Analisando um Ataque (Parte 3)
Na parte 2 desta série, deixamos todas as informações necessárias para um ataque à rede das vítimas.
Dom Parker
Esta série será baseada em uma vulnerabilidade de rede. O que será apresentado no artigo é um ataque real, começando pelo reconhecimento, enumeração, exploração de serviços de rede e terminando com estratégias de exploração de notificações.
Todas essas etapas serão observadas no nível do pacote de dados e depois explicadas em detalhes. Ser capaz de observar e entender um ataque no nível de pacote é extremamente importante tanto para administradores de sistemas quanto para a equipe de segurança de rede. A saída de firewalls, sistemas de detecção de intrusão (IDS) e outros dispositivos de segurança sempre será usada para ver o tráfego de rede real. Se você não entende o que está vendo no nível do pacote, toda a tecnologia de segurança de rede que você tem não tem sentido.
As ferramentas utilizadas para simular um ataque cibernético são:
IPEye
Cliente TFTP
Rootkit FU
Etapa de configuração
Há muitas ações de varredura na Internet hoje em dia, sem mencionar as ações de worms e outras formas de malware, como vírus. Todos eles serão apenas ruído inofensivo para redes de computadores bem protegidas. O que deveríamos estar observando é alguém que está deliberadamente atacando uma rede de computadores. Este artigo pressupõe que o invasor já atacou sua vítima e fez pesquisas anteriores, como descobrir o endereço IP e os endereços de rede da vítima. Esse invasor também pode ter tentado explorar informações como endereços de e-mail associados a essa rede. Esse tipo de informação é muito importante caso um invasor tenha encontrado, mas não tenha como entrar na rede após realizar ações de varredura, enumeração e falsificação. Os endereços de e-mail que ele coletou seriam úteis para configurar um ataque do lado do cliente, tentando convidar usuários para um site malicioso por meio de um link em um e-mail. Esses tipos de ataques serão apresentados nos próximos artigos.
Como funciona
Devemos observar as ações de um hacker enquanto ele realiza a varredura e enumeração da rede da vítima. A primeira ferramenta que os hackers usam é o Nmap. Embora o Nmap tenha relativamente poucas assinaturas IDS, ele ainda é uma ferramenta muito útil e amplamente utilizada.
Podemos ver pela sintaxe usada pelo hacker na pequena tela mostrada acima, o hacker escolheu as portas 21 e 80, pois ele tem alguns exploits que podem ser usados através do Metasploit Framework. Não apenas isso, mas também os serviços e protocolos do sistema, que ele entendia muito bem. É bastante óbvio que ele está usando uma varredura SYN, que é o tipo de varredura de porta mais comumente usado. Isso também se deve ao fato de que quando um serviço TCP escutando em uma porta recebe um pacote SYN, ele envia de volta um pacote SYN/ACK (resposta). Um pacote SYN/ACK indica que um serviço está de fato escutando e aguardando uma conexão. Entretanto, o mesmo problema não ocorre com o UDP, ele depende de serviços como o DNS (o DNS também usa TCP, mas usa principalmente o UDP para a maioria de suas transações).
A sintaxe listada abaixo é a saída que o Nmap coleta dos pacotes que enviou, mas mais precisamente dos pacotes que recebe como resultado das varreduras SYN que realizou. Podemos ver que, superficialmente, parece que serviços FTP e HTTP são fornecidos. Não nos importamos muito com o endereço MAC, então vamos ignorá-lo. Ferramentas como o Nmap não são propensas a erros, por isso costumam ser boas para verificar suas informações no nível do pacote para garantir a precisão. Além disso, ele também permite observar os pacotes de retorno da rede vítima para poder coletar informações de arquitetura, serviço e host a partir daí.
Pesquisar os pacotes
Há vários programas disponíveis hoje que analisam os pacotes e descobrem informações essenciais, como o tipo de sistema operacional, informações arquitetônicas como x86 ou SPARC e muito mais. Isso não é suficiente, mas também é importante quando estamos aprendendo a deixar um programa fazer o trabalho por nós. Com isso em mente, vamos dar uma olhada no rastreamento do pacote Nmap e descobrir algumas informações sobre a rede da vítima.
10:52:59.062500 IP (tos 0x0, ttl 43, id 8853, offset 0, flags [none], proto: ICMP (1), length: 28) 192.168.111.17 > 192.168.111.23: ICMP echo request seq 38214, length 8
0x0000: 4500 001c 2295 0000 2b01 0dd3 c0a8 6f11 E..."...+.....o.
0x0010: c0a8 6f17 0800 315a 315f 9546 ..o...1Z1_.F
10:52:59.078125 IP (tos 0x0, ttl 128, id 396, offset 0, flags [none], proto: ICMP (1), length: 28) 192.168.111.23 > 192.168.111.17: ICMP echo reply seq 38214, length 8
0x0000: 4500 001c 018c 0000 8001 d9db c0a8 6f17 E.............o.
0x0010: c0a8 6f11 0000 395a 315f 9546 0000 0000 ..o...9Z1_.F....
0x0020: 0000 0000 0000 0000 0000 0000 0000 ..............
Os dois pacotes acima mostram o lote aberto do Nmap. O que ele faz é enviar uma solicitação de eco ICMP para a rede da vítima. Você verá que ele não está equipado em uma determinada porta, porque o ICMP não usa portas, mas é gerenciado pelo gerador de mensagens de erro ICMP incorporado à pilha de protocolos TCP/IP. Este pacote ICMP também é rotulado com um número exclusivo, neste caso 38214, para ajudar a pilha TCP/IP a examinar o tráfego de retorno e associá-lo ao pacote ICMP enviado anteriormente. O pacote acima é uma resposta de uma rede vítima, na forma de uma resposta de eco ICMP. Também leva em consideração o número da string 38214. É assim que o hacker sabe que há um computador ou uma rede por trás daquele endereço IP.
Essa sequência aberta de pacotes ICMP é o motivo pelo qual o Nmap tem uma notação IDS para ela. A opção de descoberta de host ICMP pode ser desabilitada no Nmap, se desejado. Que tipo de informação pode ser obtida por meio dos resultados de um pacote de resposta de eco ICMP da rede da vítima? Na verdade, não há muitas informações aqui para nos ajudar a entender a rede. No entanto, etapas preliminares ainda podem ser usadas em áreas relacionadas ao sistema operacional. O tempo para preencher um campo e o valor ao lado dele são destacados em negrito no pacote acima. O valor 128 indica que este computador provavelmente é um computador Windows. Embora o valor ttl não responda exatamente ao que está relacionado ao sistema operacional, ele será a base para os próximos pacotes que consideraremos.
Conclusão
Nesta primeira parte, analisamos uma varredura de rede em um ataque a duas portas específicas usando o Nmap. Nesse ponto, o invasor tem certeza de que há um computador ou uma rede de computadores residindo naquele endereço IP. Na parte 2 desta série, continuaremos nossa pesquisa sobre o rastreamento deste pacote e descobriremos que outras informações podemos coletar.
Analisando um Ataque (Parte 2)
Analisando um Ataque (Parte 3)
Na parte 2 desta série, deixamos todas as informações necessárias para um ataque à rede das vítimas.
Mostramos na primeira parte as informações que podem ser observadas ao abrir a sequência de pacotes enviada pelo Nmap. A sequência enviada começa com uma resposta de eco ICMP para determinar se o computador ou a rede recebeu um endereço IP.
Parece que lavar sapatos na máquina de lavar é algo totalmente proibido, mas com apenas 6 passos simples abaixo, você pode lavar seus sapatos completamente na máquina de lavar sem se preocupar com danos.
Há 9 motivos pelos quais a geladeira não está congelando. Nosso artigo abaixo resumirá os motivos comuns e como lidar com essa situação.
Com o passkey, a alternativa moderna às senhas tradicionais, você não precisará mais se preocupar em lembrar, gerenciar (com ou sem um gerenciador de senhas) ou redefinir sua senha.
Não importa se você está trocando de navegador permanentemente ou apenas quer reduzir a chance de perda de dados, é necessário fazer backup do seu navegador periodicamente.
Por que o gado come capim e ainda engorda e produz leite nutritivo? Se você quiser saber por que os herbívoros são gordos, leia o artigo abaixo.
Nem todos os suplementos são benéficos para a síndrome do intestino irritável (SII), e alguns podem até piorar os sintomas.
Existem muitos aplicativos iMessage que você pode instalar para bate-papos em grupo, melhorando a experiência com os membros do grupo. Aqui está uma lista de 6 aplicativos iMessage para bate-papos em grupo.
Se o seu computador perder as configurações de hora ou data ou exibir uma mensagem de erro de leitura do CMOS, erro de soma de verificação do CMOS ou falha da bateria do CMOS, a bateria do CMOS precisará ser substituída.
O código Super Beast Leader ajudará você a obter recompensas atraentes para ajudar os jogadores a se tornarem super treinadores. Abaixo está a lista dos códigos mais recentes do Super Beast Leader e como inseri-los.
O timer do ar condicionado Daikin é um dos recursos úteis que os usuários costumam usar para programar o timer para ligar o ar condicionado antes de chegar em casa ou desligar o ar condicionado enquanto dormem.
A maioria das máquinas de lavar hoje em dia tem uma diferença de 10 a 20 minutos entre o tempo de exibição e o tempo real de lavagem.
Como substituir a bateria do controle remoto do ar condicionado Toshiba? Leia o artigo abaixo para saber como substituir a bateria do controle remoto do ar condicionado Toshiba.
Inserir o código de presente Hero AFK: VNG War ajudará você a receber muitos itens valiosos no jogo. Descubra agora
O Code Mini Heroes Dai Chien Tam Quoc dá aos jogadores dinheiro, diamantes e muitos outros itens, como EXP geral, EXP de personagem, Stamina, milhões de ordens de soldados e muitos outros itens atraentes.
Embora não seja tão amplamente discutida quanto algumas de suas concorrentes, a Gemini AI do Google tem muito a oferecer — e aqui estão cinco razões pelas quais a Gemini merece sua atenção.