Ejemplos

• • • • •

Reconocimiento. Escaneo. Acceso. Mantener el acceso. Borrar actividades.

2

• El atacante obtiene la mayor cantidad de información del (los) posible (s) objetivo (s).
– Footprinting. – Dumpster diving. – Fingerprinting. – Ingeniería social.

3

• Pasivo
– Obtener información sin interacción directa con la(s) victima(s).

• Activo
– Interacción directa a través decualquier medio.

4

• Fase en la cual el atacante obtiene información del sistema de la victima.
– Escaneos de puertos, vulnerabilidades. de red y de

• Obtiene entre otras:
– IP’s, MAC’s. – Sistema operativo. – Puertos abiertos. – Servicios. – Etc.

5

• Port scanning.
– Comprueba los servicios corriendo en el equipo victima.

• Network scanning.
– Identificar host activos en lared.

• Vulnerability scanning.
– Identifica las vulnerabilidades del sistema o de los servicios activos.
6

• • • • • • • •

Half open can (No abre una full tcp conn). SYN/ACK scan. XMAS scan (Envía todas las banderas). FIN scan (Solo unix). ACK scan (Utiliza el valor del TTL). NULL scan (Solo unix). IDLE scan (IP Spoofing). Full open scan (Detectable).
7

• El atacante penetra en elequipo victima, explota vulnerabilidades del sistema, de alguna aplicación en particular o en la red.
– Desbordamiento. – DoS. – Secuestro de sesión. – Crackeo de contraseñas.

8

• El atacante intenta mantener el acceso, puede cargar, descargar o manipular datos de aplicaciones o las configuraciones.
– Backdoors. – Rootkits. – Troyanos.

9

• El hacker cual astuto ladrón destruyetodos los rastros dejados a su paso.
– Steganography. – Tunneling. – Alterar logs del sistema.

10

M.A. Ing. Robert E. Puican Gutiérrez

• Técnica usada para auditar máquinas y redes con el fin de detectar que puertos están abiertos, cerrados o protegidos.

SYN SYN / ACK ACK

• •

• • • •

TCP es un protocolo orientado a conexión, y como tal tiene unos estados definidos según enqué punto de la conexión se encuentre el socket. Estos estados están detallados en el RFC #793 y son: LISTEN: Un servidor que espera conexiones de un cliente y escucha un puerto, genera un socket con estado LISTEN. Cuando el cliente se conecte, se creará un socket con la conexión establecida y otro que quede a la escucha. SYN-SENT: Al enviar un paquete con el flag SYN levantado, como primer pasopara el saludo en tres tiempos de una conexión, el socket entra en el estado SYN-SENT. SYN-RECEIVED: Cuando tiene lugar el segundo paso del saludo en tres tiempos y se responde al primer SYN con un SYN/ACK, los sockets tienen estado SYN-RECEIVED. ESTABLISHED: Una vez se completa el saludo en tres tiempos se entra en estado ESTABLISHED y se permanece en él durante todo el tiempo que dura la conexión.FIN-WAIT-1: El socket entra en este estado una vez envía el paquete con el flag FIN levantado pero aún no ha recibido la confirmación de ese paquete. Solamente se reciben datos.

• • • •

•

FIN-WAIT-2: Una vez recibida la confirmación ACK del paquete FIN, entramos en este estado. Solamente se reciben datos. CLOSE-WAIT: Si somos nosotros los que recibimos el paquete con el flag FINlevantado pero aún tenemos datos que enviar, el socket entra en estado CLOSE-WAIT. CLOSING: Si ambos host desean finalizar la conexión a la vez, los sockets entran en estado CLOSING. LAST-ACK: Una vez enviados sendos paquetes con el flag FIN levantado en la finalización de una conexión TCP, cuando el último en haber enviado el paquete está pendiente de recibir la confirmación, entra en estado LAST-ACK.TIME-WAIT: Una vez enviados sendos paquetes con el flag FIN levantado en la finalización de una conexión TCP, cuando el primero en haber enviado el paquete envía la confirmación al último paquete FIN, entra en estado TIME-WAIT para esperar un tiempo prudencial que le permita cerciorarse de la recepción del mismo.

•

ABIERTO
– Una aplicación acepta conexiones TCP o paquetes UDP en este...