Módulo 16_Ataque à base

Question 1

O IP foi projetado como um protocolo sem conexão de Camada 3. Ele fornece as funções necessárias para entregar um pacote de um host de origem a um host de destino por meio de um sistema interconectado de redes. O protocolo não foi projetado para rastrear e gerenciar o fluxo de pacotes. Essas funções, se necessárias, são executadas principalmente pelo TCP na camada 4.

VERDADEIRO OU FALSO

Answer 1

Verdadeiro

O IP não faz nenhum esforço para validar se o endereço IP de origem contido em um pacote realmente veio dessa origem. Por esse motivo, os agentes de ameaças podem enviar pacotes usando um endereço IP de origem falsificado. Além disso, os agentes da ameaça podem adulterar os outros campos do cabeçalho IP para realizar seus ataques.

Question 2

Vulnerabilidade do protocolo IP: Ataques de Redirecionamento ICMP (ICMP Redirect Attack)

Answer 2

O protocolo ICMP permite que dispositivos informem rotas mais eficientes, mas atacantes podem abusar disso usando pacotes de eco (pings) ICMP para descobrir sub-redes e hosts, gerar DoS e alterar tabelas de roteamento.

Redirecionar tráfego para servidores maliciosos.
Interceptar ou manipular dados da vítima (Man-in-the-Middle – MITM).
🔹 Prevenção: Desativar mensagens ICMP Redirect em redes internas.

Question 3

Vulnerabilidade do protocolo IP: Ataques DoS e DDoS Baseados em IP

Answer 3

🔹 Envio de grande volume de pacotes para sobrecarregar servidores ou dispositivos de rede.
🔹 Exemplos:

SYN Flood → Inunda um servidor com pedidos de conexão TCP.
UDP Flood → Envia pacotes UDP massivos para sobrecarregar a banda e os sistemas.
Amplificação DNS/NTP → Pequenas requisições geram respostas enormes para sobrecarregar o alvo.
🔹 Prevenção:
Firewalls com filtragem de pacotes suspeitos.
Uso de CDNs (Cloudflare, Akamai) para mitigar ataques volumétricos.

Question 4

Vulnerabilidade do protocolo IP: Ataques de Exaustão de Tabela ARP (ARP Poisoning)

Answer 4

🔹 O protocolo ARP (Address Resolution Protocol), que mapeia IPs para endereços MAC, pode ser envenenado para:

Fazer dispositivos enviarem pacotes para o atacante em vez do destino correto.
Capturar informações sensíveis (senhas, e-mails, mensagens).
🔹 Prevenção: Uso de ARP estático e ferramentas de detecção de ataques (ex: ARPWatch).

Question 5

Vulnerabilidade do protocolo IP: Ataques de Envenenamento de Cache DNS (DNS Spoofing)

Answer 5

🔹 O atacante modifica respostas DNS para redirecionar vítimas para sites falsos.
🔹 Perigoso para ataques de phishing e roubo de credenciais bancárias.
🔹 Prevenção:

Uso de DNSSEC (extensões de segurança para DNS).
Configuração correta de tempo de vida (TTL) nos caches DNS.

Question 6

Vulnerabilidade do protocolo IP: IP Spoofing (Falsificação de IP)

Answer 6

🔹 O atacante altera o endereço de origem de um pacote IP para se passar por outro dispositivo confiável.
🔹 Usado para ataques de negação de serviço (DDoS) e bypass de firewalls.
🔹 Prevenção: Uso de filtros de entrada/saída em roteadores (Ingress/Egress Filtering) e autenticação reforçada.

Question 7

Vulnerabilidade do protocolo IP: Fragmentação de Pacotes (Ataques de Fragmentação IP)

Answer 7

🔹 O protocolo IP permite dividir pacotes grandes em fragmentos menores, mas atacantes manipulam essa funcionalidade para:

Ataque Teardrop → Envia pacotes IP com fragmentação incorreta, causando travamento de sistemas operacionais antigos.
Ataque Ping of Death → Envia pacotes IP fragmentados que, ao serem reagrupados, ultrapassam o tamanho máximo permitido, causando falha no sistema.
🔹 Prevenção: Configuração correta de firewalls para rejeitar pacotes com fragmentação suspeita.

Question 8

Vulnerabilidade do protocolo IP: IPv6 e Novos Riscos

Answer 8

🔹 O IPv6 trouxe melhorias, mas ainda possui vulnerabilidades como:

Ataques de descoberta de vizinhança (NDP Spoofing).
Túneis IPv6 não autenticados.
🔹 Prevenção: Monitoramento e uso de filtros IPv6 adequados.

Question 9

Os analistas de segurança devem ser capazes de detectar ataques relacionados ao ICMP, observando o tráfego capturado e os arquivos de log. No caso de grandes redes, os dispositivos de segurança, como firewalls e sistemas de detecção de intrusão (IDS), devem detectar tais ataques e gerar alertas para os analistas de segurança. Mas qual é outra forma de fazer isso?

Answer 9

Ter uma filtragem rigorosa da lista de controle de acesso ICMP (ACL) na borda da rede para evitar a sondagem vindo da internet.

Question 10

Mensagens ICMP mais relevantes para atores maliciosos: Echo Request (Tipo 8) e Echo Reply (Tipo 0) – Ping Scan

Answer 10

🔹 Uso legítimo: Diagnóstico de rede (comando ping).
🔹 Uso malicioso:

Reconhecimento de rede → Atacantes usam ping sweep para mapear hosts ativos.
Ataques DoS/DDoS → Uso de pacotes ICMP massivos (ex: Ping Flood).
Bypass de firewall → Algumas regras mal configuradas podem permitir tunelamento via ICMP.
🔹 Mitigação:
Bloquear ICMP Echo Requests na borda da rede para evitar ping sweeps.
Limitar taxa de respostas ICMP para evitar exaustão de recursos.

Question 11

Mensagens ICMP mais relevantes para atores maliciosos: Destination Unreachable (Tipo 3) – Análise de Topologia

Answer 11

🔹 Uso legítimo: Indica que um destino IP ou serviço está inacessível.
🔹 Uso malicioso:

Fingerprinting de firewall → Atacantes analisam quais códigos ICMP 3 são retornados para identificar regras de filtragem.
Mapeamento de portas → Respostas como port unreachable (Código 3) indicam serviços não disponíveis.
Análise de hosts ativos → Se um IP responde com network unreachable (Código 0), significa que ele está ativo.
🔹 Mitigação: Configurar firewalls para não enviar mensagens ICMP Tipo 3 desnecessárias.
Código Significado Uso por atacantes
0 Network Unreachable Detectar IPs ativos e filtragem de rede
1 Host Unreachable Mapeamento de hosts
2 Protocol Unreachable Identificar protocolos aceitos
3 Port Unreachable Mapeamento de portas abertas
9 Network Administratively Prohibited Identificar firewalls ativos

Question 12

Mensagens ICMP mais relevantes para atores maliciosos: Redirect (Tipo 5) – Ataques MITM (Man-in-the-Middle)

Answer 12

Uso legítimo: Informa um melhor caminho para roteamento.
🔹 Uso malicioso:

Desvio de tráfego → Atacantes redirecionam pacotes para hosts sob seu controle.
Interceptação de dados → Facilita ataques MITM ao manipular o roteamento de pacotes.
🔹 Mitigação:
Desativar ICMP Redirects em dispositivos críticos.
Forçar roteamento estático para evitar redirecionamentos maliciosos.

Question 13

Mensagens ICMP mais relevantes para atores maliciosos: Time Exceeded (Tipo 11) – Fingerprinting via Traceroute

Answer 13

🔹 Uso legítimo: Indica que o TTL (Time-To-Live) de um pacote expirou antes de chegar ao destino.
🔹 Uso malicioso:

Descoberta da estrutura de rede → Atacantes usam traceroute para mapear roteadores intermediários.
Identificação de dispositivos vulneráveis → Algumas respostas podem revelar fabricantes e versões de firmware.
🔹 Mitigação:
Bloquear ICMP Tipo 11 na borda para ocultar detalhes da rede.
Usar firewalls para limitar respostas ICMP a hosts internos confiáveis.

Question 14

Mensagens ICMP mais relevantes para atores maliciosos: Parameter Problem (Tipo 12) – Exploração de Bugs

Answer 14

🔹 Uso legítimo: Indica erro nos cabeçalhos do pacote IP.
🔹 Uso malicioso:

Fuzzing → Envio de pacotes malformados para detectar falhas de parsing no sistema-alvo.
Detecção de sistemas vulneráveis → Alguns dispositivos antigos revelam detalhes técnicos ao responder com ICMP Tipo 12.
🔹 Mitigação: Bloquear respostas ICMP Tipo 12 de sistemas internos para evitar vazamento de informações.

Question 15

Mensagens ICMP mais relevantes para atores maliciosos: Router Advertisement (Tipo 9) – Sequestro de Roteamento

Answer 15

🔹 Uso legítimo: Dispositivos de rede anunciam informações sobre roteamento.
🔹 Uso malicioso:

Ataques de sequestro de tráfego → Atacantes podem enviar anúncios falsos para desviar tráfego para servidores controlados.
Ataques MITM → Interceptação de comunicação entre clientes e servidores legítimos.
🔹 Mitigação:
Desativar ICMP Router Advertisement em redes protegidas.
Usar filtros para aceitar apenas anúncios ICMP de fontes confiáveis.

Question 16

As mensagens ICMP são ferramentas poderosas para diagnosticar redes, mas atacantes frequentemente exploram essas respostas para reconhecimento, evasão de firewalls e ataques MITM. Para mitigar riscos, é essencial:

Answer 16

✔️ Filtrar ICMP desnecessário na borda da rede.
✔️ Bloquear ou limitar taxas de respostas ICMP.
✔️ Desativar ICMP Redirects e Router Advertisements sempre que possível.
✔️ Monitorar logs de tráfego ICMP para identificar comportamentos suspeitos.

Question 17

Os agentes de ameaças geralmente usam técnicas de amplificação e reflexão para criar ataques de negação de serviço (DoS). Novas formas de ataques de amplificação e reflexão, como ataques de reflexão e amplificação com base no DNS e ataques de amplificação do Network Time Protocol (NTP), agora estão sendo usados.

VERDADEIRO OU FALSO

Answer 17

Verdadeiro

Os agentes de ameaças também usam ataques de exaustão de recursos. Esses ataques consomem os recursos de um host de destino para travá-lo ou consumir os recursos de uma rede.

Question 18

Ataque de amplificação e reflexão: SMURF

Answer 18

Falsificação de IP (IP Spoofing)

O atacante falsifica (spoofing) o endereço IP de origem para que pareça ser o da vítima.
Envio de ICMP Echo Requests para Broadcast

O atacante envia um pacote ICMP Echo Request (ping) para um endereço de broadcast em uma rede amplificadora.
Isso significa que todos os dispositivos da rede irão receber a solicitação.
Amplificação das Respostas

Todos os dispositivos na rede amplificadora respondem ao ping com ICMP Echo Replies para o IP falsificado da vítima.
O tráfego resultante pode ser centenas ou milhares de vezes maior que o tráfego inicial.
Saturação da Largura de Banda da Vítima

A vítima recebe um grande volume de respostas ICMP, o que sobrecarrega sua conexão e a torna inacessível.

Question 19

Diferença entre Reflexão e Amplificação (ataque)

Answer 19

🔸 Reflexão → A vítima recebe respostas ICMP de hosts que não iniciaram comunicação com ela.
🔸 Amplificação → O tráfego malicioso cresce exponencialmente devido à resposta de vários hosts.

🔹 O ataque Smurf combina ambas as técnicas, tornando-o extremamente poderoso.

Question 20

🔹 Mitigação do Ataque Smurf

Answer 20

✔ Desativar ICMP Broadcast na Rede → Bloquear mensagens ICMP enviadas para endereços de broadcast.
✔ Filtragem de IP Spoofing (Ingress Filtering) → Bloquear pacotes com endereços falsificados nos roteadores.
✔ Configuração de Firewalls e IDS/IPS → Regras para detectar e bloquear tráfego ICMP anormal.
✔ Limitação de Taxa de ICMP → Restringir o número de respostas ICMP que um dispositivo pode enviar.

Question 21

Os ataques de falsificação de endereço IP ocorrem quando um agente de ameaça cria pacotes com informações falsas de endereço IP de origem para ocultar a identidade do remetente ou para se passar por outro usuário legítimo. O agente de ameaças pode obter acesso a dados inacessíveis ou burlar as configurações de segurança.

VERDADEIRO OU FALSO

Answer 21

Verdadeiro

A falsificação é geralmente incorporada a outro ataque, como um ataque Smurf.

Question 22

Os ataques de falsificação podem ser cegos ou não cegos:

Answer 22

Falsificação não cega - O agente da ameaça pode ver o tráfego que está sendo enviado entre o host e o destino. O agente de ameaça usa a falsificação não cega para inspecionar o pacote de resposta da vítima alvo. A falsificação não cega determina o estado de um firewall e prever número de sequência. Também pode seqüestrar uma sessão autorizada.

Falsificação cega - O agente da ameaça não pode ver o tráfego que está sendo enviado entre o host e o destino. A falsificação cega é usada em ataques de negação de serviço.

Question 23

Os ataques de falsificação de endereço MAC são usados quando os atores de ameaças têm acesso à rede interna. Os agentes de ameaças alteram o endereço MAC de seu host para corresponder a outro endereço MAC conhecido de um host de destino.

VERDADEIRO OU FALSO

Answer 23

Verdadeiro

Question 24

Quais são os seis bits de controle do segmento TCP:

Answer 24

URG - Campo de ponteiro urgente significativo.
ACK - Campo de confirmação significativo
PSH - Função Push.
RST - Redefina a conexão
SYN - Sincronizar números de sequência
FIN - Não há mais dados do remetente

Question 25

O TCP fornece estes serviços:

Answer 25

Entrega confiável - O TCP incorpora reconhecimentos para garantir a entrega, em vez de confiar nos protocolos da camada superior para detectar e resolver erros. Se uma confirmação não for recebida à tempo, o remetente retransmitirá os dados. Exemplos de protocolos da camada de aplicação que usam a confiabilidade do TCP incluem HTTP, SSL / TLS, FTP, transferências de zona DNS e outros.

Controle de fluxo - Em vez de reconhecer um segmento de cada vez, vários segmentos podem ser reconhecidos com um único segmento de reconhecimento.

Comunicação com estado - A comunicação com estado TCP entre duas partes ocorre durante o aperto de mãos triplo TCP.

Question 26

Uma conexão TCP é estabelecida em três etapas:

Answer 26

O cliente iniciador requisita uma sessão de comunicação cliente-servidor com o servidor.

O servidor confirma a sessão de comunicação cliente-servidor e requisita uma sessão de comunicação de servidor-cliente.

O cliente iniciador confirma a sessão de comunicação de servidor-cliente.

Question 27

O encerramento de uma sessão TCP usa o seguinte processo de troca de quatro vias:

Answer 27

Quando o cliente não tem mais dados para enviar no fluxo, ele envia um segmento com um flag FIN ligado.

O servidor envia ACK para confirmar o recebimento de FIN para encerrar a sessão do cliente com o servidor.

O servidor envia um FIN ao cliente para encerrar a sessão do servidor-para-cliente.

O cliente responde com um ACK para reconhecer o FIN do servidor.

Question 28

Ataques TCP: Ataque SYN Flood (DoS/DDoS)

Answer 28

📌 Como funciona?

O atacante envia muitos pacotes SYN (início da conexão TCP) sem completar o handshake.
O servidor reserva recursos para cada requisição, mas nunca recebe o pacote ACK final.
Isso esgota os recursos do servidor, tornando-o indisponível (negação de serviço).

🔹 Prevenção:
✔ Uso de SYN Cookies para evitar alocação desnecessária de recursos.
✔ Firewall/IPS com limitação de conexões por IP.

Question 29

Ataques TCP: TCP Reset Attack (RST Attack)

Answer 29

📌 Como funciona?

O atacante envia pacotes TCP RST (Reset) falsificados para interromper conexões legítimas.
Muito usado para derrubar conexões de VPNs ou streams de vídeo.

🔹 Prevenção:
✔ Configuração para ignorar RST inesperados.
✔ Uso de TLS/SSL para proteger conexões críticas.

Question 30

Ataques TCP: Ataque TCP Session Hijacking

Answer 30

📌 Como funciona?

O atacante sequestra uma sessão TCP ativa, assumindo a identidade da vítima.
Para isso, ele precisa adivinhar ou capturar os números de sequência TCP.

🔹 Prevenção:
✔ Uso de criptografia (TLS/SSL) para proteger sessões.
✔ Implementação de autenticação forte para evitar sequestro de sessão.

Question 31

Ataques TCP: Ataque Slowloris

Answer 31

📌 Como funciona?

O atacante abre muitas conexões TCP, mas envia dados de forma extremamente lenta.
Isso mantém o servidor ocupado e impede novas conexões legítimas.

🔹 Prevenção:
✔ Configurar tempo limite de conexões TCP.
✔ Usar firewalls e balanceadores de carga para detectar tráfego suspeito.

Question 32

Ataque UDP: UDP Flood (DoS/DDoS)

Answer 32

📌 Como funciona?

O atacante envia grande volume de pacotes UDP para diferentes portas do alvo.
O sistema tenta responder com pacotes ICMP “Port Unreachable”, consumindo recursos.
Isso pode sobrecarregar a CPU e a rede, causando negação de serviço (DoS). O agente de ameaça deve usar uma ferramenta como UDP Unicorn ou Low Orbit Ion Cannon.

🔹 Prevenção:
✔ Limitar taxa de pacotes UDP em firewalls.
✔ Usar filtros de tráfego UDP em roteadores.

Question 33

Ataque UDP: Ataque de Amplificação UDP

Answer 33

📌 Como funciona?

O atacante falsifica o IP da vítima e envia pequenas requisições a servidores UDP públicos (ex: DNS, NTP).
Esses servidores enviam respostas muito maiores para o IP da vítima.
A vítima recebe um tráfego massivo, resultando em DDoS.

🔹 Exemplos comuns:
✔ DNS Amplification → Abusa de servidores DNS abertos.
✔ NTP Amplification → Usa o comando “monlist” do NTP para gerar tráfego enorme.
✔ SSDP Amplification → Explora dispositivos IoT mal configurados.

🔹 Prevenção:
✔ Bloquear ou filtrar spoofing de IP (IP falsificado).
✔ Desativar serviços UDP desnecessários.

Question 34

Ataque UDP: UDP Port Scan (Varredura de Portas)

Answer 34

📌 Como funciona?

O atacante envia pacotes UDP para várias portas e analisa as respostas.
Se não houver resposta, a porta está aberta; se receber um ICMP “Port Unreachable”, está fechada.
Usado para identificar serviços vulneráveis.

🔹 Prevenção:
✔ Configurar firewalls para bloquear ICMP “Port Unreachable”.
✔ Monitorar logs para identificar escaneamentos suspeitos.