Instituto Tecnolgico Superior

de Macuspana

Conceptos bsicos de
Informtica Forense
M.I.S. Mayra Hernndez
Oramas

Instituto Tecnolgico Superior

de Macuspana

Sesin TCP
Qu es TCP?

Es un protocolo de nivel de transporte

completo que proporciona un servicio de
transferencia fiable de datos y un mtodo
para trasladar datos encapsulados con
TCP a un protocolo de nivel de aplicacin.

Instituto Tecnolgico Superior

de Macuspana

TCP tiene las siguientes

caractersticas:
Orientado a conexin. Antes de transferir los datos, dos procesos
de nivel de aplicacin deben negociar formalmente una conexin
TCP utilizando el proceso de establecimiento de conexin
adecuado. Las conexiones de TCP se cierran formalmente
empleando el proceso de desconexin TCP.
Full Duplex. Para cada extremo de una conexin TCP, la conexin
consta de dos enlaces lgicos, uno de salida y otro de entrada. Con
la tecnologa apropiada en el nivel de red los datos pueden fluir
simultneamente en ambos sentidos. La cabecera TCP contiene
tanto el nmero de secuencia de los datos de salida como el
reconocimiento de los datos de entrada

Instituto Tecnolgico Superior

de Macuspana
Fiable. Los datos que se envan por una conexin TCP se numeran
en secuencia y se espera un reconocimiento positivo por parte del
receptor. Si no se recibe este reconocimiento, el segmento se
retransmite. En el receptor, los segmentos duplicados se descartan
y los segmentos que llegan fuera de secuencia se colocan en su
posicin dentro de la secuencia. Todo segmento transmitido va
protegido frente a errores mediante un cdigo detector (CRC), que
verifica la integridad de la informacin recibida.
Flujo de bytes. Para TCP los datos que se envan por los enlaces
lgicos de entrada y salida se consideran un flujo continuo de
bytes. El nmero de secuencia y de reconocimiento que se envan
en cada cabecera TCP definen puntos concretos de este flujo de
bytes. TCP no tiene en consideracin otras divisiones dentro del
flujo de datos, siendo el protocolo de aplicacin el que establezca
las divisiones lgicas adecuadas (por ejemplo, fin de registro o de
campo en bases de datos, fin de orden, etc.)

Instituto Tecnolgico Superior

de Macuspana

Control de flujo en ambos extremos. Para evitar la

transmisin de excesivos datos simultneos, que podra causar
problemas de congestin en los routers, TCP implementa un
control de flujo en el emisor que regula la cantidad de datos que
se envan. Para evitar que el emisor transmita datos que el
receptor no es capaz de almacenar, TCP tambin implementa
control de flujo en el receptor, indicando cunto espacio se
encuentra disponible en los buffers del receptor.
Segmentacin de datos de aplicacin. TCP segmentar los
datos obtenidos del proceso de aplicacin para que se ajusten al
tamao de los paquetes IP. Ambos extremos TCP pueden
negociar el tamao mximo de segmento, existiendo adems la
posibilidad de ejecutar un algoritmo de descubrimiento del
tamao mximo en la ruta (PMTU).

Instituto Tecnolgico Superior

de Macuspana

Transmisin uno a uno. Las conexiones TCP

son un circuito lgico punto a punto entre dos
procesos de nivel de aplicacin. TCP no
proporciona servicios de difusin.
TCP emplea el mecanismo de los puertos para
el acceso a diferentes destinos dentro de un
Host. Al igual que UDP, la utilizacin de los
puertos permite que un cliente seleccione el
servidor correspondiente a la aplicacin deseada
dentro del computador destino

Instituto Tecnolgico Superior

de Macuspana

Sobre los campos del paquete cabe resaltar

las banderas que son 6 bits de control que se
utilizan de izquierda a derecha para indicar:
URG (el paquete es urgente),
ACK (confirmacin de recibido el anterior
paquete),
PSH (el paquete contiene datos),
RST (para resetear una conexin),
SYN (para sincronizar nmeros de secuencia) y
FIN (no vienen ms datos del emisor)

Instituto Tecnolgico Superior

de Macuspana

Una sesin TCP empieza por una sincronizacin

entre el cliente y el servidor. Esta sincronizacin se
conoce como el three way handshake que se hace
para que las dos mquinas entre las que se va a
hacer la conexin, sepan la especificacin de la otra y
su configuracin para manejar sesiones TCP.
Suponiendo que se estable una conexin TCP entre la
mquina A y la mquina B, la sincronizacin se
muestra a continuacin:
1) A B
2) A B
AB
3) A B

SYN mi nmero de secuencia es X

ACK su nmero de secuencia es X
SYN mi nmero de secuencia es Y
ACK su nmero de secuencia es Y

Instituto Tecnolgico Superior

de Macuspana

IP SPOOFING
Por spoofing se conoce a la creacin de tramas TCP/IP utilizando una
direccin IP falseada; la idea de este ataque - al menos la idea - es muy
sencilla:
Desde su equipo, un pirata simula la identidad de otra mquina de la
red para conseguir acceso a recursos de un tercer sistema que ha
establecido algn tipo de confianza basada en el nombre o la direccin
IP del host suplantado.
Y como los anillos de confianza basados en estas caractersticas tan
fcilmente falsificables son an demasiado abundantes (no tenemos
ms que pensar en los comandos r-, los accesos NFS, o la proteccin de
servicios de red mediante TCP Wrapper), el spoofing sigue siendo en la
actualidad un ataque no trivial, pero factible contra cualquier tipo de
organizacin.

Instituto Tecnolgico Superior

de Macuspana

En el spoofing entran en juego tres mquinas:

Un atacante, un atacado, y un sistema

suplantado que tiene cierta relacin con el atacado;
para que el pirata pueda conseguir su objetivo necesita
por un lado establecer una comunicacin falseada con
su objetivo, y por otro evitar que el equipo suplantado
interfiera en el ataque.

Instituto Tecnolgico Superior

de Macuspana

En un escenario tpico del ataque, un pirata enva una trama

SYN a su objetivo indicando como direccin origen la de esa
tercera mquina que est fuera de servicio y que mantiene
algn tipo de relacin de confianza con la atacada. El host
objetivo responde con un SYN+ACK a la tercera mquina, que
simplemente lo ignorar por estar fuera de servicio (si no lo
hiciera, la conexin se reseteara y el ataque no sera posible),
y el atacante enviar ahora una trama ACK a su objetivo,
tambin con la direccin origen de la tercera mquina.

Instituto Tecnolgico Superior

de Macuspana

SYN Flood
Este tipo de ataque es posible
debido a la forma en la que funcionan
las conexiones TCP.
Cuando un extremo desea iniciar
una conexin contra otro equipo,
inicia la conversacin con un 'SYN', el
otro extremo ve el SYN y responde
con un SYN+ACK, finalmente el
extremo que empez la conexin
contesta con un ACK y ya pueden
empezar a transmitir datos.

Instituto Tecnolgico Superior

de Macuspana

Un ataque de tipo Syn Flood lo que hace

es empezar un numero especialmente alto
de inicios de conexin que nunca son
finalizados, dejando al servidor a la espera
del ACK final, y por tanto
consumiendo
recursos de forma
desproporcionada.

Instituto Tecnolgico Superior

de Macuspana

Escaneo de puertos
Escaneo de puertos se emplea para
designar la accin de analizar por
medio de un programa el estado de los
puertos de una mquina conectada a
una red de comunicaciones.

Instituto Tecnolgico Superior

de Macuspana

Objetivo del escaneo

Detectar si un puerto est abierto.
Detectar si un puerto est cerrado o protegido por un cortafuegos.
Detectar qu servicios comunes est ofreciendo la mquina.
Posibles vulnerabilidades de seguridad segn los puertos abiertos.
Tambin puede llegar a detectar el sistema operativo que est
ejecutando la mquina.
Descubrir direcciones IP del sistema objetivo (target).

Instituto Tecnolgico Superior

de Macuspana

En el escaneo el atacante utiliza toda la

informacin que obtuvo en la Fase de
Reconocimiento o (fase1) para identificar
vulnerabilidades especficas. Por ejemplo,
si el atacante descubri que su objetivo o
su vctima usa el sistema operativo
Windows
XP
entonces
el
buscara
vulnerabilidades especificas que tenga ese
sistema operativo para saber por dnde
atacarlo.

Instituto Tecnolgico Superior

de Macuspana

Envenamiento de ARP
El envenenamiento ARP (en ingls
Address Resolution Protocol o Protocolo
de resolucin de direcciones) es una
tcnica usada por atacantes en redes
internas cuyo fin es obtener el trfico
de red circundante, aunque no est
destinado al sistema del propio intruso.

Instituto Tecnolgico Superior

de Macuspana

ARP (Address Resolution

Protocol)

Se trata de un protocolo de red que sirve para

determinar, a qu sistema concreto pertenece una IP.
En una red local, ni las tarjetas de red ni los
dispositivos que las unen (switch, puntos de acceso,
etc.) entienden el protocolo IP. Ese es trabajo del
sistema operativo.
Estos dispositivos, en un nivel ms bajo (cuando los
datos todava no han sido interpretados por el
sistema operativo) solo son capaces de reconocer
direcciones MAC (fsicas).

Instituto Tecnolgico Superior

de Macuspana

Cach ARP
Para que el sistema operativo no tenga que
realizar esa consulta de difusin cada vez que
necesita conocer la direccin IP asociada a
una MAC (o viceversa), suele almacenarlo en
una memoria interna llamada cach ARP.
La cach ARP puede ser consultada en
cualquier ordenador de forma muy sencilla a
travs de una lnea de comando: arp -a

Instituto Tecnolgico Superior

de Macuspana

Con el comando es posible obtener una lista actualizada de las

direcciones IP y direcciones MAC correspondientes en una red.
Cuando un nuevo dispositivo es conectado a la misma, o el
sistema se comunica por primera vez con otro ordenador, se
enva un nuevo mensaje de difusin. Si por el contrario la red
se mantiene estable, el sistema solo consulta la mayor parte
del tiempo su memoria cach.
Resultado de consultar la cach ARP en un sistema Windows
conectado a una red

Instituto Tecnolgico Superior

de Macuspana

El envenenamiento ARP consiste

precisamente en intentar modificar esa
cach, de forma que el sistema
operativo recuerde una asociacin
falsa entre direccin IP y direccin
MAC.

Instituto Tecnolgico Superior

de Macuspana

Sniffer
Un Sniffer es un software que se
encarga de capturar paquetes en
trnsito (entrada y
salida) en una cierta
red y analizarlos.

Instituto Tecnolgico Superior

de Macuspana

Usos:
Los Sniffers son una herramienta til a la hora
de administrar y optimizar redes, ya que con
estos puedes ver todos los paquetes en trnsito,
sus IPs destino y origen, puertos, direcciones
MAC (en algunos), etc. Con esto se puede
detectar problemas en la red como loops,
problemas de conectividad entre 2 ordenadores,
exceso de trfico y muchas otras cosas.