Existen muchas técnicas que permiten a los atacantes comprometer sistemas remotos. Se dividen en varias categorías:
Ataques DoS
Fuente: /kb.eset-la.com
Ataques DoS
DoS, o Denial of Service (Denegación
de Servicio), es un intento para hacer que un equipo dentro de una red
no se encuentre disponible para los usuarios. Los ataques DoS obstruyen
las comunicaciones entre los usuarios afectados, impidiendo que
continúen funcionando. Un método de ataque común consiste en la
saturación del equipo al cual se apunta con solicitudes de
comunicaciones externas, de modo que ese equipo no pueda responder al
tráfico legítimo o lo haga lentamente y se presente como efectivamente
no disponible.
Tales ataques usualmente conducen a una sobrecarga del servidor. Los equipos expuestos a ellos suelen necesitar el reinicio para poder funcionar de manera correcta nuevamente.
Tales ataques usualmente conducen a una sobrecarga del servidor. Los equipos expuestos a ellos suelen necesitar el reinicio para poder funcionar de manera correcta nuevamente.
Los objetivos de los ataques DoS son los servidores web y su
propósito consiste en que no se encuentren disponibles para los usuarios
durante un período determinado.
Envenenamiento DNS
Utilizando el envenenamiento DNS (Domain Name Server) los hackers
pueden engañar al servidor DNS de cualquier computadora haciendo pasar
por legítima y auténtica cualquier información falsa. Esta es alojada en
caché durante un cierto período, permitiendo a los atacantes escribir
respuestas DNS de direcciones IP. Como resultado, los usuarios que
intentan acceder a los sitios web "envenenados" descargarán virus o
gusanos en lugar del contenido originalmente alojado.
Exploración de puertos
La exploración de puertos se emplea para determinar cuáles de los
puertos del equipo se encuentran abiertos en un host de red. Un
explorador de puertos es un programa diseñado para encontrar esos
puertos.
Un puerto de un equipo es un puerto virtual que maneja la información entrante y saliente
– esto es crucial desde un punto de vista de seguridad. En una red
extensa, la información reunida por los exploradores de puertos podría
ayudar a identificar vulnerabilidades potenciales. Tal uso es legítimo.
Sin embargo, la exploración de puertos es
empleada usualmente por los hackers que intentan comprometer la
seguridad. El primer paso consiste en el envío de paquetes a cada
puerto. Dependiendo del tipo de respuesta, es posible determinar cuáles
son los puertos que se encuentran en uso. La exploración en sí no
ocasiona daño alguno, pero estar al tanto de esta actividad puede
revelar potenciales vulnerabilidades y permitir a los atacantes la toma del control de equipos remotos.
A los administradores de red se les sugiere bloquear los puertos que
no se utilizan y proteger del acceso no autorizado aquellos que si se
usan.
Desincronización de TCP
La desincronización TCP es una técnica utilizada en los ataques de
secuestro TCP. Es provocada por un proceso en el cual la secuencia de
números de los paquetes recibidos difiere de la secuencia numérica
esperada. Los paquetes con tal secuencia son rechazados (o almacenados
en el búfer si se encuentran presentes en la ventana de comunicación
actual).
Durante la desincronización, ambos extremos de la comunicación
rechazan los paquetes recibidos, pudiendo los atacantes encontrarse en
posibilidad de infiltrar y proveer paquetes con una secuencia numérica
correcta, pudiendo también manipular o modificar la comunicación.
Los ataques de secuestro TCP tienen el objetivo de interrumpir la comunicación entre el servidor y los clientes o peer-to-peer.
Muchos ataques pueden ser evitados utilizando la autentificación para
cada segmento TCP. También es recomendable utilizar las configuraciones
para sus dispositivos de red.
Retransmisión SMB
SMBRelay y
SMBRelay2 son programas especiales que poseen la capacidad de llevar a
cabo ataques contra equipos remotos. Los programas toman ventaja del
protocolo para compartir archivos SMB que se encuentra dentro del
NetBIOS. Un usuario que comparte cualquier carpeta o directorio LAN es
probable que utilice este protocolo. Dentro de la comunicación de la red
local los hashes de contraseñas son intercambiados.
SMBRelay recibe
una conexión sobre el puerto UDP 139 y 445, retransmite los paquetes
intercambiados por el cliente y el servidor y los modifican. Luego de
conectarse y autentificarse, el equipo es desconectado. SMBRelay crea
una nueva dirección IP virtual. Esta nueva dirección puede ser accedida
utilizando el comando “net use \\192.168.1.1“. De ese modo podrá ser utilizada por cualquiera de las funciones de red de Windows. SMBRelay
retransmite la comunicación del protocolo SMB excepto para la
negociación y autentificación. Los atacantes remotos pueden utilizar la
dirección IP durante tanto tiempo como el equipo se encuentre conectado.
SMBRelay2 trabaja bajo el mismo principio de SMBRelay,
excepto porque emplea los nombres de NetBIOS en lugar de las
direcciones IP. Ambas pueden llevar a cabo ataques "de intermediarios",
los cuales permiten a los atacantes remotos leer, insertar y modificar
mensajes intercambiados entre dos extremos de la comunicación sin ser
advertidos. Los equipos expuestos a esta clase de ataques dejan de
responder o se reinician inesperadamente. Para evitarlos le recomendamos
utilizar contraseñas o claves de autentificación.
Ataques ICMP
ICMP
(Internet Control Message Protocol) es un protocolo de Internet muy
popular y utilizado principalmente por los equipos que se encuentran en
una red para enviar variados mensajes de error.
Los atacantes remotos intentan explotar
las debilidades del protocolo ICMP. Este se ha diseñado para
comunicaciones unidireccionales que no requieren autentificación, lo
cual habilita a los atacantes a desencadenar ataques DoS o ataques que
brindan acceso a los paquetes entrantes y salientes a individuos
desautorizados.
Ejemplos recurrentes de un ataque ICMP son los ataques por flujo de
ping, por flujo ICMP_ECHO y ataques "smurf". Los equipos expuestos a un
ataque ICMP experimentarán muy bajo rendimiento en aplicaciones que
utilizan Internet, además de problemas de conexión.
Fuente: /kb.eset-la.com
No hay comentarios:
Publicar un comentario