Reporte

Nombre Jonathan Omar Galindo Gutiérrez Matrícula: 1877500

Nombre del curso: Seguridad Informática y Nombre del profesor: Miguel Ángel Gómez
Criptografía Marroquín

Modulo Netacad: 16 Actividad: REPORTE: ATAQUE A CAPA 3

MODELO OSI

Fecha:10 de octubre del 2022

Bibliografia (Formato APA)

No se utilizó

Modulo 16
Los protocolos son la base de las comunicaciones de datos. Por esta razón,
han sido objetivo de los actores de amenazas durante mucho tiempo. Los
analistas de ciberseguridad deben comprender cómo los actores de amenazas
utilizan las características de los protocolos comunes en los ataques
cibernéticos.
IP fue diseñado como un protocolo sin conexión de capa 3. Proporciona las
funciones necesarias para entregar un paquete desde un host de origen a un
host de destino a través de un sistema de redes interconectadas. El protocolo
no fue diseñado para rastrear y administrar el flujo de paquetes. Estas
funciones, si se requieren, las realiza principalmente TCP en la Capa 4.

IP no hace ningún esfuerzo por validar si la dirección IP de origen contenida en

un paquete proviene realmente de esa fuente. Por esta razón, los actores de
amenazas pueden enviar paquetes utilizando una dirección IP de origen
falsificada. Además, los actores de amenazas pueden alterar los otros campos
en el encabezado de IP para llevar a cabo sus ataques. Por lo tanto, es
importante que los analistas de seguridad comprendan los diferentes campos
en los encabezados de IPv4 e IPv6.
 Reporte

Un paquete IPv6 también puede contener encabezados de extensión (EH) que

brindan información de capa de red opcional. Los encabezados de extensión
son opcionales y se colocan entre el encabezado de IPv6 y la carga útil. Los
EH se utilizan para la fragmentación, la seguridad, para respaldar la movilidad y
más.
ICMP se desarrolló para transmitir mensajes de diagnóstico y para informar
sobre condiciones de error cuando las rutas, los hosts y los puertos no están
disponibles. Los dispositivos generan mensajes ICMP cuando se produce un
error o una interrupción de la red. El comando ping es un mensaje ICMP
generado por el usuario, denominado solicitud de eco, que se utiliza para
verificar la conectividad con un destino.
Los actores de amenazas usan ICMP para ataques de reconocimiento y
escaneo. Esto les permite lanzar ataques de recopilación de información para
trazar una topología de red, descubrir qué hosts están activos (accesibles),
identificar el sistema operativo del host (huellas digitales del sistema operativo)
y determinar el estado de un firewall.
Los ataques de suplantación de direcciones IP ocurren cuando un actor de
amenazas crea paquetes con información de dirección IP de origen falso para
ocultar la identidad del remitente o para hacerse pasar por otro usuario
legítimo. El actor de amenazas puede obtener acceso a datos que de otro
 Reporte

modo serían inaccesibles o eludir las configuraciones de seguridad. La

suplantación de identidad generalmente se incorpora a otro ataque, como un
ataque Smurf.
TCP proporciona estos servicios:

Entrega confiable: TCP incorpora reconocimientos para garantizar la entrega,

en lugar de depender de protocolos de capa superior para detectar y resolver
errores. Si no se recibe un acuse de recibo oportuno, el remitente retransmite
los datos. Requerir reconocimientos de datos recibidos puede causar retrasos
sustanciales. Los ejemplos de protocolos de capa de aplicación que hacen uso
de la confiabilidad de TCP incluyen HTTP, SSL/TLS, FTP, transferencias de
zona DNS y otros.
Control de flujo: TCP implementa el control de flujo para solucionar este
problema. En lugar de reconocer un segmento a la vez, se pueden reconocer
múltiples segmentos con un solo segmento de reconocimiento.
Comunicación con estado: la comunicación con estado de TCP entre dos
partes se produce durante el protocolo de enlace de tres vías de TCP. Antes de
que los datos puedan transferirse mediante TCP, un protocolo de enlace de
tres vías abre la conexión TCP, como se muestra en la figura. Si ambas partes
aceptan la conexión TCP, ambas partes pueden enviar y recibir datos mediante
TCP.
El ataque TCP SYN Flood explota el protocolo de enlace de tres vías TCP. La
figura muestra un actor de amenazas que envía continuamente paquetes de
solicitud de sesión TCP SYN con una dirección IP de origen falsificada
aleatoriamente a un objetivo. El dispositivo de destino responde con un
paquete TCP SYN-ACK a la dirección IP falsificada y espera un paquete TCP
ACK. Esas respuestas nunca llegan. Eventualmente, el host de destino se ve
abrumado con conexiones TCP semiabiertas y los servicios TCP se niegan a
los usuarios legítimos.
UDP no está protegido por ningún cifrado. Puede agregar cifrado a UDP, pero
no está disponible de forma predeterminada. La falta de encriptación significa
que cualquiera puede ver el tráfico, cambiarlo y enviarlo a su destino. Cambiar
los datos en el tráfico alterará la suma de verificación de 16 bits, pero la suma
de verificación es opcional y no siempre se usa. Cuando se usa la suma de
verificación, el actor de amenazas puede crear una nueva suma de verificación
basada en la nueva carga útil de datos y luego registrarla en el encabezado
como una nueva suma de verificación. El dispositivo de destino encontrará que
la suma de verificación coincide con los datos sin saber que los datos han sido
alterados. Este tipo de ataque no es muy utilizado.
Reporte