Pessoal, apenas esclarecendo um ponto importante. O ataque de DDoS é um ataque distribuído ou de "múltiplas origens" que tenta paralisar um serviço. Neste vídeo, optamos por utilizar uma única origem, sem prejuízo à explicação apresentada. Todo o processo, a metodologia e o objetivo do ataque seguem os mesmos princípios e a detecção via WireShark é a mesma para uma ou múltiplas origens de ataque.
Parabéns pela correção. Mas parabéns trabalho no serviço público a anos e vejo que você tem futuro. Como professor do tema, é didático objetivo mostra profunda familiaridade com o Wireshark. Por isso vou seguir.
Gustavo, primeira vez que assisto seus vídeo, e gostei muito de sua maneira de explicar e argumentar o assunto de Cyber Security. Já estou inscrito e seguindo seus vídeos. Parabéns! Aprendi muito contigo nesse vídeo!
Oi Narciso! Muito obrigado pela mensagem e elogio. Estamos sempre produzindo novos conteúdos, dicas e aulas sobre o tema de cibersegurança. Espero que você possa aprender cada vez mais em nosso canal. Mais uma vez, obrigado! Grande abraço, Gustavo
Ola boa noite! a. O filtro aplicado faz com que sejam exibidos pacotes http com o comando “get” CORRETO? Que tipo de incidente de segurança pode ser identificado e quais as suas características? Poderia me responder?
Olá, obrigado pela pergunta! Vamos lá: Em geral, pacotes http com o comando GET mostram detalhes demais na URL do site, indicando possíveis vulnerabilidades que podem ser exploradas por ataques de SQL Injection e de XSS. Em ambos os tipos de ataque, o atacante tentará obter acesso à aplicação WEB e realizar ações maliciosas, como alterar o site, implantar código malicioso, roubar credenciais e dados de usuários e, consequentemente, ter acesso a informações que permitam algum tipo de prejuízo financeiro, como dados de cartão de crédito ou extorsão por meio de pagamento de resgate, ou ainda a venda de dados roubados em fóruns da Deep Web. Esperamos que tenha te ajudado com sua questão!
Olá, obrigado pela pergunta! Vamos lá: Um IPS (Intrusion Prevention System) atuaria bloqueando o tráfego entrante dos endereços que originaram o ataque. Para fazer isso, o IPS deve ser configurado com as regras de "DROP", para garantir que o tráfego não seja apenas analisado, mas bloqueado na entrada. O IPS sozinho auxilia a bloquear o tráfego, mas já na borda da rede. Para que o Link seja totalmente liberado, uma boa opção é contratar um serviço de ANTI DDoS com seu provedor de link, para que esse ataque possa ser mitigado já no backbone e não volte a acontecer. Esperamos que tenha te ajudado com sua questão!
Olá Gabriel, tudo bem? Sua pergunta é complexa e abrange um tópico interessante: Segurança em acesso remoto e resposta a incidentes, ambos via SSH. No Wireshark, você pode filtrar os pacotes do protocolo Secure Shell (SSH) utilizando o filtro "ssh" (sem as aspas). Outra dica, é também filtrar pacotes trafegados principalmente na porta 22. Se você identificar uma série de solicitações de autenticação SSH sendo feitas, isso pode significar que o ataque deve ter sido realizado através de força bruta. Por outro lado, um servidor com técnicas de hardening de SSH aplicadas consegue mitigar e reduzir a superfície de ataque nesse protocolo. Recomendo ler o manual do SSH (logo abaixo) e também procurar capturar um tráfego de SSH para estudo (em máquinas virtuais). linux.die.net/man/1/ssh Abraço! Gustavo - CECyber
@@CECyber Muito obrigado Gustavo, eu filtrei e realmente tem um IP que mandou inúmeras solicitações para porta 22. então consegui descobrir !! obrigado mesmo meu amigo !
Acredito que o essencial para o seu momento, é transformar a dúvida em certeza. Ou seja, saber se de fato está sofrendo um incidente cibernético. Para isso, você pode contar com sua equipe de segurança da informação, ou até mesmo buscar ajuda externa (vale ressaltar que a CECyber não realiza esse tipo de serviço).
A partir daí, essa equipe identificará o ataque em vigor, seguindo as etapas de identificação, análise, resposta e prevenção.
Olá, tudo bem? Aqui é o Gustavo e vou fazer o possível para te ajudar com sua dúvida. Um roteador comum (estou consideando um ambiente residencial) é responsável por criar uma rede interna. Dito isso, ele pode atribuir os endereços de IP, autenticar-se com o provedor de internet, etc. Além disso, ele transmite e recebe pacotes assim como também faz a distribuição desses para suas respectivas máquinas. Entretanto, filtrar comportamentos suspeitos em pacotes somente uma ferramenta mais avançada e de segurança é capaz de fazer. Sistemas como firewall de próxima geração (NGFW), sistemas de detecção e prevenção de intrusão (IDS/IPS), dentre vários outros. E claro: Nós como profissionais em cibersegurança para configurá-los e operá-los corretamente. Espero ter conseguido te ajudar. Abraços, Gustavo - CECyber.
![Ataque DDoS [Fins Educacionais] 🤖](/img/n.gif)
Pessoal, apenas esclarecendo um ponto importante. O ataque de DDoS é um ataque distribuído ou de "múltiplas origens" que tenta paralisar um serviço. Neste vídeo, optamos por utilizar uma única origem, sem prejuízo à explicação apresentada. Todo o processo, a metodologia e o objetivo do ataque seguem os mesmos princípios e a detecção via WireShark é a mesma para uma ou múltiplas origens de ataque.
Parabéns pela correção. Mas parabéns trabalho no serviço público a anos e vejo que você tem futuro. Como professor do tema, é didático objetivo mostra profunda familiaridade com o Wireshark. Por isso vou seguir.
Gustavo, primeira vez que assisto seus vídeo, e gostei muito de sua maneira de explicar e argumentar o assunto de Cyber Security. Já estou inscrito e seguindo seus vídeos. Parabéns! Aprendi muito contigo nesse vídeo!
Oi Narciso! Muito obrigado pela mensagem e elogio. Estamos sempre produzindo novos conteúdos, dicas e aulas sobre o tema de cibersegurança. Espero que você possa aprender cada vez mais em nosso canal. Mais uma vez, obrigado! Grande abraço, Gustavo
Ótima explicação, juntando esse conhecimento pode ser feito a captura dos pacotes pelo PFsense, salvar e analisar no ambiente correto. Parabéns!
Voce so nao explicou como bloquear o ataque. Excelente
Muito boa explicação Gustavo, manda um abs, pro Almir.
Ótima didática. Parabéns
Show demais esse vídeo.
me ajuda por favor
so indentifica acho q tao atacando meu serfvidor
JOIA IRMÃO PARABENS
Ola boa noite! a. O filtro aplicado faz com que sejam exibidos pacotes http com o comando “get” CORRETO? Que tipo de incidente de segurança pode ser identificado e quais as suas características? Poderia me responder?
Olá, obrigado pela pergunta! Vamos lá:
Em geral, pacotes http com o comando GET mostram detalhes demais na URL do site, indicando possíveis vulnerabilidades que podem ser exploradas por ataques de SQL Injection e de XSS. Em ambos os tipos de ataque, o atacante tentará obter acesso à aplicação WEB e realizar ações maliciosas, como alterar o site, implantar código malicioso, roubar credenciais e dados de usuários e, consequentemente, ter acesso a informações que permitam algum tipo de prejuízo financeiro, como dados de cartão de crédito ou extorsão por meio de pagamento de resgate, ou ainda a venda de dados roubados em fóruns da Deep Web.
Esperamos que tenha te ajudado com sua questão!
Olá,
O arquivo não está mais disponível para download.
Você poderia compartilhá-lo novamente?
Obrigado.
Olá! O arquivo já está novamente disponível. Veja se consegue baixar e qualquer problema, nos avise. Obrigado!
E como um IPS atuaria para interromper esse ocorrido?
Olá, obrigado pela pergunta! Vamos lá:
Um IPS (Intrusion Prevention System) atuaria bloqueando o tráfego entrante dos endereços que originaram o ataque. Para fazer isso, o IPS deve ser configurado com as regras de "DROP", para garantir que o tráfego não seja apenas analisado, mas bloqueado na entrada. O IPS sozinho auxilia a bloquear o tráfego, mas já na borda da rede. Para que o Link seja totalmente liberado, uma boa opção é contratar um serviço de ANTI DDoS com seu provedor de link, para que esse ataque possa ser mitigado já no backbone e não volte a acontecer.
Esperamos que tenha te ajudado com sua questão!
Show
ótimo Vídeo, alguma dica para descobrir ataques SSH pelo wireshark?
Olá Gabriel, tudo bem?
Sua pergunta é complexa e abrange um tópico interessante: Segurança em acesso remoto e resposta a incidentes, ambos via SSH.
No Wireshark, você pode filtrar os pacotes do protocolo Secure Shell (SSH) utilizando o filtro "ssh" (sem as aspas). Outra dica, é também filtrar pacotes trafegados principalmente na porta 22.
Se você identificar uma série de solicitações de autenticação SSH sendo feitas, isso pode significar que o ataque deve ter sido realizado através de força bruta.
Por outro lado, um servidor com técnicas de hardening de SSH aplicadas consegue mitigar e reduzir a superfície de ataque nesse protocolo.
Recomendo ler o manual do SSH (logo abaixo) e também procurar capturar um tráfego de SSH para estudo (em máquinas virtuais).
linux.die.net/man/1/ssh
Abraço!
Gustavo - CECyber
@@CECyber Muito obrigado Gustavo, eu filtrei e realmente tem um IP que mandou inúmeras solicitações para porta 22. então consegui descobrir !! obrigado mesmo meu amigo !
Acho que estou com um ataque na minha rede empresarial (pequeno porte) como devo proceder?
Olá Caio, tudo bem?
Vou fazer o possível para responder a sua dúvida.
Acredito que o essencial para o seu momento, é transformar a dúvida em certeza. Ou seja, saber se de fato está sofrendo um incidente cibernético. Para isso, você pode contar com sua equipe de segurança da informação, ou até mesmo buscar ajuda externa (vale ressaltar que a CECyber não realiza esse tipo de serviço).
A partir daí, essa equipe identificará o ataque em vigor, seguindo as etapas de identificação, análise, resposta e prevenção.
Espero ter conseguido te ajudar.
Abraços,
Gustavo Bessa - CECyber.
Pergunta de leigo: um roteador comum já nao impede que esses pacotes cheguem no computador da rede interna?
Olá, tudo bem?
Aqui é o Gustavo e vou fazer o possível para te ajudar com sua dúvida.
Um roteador comum (estou consideando um ambiente residencial) é responsável por criar uma rede interna. Dito isso, ele pode atribuir os endereços de IP, autenticar-se com o provedor de internet, etc.
Além disso, ele transmite e recebe pacotes assim como também faz a distribuição desses para suas respectivas máquinas.
Entretanto, filtrar comportamentos suspeitos em pacotes somente uma ferramenta mais avançada e de segurança é capaz de fazer. Sistemas como firewall de próxima geração (NGFW), sistemas de detecção e prevenção de intrusão (IDS/IPS), dentre vários outros.
E claro: Nós como profissionais em cibersegurança para configurá-los e operá-los corretamente.
Espero ter conseguido te ajudar.
Abraços,
Gustavo - CECyber.
Seria tão bom se o ataque massivo viesse do mesmo IP 😂😂