IP Hijacking
Páginas: 17 (4099 palabras)
Publicado: 12 de abril de 2015
IP
HIJACKING
By: Alfa-Omega
Introduccion
En este manual explicare que es y cómo realizar un IP Hijacking, seguido de un par de
casos prácticos para que se vea el ataque llevado a la práctica.
Que es el IP Hijacking?
El IP Hijacking (también conocido como secuestro de sesión tcp, o también ip spoofing)
consiste en generar paquetes falsos para hacernos con el control de una sesión tcp
entre uncliente y un servidor.
Como se realiza un IP Hijacking?
Bien, antes de ir directos al grano y explicar el IP Hijacking, hare una explicación de
cómo funciona una sesión tcp
Cuando un cliente se quiere conectar a un servidor, lo que hace es enviar un paquete
SYN, después el servidor le contestara con un paquete SYN/ACK y finalmente el cliente
responderá con un paquete ACK, a esto se le llamanegociar una conexión
Cuando un cliente y un servidor negocian una conexión sincronizan sus números de
secuencia (sequence number) para que cuando reciban paquetes el uno del otro
puedan verificar que los paquetes son del PC con el que están conectados
Si no existiesen los números de secuencia las redes serian un caos, porque las
aplicaciones podrían recibir paquetes que no están dirigidas a ellas, yal no tener forma
de verificarlo pues aceptaría esos datos y daría lugar a errores.
Todo esto se ve mejor con un ejemplo (en este ejemplo se muestra un pequeño tráfico
de datos sniffado por wireshark):
Bien, la imagen muestra una conexión entre un servidor y un cliente de un chat (un
chat mediante netcat), los 3 primeros paquetes sirven para realizar la conexión, los 4
últimos son paquetes dedatos que se intercambian el cliente y el servidor
El primer paquete es un paquete SYN enviado por el cliente con un seq (sequence
number, o numero de secuencia) 0
El segundo paquete es un paquete SYN/ACK enviado por el servidor con un seq 0 y un
ack 1 (el numero ack sirve para indicar al que vaya a recibir el paquete (sea el cliente o
el servidor) el siguiente seq que tiene que enviar)
El tercerpaquete es un paquete ACK enviado por el cliente con un seq 1 y un ack 1
Hasta aquí ya se ha realizado la conexión y la sincronización de los números de
secuencia
Ahora empieza el intercambio de datos
El cuarto paquete lo envía el cliente, es un paquete PSH/ACK (el flag PSH indica que el
paquete lleva datos) y lleva un seq 1 y un ack 1
El quinto paquete lo envia el servidor, es un paquete ACK(este paquete sirve para
confirmar al cliente que los datos han llegado) tiene un seq 1 y un ack 6, aquí ya ha
aparecido un cambio, el ack es 6, pero… ¿porque es 6? ¿Porque no sigue un orden
lógico y pasa a ser 2?
Bien, para explicar esto veamos los paquete 4 y 5 con mas detalle:
Paquete 4:
Paquete 5:
Bien, vamos a hacer una recolección de datos para que se vea mejor:
Paquete 4:
Flags: PSH/ACKSeq: 1
Ack: 1
Len: 5 (len es la longitud de los datos que lleva el paquete en este caso 5 bytes)
Datos: hola
Paquete 5:
Flag: ACK
Seq: 1
Ack: 6
La razón por la cual el ack es 6, es porque la longitud de datos del paquete que le
mando el cliente es 5, entonces el servidor lo que hace es sumar el seq que le envio el
cliente y la longitud de datos, en este caso 1 + 5, que da como resultado 6,gracias a
este cálculo se pueden predecir los futuros números de secuencia
de hecho, si nos fijamos en el paquete 4 (en la imagen que he puesto un poco mas
arriba), wireshark nos muestra un campo en el que pone “next sequence number” y al
lado pone 6.
Ahora veamos los paquetes 6 y 7:
El paquete 6 es un paquete PSH/ACK enviado por el servidor
Y el paquete 7 es un paquete ACK enviado por el cliente,confirmando que el paquete
ha llegado.
si echamos un ojo a estos dos paquetes vemos lo siguiente:
Paquete 6:
Paquete 7:
Recolección de datos:
Paquete 6:
Flags: PSH/ACK
Seq: 1
Ack: 6
Len: 5
Datos: hola
Paquete 7:
Flag: ACK
Seq: 6
Ack: 6
En estos dos paquetes es el mismo caso que en el 4 y el 5, pero en esta ocasión es al
revés, el que envia los datos es el servidor y el que recibe el cliente y...
HIJACKING
By: Alfa-Omega
Introduccion
En este manual explicare que es y cómo realizar un IP Hijacking, seguido de un par de
casos prácticos para que se vea el ataque llevado a la práctica.
Que es el IP Hijacking?
El IP Hijacking (también conocido como secuestro de sesión tcp, o también ip spoofing)
consiste en generar paquetes falsos para hacernos con el control de una sesión tcp
entre uncliente y un servidor.
Como se realiza un IP Hijacking?
Bien, antes de ir directos al grano y explicar el IP Hijacking, hare una explicación de
cómo funciona una sesión tcp
Cuando un cliente se quiere conectar a un servidor, lo que hace es enviar un paquete
SYN, después el servidor le contestara con un paquete SYN/ACK y finalmente el cliente
responderá con un paquete ACK, a esto se le llamanegociar una conexión
Cuando un cliente y un servidor negocian una conexión sincronizan sus números de
secuencia (sequence number) para que cuando reciban paquetes el uno del otro
puedan verificar que los paquetes son del PC con el que están conectados
Si no existiesen los números de secuencia las redes serian un caos, porque las
aplicaciones podrían recibir paquetes que no están dirigidas a ellas, yal no tener forma
de verificarlo pues aceptaría esos datos y daría lugar a errores.
Todo esto se ve mejor con un ejemplo (en este ejemplo se muestra un pequeño tráfico
de datos sniffado por wireshark):
Bien, la imagen muestra una conexión entre un servidor y un cliente de un chat (un
chat mediante netcat), los 3 primeros paquetes sirven para realizar la conexión, los 4
últimos son paquetes dedatos que se intercambian el cliente y el servidor
El primer paquete es un paquete SYN enviado por el cliente con un seq (sequence
number, o numero de secuencia) 0
El segundo paquete es un paquete SYN/ACK enviado por el servidor con un seq 0 y un
ack 1 (el numero ack sirve para indicar al que vaya a recibir el paquete (sea el cliente o
el servidor) el siguiente seq que tiene que enviar)
El tercerpaquete es un paquete ACK enviado por el cliente con un seq 1 y un ack 1
Hasta aquí ya se ha realizado la conexión y la sincronización de los números de
secuencia
Ahora empieza el intercambio de datos
El cuarto paquete lo envía el cliente, es un paquete PSH/ACK (el flag PSH indica que el
paquete lleva datos) y lleva un seq 1 y un ack 1
El quinto paquete lo envia el servidor, es un paquete ACK(este paquete sirve para
confirmar al cliente que los datos han llegado) tiene un seq 1 y un ack 6, aquí ya ha
aparecido un cambio, el ack es 6, pero… ¿porque es 6? ¿Porque no sigue un orden
lógico y pasa a ser 2?
Bien, para explicar esto veamos los paquete 4 y 5 con mas detalle:
Paquete 4:
Paquete 5:
Bien, vamos a hacer una recolección de datos para que se vea mejor:
Paquete 4:
Flags: PSH/ACKSeq: 1
Ack: 1
Len: 5 (len es la longitud de los datos que lleva el paquete en este caso 5 bytes)
Datos: hola
Paquete 5:
Flag: ACK
Seq: 1
Ack: 6
La razón por la cual el ack es 6, es porque la longitud de datos del paquete que le
mando el cliente es 5, entonces el servidor lo que hace es sumar el seq que le envio el
cliente y la longitud de datos, en este caso 1 + 5, que da como resultado 6,gracias a
este cálculo se pueden predecir los futuros números de secuencia
de hecho, si nos fijamos en el paquete 4 (en la imagen que he puesto un poco mas
arriba), wireshark nos muestra un campo en el que pone “next sequence number” y al
lado pone 6.
Ahora veamos los paquetes 6 y 7:
El paquete 6 es un paquete PSH/ACK enviado por el servidor
Y el paquete 7 es un paquete ACK enviado por el cliente,confirmando que el paquete
ha llegado.
si echamos un ojo a estos dos paquetes vemos lo siguiente:
Paquete 6:
Paquete 7:
Recolección de datos:
Paquete 6:
Flags: PSH/ACK
Seq: 1
Ack: 6
Len: 5
Datos: hola
Paquete 7:
Flag: ACK
Seq: 6
Ack: 6
En estos dos paquetes es el mismo caso que en el 4 y el 5, pero en esta ocasión es al
revés, el que envia los datos es el servidor y el que recibe el cliente y...
Leer documento completo
Regístrate para leer el documento completo.