"ATACANDO SESIONES TCP"
"ESTUDIO DE CAMPO"
para realizar este tipo de ataque conviene ser rapido y a rapido me refiero a tener una agilidad mental sin precedentes para aumentar el exito de este ataque, puesto que como bien samos TCP funciona con numeros de secuencia y numeros de asentamiento, debemos atacar antes de que lleguen los numeros de asentamiento, puesto que si llegar al servidor, el mismito servidor nos sacara y echaremos a perder nuestro ataque.para ponernos manos ala obra en este ataque, los primero que debemos hacer es entender y revisar un poco como se negocia un handshake tcp o un apreton de manos.
la negociacion TCP es como sigue en la imagen:
tambien cabe destacar que esta entrada solo sera de teoria y conceptualmente y solo veremos algunas deficiencias del protocolo tcp orientado a conexion y por donde un atacante puede colarse dentro de vuestras conexiones establecidas.
al ser el protocolo orientado a conexion, deberemos ponernos muy sigilosos y rapidos.
-------------> Negociacion 3 vias normal protocolo TCP (3-WAY-HANDSHAKE) <--------
como podemos ver esta es la tipica conexion de tres vias del protocolo orientado a conexion.
ahora bien, lo que vamos hacer en esta entrada es insertar conexiones, vamos a abrir el puerto 445 mediante carpetas compartidas en widnows 10 y despues trataremos de sobresaturar la conexion , observando y analizando la sobretension de la conexion en el administrador de procesos del sistema operativo de microsoft.
tcp se utiliza mayormente en conexiones que necesitan una comunicacion fiable, como cuales? como un proceso o procesos de los que requiera que la comunicacion no se pierdan datos, como una session de chat ya que si los datos se perdieran en el proceso, entonces veriamos caracteres sin sentido como por ejemplo si enviamos un hola, en el extremo destino llegarian solo algunos caracteres diciendo hla o hl, es por ello que existe la comunicacion fiable con el protocolo tcp.
tcp no es tan vulnerable como udp, en udp la trama es bastante sencilla, pero en tcp no, tcp contiene diversas opciones para integridad de las comunicaciones como resincronizacion en caso de que algunos paquetes esten fuera de control o que lleguen con un numero de asentamiento que no coincide con el flujo de conexion establecida.
por otra parte como los SYN son para establecer conexiones, entonces que pasaria si enviamos muchos cientos tal vez miles de ellos, ??? , pues que le puedes provocar ala victima un doseo, o mejor conocido popularmente como un ddos o dos dependiendo de la situacion del ataque.
Hoy dia me he topado en el mercado negro que algunos ciberdelincuentes rentan sus botnets para prestartela y atacar a objetivos especificos, lo mejor en estos casos es utilizar raids y clusters redudantes para evitar la perdida de informacion y la sobresaturacion del flujo de conexiones.
TORMENTA ACK CON HPING 3 SOBRE UN SERVICIO TCP DE WINDOWS
Lo que haremos en esta seccion sera enviar multiples paquetes ack de asentamiento.
Una tormenta de ACK se produce cuando un atacante quiere inyectar datos en una comunicación TCP. De los paquetes inyectados el servidor manda su correspondiente ACK al cliente, por lo que el ciente al no saber de que van los ACKs manda su último ACK para intentar resincronizar. Esto provoca que tanto el cliente como el servidor se manden solamente ACKs continuamente provocando la llamada tormanta de ACKs (ACK storm).
este ataque fue una molestia en tiempos pasados , pero como veremos hoy por hoy windows se sobresatura pero corta la conexion antes de que provoque resultados inesperados.
lo que voy hacer es enviar mltiples paquetes ACK hacia el puerto 139 de comparticion de carpetas hacia una victima con windows 10, analizaremos como el CPU de windows llega hasta el tope, como son conexiones inesperadas por parte de la maquina windows estas mismas envian al atacante (nosotros) un RST un reset o reseteo de las conexiones TCP.
---------------->ENVIO DE ACK Y RESPUESTA DE LA VICTIMA CON RST<------------------
Ahora nos vamos a wireshark y vemos que obtenemos puros RST de reseteos de conexiones.
como podemos ver y analizar este ataque seria muy efectivo para comunicaciones que no controlaran bien el flujo de paquetes asi como el cortafuegos, es por ello que es extremadamente importante colocar varios cortafuegos e IDS en nuestras infraestructuras de red.
´pero como no todo en la seguridad es 100% fiable, podemos tambien traspasar los cortafuegos generando paquetes malformados y fragmentados para que el cortafuegos se confunda y deje pasar algunos paquetes, este metodo es el que se utiliza en algunas ocasiones para saber con exactitud que versiones y servicios estan corriendo en determinadas victimas, bypaseando asi toda medida de seguridad central.
---------------------> PREDICCION TCP DE NUMEROS DE SECUENCIA <-----------------
De este ataque no hay mucho que decir ni aplicar ya que es un fallo de seguridad del año 2001, ya mas de una decada han pasado y muchos por no decir que casi todos han implemenado los nuevos RFC que parchean en el protocolo este fallo , tanta fue la inseguridad de este gran fallo que los organismos encargados de regular y autorizar los formatos de estandares en internet se pusieron manos ala obra para solucionarlo y sacar una nueva version corregida del protocolo, una lastima que ya no se pueda llevar a cabo en los actuales entornos de redes.
-----------------------------> Desincronizacion TCP <-----------------------------------------
este ataque se lleva a cabo cuando el atacante envia muchos paquetes con la bandera FIN activada o con RST , el problema de esto es que debemos dar en el blanco ya que si la conexion original obtiene de nuestras peticiones numeros de secuencia ack erroneos , observara a nuestros paquetes como duplicados, fuera de linea, o solo nos ignorara y los rechazara.
una manera viable de llevar a cabo este ataque es falsificar la direccion ip para que la manera de establecer la conexion o suplantar ala conexion original quede un poco mas elegante y fiable frente al sr. tcp.
---------------------->OCULTANDO CONEXIONES TCP PARA EVADIR IDS/IPS<------------
Supongamos por un momento que estamos ya dentro de la red, pero solo hay otro pequeño problema: "tenemos sistemas de alertas de seguridad de intrusos o mejor conocidos como "sistemas de deteccion de intrusiones" o IPS de prevencion de intrusiones.
estos sistemas tienen la capacidad de monitorizar 24/7/365 ciertos puntos de la red denominados "agentes" donde estan instalados en las computadoras anfitrionas, es por ello que en una auditoria de seguridad, debemos de ser muy precavidos al estar atacando a ciertas zonas de la red, no sabemos de antemano a lo que nos podamos enfrentar.
aqui cabe destacar que primeramente tendremos que spoofear o falsificar la conexion del protocolo IP, para que en el IDS se registre una conexion "falsificada".
otra de las tecnicas que se pueden utilizar es la fragmentacion de paquetes, dependieno de los diversos cortafuegos que la organizacion tenga implementados y de los IDS/IPS estos mismos pueden ser vulnerados o bypaseados, podemos confundir al firewall y a los IDS para que estos "crean" que estan en un seguimiento de flujo de una conexion "confiable" cuando en realidad el atacante esta dando un vistazo por la ventana para realmente ver lo que hay "detras".
REFERENCIAS Y ENLACES TECNICOS:
acceso no autorizado
flodeo
footprinting
hping3
huella TCP
protocolos
resincronizacion TCP
secuestro de conexionnes tcp
tormenta ACK.
vulnerabilidades
0 comments:
Publicar un comentario