Friday, 16 October 2015
¿CÓMO ESCANEAR TODO INTERNET 3.7 MIL MILLONES DE IP’S EN POCOS MINUTOS?
23:39
No comments
Profesionales de hacking ético y servicios de auditoría de
seguridad informática normalmente usan escáner para revisar la seguridad.
Escaneo de todas las direcciones IP en Internet no es un trabajo fácil, y si
usted no tiene los recursos de un botnet, un simple escaneo puede tomar meses.
Va a ser muy difícil, si usted quiere tomar una grande foto de internet porque
hacer un escaneo de las redes de internet ha tomado típicamente semanas o meses
para terminar. Sin embargo, ahora esto es posible, explica expertos de
servicios de seguridad informática con la ayuda de nuevas herramientas como
ZMap, Masscan y otras. En este artículo vamos a cubrir diferentesherramientas
avanzadas y muy rápidas de escaneo de puertos.
ZMap
ZMap
está diseñado para ejecutar escaneos generalizados del espacio de direcciones
IPv4 o gran parte de ellas. Es una poderosa herramienta para los investigadores
de servicios de auditoría de seguridad informática, y se puede escanear el
espacio de direcciones IPv4 entero con más de 1.4 millones de paquetes por
segundo.
ZMap no
pretende reemplazar los escáneres generales como Nmap, cual es excelente para
el escaneo de subredes en profundidad. ZMap está diseñado para hacer un escaneo
superficial – por lo general de un solo puerto o servicio – de todo el
Internet, o al menos el Internet IPv4, desde una sola computadora dedicada, en
menos de una hora. Ame Wilson, una consultara de servicios de auditoría de
seguridad informática menciona que ZMap
es capaz de escanear el espacio de direcciones públicas IPv4 más de 1300 veces
más rápido que el Nmap.
ZMAP es competente de trabajar tan rápido porque utiliza grupos
de cíclicos multiplicativos. ZMap ha sido diseñado para conseguir el paralelismo
y el rendimiento. En primer lugar, es completamente sin estado, lo que
significa que no conserva un estatus por conexión. En lugar de mantener una
lista gigante de paquetes enviados, y el tiempo que han estado ahí, y cuánto
más tiempo debe esperar para cada uno, y cuidadosamente actualización de la
lista con cada respuesta; ZMAP simplemente deja todo eso a través de grupos de
cíclicos multiplicativos explica Ame Wilson, consultara de servicios de
auditoría de seguridad informática.
En segundo lugar, envía en paralelo tantos paquetes como la red
lo permite, con el fin de lograr la mayor tasa posible. Los paquetes se envían
en un orden aleatorio, por lo que si mucha gente hacen juntos no haya un ataque
DDOS, de esta manera se reduce la probabilidad de sobrecarga de una única red.
Aunque cada paquete sucesivo sigue una estricta secuencia algorítmica, los
números IP rebotan en todo el espacio de direcciones IPv4. Como resultado,
usted no recibe cientos o miles de paquetes que convergen en una sola subred al
mismo tiempo.
Debido
a estas razones con ZMAP podemos escanear alrededor de 3.7 billones de
direcciones en las direcciones IPv4, en una hora así que con ZMAP realmente
puede revisar todo el Internet.
Por defecto, ZMap
realizará un escaneo SYN TCP en el puerto especificado a la máxima velocidad
posible. Una configuración más conservadora que escaneará 10,000 direcciones
aleatorias en el puerto 80 en un máximo 10 Mbps se puede ejecutar de la
siguiente manera:
$ ZMap –bandwidth=10M –target-port=80 –max-targets=10000
–output-file=results.csv
ZMap puede utilizarse
también para explorar bloques CIDR o subredes específicas. Por ejemplo, para
escanear sólo 10.0.0.0/8 y 192.168.0.0/16 en el puerto 80, ejecute:
ZMap -p 80 -o results.csv 10.0.0.0/8 192.168.0.0/16
Acuerdo con experto de
servicios de seguridad informática, por defecto, ZMap entregará una lista de
direcciones IP distintas que respondieron correctamente (por ejemplo con un
paquete SYN ACK). Le recomendamos utilizar un archivo de lista negra, para excluir
tanto el espacio IP reservado/asignado (por ejemplo, multicast, RFC1918), así
como las redes que soliciten ser excluidos de escaneos. Por defecto, ZMap
utilizará un archivo de lista negra simple que contiene direcciones reservadas
y no asignadas en /etc/ZMap/blacklist.conf.
MASSCAN : Escáner
puertos de muchas IP’s
Este es el escáner de puertos de Internet más rápido, ya
que puede escanear todo el Internet en menos de 6 minutos con la transmisión de
10 millones de paquetes por segundo, acuerdo con profesor de hacking ético. Produce resultados
similares a Nmap y utiliza transmisión asíncrona. La principal diferencia es
que esa herramienta es más rápido que los otros escáneres. Además, es más
flexible, permitiendo rangos de direcciones arbitrarias y rangos de puertos.
Masscan utiliza una pila TCP/IP personalizada y eso significa que algo que no
sea escaneo de puertos simples causará variación con la pila TCP/IP local. Esto
significa que usted tiene que utilizar la opción -S para utilizar una dirección
IP independiente, o configurar su sistema operativo para usar cortafuegos en
los puertos que Masscan usa.
Aunque Linux es la
plataforma principal para esa herramienta, el código funciona bien en muchos
otros sistemas como.
§
Windows w/ Visual Studio
§
Windows w/ MingGW
§
Windows w/ cygwin
§
Mac OS X /w XCode
§
Mac OS X /w cmdline
§
FreeBSD
Para ir más allá de 2
millones de paquetes por segundo, necesita un adaptador de Ethernet de 10 gbps
de Intel y un driver especial conocido como “PF_RING ADN”. Masscan no necesita
ser reconstruido con el fin de utilizar PF_RING. Para utilizar PF_RING, es necesario
construir los siguientes componentes:
§
libpfring.so (instalado en /usr/lib/libpfring.so)
§
pf_ring.ko (su controlador de kernel)
§
ixgbe.ko (su versión del controlador de Ethernet de 10 gbps de
Intel)
Masscan puede hacer algo más que detectar si los puertos están
abiertos explica expertos de servicios de seguridad
informática. También puede completar la conexión TCP y la
interacción con la aplicación en dicho puerto con fin de agarrar la información
de “banner”. El problema con esto es que Masscan contiene su propia pila TCP /
IP separada del sistema se ejecuta en. Cuando el sistema local recibe un
SYN-ACK desde el objetivo, responde con un paquete RST que mata la conexión
antes de Masscan puede agarrar banner. La forma más fácil de evitar esto es
asignar Masscan una dirección IP independiente.
Cómo escanear todo Internet
Mientras que es útil para redes más pequeñas y redes internas,
el programa está diseñado realmente con todo Internet en mente
#
Masscan 0.0.0.0/0 -p0-65535
Escaneo de todo el Internet es malo. Por un lado, las partes de
Internet reaccionan mal a analizarlos. Por otro lado, algunos sitios siguen a
los escaneos y se suman su IP en una lista de prohibiciones, que le llevará,
cortafuegos de partes útiles de Internet. Por lo tanto, recomendamos excluir
una gran cantidad de rangos. Para la lista negra o excluir rangos, puede
utilizar la siguiente sintaxis:
#
Masscan 0.0.0.0/0 -p0-65535 –excludefile exclude.txt
Scanrand
Scanrand es un escáner de puerto de alta velocidad y
route-tracer explica profesor de hacking ético de international institute o
cyber security. Su alta eficiencia en la exploración se encuentra en su esquema
de trabajo en particular. Es un escáner de red rápido que puede escanear hosts
individuales hasta las redes muy grandes de manera eficiente. Scanrand puede
hacer lo que se llama el escaneo TCP sin estado, que lo distingue de los otros
escáneres de red. Scanrand toma un poco de enfoque diferente del escáner de red
típico. Se implementa “dispara y olvida” ideología para escanear mezclando con
un poco de matemáticas.
Scanrand
se divide sí en dos procesos. Un proceso es responsable de hacer nada más que
el envío de paquetes SYN usando libnet. El otro proceso es responsable de
recibir las respuestas de los equipos remotos enviados utilizando libpcap. Una
cosa importante a tener en cuenta es que estos procesos funcionan de forma
independiente. No hay consultas con el otro proceso sobre “¿Usted envía este
paquete?” o, “¿ Esto es un paquete válido?” Scanrand guarda lista de
direcciones IP que están esperando una respuesta y el proceso de envío no
espera una respuesta en absoluto. Se dispara un SYN, y luego pasa a la
siguiente computadora dejando el proceso de recepción para resolver la
avalancha de las respuestas.
Unicornscan
Unicornscan es una herramienta de código abierto (GPL) diseñada
para ayudar en la recopilación de información y auditoría de seguridad. No se
puede negar que Nmap establece el estándar para la exploración de puertos en
Windows y sistemas UNIX. Sin embargo escaneo UDP y TCP (65k puertos) tardan
mucho tiempo para terminar. Hay otro escáner que sobresale en la velocidad;
Unicornscan es un escáner de puertos asincrónico sin estado que implementa su
propia pila TCP / IP. Unicornscan pasa los puertos que se encuentra a Nmap y /
o Amap para seguir con análisis.
Mejores Prácticas
de Escaneo
Expertos de servicios
de auditoría de seguridad informática ofrecen estas sugerencias para los
investigadores que realizan escaneos en todo el Internet como directrices para
la buena ciudadanía de Internet.
§
Coordinar con los administradores de redes locales para reducir
los riesgos.
§
Verifique que los escaneos no abrumar a la red local o el
proveedor de internet.
§
Señalan la razón de los escaneos en las páginas web y entradas
de DNS de las direcciones del origen.
§
Explicar con claridad el objetivo y el alcance de los escaneos
en todas las comunicaciones
§
Proporcionar un medio simple de la exclusión voluntaria y honrar
las solicitudes con prontitud.
§
Llevar a cabo las exploraciones no más grande o más frecuente de
lo que es necesario para los objetivos de investigación.
§
Difundir el tráfico de exploración sobre las direcciones y
tiempo cuando sea posible.
No hace falta decir
que los investigadores de escaneos deben abstenerse de explotar
vulnerabilidades o acceder a los recursos protegidos, y debe cumplir con todos
los requisitos legales especiales en sus jurisdicciones.
Los problemas de
seguridad y problemas éticos
Como de costumbre, la
capacidad de descubrir casi instantáneamente las redes y computadoras que
tienen vulnerabilidades de seguridad puede ser una buena cosa para los
investigadores de sombrero blanco, pero pueda ser utilizado para el motivo malo
por los hackers. Estos son seguramente buenas herramientas y probablemente
serán adoptadas por muchos investigadores. Sin embargo, eso poderosos escáneres
de Internet podrían ser utilizados por los hackers para actividades maliciosas
como la detección y la explotación de las vulnerabilidades. La única cosa que
un atacante necesita es una máquina potente y una red con buen ancho de banda.
Hoy en día, estos requisitos se pueden satisfacer fácilmente mediante el
lanzamiento de una máquina virtual en la nube. La existencia de estas
herramientas demuestra también que la ventana de tiempo entre la presencia de
vulnerabilidad y su detección por los hackers es corta día a día. Por esta
razón, es importante asegurar adecuadamente su propia infraestructura.
Profesores de hacking ético recomiendan que estas
herramientas deban ser usadas con cuidado, sin invadir la privacidad de otra
persona como cualquiera puede usarlos.
Wednesday, 7 October 2015
Intercepción - ataques sobre comunicaciones satelital
01:05
No comments
En este artículo vamos a cubrir el ataque de hacking
satelital que ha sido utilizado por grupos de hackers desde muchos años. Este
ataque le proporcionará anonimato completo y así va a ser muy difícil por los
expertos informática forense para rastrearle. En el último artículo hablamos
acerca de la intercepción de tráfico por satélite y cubrimos los siguientes
temas.
1. Configuración de antena parabólica.
2. Diferentes satélites y frecuencias
correspondientes.
3. Diferentes programas para escanear frecuencias
satelitales.
4. Formas de interceptar el tráfico satelital.
5. Cómo tener conexión a internet por satélite,
televisión gratis y ataques básicos de piratería/hacking.
Con la ayuda de un software como DVB Snoop y
Wireshark podemos interceptar las comunicaciones por satélite y tomar una
descarga de datos, como comunicación no está cifrada explica Mike Stevens
experto de hacking ético y empresa de
seguridad informática. Después de seguir los pasos mencionados en el
artículo anterior, vamos a configurar antena parabólica apuntando al satélite
específico que emite el tráfico. Como sabemos que los paquetes no están
cifrados, utilizaremos DVB-Snoop junto a Wireshark para interceptar el tráfico.
Una vez que se identificamos una dirección IP de satélite que ruta a través del
enlace descendente del satélite, podemos empezar a interceptar los paquetes de
Internet a esta IP específica. Para interceptar los paquetes, podemos hacer
ataque de secuestro TCP fácilmente revela experto de empresa de auditoría
informática.
¿Qué es el ataque de secuestro TCP satelital?
Protocolo de Control de Transmisión (TCP) es un
protocolo muy importante de la capa de transporte. TCP es un protocolo
orientado a la conexión, lo que significa una conexión que se hace y se
mantiene hasta que los programas de aplicación en cada extremo hayan terminado
la comunicación. Este protocolo determina cómo dividir los datos de la
aplicación en paquetes que la red puede entregar. También se comunica con la
capa de red y gestiona el control de flujo. El protocolo TCP divide los datos
en paquetes, los numera y luego los envía de forma individual a la capa de IP
para la entrega. También gestiona la retransmisión y el reconocimiento de los
paquetes según expertos de empresa de seguridad informática. En el modelo de
comunicación Open Systems Interconnection (OSI), TCP cubre partes de la capa 4,
la capa de transporte, partes de la Capa 5 y la capa de sesión. TCP procesa
paquetes por número de secuencia y pone los paquetes fuera de orden en sus
lugares. El protocolo TCP es el único protocolo de la familia de protocolos
TCP/IP que soporta los mecanismos de paquetes adicionales, identificación de la
conexión y la autenticación. Eso explica por qué los protocolos de nivel de
aplicación, tales como SMTP, FTP, etc. utilizan TCP para obtener acceso remoto
a otras máquinas. Para la definición de los paquetes, la cabecera TCP consta de
dos campos de 32 bits que se utilizan como contadores de paquetes. Se denominan
número de secuencia y reconocimiento. Otro campo, llamado Bit de Control, es 6
bits de largo, y lleva los siguientes indicadores de comando y es muy
importante entender esos indicadores para hacer auditoría informática:
URG: Indicador de Urgencia
ACK: Indicador de Reconocimiento
PSH: Indicador de Empuje
RST: Indicador para Restablecer
SYN: Indicador para sincronizar los números de
secuencia
FIN: Indicador, cuando no hay más datos del
remitente
Durante el ataque secuestro TCP el hacker se hace
cargo de sesión de comunicación entre los diferentes usuarios haciéndose pasar
por el usuario autorizado. Una vez que se ha accedido a detalles de la sesión
del usuario, el hacker pueda enmascararse como el usuario y hacer cualquier
cosa que el usuario está autorizado a hacer en la red.
Métodos de secuestro TCP satelital
Existen diferentes métodos de secuestro TCP
satelital explica Dave Taylor experto de informática
forense y algunos de ellos son:
IP Spoofing (Falsificación de IP)
IP spoofing es una técnica utilizada para obtener
acceso no autorizado de la comunicación, donde los mensajes se envían por el
secuestrador a un ordenador con una dirección IP de un host de confianza.
Cuando el secuestrador ha suplantado con éxito una dirección IP, él / ella
determina el siguiente número de secuencia que el satélite espera e inyecta el
paquete RST con el mismo en la sesión TCP antes de que el cliente puede
responder. Así crea un estado no sincronizado. Los números de secuencia y ACK
ya no están sincronizados entre cliente y satélite y el secuestrador aprovecha
de esta situación para establecer la conexión como usuario de confianza explica
experto de empresa de auditoría informática.
Blind Hijacking (Secuestro Ciego)
Cuando el enrutamiento de origen está desactivado
y secuestrador no puede ver la respuesta del satélite. El secuestrador utiliza
secuestro ciego donde el secuestrador inyecta sus datos maliciosos en
comunicaciones interceptadas en una sesión TCP. Así, la palabra
"ciegos" porque el secuestrador puede enviar los datos o comandos,
pero no puede ver la respuesta. El secuestrador, básicamente,adivina las
respuestas del cliente y el satélite.
Man in the Middle (MiTM) (Interceptar Paquetes)
Esta técnica implica el uso de un analizador de
paquetes (sniffer) para interceptar la comunicación entre el cliente y el
satélite. Todos los datos entre los hosts fluyen a través de sniffer del
secuestrador y él es libre de modificar el contenido de los paquetes. Esta
técnica significa que los paquetes sean enviados a través de host del
secuestrador señala experto de empresa de
auditoría informática.
Por el secuestro de comunicación satelital los
hackers normalmente utilizan combinación de man in middle y ataque de IP
spoofing. Una comunicación normal TCP tiene un apretón de manos de 3 vías
usando paquete SYN de usuario por satélite, luego SYN + ACK del satélite al
usuario y, por último ACK del usuario al satélite.
Durante un ataque de
secuestro TCP, el hacker intercepta la comunicación y envía un paquete RST para
el usuario y se inicia la comunicación con el satélite con la dirección IP falsificada
del usuario.
Como hacer Secuestro TCP Satelital
Puede utilizar las siguientes herramientas para
hacer TCP Secuestro Satelital:
Hunt
Hunt (distribución binaria de Linux) es un
programa para entrometerse en una conexión TCP, revisarlo y reiniciarlo señala
experto de empresa de seguridad informática.
1) Con Hunt, podemos hacer la gestión de
conexiones y detectar una conexión permanente. Hunt permite secuestro activo
con la detección de ACK, ARP spoof y la sincronización del cliente con el
satélite después de secuestro.
2) Con Hunt, podemos reiniciar el daemon para
restablecimiento de conexión automática y actuar como relay de daemon para ARP
spoof. Permite buscar información en el tráfico y la recolección de direcciones
MAC.
3) Hunt actúa como programa para resolver host DNS
y el motor de paquetes extensible para la observación de TCP, UDP, ICMP y el
tráfico ARP.
Shijack
Shijack es una herramienta de secuestro de
conexiones TCP para Linux, FreeBSD y Solaris. La herramienta requiere Libnet.
Es un código de fuente abierta y se puede utilizar para tomar el control de la
sesión TCP.
Scapy
Scapy es una poderosa herramienta de manipulación
de paquetes interactivo escrito en Python, y la mejor parte es que también
pueda ser utilizada como una biblioteca en programas Python, que proporciona la
pentester la capacidad de crear su propia herramienta basada en la exigencia.
Scapy nos permite interceptar crear, enviar y paquetes rebanada modificados
para hacking y el análisis de informática forense.
Juggernaut
Juggernaut es básicamente un sniffer de red, que
también puede ser utilizado para secuestrar sesiones TCP. Se ejecuta en Linux y
tiene un módulo Trinux también. Juggernaut puede ser activado para ver todo el
tráfico de red en la red local, o se pueda configurar para escuchar un
"token" especial. De esta manera, esta herramienta puede ser
utilizada para capturar ciertos tipos de tráfico y puede funcionar durante unos
días, y luego el atacante sólo tiene que recoger el archivo de registro que
contiene el tráfico registrado.
En el próximo artículo vamos a cubrir más sobre
ataques de hacking más avanzados que involucran satélites, también pueden
aprender durante curso avanzado de hacking ético de International Institute of
Cyber Security. Este artículo es sólo con fines educativos.