Entrar Ainda não tem acesso?
1
resposta

Ataque direto ao Swtich para interceptar o trafego

Referente ao curso Redes: dos conceitos iniciais à criação de uma intranet, no capítulo Switches e monitoramento de tráfego de redes e atividade Vulnerabilidade dos switches

por KAUE SOUZA RODRIGUES
| 1.5k xp | 1 posts

Boa tarde a todos, tudo bem?

Estou em duvida nessa questão e não estou sabendo se seria algum comando em especifico ou algo do tip, Alguem poderia me ajudar?

' Você precisa montar uma rede com switch em um laboratório de informática, quando é indagado sobre as possíveis vulnerabilidades de segurança que esse switch pode apresentar. Então, você indica que há uma forma de ataque usada para conseguir informações passadas no Switch destinadas a outro usuário.

Qual seria este ataque? '

Garanta sua matrícula hoje e ganhe + 2 meses grátis

Continue sua jornada tech com ainda mais tempo para aprender e evoluir

Quero aproveitar agora
1 resposta
por Ronaldo Cordeiro Schmidt
| 187.7k xp | 534 posts

E ai Kaue.
Tudo bem?
Sua pergunta é bem interessante!
Vamos lá:
Acredito que esteja se referindo ao ataque de MAC flooding (também chamado CAM table overflow).
O que é?
O atacante envia milhares de quadros com endereços MAC de origem falsos para o switch, enchendo a tabela CAM (Content Addressable Memory) que mapeia endereços MAC para portas.
Quando a tabela se enche, muitos switches passam a comportar-se como um hub , encaminhando tráfego para todas as portas.
Isto permite ao atacante colocar a interface em promiscuous mode e capturar tráfego destinado a outros usuários.
Como funciona (resumido):

  • Atacante envia tráfego com MACs de origem falsos até lotar a CAM.
  • Switch não consegue aprender/mantê-los e desabilita o encaminhamento unicast individual.
  • Frames unicast começam a ser inundados para todas as portas.
  • Atacante escuta e captura tráfego que não seria originalmente entregue a ele.

Formas de se prevenir:

  • Port security: limitar o número de MACs aprendidos por porta e bloquear/desativar porta ao exceder.
  • Static MACs para portas críticas (quando viável).
  • 802.1X (autenticação de porta) para restringir dispositivos não autorizados.
  • Storm control / rate limiting para limitar frames por porta.
  • Atualizar firmware e usar switches com proteção contra CAM overflow.
  • Segmentar rede com VLANs e aplicar controles entre VLANs (ACLs).
  • Monitoramento e IDS/IPS para detectar floods ou comportamento anômalo.

Observação:
Existem também ataques como ARP spoofing / ARP poisoning que permitem captura/interceptação (MITM) a nível de camada 2/3.
Espero ter respondido sua pergunta.
Qualquer duvida comente ai.
Bons estudos.