¿Qué es un ataque de fragmentación de IP? En nuestro blog de informática y computación no podía faltar este tema, no solo por contexto sino por gustos y aficiones, bueno, también por trabajo. Los ataques de fragmentación de IP son una forma común de ataque de denegación de servicio , en la que el autor invade una red explotando los mecanismos de fragmentación de datagramas.
La comprensión del ataque comienza con la comprensión del proceso de fragmentación de IP, un procedimiento de comunicación en el que los datagramas de IP se dividen en pequeños paquetes, se transmiten a través de una red y luego se vuelven a ensamblar en el datagrama original.
La fragmentación es necesaria para la transmisión de datos, ya que cada red tiene un límite único para el tamaño de los datagramas que puede procesar. Este límite se conoce como la unidad de transmisión máxima (MTU). Si se está enviando un datagrama que es más grande que el MTU del servidor receptor, tiene que estar fragmentado para que se transmita completamente.
El encabezado IP en cada datagrama contiene indicadores que detallan si se permite que tenga lugar la fragmentación. En los casos en los que se adjunta un indicador de «no fragmentar» al encabezado de IP, el paquete se elimina y el servidor envía un mensaje que indica que el datagrama ICMP es demasiado grande para transmitir. El desplazamiento explica al dispositivo del destinatario el orden exacto en que deben colocarse los fragmentos para volver a ensamblarlos.
Otra forma de decirlo
Para comprender los ataques de fragmentación de IP, es importante comprender primero la fragmentación de IP. La comunicación IP se utiliza para intercambiar paquetes de datos en Internet. Entre su origen y su destino, los paquetes a menudo tienen que ser transmitidos por varias tecnologías y sistemas de conexión.
La gran cantidad de tecnologías involucradas conduce a limitaciones que hacen necesario fragmentar los paquetes IP. Esto se debe a que los diferentes sistemas de transferencia de datos tienen diferentes MTU (unidades de transferencia máxima). La MTU indica la longitud o el tamaño máximo del paquete IP para un tipo de red o sistema de transferencia de datos determinado. La red establece un límite superior para la MTU, pero puede ser más pequeño. Cuanto más pequeño es, más se fragmenta la carga útil de datos durante la transferencia. En este contexto, a menudo se menciona otro término relacionado con MTU: MSS (tamaño máximo de segmento). Los conceptos están relacionados pero no deben confundirse. MTU es el volumen máximo de todo el paquete de datos, mientras que MSS indica el volumen de la carga útil de datos dentro del paquete.
¿Cómo puede ser usado para ataques?
Los atacantes pueden abusar de la fragmentación de la IP de varias maneras. Puede emplearse para atacar el sistema objetivo de la comunicación IP, pero también los componentes de seguridad en el camino hacia el sistema objetivo.
El reensamblaje (desfragmentación) solo puede tener lugar cuando todos los fragmentos están en. Los ataques de fragmentación basados en UDP / ICMP generalmente envían fragmentos falsos que no pueden desfragmentarse. El almacenamiento temporal de los fragmentos ocupa memoria y, en el peor de los casos, puede agotar los recursos de memoria disponibles.
Exploits
Fragmento de IP superpuesto
El exploit superpuesto del fragmento de IP se produce cuando dos fragmentos contenidos dentro del mismo paquete de IP tienen compensaciones que indican que se superponen entre sí en el posicionamiento dentro del paquete . Esto podría significar que el fragmento B está sobrescribiendo completamente el fragmento A, o que el fragmento B está sobrescribiendo parcialmente el fragmento A. Algunos sistemas operativos no manejan correctamente los fragmentos que se superponen de esta manera y pueden generar excepciones o comportarse de otras formas indeseables. tras la recepción de fragmentos superpuestos. Esta es la base para el ataque de lágrima.. Los fragmentos superpuestos también se pueden usar en un intento de eludir los sistemas de detección de intrusiones. En esta vulnerabilidad, parte de un ataque se envía en fragmentos junto con datos aleatorios adicionales; Los fragmentos futuros pueden sobrescribir los datos aleatorios con el resto del ataque. Si el paquete completado no se vuelve a montar correctamente en el IDS, el ataque no se detectará.
Búfer de fragmentación de IP completo
El aprovechamiento completo del búfer de fragmentación de IP se produce cuando se detecta una cantidad excesiva de tráfico fragmentado incompleto en la red protegida. Esto podría deberse a un número excesivo de paquetes fragmentados incompletos , un gran número de fragmentos para paquetes individuales o una combinación de cantidad de paquetes incompletos y tamaño / número de fragmentos en cada paquete . Este tipo de tráfico es probablemente un intento de eludir las medidas de seguridad o los sistemas de detección de intrusos mediante la fragmentación intencional de la actividad de ataque.
Fragmento de IP invadido
El aprovechamiento de la saturación de fragmentos de IP se produce cuando un paquete fragmentado reensamblado excede la longitud de datos de IP declarada o la longitud máxima de paquete . Por definición, ningún paquete IP debe ser mayor a 65,535 bytes. Los sistemas que intentan procesar estos paquetes grandes pueden fallar y pueden ser indicativos de un intento de denegación de servicio.
Fragmento de IP demasiados paquetes
La vulnerabilidad «Demasiados paquetes» se identifica por un número excesivo de paquetes fragmentados incompletos detectados en la red. Esto suele ser un ataque de denegación de servicio o un intento de eludir las medidas de seguridad. Un ejemplo de «Demasiados paquetes», «Paquete incompleto» y «Fragmento demasiado pequeño» es el Ataque de rosas.
Fragmento de IP paquete incompleto
Esta vulnerabilidad se produce cuando un paquete no se puede volver a montar completamente debido a la falta de datos. Esto puede indicar un ataque de denegación de servicio o un intento de anular las políticas de seguridad del filtro de paquetes.
Fragmento de IP demasiado pequeño
Si un fragmento de IP es demasiado pequeño, indica que es probable que el fragmento se haya creado intencionalmente. Cualquier fragmento que no sea el fragmento final que sea inferior a 400 bytes podría considerarse demasiado pequeño. Se pueden usar pequeños fragmentos en ataques de denegación de servicio o en un intento de eludir las medidas de seguridad o la detección.
Tipos de ataque
Los ataques de fragmentación de IP pueden tomar varias formas. Si bien todos explotan el desglose de los datagramas para sobregrabar las redes de destino, hay algunas diferencias notables en la forma en que se ejecutan los diferentes vectores de ataque.
- Ataques de fragmentación UDP e ICMP : estos ataques implican la transmisión de paquetes UDP o ICMP fraudulentos que son más grandes que la MTU de la red (generalmente ~ 1500 bytes). Dado que estos paquetes son falsos y no se pueden volver a ensamblar, los recursos del servidor de destino se consumen rápidamente, lo que resulta en la falta de disponibilidad del servidor.
- Ataques de fragmentación de TCP ( también conocido como Lágrima) : también conocidos como ataques de lágrima, estos ataques apuntan a los mecanismos de reensamblado de TCP / IP, lo que les impide reunir paquetes de datos fragmentados. Como resultado, los paquetes de datos se superponen y abruman rápidamente los servidores de la víctima, lo que hace que fallen.Los ataques de lágrima son el resultado de una vulnerabilidad del sistema operativo común en versiones anteriores de Windows, incluidas las versiones 3.1, 95 y NT. Si bien se pensaba que los parches habían detenido estos ataques, una vulnerabilidad resurgió en Windows 7 y Windows Vista, haciendo que los ataques de lágrima vuelvan a ser un vector de ataque viable.
La vulnerabilidad fue re-parcheada en la última versión de Windows, pero los operadores deberían estar atentos para asegurarse de que permanezca parcheado en todas las versiones futuras.
Métodos de mitigación.
Los ataques de fragmentación de IP se mitigan de varias formas diferentes, según el tipo y la gravedad del ataque. La mayoría de los métodos de mitigación aseguran que los paquetes de datos maliciosos nunca lleguen a sus destinos objetivo. El más común consiste en inspeccionar los paquetes entrantes en busca de violaciones de las reglas de fragmentación (por ejemplo, mediante un enrutador o un proxy seguro).
Otro nombre
Ataque de fragmentos minúsculos:Es una fragmentación de IP que es el proceso de dividir un datagrama de Protocolo de Internet (IP) en varios paquetes de menor tamaño. Cada enlace de red tiene un tamaño característico de mensajes que pueden transmitirse, denominado unidad de transmisión máxima (MTU). Si el tamaño del paquete de datos es lo suficientemente pequeño como para forzar a algunos de los campos de encabezado TCP de un paquete TCP en el segundo fragmento de datos, las reglas de filtro que especifican patrones para esos campos no coincidirán. Si la implementación del filtro no impone un tamaño de fragmento mínimo, se podría pasar un paquete no permitido porque no alcanzó una coincidencia en el filtro. STD 5, RFC 791 indica que, «Cada módulo de Internet debe poder enviar un datagrama de 68 octetos sin más fragmentación». Esto se debe a que un encabezado de Internet puede ser de hasta 60 octetos, y el fragmento mínimo es de 8 octetos.
Consultar también, en este blog de seguridad informática: ¿Qué es fragmentación en computación, informática? Definición, significado, concepto; Que es un ataque de fuerza bruta, significado, concepto, definición; Consecuencias de un ataque XSS, daños
This post is also available in:
Español
