Em redes IP que utilizam switches, pode-se realizar a escuta...

A alternativa correta é: C - certo

Vamos entender melhor o contexto e os conceitos abordados pela questão para compreender por que essa é a resposta correta.

O tema da questão é vulnerabilidades e ataques a sistemas computacionais, com um foco específico em redes IP que utilizam switches e a possibilidade de escuta do tráfego através de um ataque chamado ARP spoofing.

ARP (Address Resolution Protocol) spoofing é uma técnica utilizada para interceptar o tráfego de rede ao associar o endereço MAC do atacante a um endereço IP legítimo. Uma vez que isso é feito, todo o tráfego destinado ao IP legítimo é redirecionado para o atacante, permitindo a escuta do tráfego e possivelmente a modificação ou o bloqueio dos dados.

Em redes IP que utilizam switches, o tráfego normalmente é segmentado para que apenas as máquinas destinatárias recebam pacotes que lhes são destinados. No entanto, através do ARP spoofing, um atacante pode enganar o switch, fazendo-o enviar o tráfego de outras máquinas para ele mesmo, conseguindo assim escutar o tráfego.

Isso é possível porque os switches utilizam tabelas ARP para associar endereços IP a endereços MAC. Se um atacante consegue enviar mensagens ARP falsas (spoofing) para o switch, ele pode alterar essas associações, redirecionando o tráfego para ele mesmo.

Agora, vamos justificar a alternativa correta:

Alternativa C (certo): Está correta porque, em redes IP que utilizam switches, é realmente possível realizar a escuta do tráfego através do ARP spoofing. Esse ataque manipula as tabelas ARP no switch para que o tráfego destinado a outras máquinas seja redirecionado para o atacante.

Nos itens incorretos, que não estão presentes na questão, poderíamos incluir cenários onde, por exemplo,:

• O ARP spoofing não seria possível em redes com medidas de segurança adicionais, como DHCP snooping ou Dynamic ARP Inspection (DAI), que protegem contra falsificações de ARP.
• Ou se mencionasse que o ARP spoofing não é aplicável em redes segmentadas por VLANs com segurança reforçada.

Portanto, o conhecimento necessário para resolver essa questão inclui entender como o ARP spoofing funciona, como ele pode ser utilizado para interceptar tráfego em redes com switches, e as medidas que podem ser implementadas para mitigar esse tipo de ataque.

Espero que essa explicação tenha sido clara e útil. Se precisar de mais informações ou tiver alguma dúvida, estou à disposição para ajudar!

CORRETO. Vou explicar como é feito. Primeiro você altera o MAC de sua placa de rede para coincidir com o MAC da maquina a ser espionada. Depois envia um PING para algum host na rede. O Switch vai aprender seu MAC forjado (ARP Spoofing). Quando o switch for encaminhar um pacote para o host da vítima, ele enviará uma cópia para você.

Na prática o ARP Spoofing não funciona dessa maneira, pois se vc clonar seu enderço MAC com o da vítima uma das duas máquinas não irá mais receber pacotes (provavelmente a vítima).
Na verdade o ARP Spoofing é um tipo de ataque man-in-the-middle e funciona da seguinte maneira (resumidamente):
Supondo que a máquina A quer falar com a máquina B e o hacker H deseja escutar (sniffar) o que se passa.
Quando A realizar a consulta ARP e perguntar "quem possui o IP tal (IP de B)?", o hacker H responde com seu endereço MAC antes que B responda. Dessa forma, A enviará as mensagens para H achando que esta enviando para B. Para que A não suspeite de nada, H envia todas as mensagens que recebe de A para B (IP forwarding).
Este ataque também é conhecido como Sniffer ativo.

Entendo que essa questão está errada.

Escuta do tráfego é um ataque passivo denominado, por Stallings, análise de tráfego. Nesse caso, existe uma comunicação entre dois hosts legítimos, e um terceiro no meio escutando o tráfego de maneira transparente. Stallings, aponta que este tipo de ataque é de difícil detecção, sendo mais prudente evitá-lo por meio de técnicas de criptografia.

O ARP Spoofing é um ataque ativo que se assemelha aos ataques de disfarce e repetição. O Objetivo não é escutar a conversa entre dois hosts legítimos. O objetivo é se disfarçar de host legítimo para obter acesso privilegiado.

Certo.

 

ARP poisoning ou ARP spoofing
Em redes de computadores, ARP spoofing ou ARP cache poisoning é uma técnica em que um atacante envia mensagens ARP (Address Resolution Protocol) com o intuito de associar seu end MAC ao end IP de outro host, como por exemplo, o endereço IP do gateway padrão, fazendo com que todo o tráfego seja enviado para o end. IP do atacante ao invés do endereço IP do gateway.
O micro do atacante envia pacotes com respostas forjadas para requisições ARP de outros micros da rede. Como vimos no capítulo 4, o ARP é utilizado para descobrir os endereços MAC dos demais micros da rede, já que os switches não entendem endereços IP. Esses pacotes forjados fazem com que os outros micros passem a enviar seus pacotes para o micro do atacante, que é configurado para capturar as transmissões e retransmitir os pacotes originais para os destinatários corretos.
A rede continua funcionando normalmente, mas agora o atacante tem chance de logar todo o tráfego, usando o Wireshark ou outro sniffer. Felizmente, o Wiresh tbém pode ser usado para perceber as anormalidades na rede e chegar até o espertinho.
O ARP spoofing permite com que o atacante intercepte quadros trafegados na rede, modifique os quadros trafegados e até é capaz de parar todo o tráfego.

 

http://www.hardware.com.br/livros/redes/arp-poisoning-mac-flooding.html

 

SPOOFING

Tecnica usada para falsificar o endereço de remetente para que o destinatário ache que o pacote veio de outra pessoa ou que a resposta à esse pacote seja enviada para outra pessoa. Pode atuar na camada aplicação, rede e enlace:

1. IP spoofing: Esconde o endereço real do atacante por meio de alteração no cabeçalho do pacote IP, redireciona o tráfego de internet no nível de DNS;

2. MAC spoofing: Altera o cabeçalho do quadro da rede para que não se possa saber o endereço MAC do atacante;

3. Spoofing de e-mail: Altera campos do cabeçalho de um e -mail, de forma a aparentar que ele foi enviado de uma determinada origem quando, na verdade, foi enviado de outra.