Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
© FUOC • P06/M2107/01769<br />
.<br />
Elataquede<strong>TCP</strong>/SYNFloodingseaprovechadelnúmerodeconexionesqueestán<br />
esperando para establecer un servicio en particular para conseguir la denegación del<br />
servicio.<br />
Cuando un atacante configura una inundación de paquetes SYN de <strong>TCP</strong>, no tiene ninguna<br />
intención de complementar el protocolo de intercambio, ni de establecer la conexión. Su<br />
objetivo es exceder los límites establecidos para el número de conexiones que están a la<br />
espera de establecerse para un servicio dado.<br />
Esto puede hacer que el sistema que es víctima del ataque sea incapaz de establecer cual-<br />
quier conexión adicional para este servicio hasta que las conexiones que estén a la espera<br />
bajen el umbral.<br />
Hasta que se llegue a este límite, cada paquete SYN genera un SYN/ACK que permanecerá<br />
en la cola a la espera de establecerse. Es decir, cada conexión tiene un temporizador (un<br />
límite para el tiempo que el sistema espera, el establecimiento de la conexión) que tiende<br />
a configurarse en un minuto.<br />
Cuando se excede el límite de tiempo, se libera la memoria que mantiene el estado de<br />
esta conexión y la cuenta de la cola de servicios disminuye en una unidad. Después de<br />
alcanzar el límite, puede mantenerse completa la cola de servicios, evitando que el sistema<br />
establezca nuevas conexiones en este puerto con nuevos paquetes SYN.<br />
Dado que el único propósito de la técnica es inundar la cola, no tiene ningún sentido<br />
utilizar la dirección <strong>IP</strong> real del atacante, ni tampoco devolver los SYN/ACK, puesto que<br />
de esta forma facilitaría que alguien pudiera llegar hasta él siguiendo la conexión. Por lo<br />
tanto, normalmente se falsea la dirección de origen del paquete, modificando para ello la<br />
cabecera <strong>IP</strong> de los paquetes que intervendrán en el ataque de una inundación SYN.<br />
1.5.4. Teardrop<br />
38 <strong>Ataques</strong> <strong>contra</strong> <strong>redes</strong> <strong>TCP</strong>/<strong>IP</strong><br />
Como hemos visto en este mismo módulo*, el protocolo <strong>IP</strong> especifica unos campos en Fragmentación <strong>IP</strong><br />
la cabecera encargados de señalar si el datagrama <strong>IP</strong> está fragmentado (forma parte de un<br />
* Para tratar el siguiente<br />
paquete mayor) y la posición que ocupa dentro del datagrama original.<br />
ataque, haremos uso de la<br />
teoría sobre la fragmentación<br />
<strong>IP</strong> que hemos visto en este<br />
En el campo de indicadores de <strong>TCP</strong>** en<strong>contra</strong>mos el indicador de más fragmentos que mismo módulo didáctico.<br />
indica si el paquete recibido es un fragmento de un datagrama mayor. Por otra parte, el<br />
campo de identificación del datagrama especifica la posición del fragmento en el datagrama ** En inglés, <strong>TCP</strong> flags.<br />
original.