# Rede & Infraestrutura ### 🏗️ O que é Infraestrutura de Rede? **Infraestrutura de rede** é o conjunto de componentes físicos e lógicos que permitem a comunicação entre dispositivos — computadores, servidores, roteadores, switches, e a própria internet. ``` Dispositivo A → Switch → Roteador → Internet → Roteador → Switch → Dispositivo B ↑ ↑ (Camada 2) (Camada 3) ``` #### Camadas do Modelo OSI (relevantes para segurança) | Camada | Protocolos | Função | | ------------------ | ------------------- | --------------------------------------- | | **Aplicação (7)** | HTTP, DNS, SSH, FTP | Interface com o usuário | | **Transporte (4)** | TCP, UDP | Conexão fim-a-fim, confiabilidade | | **Rede (3)** | IP, ICMP, BGP | Roteamento, endereçamento | | **Enlace (2)** | ARP, MAC, DHCP | Comunicação entre dispositivos vizinhos | | **Física (1)** | Ethernet, Wi-Fi | Bits, cabos, sinais | > *"Rede é a estrada por onde os dados viajam. Invadir a rede é controlar o tráfego."* *** ### ⚠️ Por que Infraestrutura de Rede é um alvo? | Motivo | Impacto | | --------------------------- | --------------------------------------------------------- | | **Acesso a todos os dados** | Quem controla a rede vê (ou modifica) todo o tráfego | | **Bypass de segurança** | Firewalls e controles de aplicação podem ser contornados | | **Interceptação** | Credenciais, arquivos, conversas expostos | | **Negação de serviço** | Derrubar a rede inteira com um ataque | | **Persistência** | Backdoors em roteadores/switches são difíceis de detectar | > *"Atacar a rede é atacar a fundação. Tudo que está em cima desaba."* *** ### 📋 Ataques por Protocolo/Camada #### 🔹 Camada de Enlace (2) – Redes Locais | Ataque | Descrição | | ---------------- | -------------------------------------------------------------------- | | **ARP-Spoofing** | Associar IP falso a MAC legítimo → interceptar tráfego na rede local | | **MAC-Spoofing** | Falsificar endereço MAC para bypass de controle de acesso | | **DHCP-Attacks** | Servidor DHCP falso → configurar gateway/DNS malicioso | #### 🔹 Camada de Rede (3) – Roteamento | Ataque | Descrição | | ------------------- | --------------------------------------------------------------------- | | **ICMP Flood** | Sobrecarga com pacotes ICMP (ping flood) | | **Smurf Attack** | Ping para broadcast com endereço de origem falsificado (amplificação) | | **BGP Hijacking** | Desviar rotas da internet (anúncio falso de prefixos IP) | | **Route Poisoning** | Envenenar tabelas de roteamento | | **NAT Traversal** | Contornar NAT para acessar redes internas | #### 🔹 Protocolos de Roteamento (BGP, OSPF, etc.) | Ataque | Descrição | | --------------------------- | ------------------------------------------------------ | | **Route Leak** | Vazamento de rotas privadas para a internet | | **Routing Table Injection** | Inserção de rotas falsas na tabela | | **LSDB Flooding** | Inundação do banco de dados de estado de enlace (OSPF) | | **Goodbye Messages DOS** | Encerramento forçado de adjacências BGP | | **Anonymous Login** | Acesso não autenticado a equipamentos de rede | #### 🔹 Camada de Transporte (4) – TCP/UDP | Ataque | Descrição | | ------------------------------- | -------------------------------------------------------- | | **TCP SYN Flood** | Exploração do handshake de 3 vias (semi-conexões) | | **TCP Session Hijacking** | Assumir sessão TCP legítima | | **Blind TCP Session Hijacking** | Hijacking sem ver sequência (cego) | | **RST Injection** | Reset forçado de conexão TCP | | **SACK Panic** | Exploração de vulnerabilidade no TCP SACK (kernel panic) | | **UDP Flood** | Sobrecarga com pacotes UDP sem handshake | #### 🔹 Camada de Aplicação (7) – Protocolos Específicos | Protocolo | Ataques | | ----------- | -------------------------------------------------------- | | **DNS** | Poisoning, Amplification, Smuggling, Subdomain Squatting | | **HTTP** | Desync, HTTP/2 Attacks, WebSockets | | **SSH** | Brute Force, Hijacking, Key Theft | | **TLS/SSL** | SSL Stripping (rebaixamento para HTTP) | *** ### 🧠 Resumo Rápido por Categoria #### 🎭 Spoofing e Falsificação | Ataque | O que falsifica | | ----------------- | ------------------- | | **ARP Spoofing** | Associação IP → MAC | | **MAC Spoofing** | Endereço MAC | | **DNS Poisoning** | Resposta DNS | | **BGP Hijacking** | Anúncio de rota | > O atacante se passa por outro dispositivo ou serviço. #### 💥 Negação de Serviço (DoS/DDoS) | Ataque | Mecanismo | | --------------------- | ----------------------------- | | **SYN Flood** | Esgotar fila de conexões TCP | | **UDP Flood** | Inundar com pacotes UDP | | **ICMP Flood** | Inundar com ping | | **DNS Amplification** | Amplificar tráfego via DNS | | **Smurf Attack** | Amplificar via ICMP broadcast | > O atacante sobrecarrega o alvo até que ele pare de responder. #### 🔀 Hijacking e Interceptação | Ataque | O que intercepta | | ------------------------- | ----------------------------------- | | **ARP Spoofing** | Tráfego na rede local | | **TCP Session Hijacking** | Sessão TCP ativa | | **SSH Hijacking** | Sessão SSH (agente forwarding) | | **BGP Hijacking** | Tráfego da internet | | **SSL Stripping** | Conexão HTTPS (rebaixada para HTTP) | > O atacante se insere no meio da comunicação (MITM). #### 🗺️ Descoberta e Extração | Ataque/Técnica | O que extrai | | ------------------------------ | -------------------------------------- | | **Directory Traversal** | Arquivos fora do webroot | | **Extração de Metadados EXIF** | GPS, câmera, data de fotos | | **File Carving** | Arquivos escondidos de imagens/tráfego | | **FTP Bounce Attack** | Escaneamento de portas via FTP | > O atacante coleta informações que não deveria acessar. *** ### 🎯 Exemplos Rápidos #### Exemplo 1 – ARP Spoofing (MITM na rede local) ```bash # Atacante na mesma rede do alvo arpspoof -t 192.168.1.10 192.168.1.1 # Alvo pensa que atacante é o gateway arpspoof -t 192.168.1.1 192.168.1.10 # Gateway pensa que atacante é o alvo # Agora todo tráfego entre alvo e internet passa pelo atacante # Atacante pode: sniffar senhas, modificar dados, injetar malware ``` #### Exemplo 2 – DNS Poisoning ```bash # Atacante responde a consulta DNS antes do servidor legítimo Consulta DNS: "qual o IP de banco.com?" Resposta maliciosa: "banco.com está em 5.5.5.5" (site falso de phishing) ``` #### Exemplo 3 – SYN Flood ```python # Enviar SYN sem completar handshake while True: send_ip_packet(src=fake_ip, dst=target, flags='SYN') # Alvo mantém semi-conexões até esgotar memória ``` #### Exemplo 4 – SSL Stripping ```bash # Atacante na rede intercepta HTTPS Cliente → (HTTPS) → Atacante → (HTTP) → Servidor # Atacante mantém conexão HTTP com servidor e HTTPS com cliente # Vítima acha que está segura, mas o atacante vê tudo ``` #### Exemplo 5 – BGP Hijacking ```bash # Atacante anuncia prefixo IP que não lhe pertence "Eu sou o dono do 8.8.8.0/24" (Google DNS) # Tráfego global começa a ir para o atacante ``` *** ### 🛡️ Recomendações Gerais | Camada | Recomendação | | -------------- | --------------------------------------------------------------------------- | | **Rede Local** | ARP spoofing: port security, Dynamic ARP Inspection (DAI), segmentação VLAN | | **Roteamento** | Autenticação em protocolos de roteamento (MD5, Keychain), RPKI para BGP | | **TCP/UDP** | SYN cookies, rate limiting, firewalls, detecção de flooding | | **DNS** | DNSSEC, restringir recursão, rate limiting | | **HTTP** | HSTS (evita SSL stripping), certificados válidos, headers de segurança | | **SSH** | Desabilitar root login, usar chaves, fail2ban | | **Geral** | Monitoramento de tráfego, IDS/IPS (Snort, Suricata), atualizações | #### Ferramentas de defesa | Ferramenta | Função | | ------------------ | ------------------------------------ | | **Wireshark** | Análise de tráfego (defesa e ataque) | | **Snort/Suricata** | IDS/IPS | | **arpwatch** | Monitora alterações na tabela ARP | | **fail2ban** | Bloqueia bruteforce (SSH, etc.) | | **RPKI validator** | Verifica anúncios BGP | *** ### 🔗 Links Úteis * [OWASP – Network Security](https://owasp.org/www-community/Network_Security) * [NIST – Guide to TCP/IP Attacks](https://csrc.nist.gov/publications/detail/sp/800-115/final) * [BGP Hijacking – Cloudflare Radar](https://radar.cloudflare.com/bgp) * [ARP Spoofing – MITM Attacks](https://www.veracode.com/security/arp-spoofing) --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://0xmorte.gitbook.io/bibliadopentestbr/tecnicas/rede-and-infraestrutura.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.