SóProvas

ID
2630431
Banca
FAURGS
Órgão
HCPA
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere à Segurança da Informação, considere as afirmações a seguir.


I - O ataque SYN flood provoca uma alteração no protocolo padrão de estabelecimento de comunicação no protocolo TCP, conhecido como three way handshake.

II - O ataque Smurf consiste em modificar o número de sequência que identifica a ordem correta de remontagem do pacote, inserindo espaços vazios. Isso pode provocar instabilidade no sistema-alvo.

III - Um comando para realizar o ataque Smurf em um serviço de SSH é: hping3 172.16.1.1 -p 22 -S --flood --rand-source

IV - Uma proteção, no Linux, para ataques do tipo Syn flood, é: echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

V - Cymothoa é um script em Python para gerar uma backdoor PHP criptografada. 


Quais estão corretas? 

Alternativas
Comentários

  • SYN flood ou ataque SYN é uma forma de ataque de negação de serviço (também conhecido como Denial of Service - DoS) em sistemas computadorizados, na qual o atacante envia uma sequência de requisições SYN para um sistema-alvo visando uma sobrecarga direta na camada de transporte e indireta na camada de aplicação do modelo OSI.Quando um cliente tenta começar uma conexão TCP com um servidor, o cliente e o servidor trocam um série de mensagens, que normalmente são assim:

    O cliente requisita uma conexão enviando um SYN (synchronize) ao servidor.

    O servidor confirma esta requisição mandando um SYN-ACK(acknowledge) de volta ao cliente.

    O cliente por sua vez responde com um ACK, e a conexão está estabelecida.

    Isto é o chamado aperto de mão em três etapas (Three-Way Handshake).

     

    https://pt.wikipedia.org/wiki/SYN_Flood

  • Questão extremamente difícil, parabéns para quem acertou de primeira!


    algumas observações:


    I) De fato está correta. O Three-Way Handshake é definido pela sequência SYN -> SYN ACK -> ACK. No caso do ataque SYN Flood, a ultima mensagem (ACK) nunca é recebida.


    II) O ataque Smurf é um ataque DDoS baseado em ICMP. Sua forma de ataque é parecida com o ataque ping flood e não como descrita na questão.


    III) ?


    IV) Mesmo não conhecendo essa flag de configuração é possível inferir que esteja errada. Note que "echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts" instrue o sistema a ignorar broadcast de ICMP. Como sabemos, ICMP é camada 3, enquanto TCP (onde ocorre ataque SYN FLOOD) é camada 4.


    V) ?


  • Alternativa correta: A. 

    .

    .

    Explicação técnica de cada afirmativa:

    .

    I - CORRETA: geralmente o 3-way-handshake to TCP é usado para estabelecer uma conexão. Isso envolve um pedido do cliente ao servidor, o qual reserva os recursos para gerenciar a conexão. Depois o servidor responde ao cliente, que devolve um ACK. A alteração é na resposta do cliente, que deixa de ser implementada. Dessa forma, o cliente malicioso solicita uma conexão, o servidor reserva os recursos, mas o cliente não responde mais, fazendo com que o servidor mantenha os recursos reservados sem nenhuma conexão estabelecida. Isso faz os recursos do servidor esgotar rapidinho.

    .

    II - ERRADA: smurf envolve colocar o IP da vítima como sendo a origem de uma série de pacotes que é enviada para uma rede. As respostas desses pacotes acabam indo para a vítima, e não pra quem enviou os pacotes, fazendo com que a vítima sofra uma inundação de pacotes de resposta.

    .

    III - ERRADA: quaaaase acertou o comando. O certo seria --spoof ou -a no lugar de --rand-source. Isso mudaria o endereço de origem dos pacotes para fazer o que o comando deseja. 

    .

    IV - ERRADA: o certo seria o comando echo 1 > /proc/sys/net/ipv4/tcp_syncookies. Esse comando escreve "1" no arquivo /proc/sys/net/ipv4/tcp_syncookies, que é interpretado como TRUE (verdadeiro) quando esse arquivo é lido. Isso habilita o uso de cookies quando uma conexão é aberta usando o 3-way-handshake descrito acima. Com isso fica mais difícil fazer DoS porque o servidor passa a exigir a criação de um cookie no navegador do cliente quando esse desejar abrir uma conexão. Para um cliente normal isso não faz diferença, mas pra um atacante que está fazendo isso dificulta na hora de simular uma conexão.

    .

    V - ERRADA: pelo que vi é escrito em C ou C++. 

    .

    Dúvidas me mandem mensagem. At.te

  • parabéns nada mano, questão que obriga a sorte isso sim, nenhum concurseiro de nenhuma área (nem perito PF área 3) tem obrigação de saber de script Cymothoaseiláoque e hping3seiláoque, ah não ser que esteja expresso no edital

    Pela defesa dos direitos dos concurseiros!!!

    Agora as outras assertivas estavam nível OK,icmp_echo_ignore_broadcasts há na parte de segurança em Linux em vários livros, Smurf e SynFlood tem em qualquer livro renomado de segurança, o que aliás, tem que ser a fonte das bancas né, senão o conteúdo fica infinito e conteúdo infinito significa que a amostragem pode ser qualquer coisa, e a prova vai virando loteria...É um tal de banca cobrando wiki, devmedia, e tudo que é site, como que eu vou resumir a internet?

    PS: o hping3 até tem no livro Hacking Exposed, que é fonte bastante comum, mas ainda assim, exagero total...