Ataque SYN El "ataque SYN" (tambin denominado "inundacin TCP/SYN") consiste en saturar el trfico de la red (denegacin de servicio) para

aprovechar el mecanismo de negociacin de tres vas del protocolo TCP. Dicho mecanismo permite que cualquier conexin a Internet "segura" (una que utiliza el protocolo TCP) se realice.

Cuando un cliente establece una conexin con un servidor, enva una solicitud SYN; el servidor responde con un paquete SYN/ACK y el cliente valida la conexin con un paquete ACK (reconocimiento). No es posible establecer una conexin TCP hasta haber finalizado estas tres vas. El ataque SYN consiste en enviar una gran cantidad de solicitudes SYN a travs de un ordenador con una direccin IP inexistente o no vlida. En consecuencia, el equipo de destino no puede recibir un paquete ACK. Los equipos vulnerables a los ataques SYN dejan las conexiones abiertas en cola en una estructura de memoria de datos y aguardan la recepcin de un paquete ACK. Existe un mecanismo de caducidad que posibilita rechazar los paquetes una vez transcurrido un determinado perodo de tiempo. No obstante, cuando la cantidad de paquetes SYN es bastante considerable, si el equipo de destino utiliza todos los recursos para almacenar las solicitudes en cola, corre el riesgo de volverse inestable, lo que puede provocar la cada o el reinicio del sistema Funcionamiento : Rastreo de puertos TCP SYN scan Un rastreador de puertos enva muchos paquetes SYN a la mquina que se est probando, y mira de qu forma regresan los paquetes para ver el estado de los puertos en el destino, interpretndolos de la siguiente forma: - Si al enviar un paquete SYN a un puerto especfico, el destino devuelve un SYN/ACK, el puerto est abierto y escuchando conexiones. - En otro caso, si regresa un paquete RST, el puerto est cerrado. - Por ltimo, si no regresa el paquete, o si se recibe un paquete ICMP Port Unreachable, el puerto est filtrado por algn tipo de cortafuegos. Haciendo este procedimiento para una lista de puertos conocidos, se logra obtener un informe de estado de los puertos de la mquina probada.

Rastreo de puertos UDP Aunque el protocolo UDP no est orientado a la conexin, es posible realizar un escaneo. No tiene un paquete SYN como el protocolo TCP, sin embargo si un paquete se enva a un puerto que no est abierto, responde con un mensaje ICMP Port Unreachable. La mayora de los escners de puertos UDP usan este mtodo, e infieren que si no hay respuesta, el puerto est abierto. Pero en el caso que est filtrado por un firewall, este mtodo dar una informacin errnea. Una opcin es enviar paquetes UDP de una aplicacin especfica, para generar una respuesta de la capa de aplicacin. Por ejemplo enviar una consulta DNS. Otra explicacin Paquetes SYN/ACK y NEW Ciertos ataques de "camuflaje" (spoofing) TCP emplean una tcnica llamada Prediccin de Secuencia Numrica (Sequence Number Prediction). En llos el atacante simula la direccin IP de otra mquina, mientras ataca a alguien e intenta predecir la secuencia numrica empleada por el ordenador al que est suplantando. Veamos un caso tpico. "Jugadores": atacante [A], intentando enviar paquetes a la vctima [V], e intentando hacerse pasar por otra mquina [O] (otro host). [A] le enva un SYN a [V] con la direccin IP de origen de [O]. [V] responde a [O] con un SYN/ACK. Entonces [O] debera responder a un SYN/ACK desconocido con un RST y entonces el ataque no tendra xito, pero asumamos que [O] no est operativo (est desbordado, apagado o tras un cortafuegos que ha rechazado los paquetes). Si [O] no se interpone entre [A] y [V], entonces [A] podr "hablar" con [V] hacindose pasar por [O], siempre que pueda predecir la secuencia de nmeros correcta. Mientras no enviemos el paquete RST en respuesta al SYN/ACK desconocido en el paso 3, permitiremos que [V] sea atacado y nos echen la culpa a nosotros. As pues, ser pura cortesa enviar adecuadamente el RST a [V]. Si utilizas las reglas "NEW not SYN" (explicadas antes) en tu conjunto de reglas, los paquetes SYN/ACK sern desechados. Por llo se aaden las siguientes reglas en la cadena bad_tcp_packets, justo antes de las reglas "NEW not SYN": iptables -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK \ -m state --state NEW -j REJECT --reject-with tcp-reset

Gracias a llo, las posibilidades de ser [O] son relativamente pequeas, al tiempo que son unas reglas seguras en casi todos los casos, excepto cuando ejecutas varios cortafuegos redundantes, en los que los unos se hacen cargo a menudo de los flujos de datos de los otros. En este caso algunas conexiones pueden ser bloqueadas, incluso si son legtimas. Esta regla tambin permite que algunos exploradores de puertos (portscanners) sean capaces de ver nuestro cortafuegos, pero no sern capaces de averiguar mucho ms que sto (que el cortafuegos est ah).