SóProvas

ID
17968
Banca
CESGRANRIO
Órgão
BNDES
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Um usuário externo, mal-intencionado, está promovendo um ataque do tipo SYN FLOOD contra um determinado servidor de e-mail E na Internet. Para isso, o atacante está utilizando uma única máquina e forjando os endereços IP de origem com valores aleatórios. Supondo que não existe firewall e nem configurações para proteção no roteador e servidor, assinale a afirmativa correta.

Alternativas
Comentários
  • SYN flood ou ataque SYN é uma forma de ataque de negação de serviço (também conhecido como Denial of Service - DoS) em sistemas computadorizados, na qual o atacante envia uma seqüência de requisições SYN para um sistema-alvo.

    Quando um cliente tenta começar uma conexão TCP com um servidor, o cliente e o servidor trocam um série de mensagens, que normalmente são assim:

    O cliente requisita uma conexão enviando um SYN (synchronize) ao servidor.
    O servidor confirma esta requisição mandando um SYN-ACK de volta ao cliente.
    O cliente por sua vez responde com um ACK, e a conexão está estabelecida.
    Isto é o chamado aperto de mão em três etapas (Three-Way Handshake).

    Um cliente malicioso pode não mandar esta última mensagem ACK. O servidor irá esperar por isso por um tempo, já que um simples congestionamento de rede pode ser a causa do ACK faltante.

    Esta chamada conexão semi-aberta pode ocupar recursos no servidor ou causar prejuízos para empresas usando softwares licenciados por conexão. Pode ser possível ocupar todos os recursos da máquina, com pacotes SYN. Uma vez que todos os recursos estejam ocupados, nenhuma nova conexão (legítima ou não) pode ser feita, resultando em negação de serviço. Alguns podem funcionar mal ou até mesmo travar se ficarem sem recursos desta maneira.

    Algumas contra-medidas para este ataque são os SYN cookies. Apenas máquinas Sun e Linux usam SYN cookies.

    Ao contrário do que muitos pensam, não se resolve negação de serviço por Syn flood limitando conexões por minuto (como usar o módulo limit ou recent do iptables), pois as conexões excedentes seriam descartadas pelo firewall, sendo que desta forma o próprio firewall tiraria o serviço do ar. Se eu, por exemplo, limito as conecões SYN a 10/seg, um atacante precisa apenas manter uma taxa de SYNs superior a 10/s para que conexões legítimas sejam descartadas pelo firewall. O firewall tornou a tarefa do atacante ainda mais fácil. Em "Iptables protege contra SYN Flood?" tem uma boa descrição dos motivos pelos quais uma configuração de firewall não resolve.

    Um ataque de Syn Flood é feito com os ips forjados (spoof), para que o atacante não receba os ACKs de suas falsas solicitações.

  • a) O tempo de resposta depende do tempo de processamento e alocacao de recursos por E.
    b) Uma configuração correta de filtro de pacotes pode evitar que máquinas na mesma rede possam se conectar entre si, o que evita o SYN flood.
    c) A velocidade do flood independe da velocidade da rede. Depende mais da velocidade de processamento por E.
    d) O hacker é esperto. Ele usa IP spoofing.
    e) Um bom IDS detecta.
  • a) False. Se levar em consideração que o examinador tratou SYN_ACK como somente ACK, o erro é que quem irá receber este "ACK" serão os IP de origem. Se o examinador foi técnico, o ACK só seria recebido se o IP de origem de fato fosse o do atacante.LEMBRETEA conexão TCP é formada por três mensagem: * SYN (origem p/ destino) - "Posso me conectar à vc?";* SYN-ACK (destino p/ origem) - "Pode sim!" - Vulgarmente também chamado de ACK;* ACK (origem p/ destino) - "Fechado então!"b) True. Pois ROTEADOR não repassa pacotes oriundos da rede EXTERNA, com endereço de origem internos, para a rede INTERNA.c) False. Não amplificaria, seria na mesma velocidade. Entretanto, pro se tratar de um ip de origem interno, o roteador novamente não deixaria passar.d) False. Solução inútil, pois o servidor irá responder sempre SYN-ACK para os pacotes que chegarem pra ele.e) False. Este ataque é típico dos ataques detectados pelo IDS.

  • Acertei pois ignorei o comando da questão que dizia que não existia proteção no roteador.