Ataques por NetBIOS:

Es necesario saber como funciona este tipo de ataques antes de poder dar la protección, como lo
dice Microsoft, un error en NetBIOS podría revelar mucha información de la que no se quiere, es
por ello que define los síntomas de esta:

principalmente se caracteriza por que la API utiliza los programas de una red local, el problema que
suscita es que el atacante puede ver la información en la memoria atreves de la red y ser captados
dichos paquetes para que sea visualizados en gran parte en código HTML, sucede respondió a la
consulta de servicio de nombre NetBT, lo cual los atacantes aprovechan esta vulnerabilidad para
lograrlo debe poder enviar una solicitud NetBT manipulada al puerto 137 al equipo de la victima y
luego verifica la respuesta para ver algún dato brindado por la memoria del equipo. Por lo general
dicho puerto está abierto, pero con equipos que cuentan con conexión a internet suele estar
protegido por un servidor de seguridad.

Vulnerabilidades:

 Desde que los servicios SMB y NetBios/NetBT se encuentran habilitados por defecto,
intrusos maliciosos pueden ser capaces de consultar estos servicios para obtener
información sobre el servidor o brechas de seguridad, si éstas existen.
 El servicio NetBios/NetBT también puede ser vulnerado para ejecutar ataques de
amplificación:

verificar si el servidor o dispositivo es vulnerable

 Utilizar el comando para obtener la información sobre su sistema vía el servicio SMB:

# nmap --script [Link] -p445 <IP-del-servidor>

Ejemplo de salida:

PORT STATE SERVICE

445/tcp open microsoft-ds

Host script results:

| smb-os-discovery:
| OS: Windows Server xxxx
| OS CPE: cpe:/o:microsoft:windows_server_xxxx::-
| Computer name: xx-xxxxxxxxxxxx
| NetBIOS computer name: xx-xxxxxxxxxxxx
| Workgroup: WorkGroup
|_ System time: xxxx-xx-xx

 Utilizar este comando para obtener información sobre el sistema a través del servicio
NetBios/NetBT:

Para Windows (cmd):

# nbtstat -A <IP-del-servidor>

Para Linux (terminal):

# nmblookup -S -R -A <IP-del-servidor>
 Ejemplo de salida:

[...]

Looking up status of <IP-del-servidor>

XX-XXXXXXXXXXXX <00> - B <ACTIVE>

WORKGROUP <00> - <GROUP> B <ACTIVE>

XX-XXXXXXXXXXXX <20> - B <ACTIVE>

MAC Address = XX-XX-XX-XX-XX-XX

Si en la ejecución sale como salida (time-out) o “Tiempo agotado” sueles decirse que los
servicios podrían ya estar desactivados.

La solución:

Por lo general estos servicios fueron diseñado apara que permanezcan dentro de ambientes
seguros lo cual significa que no es recomendable exponer dicho servicio a internet mucho menos
dejar que personas no confiables puedan acceder al servicio.

Se recomienda estas soluciones:

→Desactivar los servicios Microsoft NetBios/NetBT y Microsoft SMB si no está en uso. Esta es la
solución más simple y la más eficaz.

- Utilizar el cortafuegos (firewall) para filtrar las conexiones entrantes a los servicios SMB y
NetBios/NetBT y solamente autorizar la IP de los d dispositivos de confianza.

Figura 1. Desactivar los servicios de NetBIOS

Falsificaciones ARP

Esto es técnica usada por atacantes en redes cuyo fin es obtener el tráfico de red circundante,
aunque no esté destinado al sistema del propio intruso. Con este método, el atacante puede
conseguir derivar la información hacia su propia tarjeta de red y así conseguir información sensible,
bloquearla o incluso modificarla y mostrar datos erróneos a las víctimas o se podría decir que es
ARP Spoofing.

Cabe aclarar que el ARP Spoofing puede ser usado también con fines legítimos. Por ejemplo,
algunas herramientas de registro de red, pueden redireccionar equipos no registrados a una página
de registro antes de permitirles el acceso completo a la red.

Las defensas que se pueden tomar a la hora de hacer una prevención contra un ataque ARP
Spoofing, son los siguientes:

 Utilizar tablas ARP estáticas, es decir añadir entradas estáticas ARP, de forma que no
existe caché dinámica, cada entrada de la tabla mapea una dirección MAC con su
correspondiente dirección IP. Sin embargo, esta no es una solución práctica, sobre todo en
redes grandes, debido al enorme esfuerzo necesario para mantener las tablas ARP
actualizadas: cada vez que se cambie la dirección IP de un equipo, es necesario actualizar
todas las tablas de todos los equipos de la red.

 Otra forma de proteger estos ataques es detectándolo es. Arpwatch es un programa Unix
que escucha respuestas ARP en la red, y envía una notificación vía correo electrónico al
administrador de la red, cuando una entrada ARP cambia.

 Verificar si existe direcciones MAC clonadas también es una de las formas que existe ARP
Spoofing, es por ello que hay que tener en cuenta que también hay usos legítimos de las
direcciones de MAC clamadas.

 Es posible utilizar RARP (ARP inverso) que es el protocolo usado para consultar, a partir
de una dirección MAC, su dirección IP correspondiente. Si ante una consulta, RARP
devuelve más de una dirección IP, significa que esa dirección MAC ha sido clonada.

Se recomienda el uso de la siguiente aplicación:

1. ArpON: esta solución se basa en host que hace que el protocolo estandarizado
ARP sea seguro para evitar el ataque de Man In The Middle (MITM) a través de la
ARP

Los software y bibliotecas requeridos para el ArpON se encuentran en la

documentacion del mismo con link.

Para la construcción e instalación, antes que nada descargar el ArpON;

ahora:
Para instalar el ArpON en la ruta predeterminada "/":
$ cd /path/to/arpon
$ mkdir build
$ cd build
$ cmake ..
$ make
$ sudo make install
 Para instalar el ArpON en otra ruta de acceso:
$ cd /path/to/arpon
$ mkdir build

$ cd build

$ cmake -DCMAKE_INSTALL_PREFIX="/path/to/install" ..
$ make
$ sudo make install
Normalmente las rutas de la instalación son: "/", "/ usr" o "/ usr / local".
Si sus dependencias están instaladas en las otras rutas:
$ cd /path/to/arpon
$ mkdir build

$ cd build

$ cmake -
DCMAKE_INCLUDE_PATH="/path/to/include1;/path/to/include2" \
-DCMAKE_LIBRARY_PATH="/path/to/library1;/path/to/library2" ..
$ make
$ sudo make install
Si desea personalizar los parámetros del compilador CFLAGS:
$ cd /path/to/arpon
$ mkdir build
$ cd build/
$ cmake -DCMAKE_C_FLAGS="your-cflags-here" ..

$ make

$ sudo make install

Conexión del servidor a la victima

Se envía los paquetes

Craqueo Remoto
Esto se da principalmente con tipos diferentes de ataques, fuera de la red con métodos
intrusivos ya conocidos. Como se muestra primeramente se realiza por:
Escaneos de puertos:

La primera tarea de un atauque potencial o no son el escaneo de los puertos, un portscan; lo cual
le permite al atacante obtener los datos necesarios de los puertos y servicios estamos brindando
además del sistema operativo instalado en cada host y cierta arquitectura de una red mediante los
puertos abiertos el atacante puede encontrar agujeros en cada servicio que sele de una Data
Center.

La determinación de un puerto es fundamental; incluso es posible de diagnosticarlo mediante una

línea de código utilizando telnet como por ejemplo se requiere conocer el estado del puerto 5000
en la amquina con una dirección ip de [Link]; si el telnet arroja “puerto ofrece una
respuesta”, entonces está abierto y escuchando peticiones:

danilo:~$ telnet [Link] 5000

Trying [Link]...

Connected to [Link].

Escape character is '^]'.

^D

Connection closed by foreign host.

danilo:~$

Pero ningún atacante usaría telnet para hacer escaneo de puertos masivos a un sistema o una red
para ello utilizan herramientas como strobe o nmap lo cual realiza tareas de forma automatizada.

Clasificación de los escaneos

 Horizontal: Cuando el atacante busca la disponibilidad de determinado servicio en

diferentes máquinas de una red; por ejemplo, si el pirata dispone de un exploit que
aprovecha un fallo en la implementación de sendmail para saber qué maquinas aceptan
peticiones SMTP lo cual hace posible el ataque al sistema
 Vertical: generalmente es cuando el atacante hace escaneo a una solo maquina
Al momento de que se quiera averiguar los puertos de una maquina al enviar datagramas
UDP a un puerto abierto esto no hace la respuesta, pero si está cerrado devuelve un
mensaje:
error ICMP: ICMP/SMALL>_PORT/SMALL>_UNREACHABLE
Estos son las técnicas más habituales en muchos casos suficiente para iniciar un ataque
más serio contra la máquina: