[KB2907] Tipos de ataques remotos

Solución

Existen muchas técnicas que permiten a los atacantes comprometer sistemas remotos. Se dividen en varias categorías:

Ataques DoS

DoS, o Denial of Service (Denegación de Servicio), es un intento para hacer que un equipo dentro de una red no se encuentre disponible para los usuarios. Los ataques DoS obstruyen las comunicaciones entre los usuarios afectados, impidiendo que continúen funcionando. Un método de ataque común consiste en la saturación del equipo al cual se apunta con solicitudes de comunicaciones externas, de modo que ese equipo no pueda responder al tráfico legítimo o lo haga lentamente y se presente como efectivamente no disponible.
Tales ataques usualmente conducen a una sobrecarga del servidor. Los equipos expuestos a ellos suelen necesitar el reinicio para poder funcionar de manera correcta nuevamente.

Los objetivos de los ataques DoS son los servidores web y su propósito consiste en que no se encuentren disponibles para los usuarios durante un período determinado.

Envenenamiento DNS

Utilizando el envenenamiento DNS (Domain Name Server) los hackers pueden engañar al servidor DNS de cualquier computadora haciendo pasar por legítima y auténtica cualquier información falsa. Esta es alojada en caché durante un cierto período, permitiendo a los atacantes escribir respuestas DNS de direcciones IP. Como resultado, los usuarios que intentan acceder a los sitios web "envenenados" descargarán virus o gusanos en lugar del contenido originalmente alojado.

Exploración de puertos

 

La exploración de puertos se emplea para determinar cuáles de los puertos del equipo se encuentran abiertos en un host de red. Un explorador de puertos es un programa diseñado para encontrar esos puertos.

Un puerto de un equipo es un puerto virtual que maneja la información entrante y saliente – esto es crucial desde un punto de vista de seguridad. En una red extensa, la información reunida por los exploradores de puertos podría ayudar a identificar vulnerabilidades potenciales. Tal uso es legítimo.

Sin embargo, la exploración de puertos es empleada usualmente por los hackers que intentan comprometer la seguridad. El primer paso consiste en el envío de paquetes a cada puerto. Dependiendo del tipo de respuesta, es posible determinar cuáles son los puertos que se encuentran en uso. La exploración en sí no ocasiona daño alguno, pero estar al tanto de esta actividad puede revelar potenciales vulnerabilidades y permitir a los atacantes la toma del control de equipos remotos.

A los administradores de red se les sugiere bloquear los puertos que no se utilizan y proteger del acceso no autorizado aquellos que si se usan.

Desincronización de TCP

La desincronización TCP es una técnica utilizada en los ataques de secuestro TCP. Es provocada por un proceso en el cual la secuencia de números de los paquetes recibidos difiere de la secuencia numérica esperada. Los paquetes con tal secuencia son rechazados (o almacenados en el búfer si se encuentran presentes en la ventana de comunicación actual).

Durante la desincronización, ambos extremos de la comunicación rechazan los paquetes recibidos, pudiendo los atacantes encontrarse en posibilidad de infiltrar y proveer paquetes con una secuencia numérica correcta, pudiendo también manipular o modificar la comunicación.

Los ataques de secuestro TCP tienen el objetivo de interrumpir la comunicación entre el servidor y los clientes o peer-to-peer. Muchos ataques pueden ser evitados utilizando la autentificación para cada segmento TCP.  También es recomendable utilizar las configuraciones para sus dispositivos de red.

Retransmisión SMB

SMBRelay y SMBRelay2 son programas especiales que poseen la capacidad de llevar a cabo ataques contra equipos remotos. Los programas toman ventaja del protocolo para compartir archivos SMB que se encuentra dentro del NetBIOS. Un usuario que comparte cualquier carpeta o directorio LAN es probable que utilice este protocolo. Dentro de la comunicación de la red local los hashes de contraseñas son intercambiados.

SMBRelay recibe una conexión sobre el puerto UDP 139 y 445, retransmite los paquetes intercambiados por el cliente y el servidor y los modifican. Luego de conectarse y autentificarse, el equipo es desconectado. SMBRelay crea una nueva dirección IP virtual. Esta nueva dirección puede ser accedida utilizando el comando “net use \192.168.1.1“. De ese modo podrá ser utilizada por cualquiera de las funciones de red de Windows. SMBRelay retransmite la comunicación del protocolo SMB excepto para la negociación y autentificación. Los atacantes remotos pueden utilizar la dirección IP durante tanto tiempo como el equipo se encuentre conectado.

SMBRelay2 trabaja bajo el mismo principio de SMBRelay, excepto porque emplea los nombres de NetBIOS en lugar de las direcciones IP. Ambas pueden llevar a cabo ataques "de intermediarios", los cuales permiten a los atacantes remotos leer, insertar y modificar mensajes intercambiados entre dos extremos de la comunicación sin ser advertidos. Los equipos expuestos a esta clase de ataques dejan de responder o se reinician inesperadamente. Para evitarlos le recomendamos utilizar contraseñas o claves de autentificación.

Ataques ICMP

ICMP (Internet Control Message Protocol) es un protocolo de Internet muy popular y utilizado principalmente por los equipos que se encuentran en una red para enviar variados mensajes de error.

Los atacantes remotos intentan explotar las debilidades del protocolo ICMP. Este se ha diseñado para comunicaciones unidireccionales que no requieren autentificación, lo cual habilita a los atacantes a desencadenar ataques DoS o ataques que brindan acceso a los paquetes entrantes y salientes a individuos desautorizados.

Ejemplos recurrentes de un ataque ICMP son los ataques por flujo de ping, por flujo ICMP_ECHO y ataques "smurf". Los equipos expuestos a un ataque ICMP experimentarán muy bajo rendimiento en aplicaciones que utilizan Internet, además de problemas de conexión.