Mster Interuniversitario en Seguridad de las TIC(MISTIC)

Vulnerabilidades de Seguridad
(PEC) 2
DANIEL ALEJANDRO BERNAL YHAM

Ejercicio 1 (3 puntos)
Pregunta 1
CAPURA 1
A)
Se est produciendo un ataque de SYN flooding basado en IP spoofing, al servicio HTTP, esto se
puede observar teniendo en cuenta que el atacante continuamente enva el SYN al servidor para
solicitar el SYN_ACK pero cambia la direccin IP continuamente, as que el servidor nunca logra
enviar la respuesta pero alcanza a reservar los recursos necesarios para realizar la conexin la cual
nunca se realiza, lo que ocasiona una posible denegacin del servicio.
Fuente:
http://www.cert.org/advisories/CA-1996-21.html
B) La vctima es un servidor HTTP con la IP privada 192.168.0.1, el atacante son mltiples IP publicas
que provienen de un mismo equipo de red CISCO, los ms seguro es que todas estas IP sean
suplantaciones y solo sean generadas por un nico atacante.
CAPTURA 2
A) Se est realizando un escaneo de puertos al IP 64.13.134.52.
B) La maquina con IP 172.16.0.8 tiene la capacidad de saber que puertos tiene abiertos el equipo IP
64.13.134.53 al recibir la respuesta SYN-ACK, los puertos reportados son:
nombre,port,protocol
domain, 53, TCP
ident, 113, TCP
http, 80, TCP
ssh, 22, TCP
smtp, 25, TCP
31337, 31337, TCP
gopher, 70, TCP
A) Literalmente no es posible, pues en IPV6 no existe ARP sin embargo este este servicio fue
reemplazado por Neighbor Discovery(ND) en IPV6 una actualizacin que incluye muchos principios
funciones y procesos que ARP de IPV4 usaba por lo cual es posible hacer ataques equivalentes al
ARP Spoofing de IPV4 en las referencias se explica el procedimiento:
Referencias:
http://www.elladodelmal.com/2012/11/hacking-en-redes-de-datos-ipv6-neighbor.html
http://www.infosec.gov.hk/english/technical/files/ipv6s.pdf
http://packetlife.net/blog/2009/feb/02/ipv6-neighbor-spoofing/
B) Port Security es una tcnica de los switches Marca Cisco que les permite guardar las direcciones
MAC conectadas a cada puerto del dispositivo y permitir solamente a esas direcciones MAC
comunicarse a travs de ese puerto del switch. Si un dispositivo con otra direccin MAC intenta
comunicarse a travs de ese puerto, Port Security deshabilitar el puerto. Incluso se puede
implementar SNMP para recibir en el momento en el sistema de monitoreo la notificacin

Mster Interuniversitario en Seguridad de las TIC(MISTIC)

Vulnerabilidades de Seguridad
(PEC) 2
DANIEL ALEJANDRO BERNAL YHAM

correspondiente al bloqueo del puerto.

Fuente:
http://librosnetworking.blogspot.com/2006/10/implementacin-de-port-security-en.html
http://infodocs.net/articulo/networking/port-security-en-switches-cisco
C) Evita que una maquina conectada a un puerto Ethernet de un switch cambie su direccin MAC
ocasionando que cuando la maquina haga este cambio, el puerto se bloquea e incluso se tiene la
posibilidad de programar el envo de una alerta para ser revisado inmediatamente.

Ejercicio 2 (2 puntos)
1.) Es un ataque de IP hijacking o conocido como BGP hijacking en el cual se ataca el protocolo
BGP para secuestrar la IP de Spamhaus, este ataque aprovecha la confianza que el protocolo BGP
deposita entre los enrutadores para compartir las rutas de red y agrega una ruta de red falsa la cual
se distribuye y esta ruta apunta a un servidor falso instalado por el atacante el cual se hace pasar por
el original y da resultados totalmente errneos frente a las consutas, afectando la reputacin y el
servicio que Spamhaus presta.
2.) Si, en la documentacin (Vulnerabilidades de redes P17) se menciona el caso de Pakistan
Telecom.
3.) En el artculo se habla de un ruta con mascara 255.255.255.255 o 32 que hace referencia a una
subred de una sola IP (un solo host) esto se considera muy sospechoso pues generalmente las
mascaras en internet son mucho ms grandes al menos 255.255.255.0 dado que si tenemos
mascaras muy pequeas el desperdicio de IP es muy grande por cada IP publica asignada,
adicionalmente generalmente una compaa como Spamhaus contratar un rango de IP publicas
completo y no un unico host por lo cual una ruta con esa mascara en internet se considera muy
sospechosa.
4.) El ataque de DNS que se realiz a Spamhaus se conoce como ataque smurf de amplificacin
DNS, y consiste en redirigir los paquetes de respuesta de los servidores DNS un servidor vctima,
para esto se valen de algunas fallas de seguridad del protocolo UDP sobre el cual DNS funciona, el
cual no tiene la capacidad de validar si el IP identificado como origen de la consulta DNS es en
realidad el verdadero origen o es una falsificacin, sin embargo sin confirmar esto el servidor DNS
enva una respuesta.
Para el caso del ataque DNS se busc adems que las respuestas ante consultas bastante pequeas
fueran muy grandes con objeto de multiplicar el trafico generado hacia la vctima, esto quiere decir
que se realizaba una consulta por ejemplo de 38 bytes a un servidor DNS y se esperaba una
respuesta lo ms grande posible por ejemplo 1233 bytes trafico que se enviara a la vctima.
5.) La principal diferencia entre este ataque y el que se realiz a Spamhaus es que no se uso
amplificacin de DNS para realizar el ataque sino un ataque basado en SYN flooding en el cual se
enviaron millones de paquetes SYN desde servidores con gran capacidad y ancho de banda con el
objeto de generar una DoS.

Mster Interuniversitario en Seguridad de las TIC(MISTIC)

Vulnerabilidades de Seguridad
(PEC) 2
DANIEL ALEJANDRO BERNAL YHAM

Ejercicio 3 (2 puntos)
1.) No es posible reproducirlo debido que el ataque de Teardrop se basa en el envo de un fragmento
con valor de offset invalido lo que provoca un desbordamiento de memoria para sistemas con la
vulnerabilidad en IPV4, en IPV6 este campo es eliminado teniendo en cuenta que ya no es necesario
pues la fragmentacin y el re ensamblado se realiza de extremo a extremo por lo cual este ataque ya
no es posible realizarlo de esta misma forma, sin embargo teniendo muy claro el concepto es posible
continuar realizando ataques del mismo tipo de paquetes superpuestos en la fragmentacin es por
esto que se cre el RFC5722 el cual menciona las polticas de implementacin para tratar con este
tipo de fragmentacin.
2.) Si es posible, dado que en IPV6 es el origen quien realiza la fragmentacin, teniendo en cuenta el
camino que el paquete va a realizar y cumpliendo con la condicin que todos los equipos que va a
atravesar este paquete deben tener la capacidad de reenviarlo o de transportarlo, si esto no se
cumple los equipos (routers entre otros) tienen la capacidad de indicarle al origen (a quien lo envo)
que no es posible recibir un paquete de cierto tamao y obligarlo a retransmitirlo de forma
fragmentada, esto se hizo pensando en que es mucho ms eficiente que la estacin de origen enve
los paquetes fragmentados con un tamao correcto que hacer que todos los routers en su camino
fragmenten los paquetes segn las necesidades individuales.
3.) Esta vulnerabilidad desaparece pues se hace demasiado difcil predecir el campo "Identification",
pues adems de que el campo es mucho ms grande de 32 Bits en IPV6 la fragmentacin funciona
de forma muy diferente.

REFERENCIAS
1. Hacking: The Art of Exploitation -Google Books
(http://books.google.com.co/books?id=0FW3DMNhl1EC&pg=PA256&lpg=PA256&dq=teardrop
+ipv6&source=bl&ots=tt6xBSFU-r&sig=dQBjOFJPL6r5NfAE_x8goJU_MEA&hl=es419&sa=X&ei=T4GNUvK4D8zhsAT_tgI&ved=0CCwQ6AEwADgK#v=onepage&q=teardrop%2
0ipv6&f=false)
2. http://www.sixscape.com/joomla/sixscape/index.php/ipv6-training-certification/ipv6-forumofficial-certification/ipv6-forum-network-engineer-silver/network-engineer-silverintroduction/differences-between-ipv4-and-ipv6
3. http://tools.ietf.org/html/rfc2460
4. http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_9-3/ipv6_internals.html
5. http://html.rincondelvago.com/transmision-de-datos_redes-ipv6.html
6. http://www.euskalnet.net/apetxebari/nu_tecs/ipv6.htm#FRAGMENTACI%C3%93N%20EN%20I
Pv6
7. http://cyberseguridad.net/index.php/197-ataques-de-denegacion-de-servicio-dos-ataquesinformaticos-iii
8. http://www.segu-info.com.ar/ataques/ataques_dos.htm
9. http://www.euskalnet.net/apetxebari/nu_tecs/ipv6.htm
10. http://media.blackhat.com/bh-eu-12/Atlasis/bh-eu-12-Atlasis-Attacking_IPv6-WP.pdf
11. http://www.nephos6.com/blog/?p=44
12. http://www.nephos6.com/blog/?tag=ipv6
13. http://www.ramonmillan.com/tutoriales/ipv6_parte1.php
14. http://en.wikipedia.org/wiki/MAC_flooding
15. https://www.tlm.unavarra.es/~daniel/docencia/arss/arss11_12/slides/22bis2-

Mster Interuniversitario en Seguridad de las TIC(MISTIC)

Vulnerabilidades de Seguridad
(PEC) 2
DANIEL ALEJANDRO BERNAL YHAM

FragmentacionIP.pdf
16. http://www.euskalnet.net/apetxebari/nu_tecs/ipv6.htm#FRAGMENTACI%C3%93N%20EN%20I
Pv6