Cuestionario del módulo 16 – Cuestionaro de Ataque a los fundamentos Respuestas

13/03/2022 CyberOps Associate v1.0 Leave a comment

Última actualización: abril 1, 2022

1. Los usuarios de una empresa se han quejado del rendimiento de la red. Después de una investigación, el personal de TI determinó que un atacante utilizó una técnica específica que afectaba el intercambio de señales de tres vías TCP. ¿Cuál es el nombre de este tipo de ataque de red?

  • DDoS
  • Saturación de SYN
  • Envenenamiento del DNS
  • Secuestro de sesiones
Explique: El ataque de saturación TCP SYN aprovecha el intercambio de señales de tres vías TCP. El atacante envía constantemente a un objetivo paquetes de solicitud de sesión TCP SYN con una dirección IP de origen falsificada de manera aleatoria, hacia el objetivo previsto.

2. ¿Qué tipo de ataque implica la detección no autorizada y el mapeo de sistemas y servicios de red?

  • Acceso
  • Explotación de confianzas
  • DoS
  • Reconocimiento
Explique: Los ataques de reconocimiento de red implican la detección y el mapeo no autorizados de la red y de los sistemas de red. Los ataques de acceso y de explotación de confianzas implican la manipulación de datos y el acceso a sistemas o privilegios de usuario no autorizados. Los ataques de Denegación de Servicios (DoS) tienen el objetivo de impedir que los usuarios y dispositivos legítimos accedan a los recursos de red.

3. ¿En qué ataque de TCP el ciberdelincuente intenta saturar a un host objetivo de conexiones TCP medio abiertas?

  • Ataque de restablecimiento
  • Ataque de saturación SYN
  • Ataque de secuestro de sesiones
  • Ataque de escaneo (análisis) de puertos
Explique: En un ataque de saturación SYN de TCP, el atacante le envía al host objetivo una avalancha (saturación) continua de solicitudes de sesión TCP SYN con una dirección IP de origen falsa (o suplantada). El host objetivo responde con TCP-SYN-ACK a cada una de las solicitudes de sesión SYN y espera un TCP-ACK que nunca llega. El host objetivo termina saturado de conexiones TCP medio abiertas.

4. ¿Qué tipo de mensaje ICMP pueden utilizar los atacantes para mapear una red IP interna?

  • «Mask reply» de ICMP
  • «echo request» de ICMP
  • «Redirects» de ICMP
  • «Router discovery» de ICMP
Explique: Los mensajes de ICMP comunes que resultan de interés para los atacantes incluyen los siguientes:

  • «Echo request» y «echo reply» de ICMP: se utiliza para realizar la verificación del host y ataques DoS.
  • «Unreachable: se utiliza para realizar ataques de reconocimiento y escaneo (análisis) de la red.
  • «Mask reply» de ICMP: se utiliza para mapear una red IP interna.
  • «Redirects» de ICMP: se utiliza para lograr que un host objetivo envíe todo el tráfico a través de un dispositivo comprometido y crear un ataque de MiTM.
  • «Router discovery» de ICMP: se utiliza para inyectar entradas de rutas falsas en la tabla de routing de un host objetivo

5. ¿Qué esta involucrado en un ataque de Suplantación de dirección IP?

  • Un mensaje DHCPDISCOVER es enviado para consumir todas las direcciones IP disponibles en un servidor DHCP.
  • Una dirección IP de red legítima es secuestrada por un nodo malicioso.
  • Un nodo malicioso responde a una solicitud ARP con su propia dirección MAC indicada para la dirección IP objetivo.
  • Un servidor DHCP malicioso proporciona parámetros de configuración IP falsos a clientes DHCP legítimos.
Explique: En un ataque de Suplantación de dirección IP, la dirección IP de un host de red legítimo es secuestrada y utilizada por un nodo malicioso. Esto permite que el nodo malicioso se haga pasar por un nodo válido en la red.

6. ¿Cómo es transportada en los paquetes IPv6 la información de capa de red opcional?

  • Dentro del campo de identificador de flujo
  • Dentro de la payload (carga útil) transportada por el paquete IPv6
  • Dentro de un campo de opciones que es parte del encabezado de paquetes IPv6
  • Dentro de un encabezado de extensión acoplado al encabezado de paquetes IPv6
Explique: IPv6 utiliza encabezados de extensión para transportar información opcional de capa de red. Los encabezados de extensión no son parte del encabezado IPv6 principal; son encabezados separados entre el encabezado IPv6 y la payload (carga útil).

7. Un atacante utiliza una Computadora portátil (Laptop) como un punto de acceso malicioso para capturar todo el tráfico de red de un usuario específico. ¿Qué tipo de ataque es este?

  • Ataque de confianzas
  • Man-in-the-middle
  • Redireccionamiento de puertos
  • Desbordamiento de búfer
Explique: Un ataque de acceso trata de obtener acceso a un recurso utilizando una cuenta secuestrada u otros medios. Los cinco tipos de ataques de acceso son los siguientes:

  • Password: se utiliza un diccionario para realizar intentos reiterados de inicio de sesión
  • Trust exploitation: utiliza privilegios otorgados para acceder a material no autorizado
  • Port redirection: utiliza un host interno comprometido para transmitir tráfico a través de un firewall
  • Man-in-the-middle: un dispositivo no autorizado ubicado entre dos dispositivos legítimos para redireccionar o capturar tráfico
  • Buffer overflow: se envían demasiados datos a una ubicación de memoria que ya contiene datos

8. Un empleado descontento está usando algunas herramientas de red inalámbrica gratuitas para determinar información sobre las redes inalámbricas de la empresa. Esta persona está planeando usar esta información para hackear la red inalámbrica. ¿Qué tipo de ataque es este?

  • DoS
  • Acceso
  • Reconocimiento
  • Caballo de Troya
Explique: Un ataque de reconocimiento es el descubrimiento y documentación no autorizados de varias redes informáticas, sistemas de red, recursos, aplicaciones, servicios o vulnerabilidades.

9. ¿Qué término describe un campo en el encabezado IPv4 utilizado para detectar daños en el encabezado de un paquete IPv4?

  • TTL
  • Dirección IPv4 de origen
  • Protocolo
  • Encabezado checksum
Explique: El encabezado checksum se utiliza para determinar si se han introducido errores durante la transmisión.

10. ¿Cuál es el campo del encabezado de IPv4 que se utiliza para evitar que un paquete atraviese una red infinitas veces?

  • Número de secuencia
  • Número de acuse de recibo
  • Differentiated Services
  • Tiempo de Existencia
Explique: El valor del campo de «Tiempo de Existencia» (TTL) del encabezado IPv4 es el que se utiliza para limitar el tiempo de vida de un paquete. El host emisor establece el valor inicial de TTL, el cual se reduce en 1 cada vez que un router procesa el paquete. Si el campo TTL llega a cero, se descarta el paquete y se envía un mensaje de «Tiempo excedido» (el cual procede del protocolo ICMP), a la dirección IP de origen El campo de Differentiated Services (DS) se utiliza para determinar la prioridad de cada paquete. Los campos de número de secuencia y de número de acuse de recibo se encuentran en el encabezado TCP.

11. ¿Qué campo en un paquete IPv6 utiliza el router para determinar si un paquete ha caducado y debe descartarse?

  • No se puede alcanzar la dirección
  • TTL
  • Límite de saltos
  • No hay ruta para el destino.
Explique: ICMPv6, de manera similar a IPv4, envía un mensaje de «Tiempo excedido» si el router no puede reenviar un paquete IPv6 porque el paquete ha expirado. Sin embargo, el paquete IPv6 no tiene un campo TTL. En cambio, utiliza el campo de «límite de saltos» para determinar si el paquete ha caducado.

12. Un atacante utiliza un programa para iniciar un ataque mediante el envío de una avalancha de paquetes UDP a un servidor de la red. El programa analiza todos los puertos conocidos intentando encontrar puertos cerrados. Esto causa que el servidor responda con un mensaje de puerto ICMP inaccesible, y es similar a un ataque DoS ¿Cuales dos programas podrían ser utilizados por el atacante para lanzar el ataque? (Elija dos opciones).

  • Wireshark
  • UDP Unicorn
  • Ping
  • Smurf
  • Low Orbit Ion Cannon
Explique: Un atacante puede utilizar una herramienta como Unicorn UDP o Low Orbit Ion Cannon para enviar una avalancha de paquetes UDP, y así llevar a cabo un ataque de saturación UDP, que provoca que todos los recursos de una red se consuman. Este tipo de programas analizan todos los puertos conocidos intentando encontrar puertos cerrados. Esto provoca que el servidor responda con un mensaje de puerto ICMP inaccesible. Debido a que hay tantos puertos cerrados en el servidor, hay tanto aumento de tráfico en el segmento, que utiliza casi todo el ancho de banda. El resultado es muy similar al de un ataque DoS.

13. Un atacante desea interrumpir una comunicación TCP normal entre dos hosts enviando un paquete falsificado a ambos puntos terminales. ¿Cual bit de opción TCP configuraría el atacante en el paquete falsificado?

  • ACK
  • FIN
  • SYN
  • RST
Explique: Un ataque de restablecimiento de TCP puede utilizarse para terminar las comunicaciones de TCP entre dos dispositivos, enviando un packete TCP RST suplantado. También es posible terminar una conexión TCP cuando se recibe un bit de RST.
Subscribe
Notify of
guest

0 Comments
Inline Feedbacks
View all comments
© Copyright 2024, All Rights Reserved
0
¿Tienes otra pregunta? Por favor comentax