Español | English
rss facebook linkedin Twitter

Internet Background Noise

Si con un sistema cualquiera de recepción de paquetes (por ejemplo, conectados a Internet de forma "directa", sin un router que efectue NAT, o conectándolo de forma "promiscua" para que actúe como un hub en vez de como un router, recibiendo paquetes directamente del ISP sin que nuestro router filtre por dirección de envío) recibiremos de vez en cuando paquetes de red de muchos tipos y protocolos distintos. Esto se llama el Ruido de Fondo de Internet ("Internet Background Noise", o IBN), y es como ponerse a escuchar las interferencias de radio: de vez en cuando se percibe algo.

Estos paquetes del IBN suelen ser de worms o personas realizando escaneos de puertos en su mayoría, pero también de otros ordenadores intentando comunicarse con rangos de IPs antiguos o routers mal configurados que envían sus paquetes a IPs que no corresponden, e incluso paquetes mal compuestos que han mezclado datos en los campos para la IP destino y que, por casualidad, esos datos han coincidido con nuestro número de IP (por ejemplo, un dato de texto "MNOP" mal puesto en la zona de cabecera del paquete en vez de en la de datos, o como coincidencia si se envía un conjunto de datos como si fuera un paquete de red ya formado, en el DWORD correspondiente a la IP destino, enviaría ese paquete a la IP 77.78.79.80). Estos paquetes pueden ser tanto TCP, como UDP o ICMP (pings mayormente), aunque también podemos encontrar protocolos propietarios o no existentes (por el mismo caso del dato de text como IP, al ser puesto un dato cualquiera en el campo de la cabecera IP correspondiente al protocolo).

El IBN se puede usar como una forma de medir la incidencia de ataques de worms todavía in the wild, o ataques a rangos de IP en busca de vulnerabilidades, o hardware dejado de la mano de Dios. Esto no representa un problema excepto si nuestros sistemas no están protegidos contra una vulnerabilidad que explote ese paquete, como pudiera ser el caso del CodeRed en su día (que funcionaba mediante un “buffer overflow” contra los puertos de los IIS que pudiera encontrar). Podemos usar también el IBN como medición de sistemas que todavía siguen funcionando en organizaciones empresariales cuya actualización de redes internas ha sido "acumulativa" (añadiendo equipos, parches y nueva infraestructura manteniendo la antigua) o bien donde no se han jubilado equipos y routers antiguos.

Este último caso es el que los hackers maliciosos pueden aprovechar. El análisis de esos paquetes puede revelar en qué IP existe todavía un sistema operativo antiguo, un hardware con configuración obsoleta (y en el 99% de los casos no parcheada con actualizaciones) que no ha sido supervisado en bastante tiempo, o un sistema infectado con un backdoor cualquiera que se esté dando a conocer. Esos paquetes lanzados a la red serían como un gran letrero indicando dónde existen un sistema vulnerable o susceptible de ser atacado y zombificado.

Como muestra, tenemos una serie de gráficos de sensores en la web http://www.switch.ch/security/IBN. Podemos comprobar mediante esas gráficas que el IBN no es precisamente leve. Las gráficas muestran este tráfico "extra" en miles de paquetes cada 5 minutos a lo largo de 24 horas, rozando en casos los doscientos mil). Como se ha comentado, un análisis exhaustivo del origen de los paquetes en este tráfico puede proporcionar resultados muy interesantes, o peligrosos para ciertas compañías, si alguien que sabe utilizar esta información la utiliza para fines que no sean únicamente los de crear estadísticas.


Aleixandre Guzmán
S21Sec e-crime

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login