• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / Mitos sobre ICMP

Mitos sobre ICMP

9 enero, 2000 Por Hispasec Deja un comentario

Carlos Veira Lorenzo, experto en redes del departamento de Internet
de Airtel Móvil S.A., nos desvela en su artículo los mitos sobre el
spoofing y ataques sobre ICMP, sobre los cuales tantos falsos rumores
e ideas erróneas circulan por los foros de Internet.
Introducción

De forma más o menos recurrente, aparecen mensajes por Internet que
hacen referencias un tanto alegres a temas como el spoofing o a
ciertos ataques sobre ICMP.

El carácter extremadamente técnico de Internet favorece la creación
de ‘mitos’ entre el público menos cualificado. Resulta normal
sentirse apabullado por la avalancha de siglas y términos extraños
que se acaban atribuyendo a la magia o al designio de algún oscuro
gurú localizado en un piso franco de EE.UU.

El Spoofing

El IP Spoofing consiste en enviar un paquete IP con la dirección de
origen falseada, de forma que el destinatario crea que proviene de
otra localización. Esta técnica puede emplearse para muchas cosas,
entre otras para un ataque DoS.

Sin embargo, el IP spoofing no es una técnica cuyo éxito dependa
única y exclusivamente de quién emite el paquete. Es decir, nosotros
podemos mandar un paquete con una dirección de origen falseada, pero
ese paquete no llegar nunca a su destino.

En redes grandes (como Internet) existen muchos dispositivos de red
que pueden realizar filtrados al tráfico que gestionan. Uno de esos
filtros es precisamente la comprobación de la IP de origen. Los
dispositivos a los que me refiero son los de siempre:

– – cortafuegos
– – routers
– – conmutadores
– – Servidores de acceso
– – …

Evidentemente, el IP spoofing funciona en una LAN (sobre todo en las
que sean tipo bus pasivo). Sin embargo, en Internet no podemos
suponer que, a priori, el IP spoofing puede funcionar. Los ISP
aplican (o deberían aplicar) filtros en los servidores de acceso y en
sus routers para ‘paliar’ este problema. En el peor de los casos, si
no lo hace el ISP, lo hará el carrier, así que estamos en una
situación parecida.

Veamos un ejemplo. Un Servidor de acceso puede incorporar un filtro
que garantice que los paquetes enviados tienen la IP de origen que
asignó el RADIUS a cada uno de sus puertos. En el peor de los casos,
el filtro puede ser por pool de direcciones asignadas al servidor de
acceso. En este caso, verificaría que la IP de origen estuviera
dentro de los rangos asignados a la tarjeta correspondiente
(normalmente menos de una clase C).

Lo mismo puede hacerse en un router, pero con menos precisión. Un
router filtra necesariamente por grupos de direcciones. El
administrador conoce qué rangos direcciones de origen deberían llegar
por cada una de las interfaces del router, y debería aplicar los
filtros correspondientes.

Por tanto, para que un ataque DoS + IP spoofing tenga éxito desde una
enlace PPP dial-up convencional, tanto el carrier como el ISP
tendrían que ser muy descuidados.

Si tenemos acceso interactivo a un host remoto (una shell Unix por
ejemplo), podríamos hacer spoofing en su segmento de red y atacar los
sistemas situados en ese entorno, pero ese es un escenario distinto:
las comunicaciones no se inician desde nuestra conexión dial-up, sino
en el host remoto.

Eso significa que si alguien quiere nukear, normalmente tendrá que
hacerlo ‘a cara descubierta’ (con el riesgo de ser detectado) o a
través de una shell Unix en cualquier punto de Internet. También
implica que el uso de ICMP para forzar desconexiones normalmente sólo
es posible si podemos situarnos en la misma LAN y *no* atravesando
Internet.

En redes internas o cerradas, tal vez pudiera funcionar, si asumen un
modelo de confianza elevado. En cualquier caso, no podemos asumir, a
priori, que un ataque basado en IP Spoofing pueda tener éxito desde
Internet: sería una cuestión de prueba-error.

Smurf

El éxito de un ataque tipo smurf se basa en dos principios que tienen
que darse *simultáneamente*:

– – ‘IP Source address spoofing’
– – La transformación de tráfico broadcast nivel 3 en broadcast nivel
2. Es decir que la multidifusión IP se transforme en multidifusión
Ethernet (por poner un ejemplo).

Sobre el primer punto ya hemos hablado en el primer punto. Sobre el
segundo, comentar que casi todos los routers (sobre todo los
modernos) vienen configurados con esta opción deshabilitada por
defecto.

En cualquier caso, puede, nuevamente, filtrarse en el router y evitar
que usen nuestra red como amplificador de tráfico. De hecho, la
mayoría de las redes tienen esta protección activada.

Es cierto que existen listas de redes grandes que continúan mal
configuradas y que pueden usarse como amplificadores. Sin embargo,
para que smurf tenga éxito, deben tenerse en cuanta las
consideraciones de sobre spoofing mencionadas anteriormente.

Carlos Veira Lorenzo
cveira@airtel.net
Boletín Criptonomicón #63
http://www.iec.csic.es/criptonomicon

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: General

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Vulnerabilidad zero-day en AWS Glue
  • Tamagotchi para hackers: Flipper Zero
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Técnica permite modificar ficheros PDF con firma digital
  • Evasión de CloudTrail en AWS a través de API no documentada

Entradas recientes

  • Vulnerabilidad zero-day en AWS Glue
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR