A61ptsd PDF

Segurança de redes de computadores
SEGURANÇA DE REDES DE COMPUTADORES

Aula 4: Ataques em redes
AULA 4: ATAQUES EM REDES

Receita de um ataque
Levantamento das Informações Exploração das Informações

1 2
Camuflagem das Evidências Obtenção de Acesso

5 3
Manutenção do Acesso
4

Levantamento das informações
A fase de reconhecimento é preparatória onde o atacante procura coletar o maior número possível de
informações sobre o “alvo em avaliação” antes do lançamento do ataque.

Levantamento das informações
Existem duas formas de realizar o reconhecimento: ativo e passivo.

• O reconhecimento passivo envolve a aquisição de informação sem interação direta com o “alvo”;
• O reconhecimento ativo envolve interação direta com o alvo através de algum meio, como por exemplo,
contato telefônico pelo helpdesk ou departamento técnico.

Exploração das informações (scanning)
Fase onde o atacante explora a rede baseado nas informações obtidas na fase de reconhecimento.
Esta fase apresenta um alto risco para os negócios de uma empresas, pois além de ser considerada pré-
ataque envolve a utilização de diferentes técnicas e softwares, como por exemplo, a utilização de port scan,
scanner de vulnerabilidade e network mapping.

Obtenção do acesso
Esta fase consiste na penetração do sistema propriamente dita. Nela são exploradas as vulnerabilidades
encontradas no sistema. Isto pode ocorrer através da internet, da rede local, por fraude ou roubo.
Os fatores que irão influenciar nos métodos utilizados pelo atacante serão: a arquitetura e configuração do
“alvo” escolhido, o grau de conhecimento do atacante e o nível de acesso obtido.
Nesta fase, o atacante poderá obter acesso no âmbito do: sistema operacional, da aplicação e da rede.

Manutenção do acesso
Nesta fase, o atacante tenta manter seu próprio domínio sobre o sistema. Poderá também protegê-lo de
outros atacantes através da utilização de “acessos exclusivos” obtidos por meio de rootkits, backdoors ou
trojans.
Poderá ainda fazer upload, download e manipulação dos dados, aplicações e configurações da máquina
atacada. Nesta fase, o sistema atacado poderá ficar comprometido.

Camuflagem das evidências
Esta fase consiste na atividade realizada pelo atacante de tentar camuflar seus atos não autorizados com o
objetivo de prolongar sua permanência na máquina hospedeira, na utilização indevida dos recursos
computacionais.

Conceitos básicos para um ataque
• Packet Sniffing;
• ARP Spoofing;
• IP Spoofing;
• Fragmentação de pacotes IP.

Packet sniffing
É um ataque passivo, também chamado de passive eavesdropping.

Executa a captura de pacotes, de todos os hosts (promiscuous mode), que estejam no mesmo segmento de
rede.

Packet sniffing
Switches podem dividir a rede em mais segmentos, dificultando a captura de pacotes. Para realizar a captura
em redes segmentadas, podem ser utilizadas configurações de “mirror port” ou “SPAN Switch Port Analizer”,
que é a porta para a qual o switch enviará cópia de todo o tráfego.

Packet sniffing
Outra possibilidade para captura em redes segmentadas por switch, seria gerar tráfego com MAC de origem
falso para comprometer a MAC address table, quando o switch não sabe a interface do destino envia o
frame para todas as interfaces.
Softwares: tcpdump (Linux) e wireshark.

ARP spoofing
Enviar um frame com uma solicitação ou resposta ARP falso, desviando o tráfego para o host invasor
(apropriação de identidade).
Outra utilização do ARP Spoofing é a negação de serviço, evitando que o trafego válido chegue ao seu
destino.

IP spoofing
Consiste na técnica de falsificar o endereço IP de origem de um pacote.

Fragmentação de pacotes IP
Entendendo a fragmentação de pacotes IP.

É uma técnica utilizada, objetivando dificultar a detecção de um ataque ou realizar uma negação de serviço
(DoS).
A seguir, entenda as possibilidades de ataque com a fragmentação.

Possibilidades de ataque com a fragmentação
Normalmente, os hosts não tentam processar o pacote até receber todos os fragmentos, possibilitando um
overflow na pilha TCP/IP, se o buffer reservado for menor que o tamanho do pacote a ser reagrupado. Em
geral, trava o sistema caracterizando um ataque de DoS.

POSSIBILIDADES DE ATAQUE COM A FRAGMENTAÇÃO

Outra possibilidade é offset negativo, podendo acarretar resultados inesperados do host.

Exemplos:
Ping da Morte – pacotes com 65535 bytes; sobrecarga do buffer; trava o sistema. Protocolo ICMP.
Teardrop – a mesma técnica do Ping da Morte, só que para os protocolos UDP ou TCP.
A maioria dos sistemas atuais já corrigiu esses problemas.

Atualmente, a fragmentação é utilizada para tentar dificultar a ação dos firewalls ou sistemas de detecção
de intrusão (IDS), já que alguns desses equipamentos não suportam fragmentação. A ferramenta NMAP é
um exemplo, pode utilizar a técnica de fragmentação para fazer varreduras.

Ataques
Abordados na fragmentação IP
• SYN flood (TCP);

• Smurf (ICMP);
• Fraggle (UDP).
• Varredura
• ARP poison
• Buffer overflow

Ataques - syn flood
Abordados na fragmentação IP
Ataque baseado no three way handshake do TCP, utiliza as características de abertura de conexão onde
quem inicia a conexão usa a flag SYN ligada. Realiza envio de uma grande quantidade de segmentos TCP com
o flag SYN ligado em conjunto com falsificação de IP de origem (IP Spoofing).
Resultado, ao atingir a quantidade máxima de conexões, incapacita a vítima de atender às conexões

legítimas.

Ataques - smurf
Ataque baseado no protocolo ICMP, mensagem do tipo echo request. Realiza uma grande quantidade de
pings destinados ao endereço de broadcast da rede e a origem é o endereço IP do host vítima (IP Spoofing).

Ataques - fraggle
Ataque fraggle é uma variação do ataque smurf . O smurf utiliza ICMP – echo request e o fraggle UDP echo.

Ataques - varredura
A varredura (scanning) é uma técnica utilizada na fase enumeração, para obter diversas informações como
IP, porta, estado e serviço, podendo obter também versão do SO e dos Serviços.

Ataques - ARP poison
Esse ataque se aplica somente a redes ethernet, sendo a forma mais eficiente de executar um ataque de
man-in-the-middle, onde o atacante se interpõe (logicamente) entre uma conversação de duas ou mais
estações, utilizando o ARP spoofing.

Ataques - buffer overflow (estouro de buffer)
Para entender esse tipo de ataque, inicialmente é necessário relembrar a definição de:
Buffer – são áreas de memória criadas pelos programas para armazenamento de dados, que se encontram
em processamento. Esse buffer tem tamanho definido baseado na quantidade e no tipo dos dados a serem
armazenados.

Ataques - buffer overflow (estouro de buffer)
O buffer overflow (estouro do buffer) pode deixar o programa receber mais dados que o buffer suporta
armazenar. Se o referido programa não tratar essa possibilidade, pode ocorrer o armazenamento em áreas
de memória próximas, corrompendo os dados ou travando o sistema e, na pior das hipóteses, executar um
código explorando alguma vulnerabilidade.

Ferramentas
• NMAP
• HPING
• METASPLOIT
• MEDUSA
• THC-Hydra

Ferramentas - NMAP
Realizar uma varredura com objetivo de identificar as portas de serviços que estão abertas em um host ou
uma rede. Com a utilização de parâmetros, pode retornar a versão do sistema operacional e a versão dos
serviços em execução.
Exemplo:
Nmap 200.0.0.0/24 – realiza a varredura na rede, retornando porta, estado e serviço.

Ferramentas - NMAP
Com alguns parâmetros podemos:
• O - tentar detectar o SO;

• P0 - realizar a varredura do host mesmo que não responda ao ping;
• Possui uma interface gráfica, a ZENMAP, para diversas plataformas de SO (Windows, Linux, MacOS, BSD
etc ).

Ferramentas - NMAP
Facilidades do ZENMAP:
• Salvar os comandos de varreduras frequentemente utilizados;

• Wizard para criar varreduras;
• Armazena o resultado da varredura (posterior verificação);
• Compara varreduras armazenadas e verifica suas diferenças;
• Cria desenho da topologia da rede (ferramenta Topology Mapping Tool).

Ferramentas - hping
• É uma ferramenta que gera e analisa pacotes;

• Suporta os protocolos ICMP, UDP e TCP;
• permite alteração do cabeçalho e do payload do pacote.

Ferramentas - hping
Funcionalidades:
• Teste de firewall
• Port scanning avançado
• Teste de diferentes protocolos e
• fragmentação na rede;
• MTU Discovery manual;
• Traceroute avançado;
• OS Fingerprinting
• Auditoria da pilha TCP/IP.

Ferramentas - metasploit
A partir de 2009, diversas variantes comerciais foram desenvolvidas. A versão livre e open source possui
algumas limitações em relação comercial.

Ferramentas - metasploit
É um framework, open source, criado por H. D. Moore, com o objetivo de acelerar o desenvolvimento, os
testes e a utilização de exploits, além de permitir a criação de seus próprios módulos de exploits.
Possui um número considerável de exploits, payloads e ferramentas para teste de vulnerabilidades em
diversas plataformas, sistemas operacionais e servidores.

Ferramentas - medusa
É usada para ataques de força bruta a fim de descobrir login/senha remotamente. É uma ferramenta que
obtém enorme sucesso quando os usuários utilizam senhas fáceis (fracas). Resumindo, não há uma política
de senhas implementada, permitindo senhas fracas, como sequências numéricas, datas, palavras do
dicionário etc.
Além da política de senhas, o administrador deve bloquear usuários com falhas de logon sucessivas,
implementar um Sistema de Detecção de Intrusos (IDS) e realizar auditoria nos logs.

Ferramentas - THC Hydra
Ferramenta muito semelhante à Medusa. Ataca login/senha nos diversos protocolos, incluindo FTP, POP3,
IMAP, Netbios, Telnet, autenticação HTTP, LDAP, NNTP, VNC, ICQ, Socks5, PCNFS e outros.

3º Fórum brasileiro de csirts
Ataques mais frequentes

• Força Bruta – SSH, POP3
• Força Bruta – FTP, WordPress
• Ataques a servidores Web com CMS defacement, hospedagem de malware/phishing, DDoS;
• Exploração de senhas através força bruta;
• CMS desatualizados (pacotes/plug-ins prontos);
• DDoS - plug-ins WordPress e Brobot no Joomla.
Ataques Partindo de Provedores de Cloud

• Clientes comprometidos hospedando phishing/malware;
• VMs compradas por atacantes gerando ataques diversos:
o enviando spam via proxies abertos;
o ataques de força bruta;
o realizando ligações abusando servidores SIP/VoIP;
o hospedando servidores DNS maliciosos.


Ataques Envolvendo DNS
• Em modems e roteadores banda larga (CPEs) comprometidos;
• Infraestrutura de DNS de provedores de banda larga comprometida;
• Servidores DNS recursivos respondendo incorretamente.


Fraudes
• Boletos alterados
o 2ª via de boleto falso, DNS malicioso.
• Phishing clássico
o Centenas de variações para a mesma URL.
o Ataques com amplificação
• Distributed Reflected Denial-of-Service (DrDoS)
o Protocolos mais usados: DNS, SNMP, NTP, Chargen.


A61ptsd PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

A61ptsd PDF

Enviado por

Direitos autorais:

Formatos disponíveis

Segurança de redes de computadores

SEGURANÇA DE REDES DE COMPUTADORES

AULA 4: ATAQUES EM REDES

Levantamento das Informações Exploração das Informações

Camuflagem das Evidências Obtenção de Acesso

AULA 4: ATAQUES EM REDES

Levantamento das informações

AULA 4: ATAQUES EM REDES

Levantamento das informações

Existem duas formas de realizar o reconhecimento: ativo e passivo.

AULA 4: ATAQUES EM REDES

Exploração das informações (scanning)

AULA 4: ATAQUES EM REDES

AULA 4: ATAQUES EM REDES

AULA 4: ATAQUES EM REDES

Camuflagem das evidências

AULA 4: ATAQUES EM REDES

• Fragmentação de pacotes IP.

AULA 4: ATAQUES EM REDES

É um ataque passivo, também chamado de passive eavesdropping.

AULA 4: ATAQUES EM REDES

AULA 4: ATAQUES EM REDES

Softwares: tcpdump (Linux) e wireshark.

AULA 4: ATAQUES EM REDES

AULA 4: ATAQUES EM REDES

Consiste na técnica de falsificar o endereço IP de origem de um pacote.

AULA 4: ATAQUES EM REDES

Entendendo a fragmentação de pacotes IP.

AULA 4: ATAQUES EM REDES

A seguir, entenda as possibilidades de ataque com a fragmentação.

AULA 4: ATAQUES EM REDES

Possibilidades de ataque com a fragmentação

AULA 4: ATAQUES EM REDES

POSSIBILIDADES DE ATAQUE COM A FRAGMENTAÇÃO

AULA 4: ATAQUES EM REDES

AULA 4: ATAQUES EM REDES

AULA 4: ATAQUES EM REDES

• SYN flood (TCP);

AULA 4: ATAQUES EM REDES

Resultado, ao atingir a quantidade máxima de conexões, incapacita a vítima de atender às conexões

AULA 4: ATAQUES EM REDES

AULA 4: ATAQUES EM REDES

AULA 4: ATAQUES EM REDES

AULA 4: ATAQUES EM REDES

AULA 4: ATAQUES EM REDES

AULA 4: ATAQUES EM REDES

AULA 4: ATAQUES EM REDES

AULA 4: ATAQUES EM REDES

AULA 4: ATAQUES EM REDES

Com alguns parâmetros podemos:

• O - tentar detectar o SO;

AULA 4: ATAQUES EM REDES

• Salvar os comandos de varreduras frequentemente utilizados;

AULA 4: ATAQUES EM REDES

• É uma ferramenta que gera e analisa pacotes;

AULA 4: ATAQUES EM REDES

AULA 4: ATAQUES EM REDES

AULA 4: ATAQUES EM REDES

AULA 4: ATAQUES EM REDES

AULA 4: ATAQUES EM REDES

AULA 4: ATAQUES EM REDES

Ataques mais frequentes

Ataques Partindo de Provedores de Cloud