No trecho de captura de tráfego, em tela, há indícios de que...

Com base no mesmo assunto

Q65144

Ano: 2010 Banca: CESPE / CEBRASPE Órgão: TCU Prova: CESPE - 2010 - TCU - Auditor Federal de Controle Externo - Tecnologia da Informação - Parte II |

Q65144 Redes de Computadores

Texto associado

(Seguem-se 246 linhas semelhantes até o endereço 10.0.0.255 ser atingido.)

Considerando o trecho de captura de tráfego acima, realizada em uma das portas ethernet de um switch camada 3 que interliga uma rede
local a um backbone, julgue os itens que se seguem.

No trecho de captura de tráfego, em tela, há indícios de que estava ocorrendo um ataque de MAC flooding.

Certo

Errado

Você errou! Resposta:

teste

Parabéns! Você acertou!

teste

MAC Flooding: o switch é inundado por pacotes que contêm diferentes destinos de endereço MAC com a intenção de consumir sua limitada memória reservada para armazenar a tabela de endereços físicos. Com isso, o equipamento deixa o seu estado normal de funcionamento e passa a trabalhar em um estado chamado modo de falha aberta (failopen mode), ou seja, passa a atuar como um Hub;

Aproveitando que o colega já apresentou a definição abaixo, vou somente esclarecer o motivo da questão estar errada.

Somente está sendo feito um broadcast no range de IPs 0-255. não podemos achar que o atacante seria inocente o suficiente para pensar que 255 MACs iriam causar um flood no switch. Um switch consegue armazenar na sua CAM uma quantidade muito maior que 255 MAC address (entre 1000 e 8000). Se fosse um MAC Flood, o mesmo host (10.0.0.36) estaria enviando vário frames com diferentes MAC Address por meio da mesma porta do switch ao qual ele está ligado. Não é o caso!

Quando o switch estoura a tabela CAM ele poderá: 1- travar, 2 - ignorar a tabela e começar a trabalhar como hub. Nesse momento podemos usar um sniffer (Wireshark) para capturar todo o tráfego da rede.

Excelente Fonte, leiam!

http://www.guiadohardware.net/tutoriais/wireshark/pagina2.html

Esse tráfego parece mais um uma ferramenta de scan tentando buscar endereços válidos ou um worm tentando se propagar.

Acredito que um ataque de MAC flooding se baseie em mandar muitos arps gratuitos como:

arp reply 192.168.99.35 is-at 0:80:c8:f8:4a:51 (0:80:c8:f8:4a:51)

Segundo o site watchguard (http://www.watchguard.com/infocenter/editorial/135324.asp):

"By flooding a switch's ARP table with a ton of spoofed ARP replies, a hacker can overload many vendor's switches and then packet sniff your network while the switch is in "hub" mode".

A questão mostra alguns arp requests vindo da mesma máquina, o que indica que a máquina está tentando fazer uma lista de todas os MAC address existentes na rede.

Concordo com os colegas. Não faz sentido inferir que se trata de um ataque MAC flooding quando há somente 255 mensagens de uma mesma origem num curto espaço de tempo. Para obter êxito no ataque são necessários milhares de solicitações fazendo com o switch entre em modo fail-open.
Justifico minha afirmação mostrando um exemplo de um script (retirado daqui e) usado para efetuar o referido ataque com o auxílio da ferramenta MACOF (veja a quantidade de solicitações geradas; veja também as repetições):

# while [ 1 ] ; do macof -d 192.168.1.1 -n 100000 ; sleep 50 ; done Como é que perguntar pro switch vindo do mesmo MAC seria MAC flooding? Teria que ser vários MACs de origem diferentes.

Flood implica em se enviar muitas informações para um único destino, o que não é o caso da questão. O que aconteceu neste caso é que foi enviado ARP request pro endereço de broadcast(ff:ff:ff:ff:ff:ff), fazendo uma varredura dos dispositivos da rede, típico de um ataque de ARP Spoofing(ou ARP-Poisoning). O ARP Spoofing visa enganar o switch se fazendo passar por outro MAC da rede e recebendo todos os pacotes que seriam destinados a ele.

Chega de desculpas! ❌

Chega de desculpas! ❌

No trecho de captura de tráfego, em tela, há indícios de que...

Questões de assuntos semelhantes

Provas relacionadas