Módulo 3: Atacar la

Fundación
Fundamentos de Ciberseguridad 3.0
Objetivos del Módulo
Título del módulo: Atacar la Fundación
Objetivo del Módulo: Explicar como las vulnerabilidades TCP/IP permiten que se ejecuten ataques a las
redes.
Título del Tema Objetivo del Tema

Detalles de la PDU de IP Explicar la estructura del Encabezado IPv4 e IPv6.

Explicar cómo las vulnerabilidades de IP permiten los ataques a
Vulnerabilidades de IP
redes.
Vulnerabilidades de TCP y Explicar cómo las vulnerabilidades de TCP y UDP permiten los
UDP ataques a redes.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 10
3.1 Detalles de la PDU de IP

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 11
Detalles de la PDU de IP
IPv4 e IPv6
IP fue diseñado como un protocolo sin conexión de Capa
3:
• Entrega paquetes desde el host hasta el destino a
través de un sistema interconectado de redes.
• No fue diseñado para rastrear ni administrar el flujo
de paquetes.
• Si es necesario, TCP realiza principalmente estas
funciones en la Capa 4.

IP no valida si la dirección IP de origen en un paquete

proviene de esa fuente.
• Los actores de amenazas pueden enviar paquetes
utilizando una dirección IP de origen falsificada y
manipular otros campos en el encabezado de IP
para llevar a cabo sus ataques.
• Los analistas de seguridad deben entender los
diferentes campos en los encabezados IPv4 e IPv6.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 12
Detalles de la PDU de IP
El Encabezado del Paquete IPv4
Campo del encabezado de IPv4 Descripción
Versión Contiene un valor binario de 4 bits establecido en "0100" que lo identifica
como un paquete de IPv4.
Longitud del Encabezado de Internet Un campo de 4 bits que contiene 20 bytes es la longitud mínima del
encabezado IP.
Servicios Diferenciados o DiffServ (DS) El campo DS es un campo de 8 bits que se utiliza para determinar la prioridad
de cada paquete. Los seis bits más significativos del campo DS son el Punto
de Código de Servicios Diferenciados (DSCP, Differentiated Services Code
Point). Los dos últimos bits son los bits de Notificación de Congestión
Explícita (ECN, Explicit Congestion Notification).
Longitud total Especifique la longitud del paquete IP (encabezado IP + datos de usuario). El
campo de longitud total es de 2 bytes, por lo que el tamaño máximo de un
paquete IP es de 65,535 bytes; sin embargo, los paquetes son mucho más
pequeños en la práctica.
Identificación, Indicador y Desplazamiento de A medida que un paquete IP se moviliza, es posible que deba cruzar una ruta
fragmentos que no es capaz de manejar el tamaño total del paquete. El paquete se
dividirá, o fragmentará, en paquetes más pequeños y se rearmará más
adelante.
Estos campos se utilizan para fragmentar y rearmar los paquetes.
© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 13
Detalles de la PDU de IP
El Encabezado del Paquete IPv4 (continuación)
Campo del Encabezado de Descripción
IPv4
Tiempo de vida (TTL) Un binario de 8 bits limita la vida útil de un paquete. El emisor del paquete establece el valor
inicial de TTL que se reduce en uno cada vez que un router procesa el paquete. Si el campo TTL
llega a cero, el router descarta el paquete y envía a la dirección IP de origen un mensaje de
Tiempo Superado del protocolo ICMP.
Protocolo Identifica el protocolo del siguiente nivel. Este valor binario de 8 bits indica el tipo de carga de
datos que lleva el paquete, lo que permite que la capa de red transmita los datos al protocolo de
capa superior apropiado.
Checksum del encabezado Un valor calculado basado en el contenido del encabezado IP determina cualquier error
introducido en la transmisión.
Dirección IPv4 de Origen Contiene un valor binario de 32 bits que representa la dirección IPv4 de origen del paquete. La
dirección IPv4 de origen siempre es una dirección de unicast.
Dirección IPv4 de Destino Contiene un valor binario de 32 bits que representa la dirección IPv4 de destino del paquete.
Opciones y Relleno Este es un campo que varia la longitud de 0 a un múltiplo de 32 bits Si los valores de Opción no
son un múltiplo de 32 bits, se agregan los ceros necesarios para convertir el contenido de ese
espacio en un múltiplo de 32 bits

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 14
Detalles de la PDU de IP
Video - Ejemplos de Encabezados IPv4 en Wireshark
Este video cubrirá lo siguiente:

• Una demostración de cómo examinar los encabezados de IPv4 en una captura de Wireshark
• La información de la capa de red en una captura de paquetes Wireshark
• Identificar la dirección IP de origen, la versión, la longitud del encabezado, el campo DS, las
banderas y el TTL en cada paquete IPv4.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 15
Detalles de la PDU de IP
El Encabezado del Paquete IPv6
Campos del encabezado de Descripción
IPv6
Versión Este campo contiene un valor binario de 4 bits establecido en "0110" que lo identifica como un
paquete IPv6.
Clase de Tráfico Este campo de 8 bits es equivalente al campo Differentiated Services (DS) de IPv4
Etiqueta de Flujo Este campo de 20 bits sugiere que todos los paquetes con la misma etiqueta de flujo sean
manejados de la misma manera por los routers
Longitud de la Este campo de 16 bits indica la longitud de la porción de datos o de la payload (carga útil) del
payload(carga útil) paquete IPv6.
Próximo encabezado Este campo de 8 bits es equivalente al campo "Protocolo" de IPv4. Es un valor que indica el tipo
de contenido de datos que lleva el paquete, lo que permite que la capa de red transmita la
información al protocolo de capa superior apropiado.
Límite de Saltos Este campo de 8 bits sustituye el campo TTL de IPv4. Este valor disminuye en un valor de 1 por
cada enrutador que reenvía el paquete. Cuando el contador llega a 0, el paquete se descarta y se
reenvía un mensaje ICMPv6 Tiempo Excedido al host de envío, lo que indica que el paquete no
llegó a su destino (el límite máximo de saltos).
Dirección IPv6 de Origen Este campo de 128 bits identifica la dirección IPv6 de origen del host emisor.
Dirección IPv6 de Destino Este campo de 128 bits identifica la dirección IPv6 del host receptor.
© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 16
Detalles de la PDU de IP
Video - Ejemplos de Encabezados IPv6 en Wireshark
Este video cubrirá lo siguiente:

• Investigar un panorama de amenazas y 3 vulnerabilidades que pueden ser explotadas por

los actores de amenazas
• Explorar una vulnerabilidad que resulta de un dispositivo que no está configurado
correctamente con las mejores prácticas de seguridad.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 17
3.2 Vulnerabilidades de IP

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 18
Vulnerabilidades de IP
Vulnerabilidades de IP
Ataques de IP Descripción
Ataques de ICMP Los actores de amenazas utilizan paquetes de eco ICMP (pings) para
descubrir subredes y hosts en una red protegida, para generar ataques
de inundación DoS y para alterar las tablas de enrutamiento de host.
Ataques de Denegación de Servicios (DoS) Los atacantes intentan impedir que usuarios legítimos tengan acceso a
información o servicios.
Ataques de Denegación de Servicios Distribuida Similar a los ataques DoS, pero es llevado a cabo mediante un ataque
(DDoS) simultáneo y coordinado desde varias máquinas de origen.
Ataques de Suplantación de Dirección Los actores de amenazas falsifican la dirección IP de origen (spoofing)
para realizar una suplantación de identidad ciega o no ciega.
Ataques Man-in-the-middle (MiTM) Los atacantes se posicionan entre un origen y un destino para
monitorear, capturar y controlar la comunicación en forma transparente.
Ellos simplemente pueden monitorear pasivamente (eavesdropping),
inspeccionando paquetes capturados o alterarlos y reenviarlos a su
destino original.
Secuestros de sesiones Los atacantes obtienen acceso a la red física y, luego, usan un ataque de
tipo MiTM para secuestrar una sesión.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 19
Vulnerabilidades de IP
Ataques ICMP
ICMP transporta mensajes de diagnóstico e informa sobre
condiciones de error cuando las rutas, los hosts y los puertos
no están disponibles.
• Los mensajes de ICMP son generados por los dispositivos
cuando ocurre un error o una interrupción en la red.
• El comando ping es un mensaje de ICMP generado por el
usuario (solicitud de eco), y se usa para comprobar la
conectividad a un destino.

Los agentes de amenaza utilizan el ICMP para los ataques de

reconocimiento y análisis.
• Esto les permite iniciar ataques de recopilación de
información para conocer la disposición de una topología
de red, detectar qué hosts están activos (dentro del
alcance), identificar el sistema operativo del host
(identificación del SO) y determinar el estado de un
firewall.

Los atacantes también utilizan ICMP para realizar ataques

DoS y DDoS, como se muestra en el ataque de saturación de
ICMP en la imagen.© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
Vulnerabilidades de IP
Ataques de ICMP( continuación)

Mensaje ICMP Descripción

Solicitud de eco y respuesta de eco de Esto se utiliza para realizar la verificación del host y los ataques DoS.
ICMP
ICMP inalcanzable (unreachable) Esto se utiliza para realizar ataques de reconocimiento y escaneo de la red.
Respuesta de máscara ICMP (mask reply) Mapea una red IP interna.
Redireccionamientos ICMP (redirects) Se utiliza para lograr que un host objetivo envíe todo el tráfico a través de un
dispositivo comprometido y crear un ataque de MiTM.
Detección de enrutadores ICMP (router Esto se utiliza para inyectar entradas de rutas falsas en la tabla de enrutamiento
discovery) de un host objetivo.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 21
Vulnerabilidades de IP
Video - Ataques de Amplificación, Reflexión, y Suplantación (Spoofing)
Este video cubrirá lo siguiente:

• Explicar el ataque de amplificación, reflexión y suplantación de identidad.

• Identificar y abordar la diferencia entre la suplantación de identidad con visibilidad y los ataques
de suplantación de identidad ciega

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 22
Vulnerabilidades de IP
Ataques de Reflexión y Amplificación

• Los actores de amenazas a menudo usan

técnicas de amplificación y reflexión para
crear ataques DoS.

• La figura muestra como una técnica de

amplificación y reflexión llamada "Smurf
attack" es utilizada para abrumar o
sobrecargar a un objetivo.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 23
Vulnerabilidades de IP
Ataques de Suplantación de Direcciones
Los ataques de suplantación de direcciones IP ocurren cuando un actor de amenazas crea paquetes
con información de dirección IP de origen falso para ocultar la identidad del remitente o hacerse
pasar por otro usuario legítimo.

Los ataques de suplantación (spoofing) pueden ser a ciegas (blind) o con visibilidad (non-blind):

• Suplantación de identidad con visibilidad - El actor de amenazas puede ver el tráfico enviado
entre el host y el objetivo. El atacante usa este tipo de suplantación para inspeccionar el paquete
de respuesta del objetivo.
• Suplantación de identidad a ciegas - El actor de amenazas no puede ver el tráfico enviado entre
el host y el objetivo. Este tipo de suplantación se utiliza en ataques de DoS.

Los ataques de suplantación de dirección MAC se utilizan cuando los agentes de amenaza tienen
acceso a la red interna. Los atacantes cambian la dirección MAC de su host para que coincida con
otra dirección MAC conocida de un host de destino.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 24
Vulnerabilidades de IP
Ataques de Suplantación de Direcciones (continuación)

• El switch sobrescribe la entrada

actual de la tabla CAM y asigna
la dirección MAC al nuevo
puerto, como se muestra en la
figura.

• Luego, reenvía las tramas

destinadas al host objetivo,
hacia el host atacante.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
3.3 Vulnerabilidades de TCP y
UDP

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 26
Vulnerabilidades de TCP y UDP
Encabezado de segmento TCP

• La información de segmento de TCP

aparece inmediatamente después
del encabezado de IP.

• Los campos del segmento TCP y los

indicadores del campo Bits de
Control se muestran en la figura.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 27
Vulnerabilidades de TCP y UDP
Servicios TCP
TCP ofrece los siguientes servicios:

Entrega confiable
• TCP incorpora acuses de recibo para garantizar la entrega, en lugar de confiar en los protocolos
de capa superior para detectar y resolver errores.
• Si no se recibe un acuse de recibo oportuno, el emisor retransmite los datos.
• Requerir acuses de recibo de los datos recibidos puede causar retardos sustanciales.

Control de flujo
• TCP implementa el control de flujo para abordar este problema. En lugar de acusar recibo de un
segmento a la vez, se acusan recibo de múltiples segmentos simultáneamente.

Comunicación con estado

• La comunicación TCP con estado entre 2 partes ocurre durante la comunicación de "intercambio
de señales de tres vías" de TCP (three-way handshake).
• Antes de la transferencia de datos mediante TCP, una comunicación de "intercambio de señales
de tres vías" habilita la conexión TCP.
• Si ambas partes aceptan la conexión TCP, pueden enviar y recibir datos utilizando TCP.
© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 28
Vulnerabilidades de TCP y UDP
Servicios TCP (continuación)

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
Vulnerabilidades de TCP y UDP
Ataques de TCP
El ataque de Saturación de SYN de TCP ataca la
comunicación tridireccional de TCP.

• El actor de amenazas envía paquetes de solicitud

de sesión TCP SYN con una dirección IP de origen
falsificada aleatoriamente a un objetivo.
• El dispositivo de destino responde con un paquete
SYN-ACK de TCP a la dirección IP falsificada y
espera un paquete ACK de TCP.
• Las respuestas nunca llegan.
• Eventualmente, el host de destino niega a los
usuarios legítimos porque está abrumado con
conexiones TCP medio abiertas.
Ataques de TCP reset
• Termina las comunicaciones TCP entre dos hosts. TCP usa un intercambio de cuatro vías para
cerrar la conexión TCP usando un par de segmentos FIN y ACK de cada extremo TCP.
• Una conexión TCP termina abruptamente cuando recibe un bit RST, que interrumpe la conexión
TCP e informa al host receptor que deje de usar la conexión TCP inmediatamente.
© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 30
Vulnerabilidades de TCP y UDP
Ataques de TCP (continuación)
La finalización de una sesión TCP utiliza el siguiente proceso
de intercambio de cuatro vías:
1. Cuando el cliente no tiene más datos para enviar en la
transmisión, envía un segmento con el Flag "FIN"
establecido.
• El servidor envía un ACK para acusar recibo de la FIN,
luego finaliza la sesión del cliente al servidor.
1. El servidor envía un FIN al cliente para terminar la sesión
de servidor a cliente.
2. El cliente responde con un ACK para dar acuse de recibo
del FIN desde el servidor.

Secuestro de la sesión TCP

• El atacante toma el control de un host autenticado mientras se comunica con el objetivo.
• El actor de amenazas debe suplantar la dirección IP de un host, predecir el siguiente
número de secuencia y enviar un ACK al otro host.
• Si tiene éxito, el agente de amenaza puede enviar datos desde el dispositivo de destino,
aunque no puede recibirlos. © 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
Vulnerabilidades de TCP y UDP
Encabezado del segmento UDP y Funcionamiento

• UDP es comúnmente utilizado por DNS, DHCP, TFTP, NFS, y SNMP.

• También lo utilizan aplicaciones en tiempo real, como la transmisión multimedia o VoIP.

• UDP es un protocolo de capa de transporte sin conexión

• Tiene una sobrecarga mucho menor que TCP ya que no está orientado a la conexión y no
proporciona los mecanismos sofisticados de retransmisión, secuenciación y control del flujo que
ofrecen confiabilidad.

• La estructura del segmento UDP es mucho menor que la estructura del segmento TCP.

• Nota: UDP actualmente divide los datos en datagramas. Sin embargo, el término genérico
"segmento" se utiliza comúnmente

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 32
Vulnerabilidades de TCP y UDP
Encabezado del segmento UDP y Funcionamiento (continuación)
• Aunque UPD normalmente se llama poco confiable, en contraste con la confiabilidad de TCP, esto no
significa que las aplicaciones que usan UDP no siempre sean confiables, ni significa que UDP es un
protocolo inferior.
• Significa que estas funciones no las proporciona el protocolo de la capa de transporte, y se deben
implementar aparte si es necesario.
• La baja sobrecarga del UDP es muy deseable para los protocolos que realizan transacciones
simples de solicitud y respuesta.
• Por ejemplo, usar TCP para DHCP introduciría una cantidad innecesaria de tráfico de red. Si no se
recibe respuesta, el dispositivo reenvía la solicitud.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
Vulnerabilidades de TCP y UDP
Ataques de UDP
Cualquier encriptación no protege UDP. El cifrado se puede agregar a UDP, pero no está disponible
de forma predeterminada.

• La falta de encriptación permite que cualquiera vea el tráfico, lo modifique y lo envíe a su

destino.
• Si se cambian los datos en el tráfico, se modifica la suma de comprobación de 16 bits, pero dicha
suma es opcional y no siempre se usa.
• Cuando se utiliza checksum, el atacante puede crear una nueva suma basada en la nueva carga
útil de los datos, y registrarla en el encabezado como una nueva checksum.
• El dispositivo de destino verificará que la suma de comprobación coincide con los datos sin saber
que los datos se modificaron. Este tipo de ataque no es el más utilizado.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 34
Vulnerabilidades de TCP y UDP
Ataques de UDP (continuación)
Ataque de Saturación de UDP

• Un ataque de saturación UDP consume todos los recursos de una red.

• El atacante debe usar una herramienta como UDP Unicorn o Low Orbit Ion Cannon.
• Estas herramientas envían una avalancha de paquetes UDP, a menudo desde un dispositivo
suplantado, hacia un servidor en la subred.
• El programa barrerá todos los puertos conocidos para encontrar puertos cerrados, lo que hará
que el servidor responda con un mensaje de puerto ICMP inalcanzable.
• Debido a que hay muchos puertos cerrados en el servidor, esto crea mucho tráfico en el
segmento, el cual utiliza la mayor parte del ancho de banda. El resultado es muy similar al de un
ataque de DoS.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 35
3.4 Resumen de Atacar la
Fundación

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 36
Resumen de Atacar la Fundación
¿Qué Aprendí en este Módulo?
• IP es un protocolo de Capa 3 sin conexión. El encabezado IPv4 consta de varios campos, mientras que el
encabezado IPv6 contiene menos campos.
• Diferentes tipos de ataques tienen como objetivo IP, como ataques ICMP, ataques DoS, ataques DDoS,
ataques de suplantación de direcciones, ataques Man-in-the-middle (MiTM) y Secuestro de sesiones.
• ICMP transporta mensajes de diagnóstico e informa sobre condiciones de error cuando las rutas, los
hosts y los puertos no están disponibles.
• Los agentes de amenaza utilizan el ICMP para los ataques de reconocimiento y análisis, y para ataques
Dos y DDoS.
• Los actores de amenazas a menudo usan técnicas de amplificación y reflexión para crear ataques DoS.
• También usan ataques de agotamiento de recursos para consumir los recursos de un host de destino para
colapsar o consumir los recursos de la red.
• Los ataques de suplantación de direcciones IP ocurren cuando un actor de amenazas crea paquetes con
información de dirección IP de origen falso para ocultar la identidad del remitente o hacerse pasar por otro
usuario legítimo.
• Los ataques de suplantación de direcciónes pueden ser una spoofing a con visibilidad (non-blind) para
secuestrar una sesión o una spoofing a ciegas (blind) para crear un ataque DoS. Los ataques de
suplantación de dirección MAC se utilizan cuando los agentes de amenaza tienen acceso a la red
interna.
© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 37
Resumen de Atacar la Fundación
¿Qué Aprendí en este Módulo? (continuación)

• La información de segmento TCP y del datagrama UDP, aparece inmediatamente después del
encabezado de IP.
• TCP proporciona entrega confiable, control de flujo y comunicación con estado.
• La comunicación TCP con estado entre 2 partes ocurre durante la comunicación de "intercambio
de señales de tres vías" de TCP (three-way handshake).
• Los actores de amenazas pueden realizar ataques relacionados con TCP, como escaneos de
puertos TCP, ataques de Saturación TCP SYN, ataques de Reset de TCP y ataques de Secuestro
de Sesión TCP.
• El segmento UDP (es decir, datagrama) es mucho más pequeño que el segmento TCP, lo que
hace que sea muy conveniente para su uso por protocolos que hacen transacciones simples de
solicitud y respuesta como DNS, DHCP y SNMP.
• Los atacantes pueden llevar a cabo ataques de saturación UDP que analizan todos los puertos
UDP conocidos en un servidor, intentando encontrar puertos cerrados. Las acciones de los
actores de amenazas pueden crear una situación DoS.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 38