Vulnerabilidades TCP e UDP
Vulnerabilidades TCP e UDP

Vulnerabilidades TCP e UDP

[note note_color=”#21ab5136″ text_color=”#2c2c2d” radius=”3″ class=”” id=””]Bem-vindo: este tópico faz parte do Capítulo 14 do curso Cisco CCNA 3, para um melhor acompanhamento do curso você pode ir para a seção CCNA 2 para orientá-lo durante um pedido.[/note]

Cabeçalho do Segmento TCP

Embora alguns ataques tenham como alvo IP, este tópico discute ataques que têm como alvo TCP e UDP.

As informações do segmento TCP aparecem imediatamente após o cabeçalho IP. Os campos do segmento TCP e os sinalizadores do campo Bits de controle são exibidos na figura.

Cabeçalho do Segmento TCP

A seguir estão os seis bits de controle do segmento TCP:

  • URG – Campo de ponteiro urgente significativo
  • ACK – Campo de reconhecimento significativo
  • PSH – função push
  • RST- Redefinir a conexão
  • SYN – Sincronizar números de sequência
  • FIN – Não há mais dados do remetente

Serviços TCP

O TCP fornece estes serviços:

  • Entrega confiável – O TCP incorpora confirmações para garantir a entrega, em vez de depender de protocolos de camada superior para detectar e resolver erros. Se uma confirmação oportuna não for recebida, o remetente retransmite os dados. Exigir confirmações de dados recebidos pode causar atrasos substanciais. Exemplos de protocolos de camada de aplicativo que usam a confiabilidade TCP incluem HTTP, SSL / TLS, FTP, transferências de zona DNS e outros.
  • Controle de fluxo – O TCP implementa o controle de fluxo para resolver esse problema. Em vez de reconhecer um segmento de cada vez, vários segmentos podem ser confirmados com um único segmento de confirmação.
  • Comunicação com estado – A comunicação com estado do TCP entre duas partes ocorre durante o handshake TCP de três vias. Antes que os dados possam ser transferidos usando TCP, um handshake de três vias abre a conexão TCP, conforme mostrado na figura. Se ambos os lados concordarem com a conexão TCP, os dados podem ser enviados e recebidos por ambas as partes usando TCP.

Handshake TCP de três vias

Handshake TCP de três vias

Uma conexão TCP é estabelecida em três etapas:

  • O cliente inicial solicita uma sessão de comunicação cliente-servidor com o servidor.
  • O servidor reconhece a sessão de comunicação cliente-servidor e solicita uma sessão de comunicação servidor-cliente.
  • O cliente inicial reconhece a sessão de comunicação entre o servidor e o cliente.

Ataques TCP

Os aplicativos de rede usam portas TCP ou UDP. Os atores da ameaça realizam varreduras de portas dos dispositivos alvo para descobrir quais serviços eles oferecem.

Ataque de inundação TCP SYN

O ataque TCP SYN Flood explora o handshake TCP de três vias. A figura mostra um ator de ameaça enviando continuamente pacotes de solicitação de sessão TCP SYN com um endereço IP de origem falsificado aleatoriamente para um destino. O dispositivo de destino responde com um pacote TCP SYN-ACK ao endereço IP falsificado e espera por um pacote TCP ACK. Essas respostas nunca chegam. Eventualmente, o host de destino fica sobrecarregado com conexões TCP semiabertas e os serviços TCP são negados a usuários legítimos.

Ataque de inundação TCP SYN

Ataque de inundação TCP SYN
  1. O ator da ameaça envia várias solicitações SYN a um servidor da web.
  2. O servidor da web responde com SYN-ACKs para cada solicitação SYN e espera para concluir o handshake triplo. O ator da ameaça não responde aos SYN-ACKs.
  3. Um usuário válido não pode acessar o servidor da web porque o servidor da web tem muitas conexões TCP abertas pela metade.

Ataque de redefinição de TCP

Um ataque de redefinição de TCP pode ser usado para encerrar as comunicações TCP entre dois hosts. O TCP pode encerrar uma conexão de maneira civilizada (ou seja, normal) e não civilizada (ou seja, abrupta).

A figura mostra a maneira civilizada quando o TCP usa uma troca de quatro vias que consiste em um par de segmentos FIN e ACK de cada terminal TCP para fechar a conexão TCP.

A maneira não civilizada é quando um host recebe um segmento TCP com o conjunto de bits RST. Esta é uma maneira abrupta de interromper a conexão TCP e informar ao host receptor para interromper imediatamente o uso da conexão TCP.

Um agente de ameaça pode realizar um ataque de redefinição de TCP e enviar um pacote falsificado contendo um TCP RST para um ou ambos os pontos de extremidade.

Encerrando uma conexão TCP

Terminating a TCP Connection

O encerramento de uma sessão TCP usa o seguinte processo de troca de quatro vias:

  • Quando o cliente não tem mais dados para enviar no fluxo, ele envia um segmento com o sinalizador FIN definido.
  • O servidor envia um ACK para confirmar o recebimento do FIN para encerrar a sessão do cliente para o servidor.
  • O servidor envia um FIN ao cliente para encerrar a sessão servidor para cliente.
  • O cliente responde com um ACK para reconhecer o FIN do servidor.

Hijacking de sessão TCP

O sequestro de sessão TCP é outra vulnerabilidade do TCP. Embora seja difícil de conduzir, um agente de ameaça assume o controle de um host já autenticado à medida que se comunica com o alvo. O ator da ameaça deve falsificar o endereço IP de um host, prever o próximo número de sequência e enviar um ACK para o outro host. Se for bem-sucedido, o agente da ameaça pode enviar, mas não receber, dados do dispositivo de destino.

Cabeçalho de segmento UDP e operação

UDP é comumente usado por DNS, TFTP, NFS e SNMP. Ele também é usado com aplicativos em tempo real, como streaming de mídia ou VoIP. UDP é um protocolo de camada de transporte sem conexão. Ele tem uma sobrecarga muito menor do que o TCP porque não é orientado a conexões e não oferece os sofisticados mecanismos de retransmissão, sequenciamento e controle de fluxo que fornecem confiabilidade. A estrutura do segmento UDP, mostrada na figura, é muito menor do que a estrutura do segmento TCP.

Cabeçalho de segmento UDP e operação

Embora UPD seja normalmente chamado de não confiável, em contraste com a confiabilidade do TCP, isso não significa que os aplicativos que usam UDP são sempre não confiáveis, nem significa que o UDP é um protocolo inferior. Isso significa que essas funções não são fornecidas pelo protocolo da camada de transporte e devem ser implementadas em outro lugar, se necessário.

A baixa sobrecarga do UDP o torna muito desejável para protocolos que fazem transações simples de solicitação e resposta. Por exemplo, usar TCP para DHCP introduziria tráfego de rede desnecessário. Se nenhuma resposta for recebida, o dispositivo reenvia a solicitação.

Ataques UDP

UDP não é protegido por nenhuma criptografia. Você pode adicionar criptografia ao UDP, mas ela não está disponível por padrão. A falta de criptografia significa que qualquer pessoa pode ver o tráfego, alterá-lo e enviá-lo ao seu destino. Alterar os dados no tráfego alterará a soma de verificação de 16 bits, mas a soma de verificação é opcional e nem sempre é usada. Quando a soma de verificação é usada, o agente da ameaça pode criar uma nova soma de verificação com base na nova carga de dados e registrá-la no cabeçalho como uma nova soma de verificação. O dispositivo de destino descobrirá que a soma de verificação corresponde aos dados sem saber que os dados foram alterados. Este tipo de ataque não é amplamente utilizado.

Ataques UDP Flood

É mais provável que você veja um ataque de inundação UDP. Em um ataque de inundação UDP, todos os recursos de uma rede são consumidos. O ator da ameaça deve usar uma ferramenta como UDP Unicorn ou Low Orbit Ion Cannon. Essas ferramentas enviam uma enxurrada de pacotes UDP, geralmente de um host falsificado, para um servidor na sub-rede. O programa varrerá todas as portas conhecidas tentando encontrar portas fechadas. Isso fará com que o servidor responda com uma mensagem de porta ICMP inacessível. Como há muitas portas fechadas no servidor, isso cria muito tráfego no segmento, que usa a maior parte da largura de banda. O resultado é muito semelhante a um ataque DoS.

Pronto para ir! Continue visitando nosso blog do curso de networking, confira todo o conteúdo do CCNA 3 aqui; e você encontrará mais ferramentas e conceitos que o tornarão um profissional de rede.

O seu endereço de email não será publicado. Campos obrigatórios marcados com *