You are on page 1of 7

4

INTRODUÇÃO

O trabalho a seguir tem o objetivo de mostrar algumas das técnicas que são utilizadas para realizar ataques em uma rede de computadores.

O processo de coleta de informações é conhecido como Mapeamento. Qualquer hospedeiro que tenha uma placa Ethernet podem facilmente servir de analisador de pacotes. seja via um simples datagrama UDP) números de portas em uma máquina e ver o que acontece em resposta. HTTP ou FTP) oferecidos pela máquina. e as informam ao administrador da rede. 2 ANÁLISE DE PACOTES Um analisador de pacotes (packet sniffer) é um programa que funciona em um dispositivo acoplado à rede e que recebe passivamente todos os quadros de camada de enlace que passam por sua interface de rede. Muitos firewalls. bem como outras atividades mal-intencionadas. um ataque é quase sempre precedido de coleta de informações. que executa varredura de portas. pois basta ajustar o adaptador de Ethernet . como os vendidos pela Checkpoint. Com essas informações. os ataques podem ter um foco mais concentrado e a probabilidade de causar alarme é menor. os invasores gostariam de saber os endereços IP das máquinas pertencentes à rede. Um programa como o Ping pode ser utilizado para determinar os endereços IP das máquinas presentes na rede simplesmente observando quais endereços respondem à mensagem Ping. Essas respostas.5 ATAQUES E CONTRAMEDIDAS 1 MAPEAMENTO No mundo real (no sentido de oposto ao mundo cibernético). quais sistemas operacionais elas utilizam e os serviços que esses sistemas oferecem. por sua vez. podem ser usadas para determinar os serviços (por exemplo. Antes de atacar uma rede. Em ambiente broadcast como uma LAN Ethernet. Varredura de portas (por scanning) refere-se a técnica de contatar sequencialmente (seja via requisição de conexão TCP. detectam mapeamento e varredura de portas. isso significa que o analisador de pacotes recebe todos os quadros que estão sendo transmitidos de ou para todos os hospedeiros na LAN. Nmap é uma aplicação de código-fonte aberto amplamente utilizada para exploração de redes e para auditoria de desempenho.

intrusos podem se fazer passar pelos donos das contas para lançar um ataque de negação de serviço. que envia uma resposta de eco ICMP) que está corretamente endereçado ao datagrama IP. ser passados aos programas de aplicação que extraem dados de camada de aplicação. porém contem um endereço MAC incorreto. então. Assim. a análise de pacotes é uma faca de dois gumes. A chave para detectar análise de pacotes e detectar interfaces de rede que estão configuradas para modo promíscuo. onde o pedido de senha de login enviado de A para B. Um usuário que tenha completo controle sobre o software do equipamento (em particular sobre o sistema operacional) pode facilmente modificar os protocolos daquele equipamento e colocar um endereço IP arbitrário no campo Endereço de . um hospedeiro que responda a um datagrama ICMP de solicitação de eco (isto é. Quando se trata de uma empresa. Sabe-se que professores que ministram cursos sobre redes têm passado exercícios de laboratório que envolvem escrever um programa de analise de pacotes e de recuperação de dados no nível de aplicação.6 no modo promíscuo (promiscuous mode) para que ele receba todos os quadros que passam na Ethernet. Por exemplo. bem como dados da camada superior. pode ser de inestimável valor para o administrador de rede realizar a monitoração e a administração da rede. Após obter senhas de acesso a contas de usuários. provavelmente tem sua interface configurada em modo promíscuo. 3 FALSIFICAÇÃO Qualquer equipamento conectado à internet necessariamente envia datagramas IP para a rede. Há vários estratagemas que podem ser executados remotamente para detectar interfaces promíscuas. que os alertará quando uma interface está configurada para o modo promíscuo. Por exemplo. os administradores de redes podem instalar um software em todos os computadores. Softwares para análise de pacotes podem ser obtidos de graça em vários sites Web ou adquiridos no mercado. mas também pode ser usada por um hacker inescrupuloso. no cenário Telnet. A chave para conviver com a análise de pacotes é criptografar todos os dados (em partículas as senhas) que cruzam um enlace de rede. bem como a senha informada em B. Esses quadros podem. é analisado no hospedeiro C. Lembrando que esse datagramas portam o endereço IP do remetente.

Do ponto de vista técnico. A falsificação de IP é muito usada em ataques de recusa de serviço para ocultar a identidade de quem originou o ataque. A terceira etapa da apresentação de três vias nunca é concluída pelo atacante. A filtragem de ingresso hoje é considerada uma boa prática na internet.7 Fonte (Source Address) do datagrama. de um hospedeiro ou de qualquer outro componente da infra-estrutura da rede pelos usuários legítimos. não é implementada universalmente. A carga de pacotes SYN a ser processada e a exaustão da memória livre podem derrubar o servidor. portanto. conclui a segunda etapa da apresentação TCP para um SYN falsificado. é fácil evitar falsificação. Se o endereço de fonte IP de um datagrama for falsificado. Dessa maneira. Embora seja simples do ponto de vista técnico a filtragem de ingresso não pode ser imposta e. um usuário pode montar um pacote IP que contenha quaisquer dados de carga útil (camada superior) que quiser e fazer com que pareça que os dados foram enviados de um hospedeiro IP arbitrário. em um gateway ou firewall de uma certa empresa onde é conhecida uma determinada faixa de endereço dentro da qual estão todos os hospedeiros existentes na empresa. Ela é um ataque DoS que torna impossível a utilização de uma rede. o atacante inunda um servidor com pacotes TCP SYN. alocando a ela estrutura de dados e estado. um ataque DoS funciona pela criação de uma quantidade tão grande de trabalho para a infra-estrutura sob ataque que o trabalho legitimo não pode ser realizado. Em um ataque de inundação SYN. cada um com um endereço IP de fonte falsificado. Essa verificação pode ser realizada com facilidade na borda da rede. Isso é conhecido como falsificação de IP. mas nunca um número suficiente . O servidor.DoS). Roteadores que executam filtragem de entrada verificam os endereços IP de datagramas que estão chegando e determinam se o endereço de fonte está na faixa de endereços de rede que se sabe que podem ser alcançados por meio daquela interface. Uma forma relacionada de ataque envia fragmentos IP a um hospedeiro. Em geral. incapaz de diferenciar um pacote SYN legítimo de um falsificado. é difícil descobrir o hospedeiro que o enviou. o que deixa um número cada vez maior de conexões parcialmente abertas. de um ponto de vista social. 4 ATAQUES DE NEGAÇÃO DE SERVIÇO (DoS) Há uma categoria muito ampla de ameaças à segurança que pode ser classificada como ataques de negação de serviço (denial-of-service . por exemplo.em consequência. é difícil de implantar .

janela anunciada pelo destinatário) da conexão TCP entre Alice e Bob. em primeiro lugar o atacante obtém acesso a contas de usuários em inúmeros hospedeiros por toda a internet (por exemplo. analisando senhas ou entrando nas contas de usuário por outros meios). número de sequência. Em ataque Smurf funciona fazendo com que um grande número de hospedeiros inocentes respondam a pacotes ICMP de solicitação de eco que contém um endereço IP de fonte falsificado. ou sequestrar. ela pode enganar Bob e fazê-lo acreditar que continua se comunicando com Alice. 5 SEQUESTRO Suponha que Alice e Bob participem de uma conexão em curso e que Trudy dispõe de meios para monitorar pacotes que fluem entre eles. O atacante então instala e executa um programa escravo em cada site comprometido que fica lá. quieto. pois vem de muitas direções ao mesmo tempo.8 desses fragmentos que completem um datagrama. . Trudy já conhece o estado completo (por exemplo. o programa mestre contata cada um deles e lhes passa instruções para lançar um ataque DoS contra algum hospedeiro escolhido como alvo. Tão logo um grande número de programas escravos esteja sendo executados. embora esteja se comunicando com ela. uma quantidade cada vez maior de armazenamento. com o passar do tempo. Como já estava monitorando a comunicação entre Bob e Alice. 4.1 ATAQUES DE NEGAÇÃO DE SERVIÇO DISTRIBUÍDO (DDoS) Em um ataque de negação de serviço distribuído (DDoS). O ataque coordenado resultante dessa manobra é particularmente devastador. pelos comandos de um programa mestre. esperando. Trudy tira Alice de cena lançando um ataque DoS contra ela. Trudy. Assim. Isso resulta no envio de um grande número de pacotes ICMP de resposta de eco ao hospedeiro cujo endereço IP é objeto de falsificação. número de ACK. Em primeiro lugar. ela pode falsificar datagramas IP enviados a Bob (utilizando o endereço de Alice como endereço de fonte) contendo segmentos TCP válidos e uma carga útil de usuário arbitrária. consumindo. Trudy pode se apossar. Em particular. Ataques DDoS são bem mais difíceis de se proteger e são bem mais difíceis e demorados de se resolver. a conexão em curso ente Bob e Alice.

deve-se tomar certas iniciativas para poder evitar e bloquear esses ataques e com isso garantir que o usuário consiga realizar o seu acesso em segurança. .9 CONCLUSÃO Com o trabalho apresentado pode-se concluir que com o crescimento das redes de computadores aumentaram também o interesse de alguns usuários em desenvolver maneiras de se invadir e manipular outras redes. Portanto.

Tradução de Arlete Simille Marques. James F. 546-549. cap. ROSS.10 REFERÊNCIAS BIBLIOGRÁFICAS KUROSE. .. 3ª ed. São Paulo: Pearson. 2006. Keith W. Redes de Computadores e a Internet: Uma abordagem top-down. p. 8.