SóProvas

ID
32719
Banca
CESGRANRIO
Órgão
Petrobras
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

técnica de Defesa em Profundidade utiliza camadas de segurança mantidas por vários componentes que se complementam para formar um quadro de segurança completo. Um dos principais componentes é o firewall com estado que, diferente do filtro de pacote estático, é capaz de bloquear pacotes SYN/ACK gerados por pacotes SYN forjados por estações localizadas na rede externa. Que tipo de ataque é formado por pacotes SYN/ACK?

Alternativas
Comentários
  • DRDos - Distributed Reflexion Denial of ServiceEle baseia-se em uma falha de design do TCP/IP, o spoofing.O grande potencial do ataque DRDos esta nas seguintes caracteristicas:Quando um cliente envia para um servidor um pacote SYN, o servidor tenta responder com um SYN/ACK, caso seu servi?o esteja avali?vel.Se este pacote nao chegar ao destino, ele reenviar o mesmo algumas vezes, pois este pacote pode ter sido perdido no meio do caminho.Na maioria das implementacoes, essa repeticaoo representa o envio do pacote quatro vezes.O ataque ocorre nesta repeticao, pois isso vai multiplicando-se a medida que os servidores respondem.Fonte: http://jaccon.com.br/2004/05/entendendo-os-ataques-ddos-e-drdos/
  • Segue um link bem exlicativo para esta questão:http://www.inf.ufsc.br/~bosco/ensino/ine5630/material-seg-redes/Cap11-DDoS.pdf

  • DRDoS
    No DRDoS (Distributed Reflection Denial of Service), vários hosts são usados para enviar pacotes TCP/SYN, contendo o endereço de origem do host alvo (IP Spoofing), para servidores de broadcast, que, ao responderem, inundam o host alvo com um grande número de pacotes SYN/ACK.

    Resposta: Letra A.

  • O ddos-reflection ou DRDOS é um ataque que usa o SYN-ACK como forma de ataque. Bem mais devastador que o DDOS tradicioinal, que faz uso de ICMP echo request ou SYN Flooding. Vale a leitura do link abaixo:

    http://palisade.plynt.com/issues/2006Apr/ddos-reflection/
  • Segundo o livro "Segurança de Redes em Ambientes Cooperativos - Nakamura/Geus - 2ª edição - página 103", Os ataques de negação de serviços (denial-of-Service Attack - DoS) fazem com que recursos sejam explorados de maneira agressiva, de modo que usuários legítimos ficam impossibilitados de utilizá-los. Uma técnica típica é o SYN flooding, que causa o overflow da pilha de memória por meio do envio de um grande número de pedidos de conexão, que não podem ser totalmente completados e manipulados.
    Já os ataques de negação de serviços distribuídos (Distributed Denial of Service - DDoS) amplia a capacidade do ataque citado anteriormente, pois diversos hosts distribuídos são atacados e coordenados pelo hacker, para a realização de ataques simultâneos aos alvos.
    A pergunta é: Porque a letra "b" também não está correta? Também não pode ser um ataque gerado por pacotes SYN forjados por estações localizadas na rede externa?

  • Independente de qual ataque é mais ou menos devastador (a questão não entrou neste mérito), a letra B tambem esta correta. 

    O DDoS também utiza/pode utilizar IP forjados e o Firewall de estado também pode bloquear este tipo de ataque.


  • Para estabelecer uma conexão é realizado o chamado aperto de mãos em três fases. A primeira fase é o envio do pacote SYN pelo cliente, a segunda fase é o envio da resposta do servidor ao cliente, o pacote SYN ACK, e a terceira fase é o retorno do cliente com o pacote ACK. Assim, após as três fases, estabelece-se a conexão.

    O DDoS utiliza o envio de muitos pacotes da primeira fase(SYN) ao mesmo tempo(SYN flood) para o servidor, utilizando diversas maquinas escravas distribuídas, daí o primeiro "D" do "DDoS"(Distributed). Isso faz com que o servidor envie de volta o SYN ACK e fique aguardando o retorno do ACK do cliente, porém o atacante nunca retorna esse ACK.

    Fazendo isso diversas vezes e forma simultanea o atacante consome todos os recursos do servidor, que perde a capacidade de receber novas requisições, ou seja, novos pacotes SYN. E com isso o servidor faz a negação do serviço(Deny of Service - DoS).

    O DDoS também pode enviar somente o pacote ACK(terceira fase) inundando o servidor(ACK flood).

    Já o DRDoS utiliza o envio de muitos pacotes da segunda fase(SYN ACK).

    O DRDoS é feito da seguinte forma, o atacante envia para muitas máquinas um pacote SYN fingindo ser o servidor alvo, assim as máquinas entendem que é o servidor alvo do ataque que está enviando os pacotes SYN, e quando as máquinas respondem com o SYN ACK elas enviam os pacotes para o servidor alvo, inundando o servidor com pacotes SYN ACK.

  • A nova geração de ataques DDoS concentra-se no spoof da máquina alvo e no envio de pacotes para a máquina zumbi, mas com um porém: a máquina zumbi não necessita de estar sob a posse de quem está a fazer o ataque.
    Simplificando o ataque, pensem da seguinte maneira: quando uma máquina envia um pacote para outra, ela espera uma resposta da máquina que recebeu o pacote para ter certeza de que o pacote chegou à máquina requisitada, sendo que se a máquina que recebeu o pacote não responder, aquela que enviou reenviará outro pacote. No caso, o utilizador que atacará a máquina alvo usará uma técnica denominada spoof, que consiste em usar o endereço de outra máquina para que a requisição seja feita.

     

    # Em termos técnicos… Funciona assim:
    A máquina A envia um pacote (SYN) “spoofado” para a máquina B, com o endereço da máquina C. A máquina B responde o pacote (SYN/ACK) para a máquina C, avisando que o recebeu. A máquina C ignora o pacote, pois não foi ela que requisitou e enviou.
    A máquina B aguarda a resposta da máquina C.
    A máquina B reenvia o pacote, pois não obteve resposta de recebimento pela máquina C.
    Isso ocorre sucessivamente, já que a máquina C nunca responderá ao pacote, pois não foi ela que requisitou.