Considere que, utilizando um sniffer junto ao segmento que l...
da rede de computadores das organizações públicas para as quais
presta serviços, desenvolveu um conjunto de processos de
avaliação de segurança da informação em redes de computadores.
Empregando métodos analíticos e práticos, os auditores coletaram
várias informações acerca da rede e produziram diversas
declarações, sendo algumas delas consistentes com o estado da
prática e outras incorretas. A esse respeito, julgue os itens de 101
a 105.
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
Gabarito: C - Certo
Justificativa:
A questão aborda um cenário em que um auditor de segurança utiliza um sniffer para analisar o tráfego de rede de uma organização. O auditor identifica a presença de milhares de pacotes SYN e SYN/ACK sem os correspondentes pacotes ACK. Esse comportamento é um forte indicativo de um ataque de negação de serviço, mais conhecido como DoS (Denial of Service).
Para entender por que essa inferência está correta, vamos explicar os termos e o contexto:
1. Protocolo TCP/IP e Handshake
O protocolo TCP/IP utiliza um processo de handshake de três vias para estabelecer uma conexão confiável entre dois hosts. Esse processo envolve:
- 1. O cliente envia um pacote SYN (synchronize) ao servidor.
- 2. O servidor responde com um pacote SYN/ACK (synchronize/acknowledge).
- 3. O cliente responde com um pacote ACK (acknowledge).
Quando há um volume anormal de pacotes SYN enviados a um servidor, sem os correspondentes pacotes ACK, isso pode indicar um ataque SYN flood, um tipo de ataque DoS.
2. Ataque DoS (Denial of Service)
O ataque DoS tem como objetivo sobrecarregar um sistema para que ele se torne indisponível para usuários legítimos. No caso do ataque SYN flood, o atacante envia um grande número de pacotes SYN para iniciar conexões, mas nunca completa o handshake, deixando os recursos do servidor consumidos e impedindo novas conexões legítimas.
3. DMZ (DeMilitarized Zone)
A DMZ é uma sub-rede que contém serviços acessíveis a partir da Internet, enquanto o restante da rede interna está protegida. Essa configuração é usada para mitigar riscos, isolando serviços públicos de sistemas internos.
Explicação da Resposta Correta:
O auditor identificou a ausência de pacotes ACK correspondentes, associada a um grande número de pacotes SYN e SYN/ACK, indicando um possível ataque SYN flood. Além disso, os endereços fonte dos pacotes SYN e os destinos dos pacotes SYN/ACK eram desconhecidos pela organização, enquanto os destinos dos pacotes SYN e fontes dos pacotes SYN/ACK pertenciam à rede DMZ. Isso fortalece a suspeita de um ataque DoS.
A combinação desses fatores permite inferir corretamente que a organização poderia estar sofrendo um ataque de negação de serviço naquele momento. Portanto, a alternativa correta é C - Certo.
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
Fonte: http://pt.wikipedia.org/wiki/SYN_Flood
Por serem muito parecidos, muitas pessoas confundem os ataques DoS com os DDoS. A principal diferença entre os dois é na forma com que eles são feitos. Enquanto o ataque DDoS é distribuído entre várias máquinas, o ataque DoS é feito por apenas um invasor que envia vários pacotes.
Os ataques DoS são bem mais fáceis de evitar com algumas regras em firewalls. Além disso, é preciso uma conexão de banda larga e um computador capaz de enviar muitos pacotes ao mesmo tempo para que esse tipo de ataque tenha sucesso.
GABARITO CORRETO!
.
.
SEGUNDO NAKAMURA:
SYN FLOOD: Esse ataque explora o mecanismo de estabelecimento de conexões TCP, baseado em handshake em três vias (three-way handshake). A característica dos ataques de SYN flooding é que um grande número de requisições de conexão (pacotes SYN) é enviado, de tal maneira que o servidor não é capaz de responder a todas elas. A pilha de memória sofre um overflow e as requisições de conexões de usuários legítimos são, então, desprezadas.
Syn Flooding - camada de transporte
Ping Flooding - camada de rede
MAC flooding - camada de enlace
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo