Este documento es una guía sobre conceptos de redes y hacking,

enfocándose en herramientas y protocolos utilizados en entornos Linux.

Introducción a la Seguridad de Redes para Hackers

Este libro proporciona un marco básico para comprender los conceptos

de redes, su aplicación en Linux y las vulnerabilidades de varios
protocolos. Está dirigido a aquellos con poco o ningún conocimiento
previo en redes, pero que han leído "Linux Basics for Hackers".

 El autor, Occupytheweb, presenta este libro como parte de una

serie sobre Linux y hacking.

 Se utilizará Kali Linux como plataforma para las aplicaciones y

ejemplos.

 Se asume que los lectores tienen conocimientos básicos de

comandos de Linux.

Direcciones IP y su Importancia

Las direcciones IP son fundamentales para la comunicación en la red,

permitiendo que los dispositivos se encuentren y se conecten entre sí.
Cada dispositivo tiene una dirección IP única, similar a una dirección
postal.

 El sistema actual es IPv4, compuesto por 32 bits divididos en

cuatro octetos.

 Las direcciones IP se clasifican en tres clases: A, B y C.

 Las direcciones IP privadas son reutilizables dentro de una red

local, mientras que las públicas son únicas en Internet.

Protocolo DHCP y NAT

El Protocolo de Configuración Dinámica de Host (DHCP) asigna

direcciones IP de manera dinámica, mientras que la Traducción de
Direcciones de Red (NAT) permite que las direcciones IP privadas se
traduzcan a una dirección IP pública.

 DHCP asigna direcciones IP temporalmente a dispositivos en una

red local.

 NAT permite que múltiples dispositivos en una red local compartan

una única dirección IP pública.
  Esto es crucial para la conservación de direcciones IP en un mundo
con más dispositivos que direcciones disponibles.

Puertos y su Función en Redes

Los puertos actúan como subdirecciones que permiten identificar

servicios específicos en un dispositivo. Cada dirección IP puede tener
hasta 65,536 puertos.

 Los primeros 1,024 puertos son considerados "puertos comunes".

 Herramientas como nmap se utilizan para escanear puertos

abiertos en un sistema.

 Conocer los puertos y sus servicios es esencial para hackers y

profesionales de seguridad.

Fundamentos de TCP/IP

TCP/IP son los protocolos más comunes utilizados para la comunicación

en Internet. Comprender su estructura es vital para cualquier hacker o
ingeniero de redes.

 IP define las direcciones de origen y destino de los paquetes.

 TCP asegura la entrega de paquetes mediante un proceso de

confirmación.

 La conexión TCP comienza con un "handshake" de tres vías.

Protocolo UDP y su Uso

El Protocolo de Datagramas de Usuario (UDP) es un protocolo sin

conexión que permite el envío de paquetes sin la necesidad de
confirmación.

 UDP es más ligero que TCP y se utiliza en aplicaciones donde la

eficiencia es clave, como la transmisión de video.

 Protocolos como DNS y NTP utilizan UDP para sus operaciones.

Topologías de Red y su Importancia

Las topologías de red describen la disposición física de los dispositivos

conectados, lo que afecta la eficiencia y la comunicación.

 La topología en estrella es la más común en redes locales,

permitiendo conexiones independientes.
  La topología en anillo es simple pero vulnerable a fallos.

 La topología en malla proporciona resiliencia al ofrecer múltiples

rutas para los paquetes.

Modelo OSI y su Relevancia

El modelo OSI es fundamental para entender cómo interactúan los

diferentes protocolos en la comunicación de red.

 Consiste en siete capas, desde la capa de aplicación hasta la capa

física.

 Cada capa tiene funciones específicas y es susceptible a diferentes

tipos de ataques.

 Comprender el modelo OSI es crucial para la ciberseguridad y el

análisis de redes.

Ejercicios para Evaluar Conocimientos

Se proponen ejercicios para evaluar la comprensión de los conceptos de

redes y protocolos discutidos en el libro.

 Preguntas sobre la diferencia entre direcciones IP públicas y

privadas.

 Uso de herramientas como ifconfig y nmap para explorar

configuraciones de red.

 Identificación de ataques comunes en la capa de red.

Subnetting y Notación CIDR

El subnetting permite a los administradores de red utilizar de manera

más eficiente el espacio de direcciones IP.

 Permite crear subredes dentro de una red mayor, optimizando el

uso de direcciones.

 La notación CIDR especifica una dirección IP y su máscara de red

asociada.

 Subnetting es esencial para la gestión de redes grandes y

complejas.

Análisis de Redes
El análisis de redes es crucial para entender el tráfico y la funcionalidad
de una red. Este capítulo presenta herramientas clave para analizar el
tráfico de red, incluyendo comandos de línea y analizadores de
paquetes.

 Herramientas de línea de comandos como ifconfig, ping, y netstat

son esenciales para obtener información sobre la red y las
conexiones.

 tcpdump y Wireshark son herramientas populares para el análisis

de tráfico, permitiendo la captura y visualización de paquetes.

 tcpdump permite filtrar tráfico por dirección IP, puerto y banderas

TCP, mientras que Wireshark ofrece una interfaz gráfica para un
análisis más detallado.

Uso Controversial de Sniffers

El uso de herramientas de análisis de tráfico, como "Carnivore" del FBI,

plantea cuestiones éticas y legales. Aunque estas herramientas pueden
ser útiles para la investigación, su uso sin una orden judicial es
controvertido.

 "Carnivore" permite a las autoridades espiar el tráfico de personas

sospechosas de delitos.

 La legalidad de estas herramientas se basa en la capacidad de

monitorear sin una orden judicial, lo que genera debates sobre la
privacidad.

Sniffers de Red

Los sniffers de red son herramientas que interceptan y analizan el tráfico

de red. Son útiles para ingenieros de seguridad y pueden revelar
información sensible si no se utilizan adecuadamente.

 Herramientas como Tcpdump, Wireshark, y Network Miner son

ejemplos de sniffers que permiten la captura y análisis de
paquetes.

 Los sniffers pueden ser utilizados para ataques como MiTM y para
obtener información no cifrada, como contraseñas.

Introducción a tcpdump
tcpdump es una herramienta de línea de comandos para capturar y
analizar paquetes de red. Su uso es esencial en sistemas sin GUI o en
situaciones donde se requiere un análisis rápido.

 Permite capturar tráfico en tiempo real y guardar la salida en

archivos para análisis posterior.

 Se pueden aplicar filtros para ver solo el tráfico relevante, como

por dirección IP o puerto.

Wireshark: El Estándar de Oro

Wireshark es una herramienta gráfica ampliamente utilizada para el

análisis de tráfico de red. Proporciona una interfaz intuitiva para
visualizar y filtrar paquetes.

 Permite aplicar filtros de protocolo y dirección IP para un análisis

más enfocado.

 La herramienta ofrece estadísticas detalladas sobre el tráfico,

facilitando la identificación de patrones y anomalías.

Fundamentos de Iptables

iptables es una herramienta de firewall en Linux que permite gestionar

el tráfico de red. Su configuración es fundamental para proteger
sistemas y redes.

 Se compone de tablas, cadenas y objetivos que definen cómo se

maneja el tráfico.

 Permite establecer políticas predeterminadas y crear reglas para

aceptar o bloquear tráfico específico.

Redes Wi-Fi y Vulnerabilidades

Las redes Wi-Fi son susceptibles a varios tipos de ataques, incluyendo la

obtención de contraseñas y la interceptación de tráfico. Conocer las
vulnerabilidades es clave para proteger estas redes.

 Protocolos de seguridad como WEP, WPA y WPA2 han

evolucionado, pero aún presentan debilidades.

 Herramientas como aircrack-ng son utilizadas para realizar

ataques a redes Wi-Fi, aprovechando vulnerabilidades en la
configuración.

Ataques Bluetooth
Bluetooth, aunque más seguro que en sus inicios, sigue siendo
vulnerable a varios tipos de ataques. Comprender su funcionamiento es
esencial para realizar pruebas de seguridad.

 Existen herramientas en Kali Linux para realizar ataques como

Bluesnarfing y Bluejacking.

 La vulnerabilidad BlueBourne permite a los atacantes acceder a

dispositivos Bluetooth no parcheados sin necesidad de estar en
modo descubrible.

Protocolo de Resolución de Direcciones (ARP)

El Protocolo de Resolución de Direcciones (ARP) se utiliza en redes

Ethernet para asignar direcciones IP a direcciones MAC únicas.
Comprender ARP permite a los atacantes realizar ataques de tipo Man-
in-the-Middle y descubrir sistemas en la red.

 ARP asigna direcciones IP a direcciones MAC en redes Ethernet.

 Los atacantes pueden utilizar ARP para descubrir sistemas y

realizar ataques Man-in-the-Middle.

 ARP funciona mediante solicitudes y respuestas que permiten a los

dispositivos encontrar direcciones MAC.

 Herramientas como netdiscover pueden ser utilizadas para

enumerar sistemas en la red.

 ARP es vulnerable a ataques de suplantación, permitiendo a los

atacantes interceptar tráfico.

Servicio de Nombres de Dominio (DNS)

El Sistema de Nombres de Dominio (DNS) traduce nombres de dominio

en direcciones IP, facilitando la navegación en Internet. DNS opera de
manera jerárquica y tiene vulnerabilidades que pueden ser explotadas
por atacantes.

 DNS permite la traducción de nombres de dominio a direcciones IP.

 Funciona de manera jerárquica con servidores raíz, TLD y

servidores autoritativos.

 Los registros DNS incluyen A, MX, CNAME y PTR, entre otros.

 DNS es vulnerable a ataques de suplantación y Denial of Service

(DoS).
  DNSSEC se utiliza para mejorar la seguridad de las consultas DNS.

Bloque de Mensajes del Servidor (SMB)

El Protocolo de Bloque de Mensajes del Servidor (SMB) es crucial para

compartir archivos y recursos en redes. SMB ha sido fuente de
vulnerabilidades críticas, como EternalBlue, que permitieron a los
atacantes tomar control de sistemas.

 SMB permite compartir archivos, impresoras y recursos en redes.

 Utiliza el puerto TCP 445 para la comunicación.

 Vulnerabilidades como MS08-067 y EternalBlue han comprometido

sistemas.

 Samba permite a sistemas Linux compartir recursos con sistemas

Windows.

 La comprensión de SMB es vital para la seguridad de la red.

Protocolo Simple de Transferencia de Correo (SMTP)

El Protocolo Simple de Transferencia de Correo (SMTP) es fundamental

para el envío de correos electrónicos. SMTP ha sido objeto de
vulnerabilidades que permiten a los atacantes acceder a información
confidencial.

 SMTP se utiliza para enviar correos electrónicos entre servidores.

 Funciona en el puerto 25 y utiliza métodos como POP3 e IMAP para

la recuperación de correos.

 Vulnerabilidades en servidores de correo, como las de Microsoft

Exchange, han sido explotadas.

 Herramientas como nmap pueden ser utilizadas para realizar

reconocimiento en servidores SMTP.

 La configuración adecuada de SMTP es crucial para la seguridad

del correo electrónico.

Protocolo Simple de Gestión de Red (SNMP)

El Protocolo Simple de Gestión de Red (SNMP) es esencial para la gestión

de dispositivos de red. SNMP permite a los atacantes acceder a
información crítica sobre la red si se explota correctamente.
  SNMP utiliza puertos UDP 161 y 162 para la gestión de
dispositivos.

 La información se almacena en una base de datos jerárquica

llamada MIB.

 SNMPv1 tiene seguridad deficiente, utilizando cadenas de

comunidad en texto claro.

 Herramientas como snmpcheck y onesixtyone pueden ser

utilizadas para recolectar información y crackear cadenas de
comunidad.

 La explotación de SNMP puede permitir a los atacantes acceder a

configuraciones de red y datos sensibles.

Protocolo de Transferencia de Hipertexto (HTTP)

El Protocolo de Transferencia de Hipertexto (HTTP) es la base de la

comunicación en la web. HTTP permite la transferencia de datos entre
clientes y servidores, pero es vulnerable a ataques si no se utiliza HTTPS.

 HTTP utiliza un modelo de solicitud-respuesta para la

comunicación.

 Los métodos HTTP incluyen GET, POST, HEAD, TRACE y OPTIONS.

 Los códigos de estado HTTP indican el resultado de las solicitudes.

 HTTPS proporciona una capa de seguridad mediante cifrado.

 Los proxies HTTP pueden controlar y filtrar el tráfico web.

Hacking de Aplicaciones Web con Burp Suite

Burp Suite es una herramienta poderosa para realizar pruebas de

penetración en aplicaciones web. Permite a los atacantes interceptar y
manipular el tráfico para explotar vulnerabilidades en la autenticación.

 Burp Suite se utiliza para pruebas de autenticación y ataques de

fuerza bruta.

 Los ataques pueden ser configurados como Sniper, Cluster Bomb,

Pitch Fork o Battering Ram.

 La identificación de anomalías en las respuestas puede indicar un

inicio de sesión exitoso.
  La herramienta permite realizar ataques complejos combinando
listas de usuarios y contraseñas.

 Burp Suite es esencial para los pentesters de aplicaciones web.

Hacking de Automóviles y Vulnerabilidades

El hacking de automóviles se ha convertido en un área crucial debido a

la creciente complejidad electrónica de los vehículos. A medida que
avanzamos hacia la era de los automóviles autónomos, la seguridad en
este ámbito se vuelve aún más crítica.

 La electrónica en los automóviles los hace vulnerables a ataques.

 El protocolo más utilizado es el Controller Area Network (CAN), que

permite la comunicación entre microcontroladores.

 CAN opera como una red de tipo broadcast, donde todos los nodos
pueden ver todas las transmisiones.

 Existen cuatro tipos de mensajes en CAN: Data Frame, Remote

Frame, Error Frame y Overload Frame.

Protocolo CAN y su Funcionamiento

El protocolo CAN, desarrollado por Bosch, es fundamental para la

comunicación en vehículos. Su diseño robusto permite la interacción
entre múltiples dispositivos sin necesidad de un ordenador central.

 CAN fue estandarizado como ISO 11898-1 y ISO 11898-2 en 1986.

 Utiliza señalización diferencial para reducir el ruido en entornos

automotrices.

 Los mensajes CAN pueden ser de tipo estándar (11 bits) o

extendido (29 bits).

 La falta de seguridad en CAN lo hace susceptible a ataques de

spoofing y MitM.

Herramientas de Hacking: can-utils

Las herramientas can-utils permiten interactuar con la red CAN de un

vehículo desde un sistema Linux. Estas herramientas son esenciales
para el análisis y manipulación de los mensajes CAN.

 Se pueden instalar en sistemas basados en Debian usando apt-

get.
  Incluyen herramientas como candump, cansend, canplayer y
cansniffer.

 Permiten capturar, enviar y reproducir tráfico CAN.

Configuración de una Red CAN Virtual

Para practicar el hacking de automóviles, se puede configurar una red

CAN virtual en Linux. Esto permite simular el tráfico CAN sin necesidad
de un vehículo físico.

 Se utiliza el módulo vcan para crear una interfaz virtual.

 Comandos como ip link add dev can0 type vcan se utilizan para
configurar la red.

 Se puede verificar la conexión usando ifconfig.

Simulación de Hacking de Automóviles

Se puede utilizar un simulador de CAN para practicar el hacking de

vehículos. Esto incluye la captura y análisis de mensajes CAN en un
entorno controlado.

 Se recomienda instalar dependencias como libsdl2-dev.

 El simulador permite observar y manipular el tráfico CAN en

tiempo real.

 Herramientas como cansniffer y candump son útiles para

identificar y reproducir mensajes.

Ataques de Spoofing y Control de Vehículos

Los ataques de spoofing en la red CAN pueden permitir el control no

autorizado de un vehículo. Esto incluye la manipulación de funciones
críticas como la aceleración y el desbloqueo de puertas.

 Se pueden enviar paquetes CAN específicos para controlar

funciones del vehículo.

 Un script simple puede enviar paquetes continuamente para tomar

control del vehículo.

 La vulnerabilidad en el sistema CAN permite que un atacante

envíe comandos sin autenticación.

Hacking de Llaves de Proximidad

Los sistemas de entrada sin llave son vulnerables a ataques de
amplificación de señal. Esto permite a los atacantes desbloquear
vehículos sin necesidad de la llave física.

 El ataque de Relay amplifica la señal de la llave para engañar al

vehículo.

 Funciona en la mayoría de los vehículos fabricados antes de 2014.

 La seguridad de estos sistemas es a menudo insuficiente,

permitiendo el acceso no autorizado.

Seguridad en Sistemas SCADA/ICS

Los sistemas SCADA/ICS son críticos para la infraestructura industrial y

son vulnerables a ataques cibernéticos. La comprensión de los
protocolos de comunicación es esencial para la seguridad.

 Protocolos como Modbus y DNP3 son comunes en sistemas SCADA.

 La falta de autenticación y cifrado en Modbus lo hace vulnerable a

ataques.

 Herramientas como modbus-cli permiten la explotación de estos

sistemas.

Radiofrecuencia y SDR en Hacking

El uso de radiofrecuencia y SDR (Software Defined Radio) abre nuevas

oportunidades para el hacking. Esto incluye la interceptación de señales
y la manipulación de comunicaciones.

 SDR permite recibir y transmitir señales de radio con un

ordenador.

 Herramientas como RTL-SDR y HackRF son populares para el

hacking de RF.

 Los ataques pueden incluir sniffing, replay y spoofing de señales.

Intercepción de Comunicaciones Aéreas

Con SDR, es posible interceptar comunicaciones de aeronaves. Esto

incluye la escucha de diálogos entre controladores de tráfico aéreo y
pilotos.

 Las comunicaciones aéreas utilizan frecuencias AM en bandas VHF.

  Se pueden utilizar herramientas como dump1090 para rastrear
vuelos en tiempo real.

 La intercepción de estas señales es un ejemplo del potencial de

SDR en la ciberseguridad.

Spoofing de GPS para Ocultar Ubicación

El spoofing de señales GPS permite ocultar la ubicación real de un

dispositivo. Esto puede ser útil en situaciones de seguridad o evasión.

 Se puede utilizar HackRF para enviar señales GPS falsas.

 La simulación de movimiento puede hacerse para evitar

detecciones.

 Este tipo de ataque es relevante en contextos de guerra y

seguridad.

Conclusión

El hacking de automóviles y sistemas SCADA/ICS representa un campo

crítico en la ciberseguridad moderna. La comprensión de los protocolos y
herramientas es esencial para proteger y explotar estos sistemas.