Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Ilustración 89. Cabecera IP<br />
Una de las técnicas que demuestran la posibilidad de crear un Covert Channel<br />
consiste en utilizar el campo Identification de la cabecera (IPID) para transmitir<br />
información.<br />
Este campo de la cabecera tiene un tamaño de 16 bits y su uso para la<br />
fragmentación y en el reensamblado posterior está bien definido. Por el contrario<br />
cuando los paquetes no se fragmentan este campo se puede interpretar como se<br />
considere. Es esta flexibilidad o indefinición del valor, cuando el paquete no va<br />
fragmentado, lo que posibilita que este campo se pueda utilizar para realizar un<br />
Covert Channel.<br />
En el documento ‘Covert Data Storage Channel Using IP Packet’ 242 realizado por<br />
Jonathan S. Thyer, se muestra una prueba de concepto con la herramienta<br />
Subrosa 243 , donde se envían paquetes de conexión del protocolo TCP de tipo<br />
TCP/SYN, desde el cliente al servidor. El servidor ante estos paquetes devuelve<br />
paquetes de TCP/RST. En esa comunicación se aprecia como el campo<br />
Identification (IPID) va variando y cómo se está transmitiendo el mensaje de<br />
manera unidireccional. Un ejemplo de uso de este Covert Channel con la<br />
herramienta Subrosa se expone a continuación.<br />
242 Cover data storage channel ip packet headers<br />
http://www.sans.org/reading_room/whitepapers/covert/covert-data-storage-channel-ip-packet-headers_2093<br />
243 Packetheader<br />
http://www.packetheader.net/<br />
162