Em redes IP que utilizam switches, pode-se realizar a escuta...
computacionais, julgue os itens que se seguem.
CORRETO. Vou explicar como é feito. Primeiro você altera o MAC de sua placa de rede para coincidir com o MAC da maquina a ser espionada. Depois envia um PING para algum host na rede. O Switch vai aprender seu MAC forjado (ARP Spoofing). Quando o switch for encaminhar um pacote para o host da vítima, ele enviará uma cópia para você.
Na prática o ARP Spoofing não funciona dessa maneira, pois se vc clonar seu enderço MAC com o da vítima uma das duas máquinas não irá mais receber pacotes (provavelmente a vítima).Na verdade o ARP Spoofing é um tipo de ataque man-in-the-middle e funciona da seguinte maneira (resumidamente):
Supondo que a máquina A quer falar com a máquina B e o hacker H deseja escutar (sniffar) o que se passa.
Quando A realizar a consulta ARP e perguntar "quem possui o IP tal (IP de B)?", o hacker H responde com seu endereço MAC antes que B responda. Dessa forma, A enviará as mensagens para H achando que esta enviando para B. Para que A não suspeite de nada, H envia todas as mensagens que recebe de A para B (IP forwarding).
Este ataque também é conhecido como Sniffer ativo.
Entendo que essa questão está errada.
Escuta do tráfego é um ataque passivo denominado, por Stallings, análise de tráfego. Nesse caso, existe uma comunicação entre dois hosts legítimos, e um terceiro no meio escutando o tráfego de maneira transparente. Stallings, aponta que este tipo de ataque é de difícil detecção, sendo mais prudente evitá-lo por meio de técnicas de criptografia.
O ARP Spoofing é um ataque ativo que se assemelha aos ataques de disfarce e repetição. O Objetivo não é escutar a conversa entre dois hosts legítimos. O objetivo é se disfarçar de host legítimo para obter acesso privilegiado.
Certo.
ARP poisoning ou ARP spoofing
Em redes de computadores, ARP spoofing ou ARP cache poisoning é uma técnica em que um atacante envia mensagens ARP (Address Resolution Protocol) com o intuito de associar seu end MAC ao end IP de outro host, como por exemplo, o endereço IP do gateway padrão, fazendo com que todo o tráfego seja enviado para o end. IP do atacante ao invés do endereço IP do gateway.
O micro do atacante envia pacotes com respostas forjadas para requisições ARP de outros micros da rede. Como vimos no capítulo 4, o ARP é utilizado para descobrir os endereços MAC dos demais micros da rede, já que os switches não entendem endereços IP. Esses pacotes forjados fazem com que os outros micros passem a enviar seus pacotes para o micro do atacante, que é configurado para capturar as transmissões e retransmitir os pacotes originais para os destinatários corretos.
A rede continua funcionando normalmente, mas agora o atacante tem chance de logar todo o tráfego, usando o Wireshark ou outro sniffer. Felizmente, o Wiresh tbém pode ser usado para perceber as anormalidades na rede e chegar até o espertinho.
O ARP spoofing permite com que o atacante intercepte quadros trafegados na rede, modifique os quadros trafegados e até é capaz de parar todo o tráfego.
http://www.hardware.com.br/livros/redes/arp-poisoning-mac-flooding.html
SPOOFING
Tecnica usada para falsificar o endereço de remetente para que o destinatário ache que o pacote veio de outra pessoa ou que a resposta à esse pacote seja enviada para outra pessoa. Pode atuar na camada aplicação, rede e enlace:
1. IP spoofing: Esconde o endereço real do atacante por meio de alteração no cabeçalho do pacote IP, redireciona o tráfego de internet no nível de DNS;
2. MAC spoofing: Altera o cabeçalho do quadro da rede para que não se possa saber o endereço MAC do atacante;
3. Spoofing de e-mail: Altera campos do cabeçalho de um e -mail, de forma a aparentar que ele foi enviado de uma determinada origem quando, na verdade, foi enviado de outra.
"Escuta do tráfego com o ARP spoofing". Pensei: "tem autorização judicial?"... Tá na hora do café kkk
Vale lembrar que no ARP Spoofing atacante está na mesma rede da vítima.
Japamura wins!
SPOOFING
- Spoof = imitar
- descreve o ato de enganar um site, um serviço, um servidor ou uma pessoa afirmando que a fonte de uma informação é legítima, quando não é.
- phishing é uma evolução do spoofing.
- Spoofing de ID: Um hacker faz uma requisição a um site ou servidor se passando por um IP legítimo, de forma que a vítima não consiga identificar o atacante;
- Spoofing de e-mail: Um dos mais comuns, mira usuários e consiste em e-mails falsos, se passando por outra pessoa ou uma empresa real. Comumente está associado a um phishing.
- Spoofing de DNS: O hacker manipula as conexões de rede (alterando o DNS de roteadores em larga escala) e desvia acessos a um site legítimo para uma cópia falsa, de roubar dados. Sites de bancos são os alvos mais comuns; (pharming - envenenamento de DNS)
- Spoofing de chamadas e/ou SMS: O atacante faz chamadas ou envia mensagens SMS se passando por um número legítimo, tentando enganar outros usuários;
- Caller ID Spoofing: Este é um método mais elaborado. O hacker tenta acessar serviços de telefonia ou de apps através de um número de celular clonado, de modo a invadir contas de e-mail, mensageiros e redes sociais do usuário copiado {muito possível de cair nas provas esse ano, porque é uma prática recorrente na pandemia}.
PROTOCLOS DE REDE
ARP: transforma endereço Lógico para Físico.
RARP: transforma endereço Físico para Lógico;
RIP e OSPF: roteam
ICMP: envia relatórios de erros
A alternativa correta é: C - certo
Vamos entender melhor o contexto e os conceitos abordados pela questão para compreender por que essa é a resposta correta.
O tema da questão é vulnerabilidades e ataques a sistemas computacionais, com um foco específico em redes IP que utilizam switches e a possibilidade de escuta do tráfego através de um ataque chamado ARP spoofing.
ARP (Address Resolution Protocol) spoofing é uma técnica utilizada para interceptar o tráfego de rede ao associar o endereço MAC do atacante a um endereço IP legítimo. Uma vez que isso é feito, todo o tráfego destinado ao IP legítimo é redirecionado para o atacante, permitindo a escuta do tráfego e possivelmente a modificação ou o bloqueio dos dados.
Em redes IP que utilizam switches, o tráfego normalmente é segmentado para que apenas as máquinas destinatárias recebam pacotes que lhes são destinados. No entanto, através do ARP spoofing, um atacante pode enganar o switch, fazendo-o enviar o tráfego de outras máquinas para ele mesmo, conseguindo assim escutar o tráfego.
Isso é possível porque os switches utilizam tabelas ARP para associar endereços IP a endereços MAC. Se um atacante consegue enviar mensagens ARP falsas (spoofing) para o switch, ele pode alterar essas associações, redirecionando o tráfego para ele mesmo.
Agora, vamos justificar a alternativa correta:
Alternativa C (certo): Está correta porque, em redes IP que utilizam switches, é realmente possível realizar a escuta do tráfego através do ARP spoofing. Esse ataque manipula as tabelas ARP no switch para que o tráfego destinado a outras máquinas seja redirecionado para o atacante.
Nos itens incorretos, que não estão presentes na questão, poderíamos incluir cenários onde, por exemplo,:
- O ARP spoofing não seria possível em redes com medidas de segurança adicionais, como DHCP snooping ou Dynamic ARP Inspection (DAI), que protegem contra falsificações de ARP.
- Ou se mencionasse que o ARP spoofing não é aplicável em redes segmentadas por VLANs com segurança reforçada.
Portanto, o conhecimento necessário para resolver essa questão inclui entender como o ARP spoofing funciona, como ele pode ser utilizado para interceptar tráfego em redes com switches, e as medidas que podem ser implementadas para mitigar esse tipo de ataque.
Espero que essa explicação tenha sido clara e útil. Se precisar de mais informações ou tiver alguma dúvida, estou à disposição para ajudar!