Tabla de Contenido
Vídeo – Ataques IP e ICMP comuns
Existem ainda mais tipos de ataques do que os discutidos nos tópicos anteriores. Alguns visam especificamente vulnerabilidades de IP, como você aprenderá neste tópico.
Clique em Reproduzir na figura para ver um vídeo sobre ataques comuns de IP e ICMP.
IPv4 e IPv6
O IP não valida se o endereço IP de origem contido em um pacote realmente veio dessa origem. Por esse motivo, os agentes de ameaças podem enviar pacotes usando um endereço IP de origem falsificado. Os atores da ameaça também podem adulterar os outros campos do cabeçalho IP para realizar seus ataques. Os analistas de segurança devem compreender os diferentes campos dos cabeçalhos IPv4 e IPv6.
Alguns dos ataques mais comuns relacionados a IP são mostrados na tabela.
Técnicas de ataque IP | Descrição |
---|---|
Ataques ICMP | Os agentes de ameaças usam pacotes de eco (pings) do protocolo de mensagens de controle da Internet (ICMP) para descobrir sub-redes e hosts em uma rede protegida, para gerar ataques de inundação DoS e para alterar as tabelas de roteamento de host. |
Ataques de amplificação e reflexão | Os agentes da ameaça tentam impedir que usuários legítimos acessem informações ou serviços usando ataques DoS e DDoS. |
Abordar ataques de falsificação | Os agentes de ameaças falsificam o endereço IP de origem em um pacote IP para executar falsificação cega ou não cega. |
Ataque man-in-the-middle (MITM) | Os atores da ameaça se posicionam entre uma origem e um destino para monitorar, capturar e controlar a comunicação de forma transparente. Eles podiam espionar inspecionando pacotes capturados ou alterar pacotes e encaminhá-los para seu destino original. |
Seqüestro de sessão | Os atores da ameaça obtêm acesso à rede física e, em seguida, usam um ataque MITM para sequestrar uma sessão. |
Ataques ICMP
Os atores da ameaça usam o ICMP para reconhecimento e ataques de varredura. Eles podem lançar ataques de coleta de informações para mapear uma topologia de rede, descobrir quais hosts estão ativos (acessíveis), identificar o sistema operacional do host (impressão digital do sistema operacional) e determinar o estado de um firewall. Os agentes de ameaças também usam ICMP para ataques DoS.
Nota: ICMP para IPv4 (ICMPv4) e ICMP para IPv6 (ICMPv6) são suscetíveis a tipos semelhantes de ataques.
As redes devem ter uma filtragem estrita da lista de controle de acesso (ACL) ICMP na borda da rede para evitar a detecção de ICMP da Internet. Os analistas de segurança devem ser capazes de detectar ataques relacionados ao ICMP observando o tráfego capturado e os arquivos de log. No caso de grandes redes, dispositivos de segurança como firewalls e sistemas de detecção de intrusão (IDS) detectam tais ataques e geram alertas para os analistas de segurança.
Mensagens ICMP comuns de interesse para os agentes de ameaças estão listadas na tabela.
Mensagens ICMP usadas por hackers | Descrição |
---|---|
Solicitação de eco ICMP e resposta de eco | Isso é usado para realizar verificação de host e ataques DoS. |
ICMP inacessível | Isso é usado para realizar o reconhecimento de rede e ataques de varredura. |
Resposta de máscara ICMP | Isso é usado para mapear uma rede IP interna. |
Redirecionamentos ICMP | Isso é usado para atrair um host alvo para enviar todo o tráfego através de um dispositivo comprometido e criar um ataque MITM. |
Descoberta de roteador ICMP | Isso é usado para injetar entradas de rota falsas na tabela de roteamento de um host de destino. |
Vídeo – Ataques de amplificação, reflexão e falsificação
Clique em Reproduzir na figura para ver um vídeo sobre ataques de amplificação, reflexão e spoofing.
Ataques de amplificação e reflexão
Os atores de ameaças geralmente usam técnicas de amplificação e reflexão para criar ataques DoS. O exemplo na figura ilustra como uma técnica de amplificação e reflexão chamada de ataque Smurf é usada para oprimir um host-alvo.
- Amplificação – O agente da ameaça encaminha mensagens de solicitação de eco ICMP para muitos hosts. Essas mensagens contêm o endereço IP de origem da vítima.
- Reflexão – Todos esses hosts respondem ao endereço IP falsificado da vítima para sobrecarregá-lo.
Nota: Formas mais novas de ataques de amplificação e reflexão, como ataques de reflexão e amplificação baseados em DNS e ataques de amplificação de Network Time Protocol (NTP), estão agora sendo usados.
Os atores da ameaça também usam ataques de exaustão de recursos. Esses ataques consomem os recursos de um host de destino para travá-lo ou para consumir os recursos de uma rede.
Os atores da ameaça também usam ataques de exaustão de recursos. Esses ataques consomem os recursos de um host de destino para travá-lo ou para consumir os recursos de uma rede.
Ataques de falsificação de endereço
Os ataques de falsificação de endereço IP ocorrem quando um agente de ameaça cria pacotes com informações de endereço IP de origem falsas para ocultar a identidade do remetente ou para se passar por outro usuário legítimo. O ator da ameaça pode então obter acesso a dados inacessíveis ou burlar as configurações de segurança. O spoofing geralmente é incorporado a outro ataque, como um ataque de Smurf.
Ataques de spoofing podem ser não cegos ou cegos:
- Spoofing não cego – O ator da ameaça pode ver o tráfego que está sendo enviado entre o host e o destino. O ator da ameaça usa falsificação não cega para inspecionar o pacote de resposta da vítima alvo. O spoofing não cego determina o estado de um firewall e a previsão do número de sequência. Ele também pode sequestrar uma sessão autorizada.
- Falsificação cega – O ator da ameaça não pode ver o tráfego que está sendo enviado entre o host e o destino. A falsificação cega é usada em ataques DoS.
Ataques de falsificação de endereço MAC são usados quando os atores da ameaça têm acesso à rede interna. Os atores da ameaça alteram o endereço MAC de seu host para corresponder a outro endereço MAC conhecido de um host de destino, conforme mostrado na figura. O host de ataque então envia um quadro por toda a rede com o endereço MAC recém-configurado. Quando o switch recebe o quadro, ele examina o endereço MAC de origem.
O ator da ameaça falsifica o endereço MAC de um servidor
O switch sobrescreve a entrada da tabela CAM atual e atribui o endereço MAC à nova porta, conforme mostrado na figura. Em seguida, ele encaminha os quadros destinados ao host de destino para o host de ataque.
Um servidor e um agente de ameaça estão conectados ao mesmo switch. O servidor tem um endereço MAC de AABBCC e está conectado à porta 1. O ator da ameaça está conectado à porta 2 e tem um endereço MAC falsificado de AABBCC. Um texto explicativo abaixo do switch diz: O dispositivo com endereço MAC AABBCC mudou para a porta 2. Devo ajustar minha tabela de endereços MAC de acordo. Um diagrama acima do switch indica que ele mapeou AABBCC para a porta 2. A porta 1 não tem um mapeamento.
Mudar Atualiza a Tabela CAM com Endereço Falsificado
A falsificação de aplicativo ou serviço é outro exemplo de falsificação. Um agente de ameaça pode conectar um servidor DHCP não autorizado para criar uma condição MITM.
A falsificação de aplicativo ou serviço é outro exemplo de falsificação. Um agente de ameaça pode conectar um servidor DHCP não autorizado para criar uma condição MITM.
Pronto para ir! Continue visitando nosso blog do curso de networking, confira todo o conteúdo do CCNA 3 aqui; e você encontrará mais ferramentas e conceitos que o tornarão um profissional de rede.