Nossa, quanto tempo sem postar... Nem sei por onde começar. Mas então, andei sumido por "N" motivos, estágio tá pegando, faculdade tá sugando tudo que eu tenho na minha cabeça e também o que eu não tenho, nos últimos dias aconteceram várias coisas ruins, entre elas uma multa de R$ 957,00 pois fui pêgo no bafômetro e por aí vai, no poker eu não tô me saindo bem, perdendo vários flips, sem concentração e stressado, mas estou lucrando em outros investimentos [UFA!].
Mas vamos ao que interessa, esbórnia computacional. Vou começar hoje uma sessão das principais técnicas utilizadas em ataques [termo mal utilizado: técnicas hackers]. São técnicas utilizadas para identificar alvos, coletar inf
ormações, derrubar elementes de rede e até mesmo para a própria defesa, como técnicas para mascarar a origem dos ataques. Vou discutir técnicas baseadas na pilha de protocolos TCP/IP, sendo, portanto, necessário um conhecimento prévio sobre o seu funcionamento. Não vou falar sobre essas baitolagens de vírus, worms, quero centrar nas camadas 2,3 e 4 da pilha TCP/IP. Vale lembrar que eu não sou a favor do uso do conhecimento para fazer coisas ruins ou prejudicar terceiros, aprenda, investigue, compartilhe, mas não use para o mal. No mais se segura na cadeira porque querendo ou não eu tô de volta.
Para começar vamos falar de ARP Spoofing.
Um elemento de rede conectado a uma outra rede possui dois endereços: o IP, e o da placa de rede, que é o endereço MAC. O endereço IP está na camada 3 do modelo ISO/OSI, enquanto o endereço MAC está na camada 2. O mapeamento entre um endereço MAC e o endereço IP é feito via uso do protocolo Address Resolution Protocol (ARP). Os problemas de segurança com o protocolo estão relacionados ao envio de informações para elementos de rede falsos, enganando o mapeamento feito pelo ARP. O funcionamento do ARP é baseado em requisições do tipo "ARP request", com perguntas do tipo "Hey amiguinho o endereço do IP x.x.x.x. é seu ? Então envie o seu endereço MAC para mim, te dou um doce". A resposta é então disseminada para a toda a rede. O Reverse ARP funciona de modo inverso ao ARP, ou seja, solicita o endereço IP.
Para minimizar o número de pacotes ARP na rede, um cache é utilizado para armazenar a associação entre os endereços IP/MAC. O ataque ARP Spoofing envolve requisões e respostas ARP falsas, para que quadros destinados a um elemento sejam enviados de forma imprópria para outro. A atualização do cache ARP com informações falsas é conhecida como envenenamento ou cache poisoning. O ARP Spoofing pode ser usado para eliminar restrições geradas pelos switches, e também para ataques contra sistemas que usam endereços MAC como meio de autenticação, como o usado no IEEE 802.1X, por exemplo. A invasão consiste no envio de quadros com os endereços ARP falsos, fazendo com que o tráfego destinado a outros equipamentos seja enviado para o equipamento do atacante. Ele pode, com isso, realizar um ataque do tipo man-in-the-middle, caso capture os quadros e os redirecione para o equipamento verdadeiro, que nem percebe a diferença. No ataque man-in-the-middle, o hacker manipula as informações na forma que ele desejar, sem que a vítima saiba que existe um elemento entre ele e o servidor.
Mas vamos ao que interessa, esbórnia computacional. Vou começar hoje uma sessão das principais técnicas utilizadas em ataques [termo mal utilizado: técnicas hackers]. São técnicas utilizadas para identificar alvos, coletar inf
ormações, derrubar elementes de rede e até mesmo para a própria defesa, como técnicas para mascarar a origem dos ataques. Vou discutir técnicas baseadas na pilha de protocolos TCP/IP, sendo, portanto, necessário um conhecimento prévio sobre o seu funcionamento. Não vou falar sobre essas baitolagens de vírus, worms, quero centrar nas camadas 2,3 e 4 da pilha TCP/IP. Vale lembrar que eu não sou a favor do uso do conhecimento para fazer coisas ruins ou prejudicar terceiros, aprenda, investigue, compartilhe, mas não use para o mal. No mais se segura na cadeira porque querendo ou não eu tô de volta.Para começar vamos falar de ARP Spoofing.
Um elemento de rede conectado a uma outra rede possui dois endereços: o IP, e o da placa de rede, que é o endereço MAC. O endereço IP está na camada 3 do modelo ISO/OSI, enquanto o endereço MAC está na camada 2. O mapeamento entre um endereço MAC e o endereço IP é feito via uso do protocolo Address Resolution Protocol (ARP). Os problemas de segurança com o protocolo estão relacionados ao envio de informações para elementos de rede falsos, enganando o mapeamento feito pelo ARP. O funcionamento do ARP é baseado em requisições do tipo "ARP request", com perguntas do tipo "Hey amiguinho o endereço do IP x.x.x.x. é seu ? Então envie o seu endereço MAC para mim, te dou um doce". A resposta é então disseminada para a toda a rede. O Reverse ARP funciona de modo inverso ao ARP, ou seja, solicita o endereço IP.
Para minimizar o número de pacotes ARP na rede, um cache é utilizado para armazenar a associação entre os endereços IP/MAC. O ataque ARP Spoofing envolve requisões e respostas ARP falsas, para que quadros destinados a um elemento sejam enviados de forma imprópria para outro. A atualização do cache ARP com informações falsas é conhecida como envenenamento ou cache poisoning. O ARP Spoofing pode ser usado para eliminar restrições geradas pelos switches, e também para ataques contra sistemas que usam endereços MAC como meio de autenticação, como o usado no IEEE 802.1X, por exemplo. A invasão consiste no envio de quadros com os endereços ARP falsos, fazendo com que o tráfego destinado a outros equipamentos seja enviado para o equipamento do atacante. Ele pode, com isso, realizar um ataque do tipo man-in-the-middle, caso capture os quadros e os redirecione para o equipamento verdadeiro, que nem percebe a diferença. No ataque man-in-the-middle, o hacker manipula as informações na forma que ele desejar, sem que a vítima saiba que existe um elemento entre ele e o servidor.
1 comentários:
Só isso?
Postar um comentário
Gostou da esbórnia de hoje ? Comentem.