Tabla de Contenido
Vulnerabilidades ARP
No início deste módulo, você aprendeu sobre vulnerabilidades com IP, TCP e UDP. O conjunto de protocolos TCP / IP nunca foi desenvolvido para segurança. Portanto, os serviços que o IP usa para funções de endereçamento, como ARP, DNS e DHCP, também não são seguros, como você aprenderá neste tópico.
Os hosts transmitem uma solicitação ARP para outros hosts no segmento para determinar o endereço MAC de um host com um endereço IP específico. Todos os hosts na sub-rede recebem e processam a solicitação ARP. O host com o endereço IP correspondente na solicitação ARP envia uma resposta ARP.
Clique em Reproduzir na figura para ver o processo ARP em funcionamento.
O Processo ARP
Qualquer cliente pode enviar uma resposta ARP não solicitada, chamada de “ARP gratuito”. Isso geralmente é feito quando um dispositivo é inicializado pela primeira vez para informar todos os outros dispositivos na rede local do endereço MAC do novo dispositivo. Quando um host envia um ARP gratuito, outros hosts na sub-rede armazenam o endereço MAC e o endereço IP contidos no ARP gratuito em suas tabelas ARP.
Esse recurso do ARP também significa que qualquer host pode reivindicar ser o proprietário de qualquer IP ou MAC. Um ator de ameaça pode envenenar o cache ARP de dispositivos na rede local, criando um ataque MITM para redirecionar o tráfego. O objetivo é atingir um host vítima e fazer com que ele mude seu gateway padrão para o dispositivo do ator da ameaça. Isso posiciona o ator da ameaça entre a vítima e todos os outros sistemas fora da sub-rede local.
Envenenamento de cache ARP
O envenenamento de cache ARP pode ser usado para lançar vários ataques man-in-the-middle.
Clique em cada botão para obter uma ilustração e uma explicação do processo de envenenamento do cache ARP.
A figura mostra como funciona o envenenamento de cache ARP. O PC-A requer o endereço MAC de seu gateway padrão (R1); portanto, ele envia uma solicitação ARP para o endereço MAC de 192.168.10.1.
Nesta figura, R1 atualiza seu cache ARP com os endereços IP e MAC do PC-A. R1 envia uma resposta ARP ao PC-A, que então atualiza seu cache ARP com os endereços IP e MAC de R1.
Na figura, o agente da ameaça envia duas respostas ARP gratuitas falsificadas usando seu próprio endereço MAC para os endereços IP de destino indicados. O PC-A atualiza seu cache ARP com seu gateway padrão, que agora aponta para o endereço MAC do host do ator da ameaça. R1 também atualiza seu cache ARP com o endereço IP do PC-A apontando para o endereço MAC do ator da ameaça.
O host do ator da ameaça está executando um ataque de envenenamento ARP. O ataque de envenenamento ARP pode ser passivo ou ativo. O envenenamento passivo de ARP ocorre quando os agentes de ameaças roubam informações confidenciais. O envenenamento ARP ativo ocorre quando os agentes de ameaças modificam os dados em trânsito ou injetam dados maliciosos.
Nota: Existem muitas ferramentas disponíveis na Internet para criar ataques ARP MITM, incluindo dsniff, Cain & Abel, ettercap, Yersinia e outros.
Vídeo – ARP Spoofing
Clique em Reproduzir na figura para ver um vídeo sobre ARP Spoofing.
Ataques DNS
O protocolo Domain Name Service (DNS) define um serviço automatizado que combina nomes de recursos, como www.cisco.com, com o endereço de rede numérico necessário, como o endereço IPv4 ou IPv6. Inclui o formato para consultas, respostas e dados e usa registros de recursos (RR) para identificar o tipo de resposta DNS.
A proteção do DNS costuma ser esquecida. No entanto, é crucial para o funcionamento de uma rede e deve ser devidamente protegido.
Os ataques DNS incluem o seguinte:
- Ataques de resolução aberta de DNS
- Ataques furtivos de DNS
- Ataques de sombreamento de domínio DNS
- Ataques de túnel DNS
Ataques do DNS Open Resolver
Muitas organizações usam os serviços de servidores DNS abertos publicamente, como GoogleDNS (8.8.8.8) para fornecer respostas às consultas. Esse tipo de servidor DNS é chamado de resolvedor aberto. Um resolvedor aberto de DNS responde a consultas de clientes fora de seu domínio administrativo. Os resolvedores abertos de DNS são vulneráveis a várias atividades maliciosas descritas na tabela.
| Vulnerabilidades do DNS Resolver | Descrição |
|---|---|
| Ataques de envenenamento de cache DNS | Os agentes da ameaça enviam informações falsificadas de recursos de registro (RR) para um resolvedor de DNS para redirecionar os usuários de sites legítimos para sites mal-intencionados. Ataques de envenenamento de cache DNS podem ser usados para informar o resolvedor DNS para usar um servidor de nomes mal-intencionado que está fornecendo informações RR para atividades mal-intencionadas. |
| Ataques de amplificação e reflexão de DNS | Os agentes de ameaças usam ataques DoS ou DDoS em resolvedores abertos de DNS para aumentar o volume de ataques e ocultar a verdadeira origem de um ataque. Os atores da ameaça enviam mensagens DNS para os resolvedores abertos usando o endereço IP de um host de destino. Esses ataques são possíveis porque o resolvedor aberto responderá às perguntas de qualquer pessoa que fizer uma pergunta. |
| Ataques de utilização de recursos DNS | Um ataque DoS que consome os recursos dos resolvedores abertos de DNS. Este ataque DoS consome todos os recursos disponíveis para afetar negativamente as operações do resolvedor aberto de DNS. O impacto desse ataque DoS pode exigir que o resolvedor aberto de DNS seja reinicializado ou que os serviços sejam interrompidos e reiniciados. |
Ataques furtivos de DNS
Para ocultar sua identidade, os agentes de ameaças também usam as técnicas de dissimulação de DNS descritas na tabela para realizar seus ataques.
| Técnicas de dissimulação de DNS | Descrição |
|---|---|
| Fluxo Rápido | Os agentes de ameaças usam essa técnica para ocultar seus sites de entrega de phishing e malware atrás de uma rede mutável de hosts DNS comprometidos. Os endereços IP DNS são continuamente alterados em minutos. Os botnets geralmente empregam técnicas de Fast Flux para ocultar de maneira eficaz a detecção de servidores maliciosos. |
| Fluxo de IP duplo | Os agentes de ameaças usam essa técnica para alterar rapidamente o nome do host para mapeamentos de endereço IP e também para alterar o servidor de nomes autoritativo. Isso aumenta a dificuldade de identificar a origem do ataque. |
| Algoritmos de geração de domínio | Os agentes de ameaças usam essa técnica em malware para gerar aleatoriamente nomes de domínio que podem ser usados como pontos de encontro para seus servidores de comando e controle (C&C). |
Ataques de sombreamento de domínio DNS
O sombreamento de domínio envolve o ator da ameaça reunindo credenciais de conta de domínio para criar silenciosamente vários subdomínios a serem usados durante os ataques. Esses subdomínios normalmente apontam para servidores mal-intencionados sem alertar o proprietário real do domínio pai.
Tunelamento DNS
Os agentes de ameaça que usam o túnel DNS colocam tráfego não DNS dentro do tráfego DNS. Esse método geralmente contorna as soluções de segurança quando um agente de ameaça deseja se comunicar com bots dentro de uma rede protegida ou exfiltrar dados da organização, como um banco de dados de senhas. Quando o agente da ameaça usa o túnel DNS, os diferentes tipos de registros DNS são alterados. É assim que o túnel DNS funciona para comandos CnC enviados a um botnet:
- Os dados do comando são divididos em vários blocos codificados.
- Cada pedaço é colocado em um rótulo de nome de domínio de nível inferior da consulta DNS.
- Como não há resposta do DNS local ou em rede para a consulta, a solicitação é enviada aos servidores DNS recursivos do ISP.
- O serviço DNS recursivo encaminhará a consulta ao servidor de nomes autorizado do ator da ameaça.
- O processo é repetido até que todas as consultas contendo os pedaços de sejam enviadas.
- Quando o servidor de nomes autorizado do ator da ameaça recebe as consultas DNS dos dispositivos infectados, ele envia respostas para cada consulta DNS, que contém os comandos CnC codificados e encapsulados.
- O malware no host comprometido recombina os fragmentos e executa os comandos ocultos no registro DNS.
Para interromper o encapsulamento DNS, o administrador da rede deve usar um filtro que inspecione o tráfego DNS. Preste muita atenção às consultas DNS que são mais longas do que a média ou aquelas que têm um nome de domínio suspeito. As soluções DNS, como o Cisco OpenDNS, bloqueiam grande parte do tráfego de túnel DNS ao identificar domínios suspeitos.
DHCP
Os servidores DHCP fornecem dinamicamente informações de configuração de IP aos clientes. A figura mostra a seqüência típica de uma troca de mensagens DHCP entre o cliente e o servidor.
Operação normal de DHCP
Na figura, um cliente transmite uma mensagem de descoberta de DHCP. O servidor DHCP responde com uma oferta unicast que inclui informações de endereçamento que o cliente pode usar. O cliente transmite uma solicitação DHCP para informar ao servidor que o cliente aceita a oferta. O servidor responde com uma confirmação unicast aceitando a solicitação.
Ataques DHCP
Ataque de spoofing de DHCP
Um ataque de falsificação de DHCP ocorre quando um servidor DHCP não autorizado é conectado à rede e fornece parâmetros de configuração de IP falsos para clientes legítimos. Um servidor não autorizado pode fornecer uma variedade de informações enganosas:
- Gateway padrão errado – O agente da ameaça fornece um gateway inválido ou o endereço IP de seu host para criar um ataque MITM. Isso pode passar totalmente despercebido, pois o invasor intercepta o fluxo de dados pela rede.
- Servidor DNS incorreto – O agente da ameaça fornece um endereço de servidor DNS incorreto, apontando o usuário para um site mal-intencionado.
- Endereço IP incorreto – O ator da ameaça fornece um endereço IP inválido, endereço IP de gateway padrão inválido ou ambos. O ator da ameaça então cria um ataque DoS no cliente DHCP.
Suponha que um agente de ameaça conectou com êxito um servidor DHCP não autorizado a uma porta de switch na mesma sub-rede dos clientes-alvo. O objetivo do servidor não autorizado é fornecer aos clientes informações falsas de configuração de IP.
Clique em cada botão para obter uma ilustração e explicação das etapas de um ataque de spoofing de DHCP.
Na figura, um cliente legítimo se conecta à rede e requer parâmetros de configuração de IP. O cliente transmite uma solicitação DHCP Discover procurando uma resposta de um servidor DHCP. Ambos os servidores recebem a mensagem.
A figura mostra como os servidores DHCP legítimos e não autorizados respondem com parâmetros de configuração de IP válidos. O cliente responde à primeira oferta recebida.
Nesse cenário, o cliente recebeu a oferta não autorizada primeiro. Ele transmite uma solicitação DHCP aceitando os parâmetros do servidor não autorizado, conforme mostrado na figura. O servidor legítimo e o não autorizado recebem a solicitação.
No entanto, apenas o servidor não autorizado faz uma resposta ao cliente para reconhecer sua solicitação, conforme mostrado na figura. O servidor legítimo para de se comunicar com o cliente porque a solicitação já foi confirmada.
Laboratório – Explorar o tráfego DNS
Neste laboratório, você concluirá os seguintes objetivos:
- Capture o tráfego DNS
- Explorar o tráfego de consulta DNS
- Explorar o tráfego de resposta DNS
Pronto para ir! Continue visitando nosso blog do curso de networking, confira todo o conteúdo do CCNA 3 aqui; e você encontrará mais ferramentas e conceitos que o tornarão um profissional de rede.