{"id":22079,"date":"2025-02-24T00:05:19","date_gmt":"2025-02-24T03:05:19","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=22079"},"modified":"2025-02-23T19:26:05","modified_gmt":"2025-02-23T22:26:05","slug":"forense-digital-com-linux-tecnicas-praticas-parte-6","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2025\/02\/exploits\/forense-digital-com-linux-tecnicas-praticas-parte-6\/","title":{"rendered":"Forense Digital com Linux &#8211; T\u00e9cnicas Pr\u00e1ticas &#8211; Parte 6"},"content":{"rendered":"\n<p style=\"text-align: justify;\">A an\u00e1lise de tr\u00e1fego de rede com o\u00a0<strong>tcpdump<\/strong>\u00a0\u00e9 uma t\u00e9cnica poderosa para identificar atividades maliciosas, como ataques de\u00a0<strong>DDoS (Distributed Denial of Service)<\/strong>. Neste exemplo pr\u00e1tico, vamos simular a an\u00e1lise de um ataque DDoS direcionado a uma m\u00e1quina que executa o\u00a0<strong>WordPress<\/strong>.\u00a0O ataque ser\u00e1 detectado analisando o tr\u00e1fego entre duas m\u00e1quinas usando o\u00a0<code>tcpdump<\/code>.<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><strong>&#8220;Os procedimentos foram realizados em um ambiente controlado e isolado, utilizando m\u00e1quinas virtuais, exclusivamente para fins de estudo e an\u00e1lise. <\/strong><strong>A invas\u00e3o de sistemas computacionais ou consequ\u00eancias de danos s\u00e3o consideradas crimes, conforme previsto na legisla\u00e7\u00e3o, Lei n\u00ba 12.737\/2012, conhecida como\u00a0Lei Carolina Dieckmann.&#8221;<\/strong><\/p>\n<p>\u00a0<\/p>\n<p><strong>Cen\u00e1rio de exemplo<\/strong><\/p>\n<ul>\n<li>\n<p><strong>M\u00e1quina Alvo<\/strong>: Executa um servidor WordPress na porta\u00a0<code>80<\/code>\u00a0(HTTP).<\/p>\n<\/li>\n<li>\n<p><strong>M\u00e1quina Atacante<\/strong>: Envia um grande volume de requisi\u00e7\u00f5es HTTP para a m\u00e1quina alvo, simulando um ataque DDoS.<\/p>\n<\/li>\n<li>\n<p><strong>Ferramenta<\/strong>:\u00a0<code>tcpdump<\/code>\u00a0para capturar e analisar o tr\u00e1fego de rede.<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p><strong>Passo 1: Capturar o tr\u00e1fego com <code>tcpdump<\/code><\/strong><\/p>\n<p><strong>1.1 Executar o\u00a0<code>tcpdump<\/code> na m\u00e1quina alvo<\/strong><\/p>\n<p>Na m\u00e1quina alvo, execute o seguinte comando para capturar o tr\u00e1fego na interface de rede (<code>eth0<\/code>):<\/p>\n<div class=\"md-code-block\">\n<pre><span class=\"token function\">sudo<\/span> tcpdump <span class=\"token parameter variable\">-i<\/span> eth0 <span class=\"token parameter variable\">-w<\/span> captura.pcap<br \/><br \/><\/pre>\n<\/div>\n<ul>\n<li>\n<p><strong><code>-i eth0<\/code><\/strong>: Especifica a interface de rede.<\/p>\n<\/li>\n<li>\n<p><strong><code>-w captura.pcap<\/code><\/strong>: Salva a captura em um arquivo\u00a0<code>.pcap<\/code>\u00a0para an\u00e1lise posterior.<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p><strong>1.2 Simular o ataque DDoS<\/strong><\/p>\n<p>Na m\u00e1quina atacante, use uma ferramenta como o\u00a0<strong>hping3<\/strong> para enviar um grande volume de requisi\u00e7\u00f5es HTTP para a m\u00e1quina alvo:<\/p>\n<div class=\"md-code-block\">\n<pre>hping3 <span class=\"token parameter variable\">--flood<\/span> <span class=\"token parameter variable\">-p<\/span> <span class=\"token number\">80<\/span> --rand-source <span class=\"token operator\">&lt;<\/span>IP_MAQUINA_ALVO<span class=\"token operator\">&gt;<br \/><br \/><\/span><\/pre>\n<\/div>\n<ul>\n<li>\n<p><strong><code>--flood<\/code><\/strong>: Envia pacotes o mais r\u00e1pido poss\u00edvel.<\/p>\n<\/li>\n<li>\n<p><strong><code>-p 80<\/code><\/strong>: Especifica a porta HTTP.<\/p>\n<\/li>\n<li>\n<p><strong><code>--rand-source<\/code><\/strong>: Usa endere\u00e7os IP falsos para dificultar a identifica\u00e7\u00e3o<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p><strong>Passo 2: Analisar o r\u00e1fego capturado<\/strong><\/p>\n<p>Ap\u00f3s capturar o tr\u00e1fego, pare o\u00a0<code>tcpdump<\/code>\u00a0(pressione\u00a0<code>Ctrl+C<\/code>) e analise o arquivo\u00a0<code>captura.pcap<\/code>.<\/p>\n<p>\u00a0<\/p>\n<p><strong>2.1 Filtrar tr\u00e1fego HTTP<\/strong><\/p>\n<p>Use o\u00a0<code>tcpdump<\/code> para filtrar apenas o tr\u00e1fego HTTP (porta 80):<\/p>\n<div class=\"md-code-block\">\n<pre><span class=\"token function\">sudo<\/span> tcpdump <span class=\"token parameter variable\">-r<\/span> captura.pcap <span class=\"token parameter variable\">-nn<\/span> <span class=\"token string\">'tcp port 80'<br \/><br \/><\/span><\/pre>\n<\/div>\n<ul>\n<li>\n<p><strong><code>-r captura.pcap<\/code><\/strong>: L\u00ea o arquivo de captura.<\/p>\n<\/li>\n<li>\n<p><strong><code>-nn<\/code><\/strong>: Exibe endere\u00e7os IP e portas em formato num\u00e9rico.<\/p>\n<\/li>\n<li>\n<p><strong><code>'tcp port 80'<\/code><\/strong>: Filtra apenas o tr\u00e1fego TCP na porta 80.<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p><strong>Sa\u00edda no Shell:<\/strong><\/p>\n<div class=\"md-code-block\">\n<pre>14:32:01.123456 IP 192.168.1.100.54321 &gt; 192.168.1.200.80: Flags [S], seq 1234567890, <br \/>win 65535, length 0\n14:32:01.123457 IP 192.168.1.101.54322 &gt; 192.168.1.200.80: Flags [S], seq 1234567891, <br \/>win 65535, length 0\n14:32:01.123458 IP 192.168.1.102.54323 &gt; 192.168.1.200.80: Flags [S], seq 1234567892, <br \/>win 65535, length 0\n14:32:01.123459 IP 192.168.1.103.54324 &gt; 192.168.1.200.80: Flags [S], seq 1234567893, <br \/>win 65535, length 0\n...<br \/><br \/><\/pre>\n<\/div>\n<p><strong>An\u00e1lise:<\/strong><\/p>\n<ul>\n<li>\n<p>Um grande volume de pacotes\u00a0<code>SYN<\/code>\u00a0(Flags\u00a0<code>[S]<\/code>) \u00e9 enviado para a porta\u00a0<code>80<\/code>\u00a0da m\u00e1quina alvo (<code>192.168.1.200<\/code>).<\/p>\n<\/li>\n<li>\n<p>Isso \u00e9 caracter\u00edstico de um ataque DDoS do tipo\u00a0<strong>SYN Flood<\/strong>, onde o atacante tenta esgotar os recursos do servidor.<\/p>\n<\/li>\n<\/ul>\n<h3>\u00a0<\/h3>\n<p><strong>2.2 Identificar Padr\u00f5es de Ataque<\/strong><\/p>\n<p>Para identificar padr\u00f5es de ataque, voc\u00ea pode contar o n\u00famero de pacotes por IP de origem.<\/p>\n<p><strong>Comando:<\/strong><\/p>\n<div class=\"md-code-block\">\n<pre><span class=\"token function\">sudo<\/span> tcpdump <span class=\"token parameter variable\">-r<\/span> captura.pcap <span class=\"token parameter variable\">-nn<\/span> <span class=\"token string\">'tcp port 80'<\/span> <span class=\"token operator\">|<\/span> <span class=\"token function\">awk<\/span> <span class=\"token string\">'{print $3}'<\/span> <span class=\"token operator\">|<\/span> <span class=\"token function\">cut<\/span> -d. -f1-4 <span class=\"token operator\">|<\/span> <span class=\"token function\">sort<\/span> <span class=\"token operator\">|<br \/><\/span><span class=\"token function\">uniq<\/span> <span class=\"token parameter variable\">-c<\/span> <span class=\"token operator\">|<\/span> <span class=\"token function\">sort<\/span> <span class=\"token parameter variable\">-nr<br \/><br \/><\/span><\/pre>\n<\/div>\n<p><strong>Sa\u00edda no Shell:<\/strong><\/p>\n<div class=\"md-code-block\">\n<pre>1000 192.168.1.100\n1000 192.168.1.101\n1000 192.168.1.102\n1000 192.168.1.103\n...<br \/><br \/><\/pre>\n<\/div>\n<p><strong>An\u00e1lise:<\/strong><\/p>\n<ul>\n<li>\n<p>Cada IP de origem est\u00e1 enviando um grande n\u00famero de pacotes, o que \u00e9 incomum para tr\u00e1fego normal.<\/p>\n<\/li>\n<li>\n<p>Isso confirma que o ataque \u00e9 distribu\u00eddo (DDoS), com m\u00faltiplos IPs falsos sendo usados.<\/p>\n<\/li>\n<\/ul>\n<h3>\u00a0<\/h3>\n<p><strong>2.3 Analisar conte\u00fado das requisi\u00e7\u00f5es<\/strong><\/p>\n<p>Para entender o tipo de ataque, voc\u00ea pode inspecionar o conte\u00fado das requisi\u00e7\u00f5es HTTP.<\/p>\n<p>\u00a0<\/p>\n<p><strong>Comando:<\/strong><\/p>\n<div class=\"md-code-block\">\n<pre><span class=\"token function\">sudo<\/span> tcpdump <span class=\"token parameter variable\">-r<\/span> captura.pcap <span class=\"token parameter variable\">-nn<\/span> <span class=\"token parameter variable\">-A<\/span> <span class=\"token string\">'tcp port 80'<br \/><br \/><\/span><\/pre>\n<\/div>\n<p><strong>Sa\u00edda no Shell:<\/strong><\/p>\n<div class=\"md-code-block\">\n<pre>14:32:01.123456 IP 192.168.1.100.54321 &gt; 192.168.1.200.80: Flags [P.], seq 1:100, <br \/>ack 1, win 65535, length 99\nE..4..@.@............P.....'...........GET \/wp-admin HTTP\/1.1\nHost: 192.168.1.200\nUser-Agent: hping3\n...\n\n14:32:01.123457 IP 192.168.1.101.54322 &gt; 192.168.1.200.80: Flags [P.], seq 1:100, <br \/>ack 1, win 65535, length 99\nE..4..@.@............P.....'...........GET \/wp-login.php HTTP\/1.1\nHost: 192.168.1.200\nUser-Agent: hping3\n...<br \/><br \/><\/pre>\n<\/div>\n<p><strong>An\u00e1lise:<\/strong><\/p>\n<ul>\n<li>\n<p>As requisi\u00e7\u00f5es s\u00e3o direcionadas a endpoints cr\u00edticos do WordPress, como\u00a0<code>\/wp-admin<\/code>\u00a0e\u00a0<code>\/wp-login.php<\/code>.<\/p>\n<\/li>\n<li>\n<p>O cabe\u00e7alho\u00a0<code>User-Agent: hping3<\/code>\u00a0indica que o atacante est\u00e1 usando o\u00a0<code>hping3<\/code>\u00a0para gerar o tr\u00e1fego.<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p><strong>Passo 3: Mitigar o ataque<\/strong><\/p>\n<p>Com base na an\u00e1lise, voc\u00ea pode tomar medidas para mitigar o ataque DDoS:<\/p>\n<ul>\n<li>\n<p><strong>Configurar um Firewall<\/strong>:<\/p>\n<ul>\n<li>\n<p>Bloqueie os IPs suspeitos identificados.<\/p>\n<\/li>\n<li>\n<p>Limite a taxa de conex\u00f5es por IP.<\/p>\n<\/li>\n<\/ul>\n<p>Exemplo com\u00a0<code>iptables<\/code>:<\/p>\n<div class=\"md-code-block\">\n<div class=\"md-code-block-banner-wrap\">\n<div class=\"md-code-block-banner\">\u00a0<\/div>\n<\/div>\n<pre><span class=\"token function\">sudo<\/span> iptables <span class=\"token parameter variable\">-A<\/span> INPUT <span class=\"token parameter variable\">-p<\/span> tcp <span class=\"token parameter variable\">--dport<\/span> <span class=\"token number\">80<\/span> <span class=\"token parameter variable\">-m<\/span> connlimit --connlimit-above <span class=\"token number\">50<\/span> <span class=\"token parameter variable\">-j<\/span> DROP<\/pre>\n<\/div>\n<\/li>\n<li>\n<p><strong>Usar um Servi\u00e7o de Prote\u00e7\u00e3o DDoS<\/strong>:<\/p>\n<ul>\n<li>\n<p>Servi\u00e7os como\u00a0<strong>Cloudflare<\/strong>\u00a0ou\u00a0<strong>Akamai<\/strong>\u00a0podem ajudar a absorver o tr\u00e1fego malicioso.<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<li>\n<p><strong>Monitorar o Tr\u00e1fego<\/strong>:<\/p>\n<ul>\n<li>\n<p>Configure alertas para detectar picos de tr\u00e1fego anormais.<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<li>\n<p><strong>Atualizar o WordPress<\/strong>:<\/p>\n<ul>\n<li>\n<p>Certifique-se de que o WordPress e seus plugins est\u00e3o atualizados para evitar vulnerabilidades.<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p><strong>Conclus\u00e3o<\/strong><\/p>\n<p style=\"text-align: justify;\">Neste exemplo pr\u00e1tico, utilizamos o\u00a0<code>tcpdump<\/code>\u00a0para capturar e analisar o tr\u00e1fego de rede, identificando um ataque DDoS direcionado a um servidor WordPress. A an\u00e1lise revelou um grande volume de pacotes\u00a0<code>SYN<\/code>\u00a0e requisi\u00e7\u00f5es HTTP suspeitas, confirmando o ataque.<\/p>\n<p style=\"text-align: justify;\">Combinando ferramentas como\u00a0<code>tcpdump<\/code>\u00a0com t\u00e9cnicas de mitiga\u00e7\u00e3o, voc\u00ea pode proteger seus sistemas contra ataques DDoS e outras amea\u00e7as cibern\u00e9ticas. Para an\u00e1lises mais avan\u00e7adas, considere usar ferramentas como\u00a0<strong>Wireshark<\/strong>\u00a0ou\u00a0<strong>Suricata<\/strong>.<\/p>\n<p>\u00a0<\/p>\n<p><strong>Referencias Bibliogr\u00e1ficas<\/strong><\/p>\n<p><strong>1.\u00a0Livro: &#8220;Network Security Through Data Analysis: Building Situational Awareness&#8221;<\/strong><\/p>\n<ul>\n<li>\n<p><strong>Autor<\/strong>: Michael Collins<\/p>\n<\/li>\n<li>\n<p><strong>Editora<\/strong>: O&#8217;Reilly Media<\/p>\n<\/li>\n<li>\n<p><strong>Ano<\/strong>: 2017<\/p>\n<\/li>\n<li>\n<p><strong>ISBN<\/strong>: 978-1491915346<\/p>\n<\/li>\n<li>\n<p><strong>Descri\u00e7\u00e3o<\/strong>: Este livro aborda t\u00e9cnicas de an\u00e1lise de dados de rede para identificar atividades maliciosas, incluindo ataques DDoS. Ele fornece exemplos pr\u00e1ticos de como usar ferramentas como o tcpdump para monitorar e analisar tr\u00e1fego de rede.<\/p>\n<\/li>\n<\/ul>\n<p>2.\u00a0<strong>Artigo: &#8220;Detecting and Mitigating DDoS Attacks with Network Traffic Analysis&#8221;<\/strong><\/p>\n<ul>\n<li>\n<p><strong>Dispon\u00edvel em<\/strong>:\u00a0<a href=\"https:\/\/ieeexplore.ieee.org\/document\/10200383\" target=\"_blank\" rel=\"noopener noreferrer\">https:\/\/ieeexplore.ieee.org\/document\/10200383<\/a><\/p>\n<\/li>\n<li>\n<p><strong>Descri\u00e7\u00e3o<\/strong>: Este artigo t\u00e9cnico\u00a0 discute t\u00e9cnicas de an\u00e1lise de tr\u00e1fego de rede para detectar e mitigar ataques DDoS. Ele inclui exemplos de como usar ferramentas como o tcpdump e o Wireshark para identificar padr\u00f5es de tr\u00e1fego associados a ataques DDoS.<\/p>\n<\/li>\n<\/ul>\n\n\n","protected":false},"excerpt":{"rendered":"<p>A an\u00e1lise de tr\u00e1fego de rede com o\u00a0tcpdump\u00a0\u00e9 uma t\u00e9cnica poderosa para identificar atividades maliciosas, como ataques de\u00a0DDoS (Distributed Denial of Service). Neste exemplo pr\u00e1tico, vamos simular a an\u00e1lise de um ataque DDoS direcionado a uma m\u00e1quina que executa o\u00a0WordPress.\u00a0O ataque ser\u00e1 detectado analisando o tr\u00e1fego entre duas m\u00e1quinas usando o\u00a0tcpdump. \u00a0 \u00a0 &#8220;Os procedimentos [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":22059,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,21],"tags":[],"class_list":["post-22079","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-exploits"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/22079","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=22079"}],"version-history":[{"count":18,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/22079\/revisions"}],"predecessor-version":[{"id":22186,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/22079\/revisions\/22186"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/22059"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=22079"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=22079"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=22079"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}