Docsity
Docsity

Prepara tus exámenes
Prepara tus exámenes

Prepara tus exámenes y mejora tus resultados gracias a la gran cantidad de recursos disponibles en Docsity


Consigue puntos base para descargar
Consigue puntos base para descargar

Gana puntos ayudando a otros estudiantes o consíguelos activando un Plan Premium


Orientación Universidad
Orientación Universidad


Gusanos de Red: Tipos, Funcionamiento y Detección, Monografías, Ensayos de Historia

Este documento ofrece una introducción a los gusanos de red, sus tipos, cómo funcionan y cómo se pueden detectar. El texto incluye casos históricos de gusanos como Morris, Code Red y Sasser, y explica cómo se propagan y cómo pueden ser detenidos. Además, se ofrecen recomendaciones para la detección de gusanos mediante Wireshark.

Tipo: Monografías, Ensayos

2021/2022

Subido el 10/10/2022

fuego.azul
fuego.azul 🇪🇸

4.4

(78)

73 documentos

1 / 7

Toggle sidebar

Esta página no es visible en la vista previa

¡No te pierdas las partes importantes!

bg1
Gusanos de red
Daniel González Figueroa, Rol 201404136-5;
Felipe Díaz Otárola, Rol 201321040-6;
Leonardo Solis Zamora, Rol 201104505-k
17 de agosto de 2017
Redes de computadores I ELO322, Grupo 7
1
pf3
pf4
pf5

Vista previa parcial del texto

¡Descarga Gusanos de Red: Tipos, Funcionamiento y Detección y más Monografías, Ensayos en PDF de Historia solo en Docsity!

Gusanos de red

Daniel González Figueroa, Rol 201404136-5 ;

Felipe Díaz Otárola, Rol 201321040-6 ;

Leonardo Solis Zamora, Rol 201104505-k

17 de agosto de 2017

Redes de computadores I – ELO322, Grupo 7

1. Resumen

Un malware (Malicious software) es un término utilizado para referirse a cualquier software malicioso, es decir que que afecte negativamente al usuario, estos incluyen virus, troyanos, gusanos, etc... Una forma de propagar un malware es mediante un gusano de red, que tiene la virtud de propagarse con bastante rapidez. Hoy en día, es necesario determinar si un usuario está siendo afectado por uno de estos gusanos y detenerlo a tiempo es la clave, ya que luego, se pueden utilizar diferentes formas de contención, hasta lograr canalizarlo.

2. Introducción: Historia de los gusanos de red

Gusano Morris

En un comienzo era un programa diseñado para medir los límites del internet, pero un error de programación lo convirtió en el primer gusano de computador. El error fue debido a que Morris creó el programa de modo que al momento de propagarse a un nuevo terminal preguntará si el programa ya se encontraba instalado. El error fue que incluso recibiendo una respuesta “Si” el programa se propagaba de igual manera, lo que traía como consecuencia tener más procesos abiertos y cada proceso ralentizaba el sistema. Esto es conocido como ataque DoS (Denial of Service) , ya que la red se encuentra ocupada mayormente con los procesos del virus y lo disponible para el usuario es cada vez menor.

Code Red

A diferencia de los anteriores, este gusano se propaga replicándose a direcciones IP que podrían estar conectadas al usuario (ya que no chequea si la dirección IP existe). Escanea el puerto 80 para encontrar algun host vulnerable y así poder realizar un ataque DoS. Posteriormente se descubre el Code Red II que instala un back-door^1 en los sistemas infectados.

Sasser

Gusano enfocado a Windows XP y Windows 2000. Se conocieron la primera notificaciones el 12 de abril de 2004 y se distribuye explotando un desbordamiento de búffer (se copia una cantidad superior a la establecida, por lo tanto se sobreescribe en zonas de memorias adyacentes).

(^1) Tipo de troyano que permite el acceso al sistema infectado y su control remoto. El atacante puede entonces eliminar o modificar archivos, ejecutar programas, enviar correos masivamente o instalar herra- mientas maliciosas.

Escaneo secuencial: Escanea las IP de manera secuencial después de elegir un punto de partida de forma aleatoria.

Escaneo de preferencia local: Escanea preferentemente dentro de la misma subred. Se propagan más rápido que los 2 anteriores debido a que las IP’s en el internet no se encuentran uniformemente distribuidas.

Pasivo

Este tipo de gusanos no buscará activamente a otras víctimas para infectar sino que esperará a que la víctima inicie una conexión con el usuario infectado y por medio de esta conexión intentará propagarse. Debido a que no generan conexiones adicionales son más difíciles de detectar.

Hit-List

Una hit-list es una lista de direcciones IP’s conocidas a las que el gusano atacara. Esto lo hace un método efectivo, ya que su tasa de fallo no será muy alta, por lo que tendrán una alta velocidad de propagación.

3.1.2. Transferencia/Propagación

La transferencia o propagación puede ser realizada mediante conexiones TCP o UDP teniendo en este último caso, una velocidad de propagación mayor. Los gusanos se transmiten generalmente explotando vulnerabilidades de software oficial. En general tiene 2 métodos de propagación:

Self-Carried

Consiste en enviar un paquete compuesto de 2 partes: Exploit , la cual permite utilizar la vulnerabilidad del sistema para así poder modificarlo y payload , que es el código del gusano en sí.

Second Channel

Consiste en enviar pequeños trozos de código malicioso al objetivo mediante un back-door creado por alguna aplicación. Con ese código, se descarga el resto del gusano desde algún servidor externo. Esto permite juntar el código del gusano junto a tráfico de red legítimo, lo que hace difícil la detección.

3.2. Defensa ante un gusano informático

Para encontrar actividad de gusanos en la red a nivel general, es necesario observar las diferentes anomalías que se puedan generar mediante los intentos de conexión, tráfico ilegal y anomalía de carga útil.

Intentos de conexión

Para propagarse rápidamente, los gusanos de red envían un gran número de paquetes TCP SYN o paquetes UDP para poder encontrar víctimas en un periodo corto de tiempo. Algunas estrategias para poder detener esto son:

Contador de intentos de conexión: Si el número de paquetes SYN enviados desde cierto host excede el límite definido dentro de un periodo de tiempo, entonces el host se considera infectado.

Correlación entre Fuente-Destino: Los gusanos de red se mueven a través de los host que son vulnerables. O sea, si el host está infectado en dentro de una subred, pronto, intentará infectar a otro host que sea parte de la misma subred. Por lo tanto, la correlación entre paquetes de entrada y de salida entre host pueden dejar al descubierto un gusano de red.

Tráfico ilegal

Hay una gran cantidad de direcciones no utilizadas en la internet. Las máquinas normales rara vez envían paquetes a esas direcciones, sin embargo, los gusanos lo hacen y caen en el envío de paquetes a estas direcciones. El tráfico ilegal se podría interpretar entonces como trafico de paquetes a direcciones no utilizadas. Es así como se pueden detectar gusanos de red que se basan en tráfico ilegal. Un Método para combatir esto es:

Darknet: Una darknet es un espacio asignado de IP donde no hay actividad de servicios. Aparentemente, dentro de esas redes no existe nada. Cualquier tráfico de paquetes hacia esas redes es probablemente producto de gusanos de red, por lo que la darknet se considera un señuelo para gusanos de red.

4. Resultados: Detección de gusanos mediante Wires-

hark

El uso de whireshark permite detectar conexiones sospechosas que pueda estar realizando el malware hacia direcciones remotas para poder obtener archivos de diferente tipo. Una forma de prevenir o detectar que existen gusanos de red interfiriendo con el host, es mediante los siguientes métodos:

4.1. Uso de filtros

Utilizar filtros en el detector de tráfico de red, ayuda a poder analizar los diferentes paquetes obtenidos con ayuda de los diferentes protocolos.

Referencias

[1] http://www.albany.edu/iasymposium/proceedings/2012/12-Misra&Uneojo.pdf

[2] http://www.lovemytool.com/blog/2016/05/how-to-detect-worm-with-a-network- analyzer-the-most-potent-threats-to-network-and-computer-security-are-worms-as- they-hav.html

[3] http://www.solucionavirus.com/2013/02/wireshark-uso-de-filtros-para-detectar.html

[4] http://www4.comp.polyu.edu.hk/ csbxiao/paper/2009/IEICE-2009-worm.pdf

[5] https://www.incibe.es/extfrontinteco/img/File/intecocert/EstudiosInformes /cert_inf_seguridad_analisis_trafico_wireshark.pdf