No trecho de captura de tráfego, em tela, há indícios de que...

Próximas questões
Com base no mesmo assunto
Q65144
Redes de Computadores Captura de Tráfego , Segurança de Redes ,
Ano: 2010 Banca: CESPE / CEBRASPE Órgão: TCU Prova: CESPE - 2010 - TCU - Auditor Federal de Controle Externo - Tecnologia da Informação - Parte II |
Q65144 Redes de Computadores
Imagem 013.jpg

(Seguem-se 246 linhas semelhantes até o endereço 10.0.0.255 ser atingido.)


Considerando o trecho de captura de tráfego acima, realizada em uma das portas ethernet de um switch camada 3 que interliga uma rede
local a um backbone, julgue os itens que se seguem.

No trecho de captura de tráfego, em tela, há indícios de que estava ocorrendo um ataque de MAC flooding.
Alternativas

Comentários

Veja os comentários dos nossos alunos

MAC Flooding: o switch é inundado por pacotes que contêm diferentes destinos de endereço MAC com a intenção de consumir sua limitada memória reservada para armazenar a tabela de endereços físicos. Com isso, o equipamento deixa o seu estado normal de funcionamento e passa a trabalhar em um estado chamado modo de falha aberta (failopen mode), ou seja, passa a atuar como um Hub;

Aproveitando que o colega já apresentou a definição abaixo, vou somente esclarecer o motivo da questão estar errada.

Somente está sendo feito um broadcast no range de IPs 0-255. não podemos achar que o atacante seria inocente o suficiente para pensar que 255 MACs iriam causar um flood no switch. Um switch consegue armazenar na sua CAM uma quantidade muito maior que 255 MAC address (entre 1000 e 8000). Se fosse um MAC Flood, o mesmo host (10.0.0.36) estaria enviando vário frames com diferentes MAC Address por meio da mesma porta do switch ao qual ele está ligado. Não é o caso!

Quando o switch estoura a tabela CAM ele poderá: 1- travar, 2 - ignorar a tabela e começar a trabalhar como hub. Nesse momento podemos usar um sniffer (Wireshark) para capturar todo o tráfego da rede.

Excelente Fonte, leiam!

http://www.guiadohardware.net/tutoriais/wireshark/pagina2.html

Esse tráfego parece mais um uma ferramenta de scan tentando buscar endereços válidos ou um worm tentando se propagar.
Acredito que um ataque de MAC flooding se baseie em mandar muitos arps gratuitos como:
arp reply 192.168.99.35 is-at 0:80:c8:f8:4a:51 (0:80:c8:f8:4a:51)
 
Segundo o site watchguard (http://www.watchguard.com/infocenter/editorial/135324.asp):
"By flooding a switch's ARP table with a ton of spoofed ARP replies, a hacker can overload many vendor's switches and then packet sniff your network while the switch is in "hub" mode".
 
A questão mostra alguns arp requests vindo da mesma máquina, o que indica que a máquina está tentando fazer uma lista de todas os MAC address existentes na rede.
Concordo com os colegas. Não faz sentido inferir que se trata de um ataque MAC flooding quando há somente 255 mensagens de uma mesma origem num curto espaço de tempo. Para obter êxito no ataque são necessários milhares de solicitações fazendo com o switch entre em modo fail-open.
Justifico minha afirmação mostrando um exemplo de um script (retirado daqui e) usado para efetuar o referido ataque com o auxílio da ferramenta MACOF (veja a quantidade de solicitações geradas; veja também as repetições):

# while  [ 1 ]  ; do macof -d 192.168.1.1 -n 100000 ; sleep 50 ; done

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo

Questões de assuntos semelhantes

Provas relacionadas