Análisis de un ataque (Parte 1)

Don Parker

Esta serie se basará en una vulnerabilidad de la red. Lo que se presentará en el artículo es un ataque real, desde el reconocimiento hasta la enumeración, la explotación del servicio de red y termina con estrategias de explotación de notificaciones.

Todos estos pasos se observarán a nivel de paquete de datos y luego se explicarán en detalle. Ser capaz de observar y comprender un ataque a nivel de paquete es extremadamente importante tanto para los administradores de sistemas como para el personal de seguridad de la red. La salida de los firewalls, sistemas de detección de intrusiones (IDS) y otros dispositivos de seguridad siempre se utilizará para ver el tráfico real de la red. Si no entiendes lo que estás viendo a nivel de paquete, toda la tecnología de seguridad de red que tengas no tiene sentido.

Las herramientas utilizadas para simular un ciberataque son:

Paso de configuración

Hoy en día, existen muchas acciones de escaneo en Internet, sin mencionar las acciones de gusanos y otras formas de malware como los virus. Todos ellos serán simplemente ruido inofensivo para redes informáticas bien protegidas. Lo que deberíamos estar investigando es alguien que ataca deliberadamente una red informática. Este artículo asumirá que el atacante ya ha atacado a su víctima y ha realizado una investigación previa, como averiguar la dirección IP y las direcciones de red de la víctima. Es posible que este atacante también haya intentado explotar información como direcciones de correo electrónico asociadas a esa red. Este tipo de información es muy importante en caso de que un atacante haya encontrado la red pero no tenga forma de ingresarla después de realizar acciones de escaneo, enumeración y suplantación en ella. Las direcciones de correo electrónico que recopiló serían útiles para configurar un ataque del lado del cliente al intentar invitar a los usuarios a un sitio web malicioso a través de un enlace en un correo electrónico. Estos tipos de ataques se presentarán en los siguientes artículos.

Cómo funciona

Debemos observar las acciones de un hacker mientras realiza el escaneo y enumeración de la red víctima. La primera herramienta que utilizan los hackers es Nmap. Aunque Nmap tiene relativamente pocas firmas IDS, sigue siendo una herramienta muy útil y ampliamente utilizada.

Análisis de un ataque (Parte 1)

Podemos ver a través de la sintaxis utilizada por el hacker en la pequeña pantalla que se muestra arriba, que el hacker ha elegido el puerto 21 y 80 ya que tiene algunos exploits que se pueden usar a través de Metasploit Framework. No sólo eso, sino también los servicios y protocolos del sistema, que entendía bastante bien. Es bastante obvio que está utilizando un escaneo SYN, que es el tipo de escaneo de puertos más comúnmente utilizado. También se debe al hecho de que cuando un servicio TCP que escucha en un puerto recibe un paquete SYN, envía de vuelta un paquete SYN/ACK (respuesta). Un paquete SYN/ACK indica que un servicio está escuchando y esperando una conexión. Sin embargo, el mismo problema no ocurre con UDP, ya que depende de servicios como DNS (DNS también utiliza TCP, pero principalmente utiliza UDP para la mayoría de sus transacciones).

La sintaxis que se muestra a continuación es la salida que Nmap recopila de los paquetes que ha enviado, pero más precisamente de los paquetes que recibe como resultado de los escaneos SYN que ha realizado. Podemos ver que en la superficie parece que se proporcionan servicios FTP y HTTP. Realmente no nos importa la dirección MAC, así que la ignoraremos. Herramientas como Nmap no son propensas a errores, por lo que a menudo son buenas para verificar su información a nivel de paquete para garantizar la precisión. No sólo eso, también permite observar los paquetes de retorno, desde la red víctima, para poder recopilar información de arquitectura, servicios y host desde allí.

Busque los paquetes

Hay varios programas disponibles hoy en día que examinarán los paquetes y encontrarán información esencial, como el tipo de sistema operativo, información arquitectónica como x86 o SPARC y más. Esto no es suficiente, pero también es importante cuando estamos aprendiendo a dejar que un programa haga el trabajo por nosotros. Con esto en mente, echemos un vistazo al seguimiento de paquetes de Nmap y busquemos información sobre la red víctima.

10:52:59.062500 IP (tos 0x0, ttl 43, id 8853, offset 0, flags [none], proto: ICMP (1), length: 28) 192.168.111.17 > 192.168.111.23: ICMP echo request seq 38214, length 8
0x0000: 4500 001c 2295 0000 2b01 0dd3 c0a8 6f11 E..."...+.....o.
0x0010: c0a8 6f17 0800 315a 315f 9546 ..o...1Z1_.F
10:52:59.078125 IP (tos 0x0, ttl 128, id 396, offset 0, flags [none], proto: ICMP (1), length: 28) 192.168.111.23 > 192.168.111.17: ICMP echo reply seq 38214, length 8
0x0000: 4500 001c 018c 0000 8001 d9db c0a8 6f17 E.............o.
0x0010: c0a8 6f11 0000 395a 315f 9546 0000 0000 ..o...9Z1_.F....
0x0020: 0000 0000 0000 0000 0000 0000 0000 ..............

En los dos paquetes de arriba se muestra el lote abierto de Nmap. Lo que hace es enviar una solicitud de eco ICMP a la red de la víctima. Verás que no está equipado en un puerto determinado, porque ICMP no utiliza puertos, sino que es administrado por el generador de mensajes de error ICMP integrado en la pila de protocolos TCP/IP. Este paquete ICMP también está etiquetado con un número único, en este caso 38214, para ayudar a la pila TCP/IP a examinar el tráfico de retorno y asociarlo con el paquete ICMP anterior enviado. El paquete que se muestra arriba es una respuesta de una red víctima, en forma de respuesta de eco ICMP. También tiene en cuenta la cadena número 38214. Así es como el hacker sabe que hay un ordenador o una red detrás de esa dirección IP.

Esta secuencia de paquetes ICMP abierta es la razón por la que Nmap tiene una notación IDS para ella. La opción de descubrimiento de host ICMP se puede desactivar en Nmap si se desea. ¿Qué tipo de información se puede obtener a través de los resultados de un paquete de respuesta de eco ICMP de la red víctima? De hecho, no hay mucha información aquí que nos ayude a comprender la red. Sin embargo, todavía se pueden utilizar pasos preliminares en áreas relacionadas con el sistema operativo. El tiempo necesario para completar un campo y el valor junto a él están resaltados en negrita en el paquete anterior. El valor 128 indica el hecho de que este ordenador probablemente sea un ordenador con Windows. Si bien el valor ttl no responde exactamente a qué se relaciona con el sistema operativo, será la base para los próximos paquetes que consideraremos.

Conclusión

En esta primera parte, analizamos un escaneo de una red en un ataque a dos puertos específicos usando Nmap. En este punto, el atacante sabe con certeza que hay una computadora o una red de computadoras que reside en esa dirección IP. En la segunda parte de esta serie, continuaremos nuestra investigación sobre el rastro de este paquete y descubriremos qué otra información podemos obtener.

Análisis de un ataque (Parte 1)Analizando un ataque (Parte 2)
Análisis de un ataque (Parte 1)Analizando un ataque (Parte 3)

Sign up and earn $1000 a day ⋙

Leave a Comment

13 hermosos y elegantes peinados cortos para mujeres

13 hermosos y elegantes peinados cortos para mujeres

A continuación se presentan los peinados cortos femeninos más hermosos e individuales que también ayudan a "piratear" la edad, que son los más amados por las mujeres de hoy.

Las tormentas solares están creando impresionantes auroras en todo el mundo

Las tormentas solares están creando impresionantes auroras en todo el mundo

El período del 6 al 13 de octubre es una semana emocionante para la comunidad de observación del cielo, ya que se podrán ver impresionantes auroras en muchos lugares alrededor del mundo.

¿Qué hacer cuando tienes problemas para dormir?

¿Qué hacer cuando tienes problemas para dormir?

Priorizar un horario de sueño consistente y una rutina de relajación por la noche puede ayudar a mejorar la calidad de su sueño. Esto es lo que necesita saber para dejar de dar vueltas en la cama durante la noche.

7 formas de numerar páginas en Word que debes conocer

7 formas de numerar páginas en Word que debes conocer

Hay muchas formas de numerar páginas en Word entre las que podemos elegir, dependiendo de los requisitos para numerar páginas en Word.

Cómo ajustar la pantalla exterior del Galaxy Z Flip3

Cómo ajustar la pantalla exterior del Galaxy Z Flip3

En el dispositivo Galaxy Z, hay una función para personalizar la pantalla exterior, donde puedes elegir cualquier imagen como fondo de pantalla para la pantalla exterior en el Galaxy Z Flip3.

Cómo crear accesos directos a aplicaciones de música en teléfonos Samsung

Cómo crear accesos directos a aplicaciones de música en teléfonos Samsung

En los teléfonos Samsung, existe una opción para crear accesos directos a aplicaciones para escuchar música en el teléfono, como Zing, Spotify o aplicaciones de podcast.

Señales de que estás realmente listo para una relación seria

Señales de que estás realmente listo para una relación seria

Si te preguntas si estás listo para la relación seria que deseas, consulta esta lista de formas en las que puedes saber si estás listo o si tienes más trabajo por hacer:

¿Deben dejarse las puertas abiertas en invierno?

¿Deben dejarse las puertas abiertas en invierno?

El clima frío hace que muchas personas tengan miedo de abrir las ventanas en invierno. Sin embargo, ¿es bueno mantener las puertas cerradas todo el tiempo en invierno? ¿Deben abrirse las ventanas en invierno? ¡Descubrámoslo juntos!

Cómo conseguir un mes de Discord Nitro gratis con Opera GX

Cómo conseguir un mes de Discord Nitro gratis con Opera GX

Opera GX, el navegador web centrado en los juegos, ha llegado a una interesante asociación con Discord, ofreciendo a los usuarios una prueba gratuita de un mes de Discord Nitro.

Cómo grabar rápidamente la pantalla de una computadora con Windows 10

Cómo grabar rápidamente la pantalla de una computadora con Windows 10

Actualmente, existen muchos programas de grabación de pantalla de computadora compatibles con Win 10, que le ayudan a grabar la pantalla de su computadora fácilmente, especialmente para jugadores.

Cómo desactivar los comentarios al transmitir en vivo en Facebook

Cómo desactivar los comentarios al transmitir en vivo en Facebook

Al ver una transmisión en vivo en Facebook, los comentarios se muestran automáticamente en la pantalla de video en línea. Entonces los espectadores conocerán los comentarios de otras personas.

15 cosas que puedes hacer con ChatGPT

15 cosas que puedes hacer con ChatGPT

Desde su lanzamiento en noviembre de 2022, ChatGPT ha recibido mucha atención por su gran variedad de usos. Para ayudarle a aprovechar al máximo esta herramienta, aquí hay 15 formas en que puede utilizar ChatGPT.

Consejos para encontrar vuelos baratos en Gemini

Consejos para encontrar vuelos baratos en Gemini

Los widgets de Gemini ayudan a este asistente de inteligencia artificial a llegar a los usuarios en más aspectos, como encontrar pasajes de avión baratos a través del widget Google Flights.

Parámetros de retorno con nombre en Golang

Parámetros de retorno con nombre en Golang

En Golang, los parámetros de retorno con nombre a menudo se denominan parámetros con nombre. Golang permite nombrar los parámetros de retorno o los resultados de las funciones en la firma o definición de la función.

Instrucciones para configurar el fondo de pantalla del chat en WhatsApp

Instrucciones para configurar el fondo de pantalla del chat en WhatsApp

WhatsApp tiene una función para cambiar el fondo de pantalla del chat, que permite a los usuarios configurar temas de chat en WhatsApp. Los usuarios podrán elegir entre 30 fondos diferentes para sus chats, o utilizar sus imágenes personales como fondos de chat en WhatsApp.