PROTOCOLOS TCP Y UDP

VULNERABILIDADES Y
SEGURIDAD

Protocolo UDP
UDP acrnimo de User Datagram Protocol (Protocolo
de Datagramas de Usuario).
UDP es un protocolo que permite el envo de
datagramas a travs de la red sin que se haya
establecido previamente una conexin, ya que el
propio datagrama incorpora suficiente informacin de
direccionamiento en su cabecera. Tampoco tiene
confirmacin, ni control de flujo, por lo que los
paquetes pueden adelantarse unos a otros; y
tampoco sabemos si ha llegado correctamente, ya
que no hay confirmacin de entrega o de recepcin.

Formato del Datagrama UDP

Donde:
Puerto de origen
Indica el puerto del proceso que enva. Este es el puerto que se direcciona en las
respuestas.
Puerto destino
Especifica el puerto del proceso destino en el host de destino.
Longitud
Es el tamao (en bytes) de este datagrama de usuario incluyendo la cabecera.
Suma de comprobacin (checksum)
Es un campo opcional de 16 bits en complemento a uno de la suma en complemento a uno
de una cabecera pseudo-IP, la cabecera UDP y los datos UDP. La cabecera pseudo-IP
extiende efectivamente la suma de comprobacin para incluir el datagrama IP original
(defragmentado).

Estndares que utilizan UDP

Protocolo
(TFTP)

de

Transferencia

de

Ficheros

Trivial

Sistema de Nombres de Dominio (DNS) servidor de

nombres
Llamada a Procedimiento Remoto (RPC), usado por
el Sistema de Ficheros en Red (NFS)
Sistema de Computacin de Redes (NCS)
Protocolo de Gestin Simple de Redes (SNMP)

Protocolo TCP
TCP son las siglas de Protocolo de Control de (en ingls
Transmission Control Protocol/), un sistema de protocolo
que hacen posibles servicios Telnet, FTP, E-mail, y otros
entre ordenadores que no pertenecen a la misma red.
El Protocolo de Control de Transmisin (TCP) permite
a dos anfitriones establecer una conexin e intercambiar
datos. El TCP garantiza la entrega de datos, es decir, que
los datos no se pierdan durante la transmisin y tambin
garantiza que los paquetes sean entregados en el mismo
orden en el cual fueron enviados.
Los Protocolos de Aplicacin como HTTP, SMTP, FTP, NNTP
e IRC se basan y utilizan TCP.

CARACTERISTICAS TCP
TCP (que significa Protocolo de Control de Transmisin) es uno de los
principales protocolos de la capa de transporte del modelo TCP/IP.
TCP es un protocolo orientado a conexin, es decir, que permite que dos
mquinas que estn comunicadas controlen el estado de la transmisin.
CARACTERISTICAS

TCP permite colocar los datagramas nuevamente en orden cuando vienen

del protocolo IP.
TCP permite que el monitoreo del flujo de los datos y as evita la saturacin
de la red.
TCP permite que los datos se formen en segmentos de longitud variada
para "entregarlos" al protocolo IP.
TCP permite multiplexar los datos, es decir, que la informacin que viene de
diferentes fuentes (por ejemplo, aplicaciones) en la misma lnea pueda
circular simultneamente.
Por ltimo, TCP permite comenzar y finalizar la comunicacin amablemente.

El formato de los datos en TCP

0

34

5 6 7 8 9 10 11

12

Puerto de origen

13

14

15

16

17

18

19

20

21

22

23

24

25

26

Puerto de destino
Nmero de secuencia
Nmero de acuse de recibo

Reservado
URG
ACK
Margen
PSH
de datos
RST
SYN
FIN

Ventana

Suma de control

Puntero urgente

Opciones

Relleno
Datos

27

28

29

30

31

Significado de los campos

Puerto de origen (16 bits): Puerto relacionado con la aplicacin en curso en la mquina origen
Puerto de destino (16 bits): Puerto relacionado con la aplicacin en curso en la mquina destino
Nmero de secuencia (32 bits): Cuando el indicador SYN est fijado en 0, el nmero de secuencia es el de la
primera palabra del segmento actual.
Cuando SYN est fijado en 1, el nmero de secuencia es igual al nmero de secuencia inicial utilizado para
sincronizar los nmeros de secuencia (ISN).

Nmero de acuse de recibo (32 bits): El nmero de acuse de recibo, tambin llamado nmero de descargo se
relaciona con el nmero (secuencia) del ltimo segmento esperado y no el nmero del ltimo segmento recibido.
Margen de datos (4 bits): Esto permite ubicar el inicio de los datos en el paquete. Aqu, el margen es
fundamental porque el campo opcin es de tamao variable.
Reservado (6 bits): Un campo que actualmente no est en uso pero se proporciona para el uso futuro.
Indicadores (6x1 bit): Los indicadores representan informacin adicional:
URG: Si este indicador est fijado en 1, el paquete se debe procesar en forma urgente.
ACK: Si este indicador est fijado en 1, el paquete es un acuse de recibo.
PSH (PUSH): Si este indicador est fijado en 1, el paquete opera de acuerdo con el mtodo PUSH.
RST: Si este indicador est fijado en 1, se restablece la conexin.

SYN: El indicador SYN de TCP indica un pedido para establecer una conexin.
FIN: Si este indicador est fijado en 1, se interrumpe la conexin.
Ventana (16 bits): Campo que permite saber la cantidad de bytes que el receptor desea recibir sin acuse de
recibo.

Vulnerabilidades y ataques UDP

Una es el rastreo de puertos UDP abiertos:
Aunque el protocolo UDP no est orientado a la conexin, es
posible realizar un escaneo. No tiene un paquete SYN como
el protocolo TCP, sin embargo si un paquete se enva a un
puerto que no est abierto, responde con un mensaje ICMP
Port Unreachable.
La mayora de los escners de puertos UDP usan este
mtodo, e infieren que si no hay respuesta, el puerto est
abierto. Pero en el caso que est filtrado por un firewall, este
mtodo dar una informacin errnea.
Una opcin es enviar paquetes UDP de una aplicacin
especfica, para generar una respuesta de la capa de
aplicacin. Por ejemplo enviar una consulta DNS el
resultado ser un servidor DNS con su cache repleta

Posible solucin Vulnerabilidades UDP

Los efectos para el usuario pueden ser desastrosos, pues,
en cierta manera, se crea un problema de seguridad
similar al phishing (se redirige al usuario a pginas que
no son las verdaderas).
El fallo afecta a multitud de sistemas y varias empresas
han lazando parches desde entonces para intentar
solucionar el problema (Microsoft, Sun, Cisco, Red Hat,
Debian, Apple.. ) aunque segn parece no han tenido el
efecto esperado y la vulnerabilidad sigue estando presente
en los servidores que han sido parcheados.
A pesar de la primera oleada de parches parece que
todava se est intentando encontrar una solucin
duradera (que no pase por redefinir el funcionamiento de
las DNS) y de todas maneras, muchos servidores todava
no han aplicado los parches ya existentes, con el
consiguiente riesgo para los usuarios.

Vulnerabilidades y ataques Protocolo TCP

Bsicamente la vulnerabilidades delicadas TCP estn en el
manejo de sus banderas (Flags) y en la apertura de los
puertos que usan las aplicaciones los cuales pueden ser
escaneados con software fcil de adquirir en la red.
Objetivos primarios del Scanning:
1. Detectar sistemas
corriendo en la red.

vivos

activos

que

estn

2. Descubrir cuales puertos estn activos o abiertos para

saber por dnde entrar.
3. Descubrir el OS y su
vulnerabilidades especificas.

versin

para

buscar

4. Descubrir qu tipo de servicios o aplicaciones est

corriendo en el sistema para buscar vulnerabilidades
especficas de esa aplicacin y poder tener acceso al
sistema.

Existen tres tipos de Escaneo

Escaneo de Puertos es verificar los servicios o

aplicaciones que estn corriendo en el sistema objetivo
o victima por el envi de una secuencia de mensajes
para intentar penetrar en los puertos.
Escaneo de red (network) es el procedimiento de
identificar hosts (computadoras) activos en una red para
atacarlos (en el caso de un Hacker o Cracker) o para
realizar tareas de seguridad (en el caso de un
administrador de redes). Los Host son identificados por
su direccin IP individual.
Escaneo de Vulnerabilidades es el mtodo usado
para detectar vulnerabilidades en los sistemas y redes,
es usado para saber si un sistema puede ser
explotado.

Otras formas de ataque TCP es por sus Flags

Las mas usadas sonel Half-Open y escaneo Inerte.

Escaneo Half-Open (media abierta) Muchos

Hackers, para evitar ser detectados usan esta
tcnica de escaneo, se le llama as porque el
atacante no abre o establece una conexin TCP
completa o Full-Open. Esta tcnica es parecida a
la Full-Open, con la diferencia de que al final en
vez de enviar un paquete con una bandera ACK
se enva un paquete con un RST para terminar la
conexin. Esta tcnica es registrada por muy
pocos sitios, pero los IDS y Firewalls sofisticados
son capaces de detectar esta tcnica. Adems
necesitas tener privilegios de root para poder
usar esta tcnica de escaneo.

Otras formas de ataque TCP es por sus Flags

Escaneo IDLE (inerte, inactivo) El escaneo

Idle es el favorito de los Hackers y Crackers,
tambin conocido como escaneo invisible o
zombie. Esta tcnica relativamente nueva
fue inventada hace aproximadamente 4 aos
por el investigador de seguridad Antirez. Esta
tcnica permite un escaneo a los puertos
completamente invisible, el atacante puede
escanear a su objetivo sin enviar un solo
paquete que pueda revelar la direccin IP del
atacante.

Herramientas para Network Scanning

Nmap (Network mapper) Nmap es una

utilidad gratis de cdigo abierto para la
exploracin y escaneo de redes, es la favorita
de los Hackers y profesionales de seguridad.
HPING2 http://www.hping.org/ Escner para
Linux, Solaris y Mac OS X, sus caractersticas
son: Firewall testing, escner avanzado de
puertos, Network testing usando diferentes
protocolos, trazador de rutas avanzado,
deteccin de OS, remote uptime guessing,
audicin de TCP/IP stacks, entre otras cosas.

Herramientas para Network Scanning

WUPS UDP Scanner

http://ntsecurity.nu/toolbox/wups/
Es
un
simple pero efectivo escner del protocolo
UDP, es para Windows y viene con interface
grfica. Est disponible para todas las
versiones de Windows excepto Vista.
Bidiblah
Escner
Automatizado
http://www.sensepost.com/
Bidiblah
te
permite hacer de manera automatizada
Footprinting, enumeracin de DNS, detectar
OS,
escanear
puertos
y
detectar
vulnerabilidades,
todo
en
un
mismo
programa.

CONTRAMEDIDAS
Su Firewall debe ser lo suficientemente bueno como para
detectar pruebas de escaneo de un atacante. Su Firewall
debe realizar inspecciones confiables teniendo un conjunto
especifico de reglas (rule set)
Se deben usar NIDS (Network Intrusion Detection System)
para evitar el mtodo de deteccin de sistemas operativos de
herramientas como Nmap.
Solo los puertos necesarios deben permanecer abiertos, el
resto deben ser filtrados.
Toda la informacin sensitiva que no debe ser divulgada al
pblico sobre internet no puede ser mostrada.

Haga uso de un escner de vulnerabilidades como los antes

mencionados para encontrar fallas en su red, dispositivos y
software antes que sean encontrados por los atacantes.
Muchas veces los servicios o aplicaciones activas que estn
en estado de escucha pueden permitir el acceso no
autorizado a los sistemas que no estn configurados

FUENTES
Cibergrafia
http://estebansaiz.com/blog/2008/08/13/la-vulnerabilidad-enlas-dns/
http://www.pergaminovirtual.com.ar/definicion/UDP.html
http://www.masadelante.com/faqs/udp
http://personales.upv.es/rmartin/TcpIp/cap02s11.html

http://es.kioskea.net/contents/internet/tcp.php3
http://www.masadelante.com/faqs/tcp-ip
http://es.wikipedia.org/wiki/Transmission_Control_Protocol
http://www.wisedatasecurity.com/net-scanning.html
http://www.terra.es/personal6/morenocerro2/redes/osi/transpor
te_3.html

Bibliografa