ISGroup Consultoría de Ciberseguridad

Ataque de Solapamiento de Fragmentos (Fragment Overlap Attack)

El Fragment Overlap Attack (ataque de solapamiento de fragmentos) es un tipo de ataque basado en la fragmentación de paquetes TCP/IP. Para comprender mejor este ataque, es útil tener un conocimiento básico sobre el funcionamiento de la fragmentación de paquetes IP.

Fragmentación de paquetes IP

El protocolo IP (Internet Protocol) permite que los paquetes se dividan en fragmentos para garantizar un transporte más eficiente a través de diferentes tipos de medios. Esta fragmentación es necesaria porque las distintas redes pueden tener límites variables en el tamaño máximo de los paquetes que pueden transportar.

Un paquete IP puede dividirse en varios fragmentos, cada uno de los cuales transporta una parte del paquete original. Cuando los fragmentos llegan a su destino final, se recomponen en el paquete original. Durante la fragmentación, el paquete TCP (y su cabecera) se encapsula dentro del paquete IP.

El mecanismo del ataque

En el Fragment Overlap Attack, el atacante explota una vulnerabilidad en la gestión de la fragmentación de paquetes IP. En este tipo de ataque, el segundo fragmento enviado contiene un desplazamiento (offset) incorrecto. El desplazamiento es un valor que indica la posición de un fragmento dentro del paquete original.

Cuando el dispositivo de destino intenta reconstruir el paquete original a partir de los fragmentos recibidos, el desplazamiento incorrecto provoca una sobrescritura de parte de los datos. En particular, uno de los objetivos comunes de este ataque es sobrescribir el número de puerto contenido en la cabecera TCP.

Implicaciones de seguridad

La sobrescritura del número de puerto puede tener diversas implicaciones de seguridad. Puede utilizarse para redirigir el tráfico hacia puertos diferentes, abriendo así el camino a otros tipos de ataques como el secuestro de sesiones (session hijacking) o la inyección de datos maliciosos. Este tipo de ataque puede comprometer la seguridad de las comunicaciones y la integridad de los datos transmitidos.

Prevención

Para protegerse contra un Fragment Overlap Attack, es esencial adoptar medidas de seguridad como:

  • Implementar controles rigurosos en los firewalls para verificar la integridad de los fragmentos IP.
  • Utilizar sistemas de detección de intrusiones (IDS) para identificar y bloquear intentos de fragmentación anómala.
  • Actualizar regularmente el software y el firmware de los dispositivos de red para corregir posibles vulnerabilidades conocidas.

Con una correcta comprensión e implementación de las medidas de seguridad, es posible mitigar los riesgos asociados a los Fragment Overlap Attacks y mantener la integridad de las comunicaciones de red.

In