IP Spoofing

Un atacante podría suplantar una dirección IP de confianza al comunicar a un host con el fin de obtener acceso no autorizado en dicho host. Hay una variedad de herramientas que se pueden encontrar en la Internet para hacer IP spoofing. Uso de IP spoofing, los atacantes también pueden iniciar una denegación de servicio mediante el envío de datos con las IP de origen falso a la dirección IP atacadas. El receptor envía las respuestas que pueden contener grandes cantidades de datos a la dirección IP atacado resultando en un ataque de inundación a esa dirección. Envío de datos utilizando la dirección IP falso a muchos anfitriones se traducirá en una Distribuido de denegación de Servicio de ataque. Para protegerse contra la falsificación de direcciones IP, el núcleo de Linux tiene una opción llamada "rp_filter", que puede ser modificada en tiempo de ejecución mediante:

root @ Router: ~ # echo 0> / proc/sys/net/ipv4/conf/all/rp_filter

Este comando desactiva rp_filter en todas las interfaces. Para desactivar una interfaz, eth0 por ejemplo, se puede utilizar:

root @ Router: ~ # echo 0> / proc/sys/net/ipv4/conf/eth0/rp_filter

Configuración rp_filter a:

1 permite la protección de IP spoofing 0 deshabilita la protección de IP spoofing

los paquetes IP deben estar en la misma interfaz si rp_filter se establece en 0.

Ataques de protocolos de enrutamiento de

Mal configurados protocolos de enrutamiento dinámicos como RIP, BGP, OSPF, y puede permitir a atacantes para inyectar las rutas en las tablas de enrutamiento de las máquinas de las instancias en ejecución de esos protocolos. Esto puede permitir a los atacantes para llevar a cabo ataques de denegación de servicio ataques mediante la inyección de rutas IP oler mal o por la configuración de su equipo actúe como un enrutador de la red. Vamos a discutir más adelante en este artículo cómo instalar, configurar, y BGP segura Linux.

Ataques ICMP

ICMP es una parte muy importante del protocolo IP que permite hosts y routers para intercambiar mensajes de control. Uso de direcciones IP simuladas, un atacante podría interrumpir las comunicaciones entre dos hosts mediante el envío de "Tiempo agotado" o "destino inaccesible" de mensajes a los anfitriones, resultando en un ataque DoS. Mediante el envío de ICMP "reorientar" los mensajes, un atacante podría forzar a un enrutador para que reenvíe los paquetes destinados a un host a la dirección IP del atacante. Con Linux, podemos forzar a que el núcleo no aceptará mensajes redirigir a una o todas las interfaces:

root @ Router: ~ # echo 0> / proc/sys/net/ipv4/conf/eth0/accept_redirects

Inundación ICMP es una de las maneras más fáciles de atacar a un anfitrión. Ping es una de las herramientas más utilizadas para verificar la conectividad, pero también puede ser utilizado como una herramienta de ataque DoS. Por ejemplo, usando Linux, uno puede inundar un host con ping-f. Las inundaciones siguiente comando del anfitrión 10.10.10.12 con 1000 paquetes:

root @ Router: ~ # ping-f 10.10.10.12-C 1000 PING 10.10.10.12 (10.10.10.12) 56 (84) bytes de datos.

Este tipo de ataque puede ser detenida por limitar el número de mensajes de eco ICMP solicitud con iptables:

root @ Router: ~ # iptables-A FORWARD-p icmp - icmp-type echo-request-m limit - limit 10 / s-j ACCEPT

root @ Router: ~ # iptables-A FORWARD-p icmp - icmp-type echo-request-j DROP

Old implementaciones ICMP tenido algunas otras vulnerabilidades, por ejemplo, la Ping de la Muerte. El ping de la muerte que fallen equipos mediante el envío de ICMP "echo request" mensajes en los paquetes IP más grande que la duración legal máxima de 65535 octetos, causando un desbordamiento de búfer al bloqueo en el dispositivo de la víctima (ordenador, impresora, etc.) Un parche de Linux para el ping de la muerte fue en 2 horas, 35 minutos y 10 segundos, y poco después, los parches para otros sistemas operativos estaban disponibles de los vendedores. Sin embargo, el ping de la muerte problema generado una tendencia de filtrado de paquetes ICMP, el cual , como se verá más adelante en este artículo, no es una buena práctica.

Ataques Teardrop

Teardrop, Targa, newtear, Nestea Bonk, Boink, TearDrop2, Syndrop, y muchos otros son todas las herramientas a las máquinas de choque que tienen una vulnerabilidad en la pila IP. Estas herramientas de explotación de un error la fragmentación en la pila IP aplicación de algunos núcleos antiguos de Linux ( 2,0), Windows NT y Windows 95. Teardrop enviado paquetes IP fragmentados que no podía ser montado correctamente por la máquina atacada, mediante la manipulación de los valores de desplazamiento de los paquetes. El efecto fue un kernel panic de Linux o una pantalla azul en Windows. Un reinicio resuelto el problema hasta el próximo ataque.

Capa 4 Amenazas a la Seguridad

TCP y UDP son los protocolos de transporte de encontrar en la capa OSI 4-transporte. Hemos aprendido acerca de ellos con más detalle en el artículo 1, con TCP ser más complejo que UDP porque es un protocolo basado en conexiones que tiene un mecanismo de control de flujo (ventanas), mientras que UDP es simple y sin conexión, y sin flujo de control aplicados en el protocolo. Ataques TCP

Al ser un protocolo basado en conexiones, una conexión TCP se establece mediante un acuerdo de tres vías como se describe en el artículo 1. Un atacante puede explotar esta característica del protocolo mediante el envío de un gran número de paquetes SYN sin relación con la SYNACK el host atacado envía de vuelta. Este tipo de ataque se llama TCP ataque SYN o SYN flooding. SYN flooding puede tener éxito como el equipo atacado un seguimiento de las conexiones de una apertura parcial de un mínimo de 75 segundos en una "cola de escucha".

La cola es limitada en varias implementaciones de TCP, por lo que una inundación SYN puede llenar para arriba, haciendo que la máquina se reinicie o se cuelgue. En Linux, el TCP cola de escucha es diferente de una versión del núcleo a otro. El 2,2 y núcleos antiguos, la cola de escucha por defecto es 1024 para las conexiones TCP en el estado de SYN_RECV; para núcleos 2.0, se produjo un retraso en el seguimiento de abrir y parcialmente abierto conexiones TCP. Otro TCP relacionada con el tipo de ataque es el Ataque por tierra. El ataque de la tierra es muy simple y muy devastador, al mismo tiempo, no sólo como un gran número de versiones de Unix y todas las versiones de Windows se vieron afectados, pero también los routers Cisco. El ataque por tierra se realiza mediante un pequeño programa escrito en C (land.c) que envía un paquete SYN a un host en un puerto TCP abierto con la dirección IP de origen falso de dirección IP de destino (por ejemplo 192.168.1.1 puerto 139 a 192,168 .1.1 puerto 139). Otro TCP popular de ataques relacionados con un Man-in-the-middle llamada Conexión TCP Hijacking.

Un atacante de pie en el camino de los dos ordenadores que se comunican a través de TCP puede tomar el control de la conexión TCP en el de tres vías, ni posteriormente, cuando la conexión es establecido, por la creación de un desincronizado Estado, Lo que significa que la conexión TCP se establece, no hay datos enviados y el número SEQ de un host difiere del número de ACK del otro host y al revés (A_SEQ <> B_ACK y B_SEQ <> A_ACK). Durante un estado desincronizado, los anfitriones descartar los paquetes de uno a otro (DoS), pero el atacante puede crear una secuencia de números correctos, la inyección de comandos en la comunicación.

Los ataques UDP

Dado que UDP es un protocolo simple, sin los procedimientos de establecimiento de conexión, la única forma de UDP puede ser afectado es el envío de un gran número de paquetes UDP a puertos aleatorios de la máquina atacada. Este tipo de ataque se llama Inundación UDP. La máquina atacada intentará determinar la aplicación que el paquete está destinado. Si no hay aplicación que escucha en el puerto UDP, el paquete será descartado. Por las inundaciones de la víctima con estos tipos de paquetes, el ordenador de la víctima podría sobrecargar, lo que resulta en un sistema de bloqueo.

TCP y UDP Port Scan ataques

Barrido de puertos es probablemente la primera cosa que un atacante hace cuando se intenta cortar una víctima. Utilizando una herramienta de una variedad de programas que se encuentran en Internet (por ejemplo, Nmap), un atacante puede descubrir qué puertos TCP y UDP se ha abierto una multitud a fin de determinar funcionamiento de los servicios para una mayor explotación de las vulnerabilidades.

Capa 5, 6 y 7 Amenazas a la Seguridad

Hemos agrupado las capas 5, 6 y 7 del modelo OSI correspondientes a la de TCP / IP de nivel 4 de aplicación. Hay un montón de aplicaciones que se conocen desde el pasado a ser vulnerables a los exploits. La mayoría de estas aplicaciones ha tenido problemas en todas las tres capas superiores del modelo OSI. Vamos a presentar algunas de estas aplicaciones, se sabe que contienen un gran número de vulnerabilidades, y que son muy populares.

un artículo presentado por Philip A Clara

Descargo de responsabilidad:Nuestro sitio web no es responsable por el contenido de este artículo. Webarticles es un recurso de información gratuito.
Importante: Este artículo "IP Spoofing" fue traducida por un software automático. Sentimos pena por los errores de ortografía que pueda haber ocurrido. Gracias por su comprensión.