SóProvas

ID
175555
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2008
Provas
Disciplina
Redes de Computadores
Assuntos

Na rede de computadores de uma organização pública
brasileira com diversos ativos, como, por exemplo, switches,
roteadores, firewalls, estações de trabalho, hosts servidores de
aplicação web, servidores de bancos de dados, é comum a
ocorrência de ataques e de outros incidentes que comprometem
a segurança de seus sistemas. Nessa organização, a definição de
políticas e metodologias adequadas para se lidar com esse tipo de
problema cabe ao departamento de TI.

A partir da situação apresentada acima, julgue o item abaixo
relativos à segurança da informação.

Para confirmar a suspeita de que a indisponibilidade apresentada por um host da rede de computadores de uma organização está sendo causada por um ataque do tipo smurf, o administrador deverá verificar se há um grande número de pacotes ICMP (Internet control message protocol) do tipo request originados de vários computadores pertencentes a uma mesma rede e direcionados a este host.

Alternativas
Comentários

  • O erro da questão está em mencionar que o administrador deve verificar pacotes ICMP do tipo request quando na verdade deve verificar pacotes do tipo response.

  • O Smurf é outro tipo de ataque de negação de serviço. O agressor envia uma rápida seqüência de solicitações de Ping (um teste para verificar se um servidor da Internet está acessível) para um endereço de broadcast. Usando spoofing, o cracker faz com que o servidor de broadcast encaminhe as respostas não para o seu endereço, mas para o da vítima. Assim, o computador-alvo é inundado pelo Ping.

  • Smurf

    O ataque smurf é o mais conhecido ataque que se beneficia do sistema de endereços broadcast de uma rede, e é um ataque baseado em negação de serviço, ou seja, também é um Denial of Service. O seu funcionamento é simples, porém, o resultado de um ataque smurf pode ser bem impressionante.

    Esse tipo de ataque não tem intenção de parar um computador, mas sim uma rede inteira. É realizado enviando contínuas stream (cadeias) de pacote ICMP modificadas para a rede alvo. Tudo funciona da seguinte forma:

    1. Um usuário malicioso cria uma lista de endereços broadcast de rede.

    2. Ele envia pacotes "spoofados" com o IP da vítima para cada um desses endereços.

    3. As máquinas das redes que receberam os pacotes respondem, mandando mais pacotes para a vítima, e não para o computador do agressor.

  • Neste tipo de ataque, o atacante envia uma grande quantidade de pings para um endereço de broadcast, sendo o endereço de origem o IP da vitima.

    Todas as máquinas pertencentes a esta mesma rede responderão aos pings, "amplificando" a resposta e inundando o alvo.

    Portanto questão errada. Os pacotes ICMP são originados do IP da vítima!! 

  • Alguem ajuda a encontrar o erro.

    Não fiquei convencido com a explicação do professor e nem dos alunos do QConcursos.

  • Os pacotes enviados para a máquina alvo será de response, não de request.

  • Smurf é uma forma de ataque de negação de serviço distribuído (DDoS) que deixa as redes de computadores inoperáveis. Para fazer isso, o programa Smurf explora vulnerabilidades dos protocolos IP e ICMP. 

    Etapas do smurf:

    • Primeiro, o malware cria um pacote de rede anexado a um endereço IP falso, uma técnica conhecida como "spoofing", ou falsificação.
    • Dentro do pacote, há uma mensagem de ping por ICMP solicitando que os nós de rede que receberem o pacote enviem uma resposta de volta
    • Essas respostas, ou "ecos", são retornadas a endereços IP da rede, entrando em um loop infinito.

    Uma forma de combate ao ataque Smurf é desativar o endereçamento de transmissão de IP em todos os roteadores de rede. Essa função é usada raramente e, se desativada, o ataque não consegue sobrecarregar a rede. 

    o erro da questão está em dizer que deve verificar os "request" , o correto seria as solicitações eco, as quais geram os loops infinitos.

    COMO SE PROTEGER:

    • bloqueie o tráfego de transmissão direcionada que chega à rede
    • configure hosts e roteadores para que não respondam a solicitações de eco do ICMP.

    https://www.kaspersky.com.br/resource-center/definitions/what-is-a-smurf-attack

  • Acredito que o erro esteja no "mesma rede" visto que um DDoS é feito por várias máquinas (não necessariamente ou raramente na mesma rede)