCUBRIMIENTO DE HOSTS
-sL:
-sP: Sondeo Ping
-P0:
PS/PA/PU [listadepuertos]
:
Sondeo de lista.
Simplemente lista los objetivos a analizar.
Slo determina si el objetivo est vivo.
Asume que todos los objetivos estn vivos.
Anlisis TCP SYN, ACK o UDP de los puertos indic
ados.
-PE/PP/PM:
-n/-R:
--dnsservers <serv1[,serv2],...>
:
--system-dns:
TCNICAS DE ANLISIS
-sS/sT/sA/sW/sM:
-sN/sF/sX:
--scanflags <indicador>:
sI <sistema zombi[:puerto_s
onda]>:
-sO:
CIBERTEC
36
-F:
-r:
DETECCIN DE SERVICIO/VERSIN
-sV:
--versionintensity <nivel>:
--version-light:
--version-all:
--version-trace:
--osscan-limit:
--osscan-guess:
TEMPORIZADO Y RENDIMIENTO
-T[0-5]:
--min-hostgroup/maxhostgroup <tamao>:
--min-parallelism/maxparallelism <msegs>:
--min-rtt-timeout/maxrtt-timeout/initial-rtttimeout <msegs>:
--maxretries <reintentos>:
--hosttimeout <msegs>:
--scan-delay/--maxscan-delay <msegs>:
CIBERTEC
37
-S <Direccin_IP>:
-e <interfaz>:
-g/--sourceport <numpuerto>:
--data-length <num>:
--ttl <val>:
--badsum:
SALIDA
-oN/-oX/-oS/oG <file>:
oA <nombre_base>
:
-v:
-d [nivel]:
--packet-trace:
--iflist:
--append-output:
-resume <archivo>:
-stylesheet <ruta/U
RL>:
--webxml:
--no_stylesheet:
CIBERTEC
38
MISCELNEO:
-6:
-A:
-datadir <nombreD
ir>:
--send-eth/--sendip:
--privileged:
-V:
-h:
- Especificacin de objetivos
Todo lo que se escriba en la lnea de parmetros de Nmap que no sea una
opcin, se considera una especificacin de sistema objetivo. El caso ms
sencillo es la indicacin de slo una IP, o nombre de sistema, para que sea
analizado.
Puede darse la situacin en que se desee analizar una red completa de
equipos adyacentes. Nmap soporta el direccionamiento estilo CIDR para estos
casos. Adems, se puede aadir /numBits a una direccin IP o nombre de
sistema para que Nmap sondee toda IP cuyos primeros numBits sean los
mismos que los de la direccin IP o nombre de sistema indicado.
En el caso del sistema scanme.nmap.org que posee una direccin IP
205.217.153.62, la especificacin scanme.nmap.org/16 analizara las 65.536
direcciones IP entre 205.217.0.0 y 205.217.255.255. La mscara ms pequea
permitida es /1, que analizara media Internet, la ms grande, /32, analizara
nicamente la IP o nombre de sistema indicados porque todos los bits estaran
fijos.
La notacin CDIR es breve pero no siempre es suficientemente flexible. En
lugar de especificar una direccin IP normal, se podr especificar una lista
separada por comas de nmeros o rangos para cada octeto.
Los rangos no tienen por qu estar limitados a los ltimos octetos. Por ejemplo,
si especifica 0-255.0-255.13.37 se realizar un sondeo en todo Internet de las
direcciones IP que terminan en 13.37. Este tipo de muestreo amplio puede ser
til para encuestas en Internet y con fines de investigacin.
CIBERTEC
39
CIBERTEC
40
CIBERTEC
41
Para que sea fcil de recordar, las opciones de los sondeos de puertos son del
estilo -sC, donde C es una letra caracterstica del nombre del sondeo. La nica
excepcin a esta regla es la opcin obsoleta de sondeo FTP rebotado (-b).
Nmap hace un sondeo SYN por omisin, aunque lo cambia a un sondeo
Connect(), si el usuario no tiene los suficientes privilegios para enviar paquetes
en crudo o si se especificaron objetivos IPv6.
De los sondeos que se listan en esta seccin los usuarios sin privilegios slo
pueden ejecutar los sondeos Connect() o de rebote FTP.
* sS (sondeo TCP SYN)
Puede realizarse rpidamente, sondeando miles de puertos por segundo en
una red rpida en la que no existan cortafuegos. El sondeo SYN es
relativamente sigiloso y poco molesto, ya que no llega a completar las
conexiones TCP. Tambin funciona contra cualquier pila TCP, en lugar de
depender de la idiosincrasia especfica de una plataforma concreta, al contrario
de lo que pasa con los sondeos de Nmap Fin/Null/Xmas, Maimon o pasivo.
A esta tcnica se la conoce como sondeo medio abierto, porque no se llega a
abrir una conexin TCP completa. Se enva un paquete SYN, como si se fuera
a abrir una conexin real y despus se espera una respuesta. Si se recibe un
paquete SYN/ACK esto indica que el puerto est en escucha (abierto),
mientras que si se recibe un RST (reset) indica que no hay nada escuchando
en el puerto. Si no se recibe ninguna respuesta despus de realizar algunas
retransmisiones, entonces el puerto se marca como filtrado.
* sT (sondeo TCP connect())
Es el sondeo TCP por omisin cuando no se puede utilizar el sondeo SYN.
Nmap le pide al sistema operativo subyacente que establezcan una conexin
con el sistema objetivo en el puerto indicado, utilizando la llamada del sistema
connect(). sta es la misma llamada del sistema de alto nivel que la mayora
de las aplicaciones de red, como los navegadores web o los clientes P2P,
utilizan para establecer una conexin. Esta llamada es parte del interfaz de
programacin conocido como la API de conectores de Berkeley.
Nmap tiene menos control sobre la llamada de alto nivel Connect() que cuando
utiliza paquetes en crudo. La llamada al sistema, completa las conexiones para
abrir los puertos objetivo, en lugar de realizar el reseteo de la conexin medio
abierta como hace el sondeo SYN. Esto significa que se tarda ms tiempo y
son necesarios ms paquetes para obtener la informacin, pero tambin
significa que los sistemas objetivos van a registrar probablemente la conexin.
Un IDS decente detectar cualquiera de los dos, pero la mayora de los
equipos no tienen este tipo de sistemas de alarma. Un administrador que vea
muchos intentos de conexin en sus registros que provengan de un nico
sistema debera saber que ha sido sondeado con este mtodo.
*sO (sondeo de protocolo IP)
El sondeo de protocolo IP permite determinar qu protocolos (TCP, ICMP,
IGMP, etc.) soportan los sistemas objetivos.
El sondeo de protocolos, demuestra el poder del software de fuentes abiertas
(opensource, N. del T.). Utiliza mecanismos parecidos al sondeo UDP. Enva
cabeceras de paquetes IP iterando por el campo de 8 bits que indica el
protocolo IP, en lugar de iterar por el campo de nmero de puerto de un
CIBERTEC
42
CIBERTEC
43
La deteccin de sistema operativo activa una serie de pruebas que hacen uso
de la informacin que sta recoge.
La deteccin de sistema operativo se activa y controla con las siguientes
opciones.
* O (Activa la deteccin de sistema operativo)
Activa la deteccin de sistema operativo. Tambin se puede utilizar la opcin A para activar la deteccin de sistema operativo y de versiones.
*osscan-limit (Limitar la deteccin de sistema operativo a los objetivos
prometedores)
La deteccin de sistema operativo funcionar mejor si se dispone de un puerto
TCP abierto y otro cerrado. Esta opcin puede ahorrar mucho tiempo, sobre
todo si se est realizando sondeos -P0 sobre muchos sistemas. Slo es de
aplicacin cuando se ha solicitado la deteccin de sistema operativo con la
opcin -O o -A.
*osscan-guess; --fuzzy (Aproximar los resultados de la deteccin de
sistema operativo)
Cuando Nmap no puede detectar un sistema operativo que encaje
perfectamente, a veces ofrece posibilidades que se aproximan lo suficiente.
- Control de tiempo y rendimiento
Un sondeo por omisin (nmap nombre_de_sistema) de cualquier sistema en
una red local, tarda un quinto de segundo. Adems, ciertas opciones de sondeo
como el sondeo UDP y la deteccin de versiones, pueden incrementar los
tiempos de sondeos de forma sustancial.
Los usuarios con experiencia pueden definir las rdenes a Nmap para obtener
slo la informacin que necesitan mientras que, al mismo tiempo, cumplen las
limitaciones de tiempo que tengan. Algunas tcnicas que pueden ayudar a
mejorar los tiempos de sondeo son el limitar el nmero de pruebas que no sean
crticas y actualizar a la ltima versin de Nmap. La optimizacin de los
parmetros de control de tiempo puede introducir tambin diferencias
significativas.
Las opciones aplicables se detallan a continuacin.
*scan-delay <tiempo>; --max-scan-delay <tiempo> (Ajusta la demora entre
sondas)
Esta opcin hace que Nmap espere el tiempo indicado entre cada sonda
enviada a un sistema determinado. Esto es muy til cuando se quiere limitar la
tasa de trfico. Los sistemas Solaris respondern a paquetes de sondeos UDP
con slo un mensaje ICMP por segundo.
El sondeo se ralentiza de forma drstica cuando Nmap incrementa el valor del
tiempo de espera, para poder tratar las limitaciones de tasa. Se podr utilizar la
opcin --max_scan-delay para indicar el tiempo mximo de espera. Si
especifica un valor muy pequeo se tendrn retransmisiones intiles de
paquetes.
CIBERTEC
44
CIBERTEC