De acuerdo

Conoce los diferentes tipos de ataques a la red

274 0 6 0 0

Ataque de denegación de servicio (DoS)

La idea del ataque DOS es reducir la calidad del servicio ofrecido por el servidor, o bloquear el servidor con una gran carga de trabajo. El ataque DoS (Denial of Service) no implica irrumpir en el servidor de destino. Esto normalmente se logra sobrecargando la red de destino o el servidor de destino, o enviando paquetes de red que pueden causar una confusión extrema en la red de destino o el servidor de destino.

 

Un ataque de "denegación de servicio" se caracteriza por un intento explícito de los atacantes de evitar que los usuarios legítimos de un servicio utilicen ese servicio. Algunos de los ejemplos son

 

l  Intenta "inundar" una red, evitando así el tráfico de red legítimo.

 

l  Intenta interrumpir las conexiones entre dos máquinas, impidiendo así el acceso a un servicio.

 

l  Intenta evitar que una persona en particular acceda a un servicio.

 

l  Intenta interrumpir el servicio a un sistema o persona específicos.

 

Un simple ataque DoS (denegación de servicio) se denominó "ping de la muerte". El Ping of Death fue capaz de explotar una sencilla herramienta de ping de resolución de problemas de TCP / IP. Al usar la herramienta de ping, los piratas informáticos inundarían una red con solicitudes de paquetes grandes que, en última instancia, podrían bloquear el servidor de destino.

 

Cómo minimizar el impacto del ataque de denegación de servicio (DoS)

 

El impacto del ataque de denegación de servicio (DoS) se puede minimizar si se toman las precauciones necesarias. Los siguientes consejos pueden ayudar a minimizar el ataque de denegación de servicio (DoS).

 

l  Supervisar el rendimiento del sistema del servidor y tabular la actividad operativa normal para el tráfico de disco, CPU y red. Supervise el rendimiento del sistema del servidor para detectar cualquier desviación de los valores anteriores.

l  Supervise la cantidad de paquetes de red y el tipo de naturaleza que viajan a través de su red o puertas de enlace.

l  Actualice su software con cualquier actualización disponible y siempre observe los informes de las organizaciones de seguridad sobre cualquier nueva amenaza.

l  Implemente dispositivos de seguridad de red que puedan detectar cualquier ataque de denegación de servicio (DoS).

 

l  Registre los detalles de cualquier ataque de denegación de servicio (DoS) para evitar futuros ataques. Registre e informe los siguientes detalles:

 

n  El momento del ataque

n  Su dirección IP en el momento del ataque

n  La dirección IP del atacante

n  Otros detalles y la naturaleza del ataque

 

l  Informe los detalles del ataque a su proveedor de servicios y busque su ayuda.


Ataque distribuido de denegación de servicio (DDoS)

Un ataque de denegación de servicio distribuido (DDoS) es un tipo de denegación de servicio (DoS). En el ataque de Denegación de Servicio Distribuido (DDoS), múltiples sistemas inundan el ancho de banda o sobrecargan los recursos de un servidor objetivo.

 

En la Denegación de servicio distribuida (DDoS), un intruso compromete una computadora y la convierte en la maestra de Denegación de servicio distribuida (DDoS). Con este maestro de denegación de servicio distribuido (DDoS), el intruso identifica y se comunica con otros sistemas que pueden verse comprometidos. Luego, el intruso instala las herramientas Distributed Denial of Service (DDoS) en todos los sistemas comprometidos. Con un solo comando, el intruso indica a las computadoras comprometidas que lancen ataques de inundación contra el servidor de destino. Aquí miles de computadoras comprometidas están inundando o sobrecargando los recursos del servidor de destino, lo que impide que los usuarios legítimos accedan a los servicios ofrecidos por el servidor.

 

Ataque SYN

Antes de entender qué es el ataque SYN, necesitamos conocer el mecanismo de protocolo de enlace de tres vías TCP / IP. La sesión del Protocolo de control de transmisión / Protocolo de Internet (TCP / IP) se inicia con un protocolo de enlace de tres vías. Las dos computadoras que se comunican intercambian un SYN, SYN / ACK y ACK para iniciar una sesión. La computadora iniciadora envía un paquete SYN, al cual el host que responde emitirá un SYN / ACK y esperará una respuesta ACK del iniciador. Haga clic en el siguiente enlace para obtener más información sobre el mecanismo de protocolo de enlace de tres vías TCP / IP.


El ataque de inundación SYN es el tipo más común de ataque de inundación. El ataque ocurre cuando el atacante envía una gran cantidad de paquetes SYN a la víctima, lo que los obliga a esperar respuestas que nunca llegan. La tercera parte del protocolo de enlace de tres vías de TCP no se ejecuta. Dado que el host está esperando una gran cantidad de respuestas, las solicitudes de servicio reales no se procesan, lo que hace que el servicio se caiga. La dirección de origen de estos paquetes SYN en un ataque de inundación SYN generalmente se establece en un host inalcanzable. Como resultado, es imposible encontrar la computadora atacante.

                                               

Las cookies SYN brindan protección contra la inundación SYN. Una cookie SYN se implementa mediante el uso de un número de secuencia TCP inicial específico mediante el software TCP y se utiliza como defensa contra los ataques SYN Flood. Mediante el uso de firewalls con estado que restablecen las conexiones TCP pendientes después de un tiempo de espera específico, podemos reducir el efecto del ataque SYN.


Ataque tipo Sniffer

Un sniffer es una aplicación que puede capturar paquetes de red. Los sniffer también se conocen como analizadores de protocolos de red. Si bien los analizadores de protocolo son realmente herramientas de resolución de problemas de red, los piratas informáticos también los utilizan para piratear la red. Si los paquetes de red no están encriptados, los datos dentro del paquete de red se pueden leer usando un sniffer. El rastreo se refiere al proceso utilizado por los atacantes para capturar el tráfico de la red mediante un sniffer. Una vez que el paquete se captura con un sniffer, se puede analizar el contenido de los paquetes. Los piratas informáticos utilizan sniffer para capturar información confidencial de la red, como contraseñas, información de cuentas, etc.

 

Muchos sniffer están disponibles para su descarga gratuita. Los principales sniffer de paquetes son Wireshark, Dsniff, Etherpeek, sniffit, etc.

 

Ataque Man-In-The-Middle (MITM)

El ataque Man-In-The-Middle (MITM) es el tipo de ataque en el que los atacantes se entrometen en una comunicación existente entre dos computadoras y luego monitorean, capturan y controlan la comunicación. En el ataque Man-in-the-middle, un intruso asume la identidad de un usuario legítimo para obtener el control de la comunicación de la red. El otro extremo de la ruta de comunicación podría creer que eres tú y seguir intercambiando datos.

  

Los ataques Man-in-the-Middle (MITM) también se conocen como "ataques de secuestro de sesión", lo que significa que el atacante secuestra la sesión de un usuario legítimo para controlar la comunicación.

 

Hay muchos métodos preventivos disponibles para el ataque Man-In-The-Middle (MITM) y algunos se enumeran a continuación.

 

l  Tecnologías de infraestructura de clave pública (PKI),

l  Verificación del retraso en la comunicación

l  Autenticación mutua más sólida

 

Ataque de suplantación de direcciones IP

La suplantación de direcciones IP es un tipo de ataque cuando un atacante asume la dirección de Protocolo de Internet (IP) de origen de los paquetes IP para que parezca que el paquete proviene de otra dirección IP válida. En la suplantación de direcciones IP, los paquetes IP se generan con direcciones IP de origen falsas para hacerse pasar por otros sistemas o proteger la identidad del remitente.

 

Para explicar esto claramente, en la suplantación de direcciones IP, la información de la dirección IP colocada en el campo de origen del encabezado IP no es la dirección IP real de la computadora de origen, donde se originó el paquete. Al cambiar la dirección IP de origen, el remitente real puede hacer que parezca que el paquete fue enviado por otra computadora y, por lo tanto, la respuesta de la computadora de destino se enviará a la dirección falsa especificada en el paquete y la identidad del atacante también está protegida. .

 

El filtrado de paquetes es un método para prevenir ataques de suplantación de IP. El bloqueo de paquetes desde fuera de la red con una dirección de origen dentro de la red (filtrado de entrada) y el bloqueo de paquetes desde dentro de la red con una dirección de origen fuera de la red (filtrado de salida) pueden ayudar a prevenir ataques de suplantación de IP.

 

ARP (Protocolo de resolución de direcciones) Ataques de suplantación o inundación de ARP o envenenamiento de ARP

Una computadora conectada a una red de área local IP / Ethernet tiene dos direcciones. Uno es el MAC (Media Access Control), que es una dirección única e inmutable a nivel mundial que se graba en la propia tarjeta de red. Las direcciones MAC son necesarias para que el protocolo Ethernet pueda enviar datos de un lado a otro, independientemente de los protocolos de aplicación que se utilicen además. Ethernet envía y recibe datos basados en direcciones MAC. La dirección MAC también se conoce como dirección de capa 2, dirección física o dirección de hardware.

 

Otra dirección es la dirección IP. IP es un protocolo utilizado por las aplicaciones, independientemente de la tecnología de red que opere debajo de él. Cada computadora en una red debe tener una dirección IP única para comunicarse. Las aplicaciones usan la dirección IP para comunicarse. La dirección IP también se conoce como dirección de capa 3 o dirección lógica.

 

Para explicarlo con más claridad, las aplicaciones usan la dirección IP para la comunicación y el hardware de bajo nivel usa la dirección MAC para la comunicación. Si una aplicación que se ejecuta en una computadora necesita comunicarse con otra computadora usando la dirección IP, la primera computadora debe resolver la dirección MAC de la segunda computadora, porque las tecnologías Ethernet de capa inferior usan direcciones MAC para entregar datos. Haga clic en el siguiente enlace para obtener más información sobre ARP (Protocolo de resolución de direcciones).

 

Los sistemas operativos mantienen un caché de respuestas ARP para minimizar el número de solicitudes ARP. ARP es un protocolo sin estado y la mayoría de los sistemas operativos actualizarán su caché si se recibe una respuesta, independientemente de si han enviado una solicitud real.

 

ARP (Protocolo de resolución de direcciones) Los ataques de suplantación (inundación de ARP o envenenamiento de ARP) ayudan a un atacante a rastrear tramas de datos en una red de área local (LAN), modificar el tráfico, etc. Los ataques de suplantación de ARP se realizan enviando mensajes ARP falsos a una LAN Ethernet . El propósito de esto es asociar la dirección MAC del atacante con la dirección IP de otra computadora, generalmente la puerta de enlace predeterminada. Aquí, cualquier tráfico enviado a la puerta de enlace predeterminada se enviaría por error al atacante. El atacante puede reenviar el tráfico a la puerta de enlace predeterminada real después de rastrear o modificar los datos antes de reenviarlos.

 

Ataques de suplantación de DNS (sistema de nombres de dominio)

DNS es la abreviatura de Domain Name System. El DNS es un servicio obligatorio en las redes TCP / IP y traduce los nombres de dominio en direcciones IP. Los equipos de la red se comunican mediante una dirección IP. Las direcciones IP son números de 32 bits que son difíciles de recordar. Los nombres de dominio son alfabéticos y para los humanos son más fáciles de recordar. Cuando usamos un nombre de dominio para comunicarnos con otro host, el servicio DNS debe traducir el nombre a la dirección IP correspondiente.


Los servidores DNS mantienen una base de datos de nombres de dominio y las direcciones IP correspondientes. Los ataques de suplantación de DNS se realizan cambiando la entrada de un nombre de dominio de un servidor legítimo en el servidor DNS para que apunte a una IP distinta a ella, y luego secuestrando la identidad del servidor.

 

Generalmente, hay dos tipos de ataques de envenenamiento de DNS; Envenenamiento de la caché de DNS y suplantación de identidad de DNS.

 

En el envenenamiento de la caché de DNS, un servidor DNS almacena en caché las entradas que no se originan en fuentes autorizadas del Sistema de nombres de dominio (DNS). En la suplantación de identidad de DNS, un atacante piratea el número de identificación aleatorio en la solicitud de DNS y responde una dirección IP falsa utilizando el número de identificación pirateado.


Ataques de phishing y pharming

El ataque de suplantación de identidad (phishing) es una combinación de suplantación de correo electrónico y un ataque de suplantación de sitios web. El atacante de phishing inicia el ataque de phishing enviando correos electrónicos masivos haciéndose pasar por un sitio web que han falsificado. Normalmente, los correos electrónicos de ataques de phishing parecen provenir de organizaciones financieras legítimas como los bancos, lo que alerta al usuario de que debe iniciar sesión en su cuenta por una razón u otra. El enlace también se proporcionará en el correo electrónico, que es un sitio web falso, que está diseñado de manera muy similar al sitio web del banco. Normalmente, el texto de anclaje del enlace será la URL real del sitio web del banco, pero el ancla será una URL con la dirección IP del sitio web que está bajo el control del atacante. Una vez que el usuario ingresa la combinación de identificación de usuario / contraseña y envía esos valores, el atacante recopila esos valores y la página web se redirige al sitio real.

 

El pharming es otro ataque de suplantación de identidad, en el que el atacante manipula el DNS (sistema de nombres de dominio) de modo que el tráfico a un sitio web se redirige en secreto a un sitio falso por completo, aunque el navegador parece mostrar la dirección web que deseaba visitar.

 

Ataques de puerta trasera

Una puerta trasera en un sistema operativo o una aplicación compleja es un método para evitar la autenticación normal y obtener acceso. Durante el desarrollo de un sistema operativo o aplicación, los programadores agregan puertas traseras para diferentes propósitos. Las puertas traseras se quitan cuando el producto está listo para su envío o producción. Cuando se detecta una puerta trasera, que no se elimina, el proveedor lanza una actualización de mantenimiento o un parche para cerrar la puerta trasera.

 

Otro tipo de puerta trasera puede ser un programa instalado o podría ser una modificación de un programa existente. El programa instalado puede permitir que un usuario inicie sesión en la computadora sin una contraseña con privilegios administrativos. Hay muchos programas disponibles en Internet para crear ataques por la puerta trasera de los sistemas. Una de las herramientas más populares es Back Orifice, que también está disponible para su descarga gratuita en Internet.

 

Ataques de adivinación de contraseña, ataque de fuerza bruta, ataque de diccionario

Otro tipo de ataque a la red es el ataque de adivinación de contraseñas. Aquí, los derechos de acceso de un usuario legítimo a una computadora y los recursos de la red se ven comprometidos al identificar la combinación de identificación de usuario / contraseña del usuario legítimo.

 

Los ataques de adivinación de contraseñas se pueden clasificar en dos.

 

l  Ataque de fuerza bruta: Un ataque de fuerza bruta es un tipo de ataque de adivinación de contraseñas y consiste en probar todos los códigos, combinaciones o contraseñas posibles hasta encontrar la correcta. Este tipo de ataque puede tardar mucho en completarse. Una contraseña compleja puede hacer que el tiempo para identificar la contraseña por fuerza bruta sea largo.

 

l  Ataque de diccionario: un ataque de diccionario es otro tipo de ataque de adivinación de contraseñas que utiliza un diccionario de palabras comunes para identificar la contraseña del usuario.

 

Ataques de inyección SQL

El ataque de inyección SQL es otro tipo de ataque para explotar aplicaciones que utilizan datos proporcionados por el cliente en declaraciones SQL. Aquí, el código malicioso se inserta en cadenas que luego se pasan a la aplicación de la base de datos para su análisis y ejecución. El método común de ataque de inyección SQL es la inserción directa de código malicioso en las variables de entrada del usuario que se concatenan con comandos SQL y se ejecutan. Otro tipo de ataque de inyección SQL inyecta código malicioso en cadenas y se almacena en tablas. Posteriormente, el atacante realiza un ataque de inyección SQL.

 

El siguiente ejemplo muestra la forma más simple de inyección SQL.

var UserID;
 UserID = Request.form ("UserID");
 var InfoUser = "select * from UserInfo where UserID = '" + UserID + "'";


Si el usuario llena el campo con la información correcta de su ID de usuario (F827781), después de la ejecución del script, la consulta SQL anterior se verá como

SELECT * FROM UserInfo WHERE UserID = 'F827781'


Considere un caso en el que un usuario llena el campo con la siguiente entrada

F827781; drop table UserInfo--


Después de la ejecución del script, el código SQL se verá como

SELECCIONE * FROM UserInfo DONDE UserID = 'F827781'; drop table UserInfo--


En última instancia, esto dará como resultado la eliminación de la tabla UserInfo.

 

Saludos.

 

FIN.


También te puede interesar:

Conoce como operar y mantener la solución NIP6000 de Huawei

Compilación de publicaciones sobre configuraciones rápidas para firewalls de Huawei

Una introducción a las zonas de seguridad en un firewall de Huawei


Conoce más de esta línea de productos en:

Controlador de red eSight

Foro de switches de Huawei

Foro de seguridad de Huawei

                                                                    

O pregúntale al robot inteligente de Huawei, conócelo aquí: 

Infografía: Conoce a iKnow, el robot inteligente

 


  • x
  • Opciones:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte el “ Contrato de usuario.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.
Guía de privacidad y seguridad de usuario
¡Gracias por ser parte de la Comunidad de Soporte Huawei Enteprise! A continuación te ayudaremos a consultar y entender cómo recopilamos, procesamos, protegemos y almacenamos tus datos personales, así cómo los derechos obtenidos de acuerdo con Política de privacidad y Contrato de usuario.