Considere que, utilizando um sniffer junto ao segmento que l...

Próximas questões
Com base no mesmo assunto
Q48228 Segurança da Informação
Um órgão público, visando identificar o atual nível de proteção
da rede de computadores das organizações públicas para as quais
presta serviços, desenvolveu um conjunto de processos de
avaliação de segurança da informação em redes de computadores.
Empregando métodos analíticos e práticos, os auditores coletaram
várias informações acerca da rede e produziram diversas
declarações, sendo algumas delas consistentes com o estado da
prática e outras incorretas. A esse respeito, julgue os itens de 101
a 105.

Considere que, utilizando um sniffer junto ao segmento que liga a rede de uma organização à Internet, um dos auditores identifique, durante poucos segundos, a ocorrência de milhares de pacotes SYN e SYN/ACK trafegando na rede, para os quais não havia correspondentes pacotes ACK. Considere ainda que o auditor constate que os endereços fonte dos pacotes SYN e os endereços destino dos pacotes SYN/ACK eram de um host desconhecido pela organização, enquanto os endereços destino dos pacotes SYN e os endereços fonte dos pacotes SYN/ACK eram de um host pertencente à rede DMZ da organização. Nesse caso, a partir dos dados coletados, é correto inferir que a organização poderia estar, naquele momento, sofrendo um ataque de negação de serviço DOS (denial of service).
Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

Gabarito: C - Certo

Justificativa:

A questão aborda um cenário em que um auditor de segurança utiliza um sniffer para analisar o tráfego de rede de uma organização. O auditor identifica a presença de milhares de pacotes SYN e SYN/ACK sem os correspondentes pacotes ACK. Esse comportamento é um forte indicativo de um ataque de negação de serviço, mais conhecido como DoS (Denial of Service).

Para entender por que essa inferência está correta, vamos explicar os termos e o contexto:

1. Protocolo TCP/IP e Handshake

O protocolo TCP/IP utiliza um processo de handshake de três vias para estabelecer uma conexão confiável entre dois hosts. Esse processo envolve:

  • 1. O cliente envia um pacote SYN (synchronize) ao servidor.
  • 2. O servidor responde com um pacote SYN/ACK (synchronize/acknowledge).
  • 3. O cliente responde com um pacote ACK (acknowledge).

Quando há um volume anormal de pacotes SYN enviados a um servidor, sem os correspondentes pacotes ACK, isso pode indicar um ataque SYN flood, um tipo de ataque DoS.

2. Ataque DoS (Denial of Service)

O ataque DoS tem como objetivo sobrecarregar um sistema para que ele se torne indisponível para usuários legítimos. No caso do ataque SYN flood, o atacante envia um grande número de pacotes SYN para iniciar conexões, mas nunca completa o handshake, deixando os recursos do servidor consumidos e impedindo novas conexões legítimas.

3. DMZ (DeMilitarized Zone)

A DMZ é uma sub-rede que contém serviços acessíveis a partir da Internet, enquanto o restante da rede interna está protegida. Essa configuração é usada para mitigar riscos, isolando serviços públicos de sistemas internos.

Explicação da Resposta Correta:

O auditor identificou a ausência de pacotes ACK correspondentes, associada a um grande número de pacotes SYN e SYN/ACK, indicando um possível ataque SYN flood. Além disso, os endereços fonte dos pacotes SYN e os destinos dos pacotes SYN/ACK eram desconhecidos pela organização, enquanto os destinos dos pacotes SYN e fontes dos pacotes SYN/ACK pertenciam à rede DMZ. Isso fortalece a suspeita de um ataque DoS.

A combinação desses fatores permite inferir corretamente que a organização poderia estar sofrendo um ataque de negação de serviço naquele momento. Portanto, a alternativa correta é C - Certo.

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

SYN flood ou ataque SYN é uma forma de ataque de negação de serviço (também conhecido como Denial of Service - DoS) em sistemas computadorizados, na qual o atacante envia uma seqüência de requisições SYN para um sistema-alvo visando uma sobrecarga direta nacamada de transporte e indireta na camada de aplicação do modelo OSI.

Fonte: http://pt.wikipedia.org/wiki/SYN_Flood
Fiquei na dúvida se não teria que ser um DDoS (milhares de pacotes, em poucos segundos)

Por serem muito parecidos, muitas pessoas confundem os ataques DoS com os DDoS. A principal diferença entre os dois é na forma com que eles são feitos. Enquanto o ataque DDoS é distribuído entre várias máquinas, o ataque DoS é feito por apenas um invasor que envia vários pacotes.

Os ataques DoS são bem mais fáceis de evitar com algumas regras em firewalls. Além disso, é preciso uma conexão de banda larga e um computador capaz de enviar muitos pacotes ao mesmo tempo para que esse tipo de ataque tenha sucesso.


GABARITO CORRETO!

.

.

SEGUNDO NAKAMURA:

SYN FLOOD: Esse ataque explora o mecanismo de estabelecimento de conexões TCP, baseado em handshake em três vias (three-way handshake). A característica dos ataques de SYN flooding é que um grande número de requisições de conexão (pacotes SYN) é enviado, de tal maneira que o servidor não é capaz de responder a todas elas. A pilha de memória sofre um overflow e as requisições de conexões de usuários legítimos são, então, desprezadas. 

Syn Flooding - camada de transporte

Ping Flooding - camada de rede

MAC flooding - camada de enlace

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo