Ataques contra redes TCP/IP

More documents

Recommendations

Info

© FUOC • P06/M2107/01769 1.4. Fragmentación IP . El protocolo IP es el encargado de seleccionar la trayectoria que deben seguir los datagramas IP. No es un protocolo fiable ni orientado a conexión, es decir, no garantiza el control de flujo, la recuperación de errores ni que los datos lleguen a su destino. A la hora de pasar a la capa inferior, los datagramas IP se encapsulan en tramas que, dependiendo de la red física utilizada, tienen una longitud determinada. Cuando los datagramas IP viajan de unos equipos a otros, pueden pasar por distintos tipos de redes. El tamaño exacto de estos paquetes, denominado MTU*, puede variar de una red a otra dependiendo del medio físico empleado para su transmisión. Así, el protocolo IP debe tener en cuenta que ningún dispositivo puede transmitir paquetes de una longitud superior al MTU establecido por la red por la que hay que pasar. A causa de este problema, es necesaria la reconversión de datagramas IP al formato adecuado. . La fragmentación divide los datagramas IP en fragmentos de menor longitud y se realiza en el nivel inferior de la arquitectura para que sea posible recomponer los datagramas IP de forma transparente en el resto de niveles. El reensamblado realiza la operación contraria. El proceso de fragmentación y reensamblado se irá repitiendo a medida que los datagramas vayan viajando por diferentes redes. 26 Ataques contra redes TCP/IP * En inglés, Maxim Transfer Unit. Aunque la fragmentación es, por lo general, una consecuencia natural del tráfico que viaja Fragmentación ... a través de redes con MTU de distintos tamaños, es posible que un atacante pueda realizar ... y ataques de denegación un mal uso de esta propiedad del protocolo IP para provocar ataques de denegación de de servicio. Ved la servicio (a causa de una mala implementación de la pila TCP/IP), así como para esconder información sobre los ataques teardrop y ping de la y facilitar la fase de recogida de información (búsqueda de huellas identificativas, explo- muerte en la sección sobre ración de puertos, . . . ) o incluso para hacer pasar desapercibidos e introducir en la red denegaciones de servicio de este mismo módulo didáctico paquetes para la explotación de servicios. Esto último es posible porque muchos de los mecanismos de prevención y de detección que veremos en módulos posteriores no implementan el reensamblado de paquetes, y por ello no detectarán ni prevendrán este tipo de actividad a causa del enmascaramiento que la fragmentación les ofrece. para más información. Así pues, es importante comprender cómo funciona esta faceta del protocolo IP para entender este mal uso del tráfico fragmentado que podría realizar un posible atacante para conseguir su objetivo.
© FUOC • P06/M2107/01769 1.4.1. Fragmentación en redes Ethernet La MTU por defecto de un datagrama IP para una red de tipo Ethernet es de 1500 bytes. Así pues, si un datagrama IP es mayor a este tamaño y necesita circular por este tipo de red, será necesario fragmentarlo por medio del encaminador que dirige la red. Los fragmentos pueden incluso fragmentarse más si pasan por una red con una MTU más pequeña que su tamaño. Para que el equipo de destino pueda reconstruir los fragmentos, éstos deben contener la siguiente información: • Cada fragmento tiene que estar asociado a otro utilizando un identificador de fragmento común. Éste se clonará desde un campo de la cabecera IP, conocido como identificador IP (también llamado ID de fragmento). • Información sobre su posición en el paquete inicial (paquete no fragmentado). • Información sobre la longitud de los datos transportados al fragmento. • Cada fragmento tiene que saber si existen más fragmentos a continuación. Esto se indica en la cabecera, dejando o no activado el indicador de más fragmentos (more fragments, MF) del datagrama IP. Toda esta información irá en la cabecera IP, colocada en el datagrama IP. Esto afectará a todo el tráfico TCP/IP puesto que IP es el protocolo responsable de la entrega de los paquetes. En la siguiente figura vemos la configuración de un datagrama IP no fragmentado: Cabecera IP de 20 bytes 1480 bytes de datos encapsulados Ethernet (MTU=1500) En la cabecera IP, que normalmente será de 20 bytes, estará contenida la información necesaria para poder dirigir el datagrama IP hacia su destino (dirección IP de origen y destino, dirección del encaminamiento de origen, . . . ). 27 Ataques contra redes TCP/IP
Page 1 and 2: Ataques contra redes TCP/IP Joaquí
Page 3 and 4: © FUOC • P06/M2107/01769 Introdu
Page 5 and 6: © FUOC • P06/M2107/01769 1.1. Se
Page 7 and 8: © FUOC • P06/M2107/01769 Aplicac
Page 9 and 10: © FUOC • P06/M2107/01769 En el f
Page 11 and 12: © FUOC • P06/M2107/01769 Así, m
Page 13 and 14: © FUOC • P06/M2107/01769 [root@a
Page 15 and 16: © FUOC • P06/M2107/01769 Identif
Page 17 and 18: © FUOC • P06/M2107/01769 Explora
Page 19 and 20: © FUOC • P06/M2107/01769 19 Ataq
Page 21 and 22: © FUOC • P06/M2107/01769 1.3. Es
Page 23 and 24: © FUOC • P06/M2107/01769 1.3.2.
Page 25: © FUOC • P06/M2107/01769 Si la m
Page 29 and 30: © FUOC • P06/M2107/01769 Observa
Page 31 and 32: © FUOC • P06/M2107/01769 La figu
Page 33 and 34: © FUOC • P06/M2107/01769 contien
Page 35 and 36: © FUOC • P06/M2107/01769 1.5.1.
Page 37 and 38: © FUOC • P06/M2107/01769 1.5.2.
Page 39 and 40: © FUOC • P06/M2107/01769 . El at
Page 41 and 42: © FUOC • P06/M2107/01769 Este at
Page 43 and 44: © FUOC • P06/M2107/01769 Desde e
Page 45 and 46: © FUOC • P06/M2107/01769 No obst
Page 47 and 48: © FUOC • P06/M2107/01769 1.6. De
Page 49 and 50: © FUOC • P06/M2107/01769 como qu
Page 51 and 52: © FUOC • P06/M2107/01769 . El ob
Page 53 and 54: © FUOC • P06/M2107/01769 Asignam
Page 55 and 56: © FUOC • P06/M2107/01769 Para fa
Page 57 and 58: © FUOC • P06/M2107/01769 2) El c
Page 59 and 60: © FUOC • P06/M2107/01769 Resumen
Page 61 and 62: © FUOC • P06/M2107/01769 IP: ver

Ataques contra redes TCP/IP

Create successful ePaper yourself

Delete template?

Save as template?