Seguridad TEMA 9: Ataques en Redes TCP/IP

Questions and Answers

¿Cuál es el objetivo principal de la exploración de puertos en una red?

Realizar copias de seguridad de la información.

Reconocer los servicios ofrecidos por los equipos. (correct)

Mejorar la seguridad de la red.

Aumentar la velocidad de conexión.

¿Qué respuesta indica que un puerto está abierto durante un TCP SYN scan?

Paquete FIN.

Paquete NULL.

Paquete RST-ACK.

Paquete SYN-ACK. (correct)

En la técnica TCP FIN scan, ¿qué respuesta se espera si el puerto está cerrado?

Paquete FIN.

No se recibe respuesta.

Paquete SYN-ACK.

Paquete RST. (correct)

¿Cuál de las siguientes técnicas no requiere establecer una conexión completa?

TCP SYN scan.

¿Qué indican paquetes FIN, URG y PUSH enviados en un TCP Xmas Tree scan?

Que probablemente el puerto esté cerrado.

¿Cuál es una característica común de las herramientas de exploración de puertos TCP?

Suelen ser ruidosas durante el escaneo.

En un TCP Null scan, ¿qué se envía en la cabecera TCP?

Todos los indicadores a cero.

¿Qué implicaría recibir un paquete RST-ACK en respuesta a una exploración de puerto?

El puerto está cerrado y no hay servicio.

¿Cuál de las siguientes afirmaciones describe mejor los ataques de primera generación?

Se enfocan en componentes físicos como ordenadores y cables.

La automatización de ataques en internet ha permitido que:

Cualquier usuario pueda ejecutar ataques con conocimientos básicos.

¿Cuál es una característica de los ataques de segunda generación?

Explotan vulnerabilidades en software y protocolos.

Los ataques semánticos se caracterizan por:

Aprovechar la confianza del usuario en la información.

¿Qué tipo de ataque se centra en la lógica operativa de los sistemas?

Ataques sintácticos.

Una de las siguientes soluciones se utiliza para contrarrestar ataques físicos. ¿Cuál es?

Protocolos distribuidos y de redundancia.

¿Cuál es una de las principales características de los ataques de tercera generación?

Explotan la confianza del usuario en información falsa.

¿Qué dinámica permite que los ataques actuales sean ejecutados con poca habilidad técnica?

La disponibilidad de instrucciones y aplicaciones para ataques.

¿Cuántos bytes están realmente disponibles para la construcción de un mensaje ICMP, teniendo en cuenta las cabeceras?

65507 bytes

¿Qué provoca el ataque conocido como 'ping de la muerte'?

Un desbordamiento de datos en el sistema objetivo.

Un ataque DDoS se caracteriza principalmente por:

La colaboración de múltiples sistemas para atacar a un mismo objetivo.

¿Cuál es el tamaño máximo de un datagrama IP antes de que ocurra fragmentación?

65535 bytes

¿Qué herramienta se utiliza en ataques DDoS para sincronizar equipos comprometidos?

TRIN00

¿Qué sucede cuando se intenta enviar un paquete ICMP mayor a 65535 bytes?

El datagrama se fragmenta en múltiples partes.

En un ataque de denegación de servicio, ¿cómo se afectan los recursos del sistema objetivo?

Los recursos son agotados por mensajes maliciosos.

¿Cuál es una de las consecuencias de un ataque de ping de la muerte?

Degradación total del sistema atacado.

¿Cuál de las siguientes herramientas se basa en un esquema de control master-slave para ataques de denegación de servicio?

TRIN00

¿Qué tipo de flooding no se menciona explícitamente en el contenido como un ataque realizado por TRIN00?

HTTP Flooding

¿Qué método utiliza TFN para enmascarar mensajes ICMP y pasar desapercibido?

Utilizar un número binario de 16 bits

¿Qué característica de TCP y UDP se menciona como una vulnerabilidad en sistemas de monitoreo de red?

Pueden ser filtrados hacia puertos específicos

¿Qué tipo de conexión permite un atacante realizar comandos en TRIN00?

Conexión Telnet

¿Cuál de los siguientes ataques de denegación de servicio es similar en ambas herramientas, TRIN00 y TFN?

ICMP Flooding

¿Qué característica común tienen los demonios de ambas herramientas, TRIN00 y TFN?

Escuchan en puertos determinantes

¿Cuál es la función del número de secuencia constante 0x0000 en TFN?

Camufla el mensaje como una petición normal

¿Qué función cumplen los 24 primeros bits de una dirección MAC?

Identifican al fabricante del hardware

¿Qué sucede cuando una tarjeta Ethernet tiene su filtro MAC desactivado?

La tarjeta acepta paquetes de cualquier dirección MAC

¿Cuál es la función principal de un conmutador (switch) en una red segmentada?

Encaminar los paquetes solo a las direcciones MAC correctas

¿Qué tipo de red suele ser más efectiva para realizar escuchas con el modo promiscuo?

Redes de área local configuradas en bus

¿Qué técnica se menciona como forma de continuar realizando sniffing pese a la segmentación de la red?

Suplantación de ARP

¿Cuál es el propósito del protocolo ARP?

Traducir direcciones IP a direcciones hardware

¿Qué característica de las tarjetas Ethernet permite descartar paquetes no deseados?

Su filtro MAC

¿Qué información sensible se puede visualizar usando expresiones regulares y otros filtros?

Contraseñas y nombres de usuario

Study Notes

Introducción a Ataques en Redes TCP/IP

• Ataques iniciales requerían conocimientos técnicos mínimos.
• Internamente, se alteraban permisos; externamente, se usaban contraseñas.
• Evolución de ataques ha llevado a métodos más sofisticados y automatizados.
• Actualmente, aplicaciones y tutoriales accesibles permiten a usuarios realizar ataques con conocimientos básicos.

Generaciones de Ataques

• Primera generación: ataques físicos

  • Se enfocan en componentes electrónicos: ordenadores, cables, dispositivos de red.
  • Soluciones actuales incluyen protocolos distribuidos y de redundancia.

• Segunda generación: ataques sintácticos

  • Explotan vulnerabilidades en software, algoritmos de cifrado, protocolos.
  • Aunque las soluciones son limitadas, están en continuo desarrollo.

• Tercera generación: ataques semánticos

  • Apuestan por la confianza del usuario en la información, introduciendo datos falsos.
  • Afectan servicios de confianza; preludio a ataques más severos.

Exploración de Puertos TCP

• TCP Connect Scan

  • Establece conexiones TCP completas para analizar puertos.

• TCP SYN Scan

  • Envía paquetes SYN para determinar si existen servicios en los puertos.
  • Respuestas de tipo RST-ACK indican puerto cerrado; SYN-ACK, abierto.

• TCP FIN Scan

  • Envía paquetes FIN; espera RST para determinar estado de puertos en sistemas Unix.

• TCP Xmas Tree Scan

  • Similar al FIN scan, pero usa paquetes FIN, URG, y PUSH.

• TCP Null Scan

  • Se envían paquetes con indicadores a cero para evaluar puertos inactivos.

• Herramientas de exploración suelen ser ruidosas, sin intentar ocultar actividad.

Filtros MAC y Modo Promiscuo

• Direcciones MAC: 48 bits; 24 bits iniciales identifican fabricante.
• Filtros de ethernet ignoran tráfico ajeno; modo promiscuo desactiva este filtro.
• Escuchas efectivas en redes de área local con topología en bus; segmentar redes con switches puede mitigar sniffing.

Suplantación de ARP

• ARP traduce direcciones IP a direcciones hardware.
• Ataques pueden permitir escucha de tráfico entre equipos.

Introducción al Ataque Ping de la Muerte

• Consiste en enviar datagramas IP de más de 65535 bytes.
• Fragmentación provoca errores en la reconstrucción de paquetes, afectando el sistema.

Ataques DDoS (Denegación de Servicio Distribuida)

• DDoS usa múltiples sistemas comprometidos para atacar un único objetivo.
• Efecto cascada: el equipo objetivo queda sin recursos para usuarios legítimos.

Herramientas DDoS

• TRIN00

  • Herramienta master-slave para coordinar ataques como ICMP flooding, SYN flooding.

• Tribe Flood Network (TFN)

  • Similar a TRIN00, pero usa conexiones ICMP para camuflar comandos.
  • Permite control de ataques a través de paquetes ICMP de tipo echo-reply.

• Estrategias de enmascaramiento permiten a los ataques ocultarse en tráfico normal de red.

Description

Este cuestionario explora los ataques contra redes TCP/IP, destacando cómo han evolucionado desde los inicios de Internet. Se abarcan tanto los ataques internos como externos, y se discuten las técnicas utilizadas para vulnerar sistemas. Ideal para estudiantes interesados en la seguridad informática y redes.