Sniffing

Os switches determinam quais dados vão para qual porta através da comparação do endereço MAC nos dados com uma tabela. Esta tabela consiste de uma lista de porta e endereços MAC relativos a elas. A tabela é construída quando o switch é ligado, examinando o MAC origem dos primeiros dados enviados a cada porta.

Placas de rede podem entrar em um estado chamado de Modo Promíscuo onde é permitido examinar dados destinados a endereços MAC outros que não o seu. Em redes com switch isso não é permitido, pois o switch faz o direcionamento dos dados baseado na tabela descrita acima. Isso previne contra o sniffing dos dados de outras máquina. Entretanto, utilizando o ARP Poisoning há muitas formas através das quais o sniffing pode ser realizado em uma rede com switch.

Man in the Middle (MITM)

Este ataque é um dos métodos de sniffing. É um dos ataques no qual uma terceira pessoa está inserida entre o caminho de comunicação de dois computadores.

Não há qualquer interrupção do tráfego de ambos os computadores, pois a terceira pessoa redireciona os pacotes de dados ao computador destino.

Considere um exemplo. Na figura abaixo o atacante, host C, envia uma resposta ARP para dizer à B que o IP de A pertence ao endereço MAC de C, e outra resposta é enviada à A, dizendo que o IP de B pertence ao endereço MAC de C. Já que o protocolo ARP não é volátil (stateless), os hosts A e B assumem que enviaram uma requisição ARP em algum ponto no passado e atualizaram seus caches ARP com esta nova informação. Agora, quando A tenta enviar dados para B, ele vai para C, ao invés de B. O host C pode usar esta posição única para direcionar os dados para o host correto e monitorá-los ou modificá-los a medida que eles passam por C (figura 4). Man-in-The-Middle também pode ser realizado entre um computador e o roteador de uma rede através do envenenamento (poisoning) do roteador.

MAC Flooding

Este é outro método de sniffing. O MAC Flooding é uma técnica de ARP-Poisoning voltada para switchs de rede. Quando alguns switchs são sobrecarregados eles frequentemente passam a funcionar no modo hub. No modo hub, o switch está ocupado demais para reforçar a segurança de suas portas e apenas faz o broadcast do tráfego de toda a rede para cada um dos computadores em sua rede.

Através da sobrecarga (flooding) da tabela ARP do switch com toneladas de respostas ARP falsas, um hacker pode sobre carregar muitos switchs usados atualmente e então sniffar os pacotes da rede enquanto o switch funciona no modo hub.

Denial of Service

Um hacker pode facilmente associar um endereço IP operacional a um endereço MAC falso. Para tanto, um hacker pode enviar uma resposta ARP associando o endereço IP do roteador da rede com um endereço MAC que não existe. Então, os computadores acreditam que sabem onde o gateway padrão está, mas na realidade todos os pacotes que estão enviando para aquele destino não vão para a rede local, mas sim para um grande buraco negro. Com pouco trabalho, o hacker conseguiu separar a rede da Internet.

Hijacking

Para sequestrar (hijack) uma conexão de rede de uma máquina alvo, temos que ser capazes de direcionar o fluxo de tráfego da rede a partir da máquina alvo para nossa máquina. O passo seguinte é redirecionar os pacotes de dados em nível de kernel. Essa mudança de controle pode resultar na transferência de qualquer tipo de sessão do Sistema Operacional. Para tanto, um atacante poderia tomar o controle de uma sessão telnet após uma máquina alvo ter logado em um computador remoto como administrador.

Cloning

O endereço MAC foi criado para ser um identificador único no mundo inteiro para cada interface de rede produzida. Podemos alterar o endereço MAC utilizando softwares disponíveis e também usando hardware, que é bem mais trabalhoso e tedioso. Usuários de Linux pode alterar seu MAC sem utilizar softwares de Poisoning e Spoofing, usando apenas um parâmetro do comando ifconfig, que configura a interface de rede no S.O.. Um atacante por realizar um ataque DoS [4] à um computador alvo, e então atribuir a si mesmo o IP e MAC desse computador, recebendo todos os dados enviados para tal computador.