• Home

  • Documents

  • Análisis de Tráfico de Red Patrones Normales vs. Ataques
36
Análisis de tráfico de red Patrones normales Vs. Ataques Jeimy J. Cano, Ph.D Universidad de los Andes [email protected]

Análisis de Tráfico de Red Patrones Normales vs. Ataques

Embed Size (px)

DESCRIPTION

trafico

Citation preview

  • Anlisis de trfico de redPatrones normales Vs. AtaquesJeimy J. Cano, Ph.DUniversidad de los Andes

    [email protected]

  • AgendaIntroduccinConceptos bsicos de TCP/IPPaquete IPPaquete TCPBreves ideas sobre fragmentacinIntroduccin a TCPDump/WindumpSniffersConvenciones para analizar resultadosPatronesNormalesAnormales - Ataques

  • AgendaFirmas y filtrosConceptosIDS - Intrusion Detection SystemsLimitaciones de las firmasFalsos PositivosFalsos NegativosEjercicios de anlisisReflexionesReferencias

  • IntroduccinLa evolucin de los ataques a las infraestructuras computacionales cada vez ms son ms sofisticados.Se requiere un entendimiento ms detallado de los ataques y sus consecuencias.Los analistas de seguridad no tienen tiempo para desarrollar habilidades sobre anlisis de trfico de red. Sistemas IDSLa ventana de exposicin se hace cada vez mayor: Descubrimiento de la falla Vs. Generacin del parche.Desarrollo de estrategias para anlisis de registros de log. Entrenamiento especializado que detalle las caractersticas tcnicas de los protocolos de comunicaciones, particularmente TCP/IP.

  • Conceptos bsicos de TCP/IP

  • Conceptos bsicos de TCP/IPAplicacinPresentacinSesinTransporteRedEnlace de datosFsicoAplicacinPresentacinSesinTransporteRedEnlace de datosFsicoServicios de aplicacinServicios de RedTCP UDPIP ICMPARP RARP

    APLICACINDE RED

  • Conceptos bsicos de TCP/IPProtocolo IP

  • Conceptos bsicos de TCP/IPProtocolo IPTRFICO TOMADO CON HOPPA ANALYZER

    --- Packet received: 22:26:43.16 --- Length: 0062 --- Assigned number: 00000 ---MAC destination: 01:00:5E:00:00:02 MAC source: 00:B0:C2:F5:4B:E4Frametype: Ethernet II, Protocol field: 0800h

    Protocol: IPIP 4 bits IP version: 4h IP 4 bits Header length: 5hIP 8 bits Type of service: C0h IP 16 bits Total length: 0048dIP 16 bits Identification: 0000h IP 3 bits Flags: 0hIP 13 bits Fragment Offset: 0000h IP 8 bits TTL: 02hIP 8 bits Protocol type: UDP = 11h IP 16 bits Header Checksum: 2801hIP source address: XX.YY.17.253 IP destination address: ZZZ.0.0.2

    HEX data: ASCII data:07 C1 07 C1 00 1C 5F 06 00 00 08 01 03 64 01 00 63 69 73 63 ......_......d..cisc6F 00 00 00 9D FD 11 01 o.......--------------------------------------------------------------------------------

  • Conceptos bsicos de TCP/IPProtocolo TCPBanderasPuntero UrgenteNmero de SecuenciaSuma de controlPuerto ORIGENPuerto DESTINOOPCIONESDATOSNmero de confirmacinReservadoTamao CabeceraVentana

  • Conceptos bsicos de TCP/IPProtocolo TCPTRFICO TOMADO CON WINDUMP

    attacker.23616 > target.53: S 4076745461:4076745461(0) win 8760 target.53 > attacker.23616: S 2085251122:2085251122(0) ack 4076745462 win 1024 (DF)attacker.23616 > target.53: . ack 1 win 8760 (DF)

    attacker.23616: Puerto ORIGENtarget.53:Puerto DESTINOS:Bandera de SYN4076745461:4076745461Nmero de secuencia. Se utiliza para ordenar los datos recibidos.(0):Nmero de bytes enviados en el paquete.win 8760:Ventana. Buffer que se esta recibiendo en bytes de attackermss 1460:Maximun Segment Size (Campo OPCIONES) Indicar el tamao del mayor trozo de datos que se puede recibir (y reensamblar) en un flujo.Informa que la red fsica en la que esta attacker no debera recibir ms de 1460 bytes de TCP (20 bytes encabezado IP + 20 bytes de encabezado TCP+1460 bytes = 1500 Bytes, que es la MTU de Ethernet.ack 4076745462Acusa recibo de la conexin. 4076745461+ 1= 4076745462. ack 1ACK final e independiente a target.(DF)No fragmentado.

  • Conceptos bsicos de TCP/IPFragmentacinCundo?Se produce cuando un datagrama IP que viaja por una red tiene que atravesar una red con una unidad de transmisin mxima (MTU) que es menor que el tamao del datagrama.EJEMPLO:MTU de un datagrama IP para Ethernet es 1500 bytesSi un datagrama es mayor de 1500 bytes y necesita atravesar una red Ethernet, necesita ser framentado por medio de un enrutador que se dirija a la red Ethernet.Qu informacin se necesita para reconstruir el paquete?No. identificacin del fragmento.Informacin del lugar dentro del paquete inicialInformacin sobre longitud de datos transportados por el fragmento.Indicador sobre si existen mas fragmentos.

  • Conceptos bsicos de TCP/IPFragmentacinTRFICO TOMADO CON WINDUMP

    attack.org > mynet.com: icmp: echo request (frag 21233:1480@+)attack.org > mynet.com: (frag 21233:1480@1480+)attack.org > mynet.com: (frag 21233:1480@2960)

    icmp: echo request Peticin de echo request a mynet.com

    (frag 21233:1480@+) Fragmento No. 21233 seguido de dos puntos. Luego, Longitud de datos del fragmento actual: 1480, seguid por una arroba, luego el desplazamiento de datos (0 pues es el primer fragmento, ms el signo +, que indica la presencia de ms fragmentos.

    (frag 21233:1480@1480+)Note que se omite la identificacin del paquete. El indicador sigue encendido en el paquete IP, pero no se presenta en windump.El signo + advierte que vienen ms fragmentos.

    (frag 21233:1480@2960) Fragmento No. 21233 seguido de dos puntos. Luego, Longitud de datos del fragmento actual: 1480, seguid por una arroba, luego el desplazamiento de datos:2960. No aparece signo +, lo que sugiere que no hay ms fragmentos.

  • Introduccin a TCPDump/Windump

  • Introduccin a TCPDump/WindumpSniffers - Escuchas electrnicasDefinicinSniffer es un mtodo de ataque pasivo por medio del cual un equipo captura informacin que circula de un medio fsico, independientemente de si sta se encuentra destinada a su MAC. Tomado de: www.hackersinc.com/hacking/sniffers.htmlObjetivosObservar los patrones del trfico de la red.Identificar las direcciones IP origen y destino de los paquetes IP.Determinar relaciones entre mquinas y servicios.Capturar informacin crtica que permita el acceso a otros recursos de la red.Capturar informacin confidencial que circula a travs de la red.Obtener informacin sin generar rastros.

  • Introduccin a TCPDump/WindumpWindumpConsideracionesSniffer para Windows, creado en el Instituto Politcnico de Torino en Italia. Http://netgroup-serv.polito.it/windumpCaptura:UDP, ICMP, ARP, TCPhttp, snmp, nntp, pop, ftp, imap (internet message access protocol)Requisitos de instalacinPacket Driver - Segn si es NT o 2000Ejecutable: windump.exeSintxiswindump -n -S -v-n Mostar la direccin IP en lugar del nombre del equipo-S Mostrar nmero de secuencia-v Verbosewindump host Slo revisa el trfico desde y hacia el host descrito.

  • Introduccin a TCPDump/WindumpWindumpConvenciones

    13:50:13.205539 ATTACK01-093695.1363 > gserv.zdnet.com.80: F 27982697:27982697(0) ack 1496615818 win 8553 (DF)

    Estampilla de tiempo: 13:50:13.205539 IP y Puerto fuente: ATTACK01-093695.1363 IP y puerto destino: gserv.zdnet.com.80F 27982697:27982697(0) ack 1496615818F Flag de fin de transmisin27982697:27982697(0) Nmero de secuencia.(0) No datosack 1496615818:Acuse en sincronizacin esperado

    win 8553: Tamao de la ventana.Dont Fragment Bit Presente?: (DF)

  • Patrones de trfico de Red

  • Patrones de trficoNormalesFTP

    1. 11:46:14.212003 maq1.hack.com.1053 > flood.victim.com.21: S 1884312222:1884312222(0)2. 11:46:14.212003 flood.victim.com.21> maq1.hack.com.1053: S 3113925437: 3113925437 (0) ack 18843122233. 11:46:14.212003 maq1.hack.com.1053 > flood.victim.com.21: . ack 1

    4. 11:46:14.212003 flood.victim.com.21> maq1.hack.com.1053: P 1:24 (23) ack 15. 11:46:14.212003 maq1.hack.com.1053 > flood.victim.com.21: . ack 24

    Conexin FTPSincronizacin de tres sentidos - (1,2,3)Transmisin de mensaje de bienvenida - (4, 5)

  • Patrones de trficoNormalesDNS

    - Solicitud de resolucin de la direccin www.sans.org

    1. host.my.com.1716 > dns.my.com.53: 1+ (35)2. dns.my.com.53 > h.root-servers.net.53: 12420 (30) (DF)3. h.root-servers.net.53>dns.my.com.53: 12420 - 0/3/3 (153) (DF)4. dns.my.com.53>server1.sans.org.53 12421+ (30) (DF)5. server1.sans.org.53> dns.my.com.53:12421* 1/3/3 (172)6. dns.my.com.53>host.my.com.1716: 1* 1/3/3Trfico tomado de: Northcutt y Novak (2001) Pg. 100.

    1. Host.my.com efecta peticin para resolver la direccin www.sans.org. UDP de 35 bytes2. Dns.my.com intenta conexin por el puerto 53 con h.root-servers.net por el puerto 53. UDP de 30 bytes. No. peticin 124203. h.root-servers.net no obtiene respuesta a la peticin (0/3/3) 0 registros de respuesta, tres registros autorizados y otros tres adiconales.4. Se obtiene referencia a otro servidor DNS (server1.sans.org) que tiene la respuesta. No. peticin:12421. Solicita recursin (signo +)5. server1.sans.org es el servidor autorizado que tiene la respuesta. El (* ) Significa que es una respuesta autorizada.6. dns.my.com responde a host.my.com, con la direccin IP de www.sans.org (no se ve aqui) mas los tres registros autorizados y los adicionales.

  • Patrones de trficoNormalesPING - ICMP

    13:50:14.056364 otro0304.victim.net > otro.victim.net: icmp: echo request13:50:14.060145 otro.victim.net > otro0304.victim.net: icmp: echo reply13:50:15.066611 otro0304.victim.net > otro.victim.net: icmp: echo request13:50:15.153021 otro.victim.net > otro0304.victim.net: icmp: echo reply13:50:16.040259 otro0304.victim.net > otro.victim.net: icmp: echo request13:50:16.043643 otro.victim.net > otro0304.victim.net: icmp: echo reply

    Mquina arribaEjecucin del comando ping otro.victim.net

  • Patrones de trficoNormalesTELNET

    1. maq1.net.39904 > victim.com.23: S 733381829: 733381829 (0) win 8760 (DF)2. victim.com.23 > maq1.net.39904: S 1192930639: 1192930639 (0) ack 733381830 win 1024 (DF)3. maq1.net.39904 > victim.com.23: . ack 1win 8760 (DF)4. maq1.net.39904 > victim.com.23 : P 1:28(27) ack 1 win 8760 (DF)5. victim.com.23 > maq1.net.39904 : P 1:14(13) ack 1 win 10246. victim.com.23 > maq1.net.39904 : P 14:23(9) ack 28 win 1024

    1, 2, 3 Sincronizacin de tres sentidos4. La mquina maq1.net enviando 27 bytes de datos a victim.com.23. 28 representa el siguiente byte que se espera.5. La mquina victim.com.23 envia 13 bytes y acuse de recibo de los primeros datos.6. Envo de la mquina victim.com.23 enva 9 bytes adicionales y se efecta un ACK 28 ya que el byte 28 es el que se espera.

  • Patrones de trficoNormalesARP

    13:50:17.384288 arp who-has LK01-112322 tell otra.victim.net13:50:17.406848 arp who-has LK01-112322 tell info.victim.net13:50:17.410944 arp who-has COLASRV tell xxx.victim.net13:50:17.436873 arp who-has LK01-112297 tell LK01-11232213:50:17.530452 arp who-has 172.23.1.1 tell 172.23.1.613:50:17.547320 arp who-has INFOGER tell info.victim.net13:50:17.700603 arp who-has 172.16.103.10 tell DCO-0108420213:50:18.017876 arp who-has LP01-10213 tell info.victim.net

    Preguntas de reconocimiento de mquinas en una red LAN. Particularmente en una red NT.

  • Patrones de trficoAnormales (An) - Ataques (At)At - Land Attack

    13:50:17.384288 protect-50.sawyer.af.mil.135 > protect-50.sawyer.af.mil.135: udp 4613:50:17.406848 protect-50.sawyer.af.mil.135 > protect-50.sawyer.af.mil.135: udp 4613:50:17.410944 protect-50.sawyer.af.mil.135 > protect-50.sawyer.af.mil.135: udp 4613:50:17.436873 protect-50.sawyer.af.mil.135 > protect-50.sawyer.af.mil.135: udp 4613:50:17.530452 protect-50.sawyer.af.mil.135 > protect-50.sawyer.af.mil.135: udp 46

    EfectoNegacin de servicio sobre Microsoft NT 4.0 SP.4Explicacin:Envio de paquetes datagramas RPC suplantados al puerto 135 (UDP), que aparece como si un RPC server enva datos errneos a otro RPC server. El segundo servidor rechaza (REJECT) el paquete y el primer servidor responde con otro REJECT, creando un loop infinito que compromete la red.Tomado de: Northcutt et al. (2001) Pg. 191.

  • Patrones de trficoAnormales (An) - Ataques (At)At - Smurf Attack

    13:50:17.384288 179.135.168.43 > 256.256.30.255: icmp echo request (DF)13:50:17.406848 68.90.226.250 > 256.256.30.255: icmp echo request (DF)13:50:17.410944 138.98.10.247 > 256.256.30.255: icmp echo request (DF)13:50:17.436873 130.113.202.100 > 256.256.30.255: icmp echo request (DF)13:50:17.530452 171.1.55.45 > 256.256.30.255: icmp echo request (DF)13:50:17.550424 174.30.0.46 > 256.256.30.255: icmp echo request (DF)

    EfectoNegacin de servicio sobre una red. Generalmente la direccin destino de los paquetes es una direccin broadcast.Explicacin:Los atacantes crean paquetes donde no utilizan su direccin IP, sino que crean paquetes con direcciones suplantadas. Cuando las mquinas en el sitio intermediario respondan al ICMP echo request, ellos responden al computador vctima. Se presenta congestin en la red y el computador vctima se degrada.Tomado de: Northcutt et al. (2001) Pg. 215-216.

  • Patrones de trficoAnormales (An) - Ataques (At)At - Prediccin de secuencia

    13:50:17.384288 apollo.it.luc.edu.1000 > x-terminal.shell: S 1382726990: 1382726990(0) win 409613:50:17.406848 x-terminal.shell > apollo.it.luc.edu.1000: S 2021824000: 2021824000(0) ack 1382726991 win 409613:50:17.410944 apollo.it.luc.edu.1000 > x-terminal.shell: R 1382726991: 1382726991(0) win 0

    13:50:17.414288 apollo.it.luc.edu.999 > x-terminal.shell: S 1382726991: 1382726991(0) win 409613:50:17.406848 x-terminal.shell > apollo.it.luc.edu.999: S 2021952000: 2021952000(0) ack 1382726992 win 409613:50:17.410944 apollo.it.luc.edu.999 > x-terminal.shell: R 1382726992: 1382726992(0) win 0EfectoSi efectuamos la resta entre 2021824000 - 2021952000, tenemos como resultado 128.000. Con esto podemos predicir la respuesta de una conexin y la capacidad de silenciar un lado, podemos invadir una sesin entre dos mquinasExplicacin:Esta es la fase preliminar de un ataque. Mientras se efecta un SYN Flood, el servidor se congestiona, se utiliza la relacin de confianza que se tenga para efectuar la conexin.Tomado de: Northcutt y Novak (2001) Pg. 122.

  • Patrones de trficoAnormales (An) - Ataques (At)An - Exploracin Web extraa

    x.y.y.6879 > 172.20.1.0.80: S 1025092638: 1025092638(0) win 61440x.y.y.7136 > 172.20.2.0.80: S 1041868014: 1041868014(0) win 61440x.y.y.6879 > 172.20.1.0.80: S 1025092638: 1025092638(0) win 61440x.y.y.7395 > 172.20.3.0.80: S 1059077568: 1059077568(0) win 61440x.y.y.7136 > 172.20.2.0.80: S 1041868014: 1041868014(0) win 61440

    EfectoEsta exploracin busca identificar servidores WEB.Explicacin:El envo de paquetes a la direccin 0 para tratar de difundir el paquete en ese segmento. Sin embargo, la difusin de paquetes se aplica a protocolos UDP. Por tanto, el envio de paquetes SYN a las direcciones .0 y .255 se interpreta como una direccin nica y ningn host responder esta peticin. Tomado de: Northcutt y Novak (2001) Pg. 256.

  • Firmas y Filtros

  • Firmas y FiltrosConceptosFirmaDefine o describe un patrn de trfico de inters. Est presente en el trfico y la idea es encontrarlas y entenderlas.FiltrosSi podemos entender los patrones, podemos crear filtros. El filtro transcribe la descripcin de la firma, bien en cdigo legible por una mquina o en las tablas de consulta para que un sensor pueda identificar el trfico.Intrusion Detection SystemsTipos de software de acuerdo con el Tipo de anlisisBasados en firmasBasados en estadsticasBasados en anlisis de integridad.Base de datos de firmashttp://whitehats.com, http://www.snort.org

  • Limitaciones de las firmas

    Falsos positivos Vs. Falsos negativosFalso PositivoTrfico de red que aparentemente parece malicioso cuando realmente no lo es.Falso NegativoTrfico de red que aparentemente parece normal cuando realmente se est materializando un ataque.ImplicacionesRequieren correlacin de otras fuentes para verificar si el trfico normal o no.Actualizacin permanente de nuevos patrones.Personal especializado y entrenado en anlisis de trfico.Aumentan sustancialmente la ventana de exposicin.Las firmas son susceptibles de ser manipuladas y falseadas, para confundir al IDS.

  • Ejercicios de Anlisis

  • Ejercicios

    El siguiente trfico corresponde a una fragmentacin patolgica de paquetes. Cuando se reemsamblan los paquetes cul es tamao total del paquete?

    08:22:49.388906 thumper > 192.168.38.5: icmp echo request (frag 4321:1480@0+)08:22:49.389005 thumper > 192.168.38.5: (frag 4321:1480@1480+)08:22:49.389050 thumper > 192.168.38.5: (frag 4321:1480@2960+).08:22:49.425543 thumper > 192.168.38.5: (frag 4321:1480@63640+)08:22:49.425753 thumper > 192.168.38.5: (frag 4321:1480@65120)

    a. 65120b. 1480c. 4321d. 66600e. Ninguno de los anteriores

  • Ejercicios

    Considere el siguiente trfico de red. Este trfico corresponde a:

    13:10:33.281198 attack.ip.one.0 > 192.168.26.203.143: SF 374079488: 374079488(0) win 512 13:10:33.334983 attack.ip.one.0>192.168.24.209.143: SF 374079488: 374079488(0) win 512 13:10:33.357565 attack.ip.one.0>192.168.17.197.143: SF 374079488: 374079488(0) win 51213:10:33.378115 attack.ip.one.0>192.168.16.181.143: SF 374079488: 374079488(0) win 51213:10:33.474966 attack.ip.one.0>192.168.24.194.143: SF 374079488: 374079488(0) win 512

    a. Posible manera de eludir la deteccin de un IDSb. Posible manera para penetrar un Firewallc. Combinacin sospechosa de Flagsd. Posible manera de eludir sistemas de filtradoe. Todas las anteriores

  • Reflexiones

    TcnicasLos analistas de trfico de red, son personal altemente entrenado y especializado en protocolos de red, particularmente TCP/IPSe requiere software especializado. Recuerde que esta tecnologa es naciente y an tiene que madurar.OrganizacionalesPersonal tcnico que conoce perfectamente las vulnerabilidades de su red. Alto sentido de la responsabilidad con la informacin.Se requiere una disposicin de la gerencia para que esta funcin de anlisis de trfico se de dentro de la funcin de seguridad informtica como factor complementario a las actividades de dicha funcin.LegalesEl trfico de red es informacin digital de la organizacin. Se est teniendo acceso va medios alternos. Debe estar normada esta actividad y sus alcances para no incurrir en violacin de confidencialidad de los datos.El anlisis de trfico puede ser parte de la evidencia en el proceso de anlisis forense de un incidente de seguridad, como un apoyo al esclarecimiento del incidentes mismo.

  • Referencias

    Northcutt, S. et al (2001) Intrusion Signatures and Analysis. SANS Giac. New Riders.Northcutt, S y Novak, J. (2001) Deteccin de intrusos. Guia avanzada. 2da. Edicin. Prentice Hall.Chappell, L. (2000) Advanced Network analysis techniques. Podbooks.com.Stevens, R. (1994) TCP/IP Illustrated. Volume I: The protocols. Addison Wesley.Gurley, R. (2000) Intrusion Detection. Macmillan Technical Publishing.Anomino. (2000) Linux Mxima Seguridad. Prentice Hall.Northcutt, S. (1999) Network intrusion detection. An analysts handbook. New Riders.Bace, R. (1999) Intrusion detection. Prentice HallGollman, D. (1999) Computer security. John Wiley & Son.Feit, S. (1998) TCP/IP. McGraw Hill.Chapman, D. y Zwicky, E. (1997) Construya firewalls para internet. McGraw Hill. OReally.Pfleeger, C. (1997) Security in computing. Englewood Cliffs, NJ: Prentice Hall. Segunda Edicin.

  • Referencias

    Frederick, K. (2001) Studying Normal Traffic, Part Two: Studying FTP traffic. Http://www.securityfocus.com/focus/ids/articles/normaltraf2.htmlFrederick, K. (2001) Studying Normal Traffic, Part Three: TCP Headers. Http://www.securityfocus.com/focus/ids/articles/normaltraf3.htmlSpitzner, L. (2000) Serie Know your Enemy. Http://www.enteract.com/ /~lspitz/papers.htmlJohnson, J. (2000) The joys of incident handling response process. Mayo 15. Securityportal.comCasey, E. (2000) Digital evidence and computer crime. Academic Press.Icove, D., Seger, K. y VonStorch, W. (1995) Computer crime. A crimefighters handbook. OReally.Weber, R. (1999) Information Systems control and audit. Prentice Hall.Stehpheson, P. (1999) Investigating computer-related crime. CRC Press.Richards, K. (1999) Network based intrusion detection: A review of technologies. Computers & Security. Vol 18.Stephenson, P. (1998) Investigation internet security incidents. A brief introduction to cyber forensic analysis. Presentacin en Power PointAmoroso, E. (1998) Intrusion Detection: An introduction to internet survillance, correlation, traps, trace back and response. John Wiley & Son.

  • Anlisis de trfico de redPatrones normales Vs. AtaquesJeimy J. Cano, Ph.DUniversidad de los Andes

    [email protected]

    Jeimy J. Cano, Ph.D2001 - All rights ReservedJeimy J. Cano, Ph.D2001 - All rights ReservedJeimy J. Cano, Ph.D2001 - All rights ReservedJeimy J. Cano, Ph.D2001 - All rights ReservedJeimy J. Cano, Ph.D2001 - All rights ReservedJeimy J. Cano, Ph.D2001 - All rights ReservedJeimy J. Cano, Ph.DRevisar RFC 791.Versin: Generalmente Versin 4.Tamao de la cabecera: Se mide en palabras de 32 bitsProcedencia/Tipo de servicio: TOS contienen la calidad del servicio de informacin que podra afectar cmo se maneja un datagrama.- Precedencia (3 bits): Existen niveles del 0 al 7. 0 es normal y 7 la mayor prioridad.- TOS (4 bits): Retraso (1000), fiabilidad(0010), rendimiento (0100), costo (001) o seguridad (1111).Tamao del datagrama: Mide el tamao en octetos. 16 bits. Valores hasta 65535 octetos.Identificacin: Nmero de 16 bits.Permite al host de destino reconocer los fragmentos que pertenecen a un mismo datagrama.Banderas: Tiene tres bits. Bit 0, es reservado y debe ponerse en cero. Bit 1, valor 0, puede fragmentarse; valor 1, no fragmentar. Bit 2, se pone en 0 si es el ltimo pedazo de un datagrama, o el nico. Se pone en 1 siguen ms fragmentos.Desplazamiento del segmento: 13 bits, los desplazamientos pueden estar entre 0 a 8192 bloques de fragmento que corresponden entre 0 y 65528 octetos del datagrama completo.Tiempo de vida: Limita el tiempo que se permite que un datagrama permanezca en internet. El host original establece el TTL y cada enrutador decrementa su valor. Si llega a cero se descarta.Protocolo: 01H ICMP, 02H IGMP, 03H GGP, 04H IP, 06H TCP, 11H UDPSuma de control de la cabecera: 16 bits. Hay que actualizarla segn se reenva el datagrama ya que el campo de tiempo de vida cambia en cada enrutador. Basado en los datos de la cabecera.2001 - All rights ReservedJeimy J. Cano, Ph.DRevisar RFC 791.Versin: Generalmente Versin 4.Tamao de la cabecera: Se mide en palabras de 32 bitsProcedencia/Tipo de servicio: TOS contienen la calidad del servicio de informacin que podra afectar cmo se maneja un datagrama.- Precedencia (3 bits): Existen niveles del 0 al 7. 0 es normal y 7 la mayor prioridad.- TOS (4 bits): Retraso (1000), fiabilidad(0010), rendimiento (0100), costo (001) o seguridad (1111).Tamao del datagrama: Mide el tamao en octetos. 16 bits. Valores hasta 65535 octetos.Identificacin: Nmero de 16 bits.Permite al host de destino reconocer los fragmentos que pertenecen a un mismo datagrama.Banderas: Tiene tres bits. Bit 0, es reservado y debe ponerse en cero. Bit 1, valor 0, puede fragmentarse; valor 1, no fragmentar. Bit 2, se pone en 0 si es el ltimo pedazo de un datagrama, o el nico. Se pone en 1 siguen ms fragmentos.Desplazamiento del segmento: 13 bits, los desplazamientos pueden estar entre 0 a 8192 bloques de fragmento que corresponden entre 0 y 65528 octetos del datagrama completo.Tiempo de vida: Limita el tiempo que se permite que un datagrama permanezca en internet. El host original establece el TTL y cada enrutador decrementa su valor. Si llega a cero se descarta.Protocolo: 01H ICMP, 02H IGMP, 03H GGP, 04H IP, 06H TCP, 11H UDPSuma de control de la cabecera: 16 bits. Hay que actualizarla segn se reenva el datagrama ya que el campo de tiempo de vida cambia en cada enrutador. Basado en los datos de la cabecera.2001 - All rights ReservedJeimy J. Cano, Ph.DRevisar RFC 793.Puerto Origen: Ejemplo: 1045Puerto Destino: Ejemplo: 23Nmero de Secuencia: Secuencia de conexin, a partir de un reloj interno de 32 bits.Nmero de Confirmacin:Nmero del siguiente octeto que se espera en del otro extremo.Tamao cabecera: Bits que mide la cabecera del paquete.Reservado: ControlBanderas:URG - Si viene en 1 los datos son urgentes, ACK - Acuse de recibo, PSH-Envio de datos, RST-Abortar sesin, SYN-Establecimiento de sesin, FIN- Terminacin correcta de sesin.Ventana: Tamao actual de la ventana de recepcin, es decir, el nmero de bytes, empezando con el nmero de confirmacin, que se puede recibir.Suma de Control: Se aplica sobre el segmento completo. El tamao de TCP se calcula sumando el tamao de la cabecera de TCP ms los datos. La suma es OBLIGATORIA no opcional como en UDPPuntero Urgente: Se activa cuando se encuentra la bandera URG activa. Este apuntador apunta al ltimo octeto de datos urgentes. Seal de interrupcin.

    2001 - All rights ReservedJeimy J. Cano, Ph.DRevisar RFC 793.Puerto Origen: Ejemplo: 1045Puerto Destino: Ejemplo: 23Nmero de Secuencia: Secuencia de conexin, a partir de un reloj interno de 32 bits.Nmero de Confirmacin:Nmero del siguiente octeto que se espera en del otro extremo.Tamao cabecera: Bits que mide la cabecera del paquete.Reservado: ControlBanderas:URG - Si viene en 1 los datos son urgentes, ACK - Acuse de recibo, PSH-Envio de datos, RST-Abortar sesin, SYN-Establecimiento de sesin, FIN- Terminacin correcta de sesin.Ventana: Tamao actual de la ventana de recepcin, es decir, el nmero de bytes, empezando con el nmero de confirmacin, que se puede recibir.Suma de Control: Se aplica sobre el segmento completo. El tamao de TCP se calcula sumando el tamao de la cabecera de TCP ms los datos. La suma es OBLIGATORIA no opcional como en UDPPuntero Urgente: Se activa cuando se encuentra la bandera URG activa. Este apuntador apunta al ltimo octeto de datos urgentes. Seal de interrupcin.2001 - All rights ReservedJeimy J. Cano, Ph.D2001 - All rights ReservedJeimy J. Cano, Ph.D2001 - All rights ReservedJeimy J. Cano, Ph.D2001 - All rights ReservedJeimy J. Cano, Ph.D2001 - All rights ReservedJeimy J. Cano, Ph.D2001 - All rights ReservedJeimy J. Cano, Ph.D2001 - All rights ReservedJeimy J. Cano, Ph.D2001 - All rights ReservedJeimy J. Cano, Ph.D2001 - All rights ReservedJeimy J. Cano, Ph.D2001 - All rights ReservedJeimy J. Cano, Ph.D2001 - All rights ReservedJeimy J. Cano, Ph.D2001 - All rights ReservedJeimy J. Cano, Ph.D2001 - All rights ReservedJeimy J. Cano, Ph.D2001 - All rights ReservedJeimy J. Cano, Ph.D2001 - All rights ReservedJeimy J. Cano, Ph.D2001 - All rights ReservedJeimy J. Cano, Ph.D2001 - All rights ReservedJeimy J. Cano, Ph.D2001 - All rights ReservedJeimy J. Cano, Ph.D2001 - All rights ReservedJeimy J. Cano, Ph.D2001 - All rights ReservedJeimy J. Cano, Ph.D2001 - All rights ReservedJeimy J. Cano, Ph.D2001 - All rights ReservedJeimy J. Cano, Ph.D2001 - All rights ReservedJeimy J. Cano, Ph.D2001 - All rights ReservedJeimy J. Cano, Ph.D2001 - All rights ReservedJeimy J. Cano, Ph.D2001 - All rights ReservedJeimy J. Cano, Ph.D2001 - All rights Reserved


EL COSTE DE LOS ATAQUES DDoS - cogecopeer1.com · además de otros tipos de tráfico de red. La naturaleza distribuida de los ataques DDoS los hace muy difíciles de evitar por completo,

EL COSTE DE LOS ATAQUES DDoS - cogecopeer1.com · además de otros tipos de tráfico de red. La naturaleza distribuida de los ataques DDoS los hace muy difíciles de evitar por completo,

Documents
C19721220_20 (Ataques PJ)

C19721220_20 (Ataques PJ)

Documents
Ataques Mim

Ataques Mim

Documents
Ataques en Voip

Ataques en Voip

Documents
Tema 3 ataques

Tema 3 ataques

Documents
Ataques y contramedidas

Ataques y contramedidas

Documents
Ataques psiquicos

Ataques psiquicos

Documents
Ataques y vulnerabilidades

Ataques y vulnerabilidades

Documents
Ataques Aplicaciones Web

Ataques Aplicaciones Web

Documents
Ataques Cardiacos

Ataques Cardiacos

Education
Ajedrez Partidas ataques

Ajedrez Partidas ataques

Entertainment & Humor
CONTROL DE ATAQUES INFORMATICOS 10 ATAQUES INFORMATICOS COMO LO CONTROLAMOS

CONTROL DE ATAQUES INFORMATICOS 10 ATAQUES INFORMATICOS COMO LO CONTROLAMOS

Documents
Ataques Al Rey

Ataques Al Rey

Documents
1 - Ataques

1 - Ataques

Documents
Ataques más comunes

Ataques más comunes

Documents
Ataques Web

Ataques Web

Documents
ATAQUES A CONTRASEÑAS

ATAQUES A CONTRASEÑAS

Documents
Dietas normales

Dietas normales

Health & Medicine
Resistores normales

Resistores normales

Engineering
Ataques Periodistas 2014

Ataques Periodistas 2014

Documents
Escuelas normales

Escuelas normales

Travel
Ataques Informáticos

Ataques Informáticos

Documents
Metales Normales

Metales Normales

Documents
Formas Normales

Formas Normales

Documents
Servicios Amenazas Ataques

Servicios Amenazas Ataques

Documents
S I. II. Marco jurídico internacional: derecho penal ......aumentando exponencialmente los ataques terroristas y el tráfico ilícito de drogas, personas, órganos, armas y dinero

S I. II. Marco jurídico internacional: derecho penal ......aumentando exponencialmente los ataques terroristas y el tráfico ilícito de drogas, personas, órganos, armas y dinero

Documents
Modelo de detección de intrusiones en sistemas de red ...clasifican el tráfico de red, detectando conexiones normales e intrusiones, mediante la aplica- ... fican tráfico malicioso

Modelo de detección de intrusiones en sistemas de red ...clasifican el tráfico de red, detectando conexiones normales e intrusiones, mediante la aplica- ... fican tráfico malicioso

Documents
Preguntas- Ataques Biónicos

Preguntas- Ataques Biónicos

Documents
Formes Normales

Formes Normales

Documents
Ataques informáticos históricos

Ataques informáticos históricos

Documents