O comando ip a (ou ip addr) é usado no Linux para exibir e configurar as interfaces de rede. A saída dele mostra detalhes sobre todas as suas conexões de rede, sejam elas cabeadas, Wi-Fi ou virtuais.
Para encontrar o IP do seu roteador, você precisa procurar pelo seu "gateway padrão" (ou default gateway). Embora o comando ip a não mostre o gateway diretamente, ele te dá as informações de endereço IP do seu próprio computador, que é o que você precisa para encontrar o roteador.
A saída é dividida em blocos, um para cada interface de rede. Os mais comuns são:
lo (loopback): Esta é uma interface virtual usada para comunicação interna do seu computador. O IP dela é sempre 127.0.0.1. Você pode ignorá-la.
enp ou eth (Ethernet): Representa a sua conexão de rede cabeada.
wlan ou wlp (Wireless LAN): Representa sua conexão Wi-Fi.
Dentro de cada bloco, procure pelas seguintes linhas:
link/ether: Mostra o endereço MAC da interface. É um identificador único para o hardware.
inet: Mostra o seu endereço IP local. É o endereço que seu roteador atribuiu ao seu computador. O formato será 192.168.x.x ou 10.0.x.x, seguido por /24 ou /16. O /24 e /16 são notações que indicam a máscara de sub-rede.
inet6: Mostra o seu endereço IPv6. Ele é mais longo e complexo.
Exemplo de saída:
2: wlan0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether c8:9d:f4:d8:12:a3 brd ff:ff:ff:ff:ff:ff
inet 192.168.1.100/24 brd 192.168.1.255 scope global dynamic noprefixroute wlan0
Neste exemplo, seu IP é 192.168.1.100 e a faixa da sua rede é 192.168.1.0/24. Isso significa que todos os dispositivos na sua rede têm IPs que começam com 192.168.1.
Use o comando ip route: Abra o terminal e digite: ip route
Analise a saída: A saída do comando será algo parecido com isto:
default via 192.168.1.1 dev wlan0 proto static metric 600
192.168.1.0/24 dev wlan0 proto kernel scope link src 192.168.1.10
Identifique o roteador: A linha que começa com default via indica o seu gateway padrão. O endereço IP que aparece depois de via é o IP do seu roteador. No exemplo acima, o IP do roteador é 192.168.1.1.
Dentro da interface do roteador, procure por uma seção que mostra a lista de dispositivos conectados. Essa seção pode ter nomes como:
DHCP Client List
Attached Devices
Network Map
Wireless Clients
Nesta lista, você verá todos os dispositivos conectados à sua rede, tanto por Wi-Fi quanto por cabo, e seus respectivos endereços MAC e IP. O endereço MAC é um identificador único de 12 dígitos, específico para cada dispositivo de rede.
Agora que você identificou o dispositivo desconhecido pelo endereço MAC, existem duas formas principais de bloqueá-lo:
Opção 1: Filtragem por MAC (Recomendada)
A filtragem por MAC (MAC filtering) permite que você crie uma lista de endereços MAC permitidos ou bloqueados.
Encontre a seção de filtragem de MAC: Procure por "MAC Filter", "Wireless Filter" ou "Access Control" nas configurações de segurança sem fio.
Adicione o endereço MAC à lista de bloqueio: Altere a política para "Blacklist" (lista negra) e adicione o endereço MAC do dispositivo desconhecido. Ao fazer isso, você impedirá que o dispositivo se conecte à sua rede, mesmo que ele saiba a senha.
Opção 2: Desautorização (Se o seu roteador tiver essa opção)
Alguns roteadores mais avançados permitem que você simplesmente "kick" ou "deauthorize" um dispositivo da rede diretamente da lista de clientes conectados. Isso o desconecta imediatamente. No entanto, o dispositivo ainda pode tentar se reconectar mais tarde, a menos que você também use a filtragem por MAC.
Bloquear o dispositivo é ótimo, mas é ainda mais importante evitar futuras invasões.
Mude a senha do seu Wi-Fi: Se você encontrar um dispositivo desconhecido, a primeira coisa a fazer é mudar sua senha do Wi-Fi.
Use um tipo de criptografia forte: Certifique-se de que sua rede Wi-Fi está usando a criptografia WPA2 ou WPA3. Evite o WEP, que é muito fácil de ser quebrado.
Mude a senha do roteador: Altere a senha padrão de acesso à interface do roteador imediatamente.
O Nmap (Network Mapper) é uma ferramenta poderosa para descoberta de redes e auditoria de segurança. Se você ainda não o tem, instale-o com o gerenciador de pacotes da sua distribuição (por exemplo, sudo apt install nmap ou snap install nmap no Debian/Ubuntu ou sudo yum install nmap no Fedora/CentOS).
Depois de instalado, use-o para escanear sua sub-rede inteira. Use a faixa de IP que você encontrou na etapa anterior.
nmap -sn 192.168.1.0/24
nmap: o comando para iniciar a ferramenta.
-sn: flag para "scan de ping", que desabilita a varredura de portas. Isso faz com que o Nmap apenas verifique se os hosts estão online, o que é mais rápido e ideal para este propósito.
192.168.1.0/24: a faixa de rede que será escaneada. Lembre-se de substituir este endereço pela sua própria faixa de rede.
A saída do Nmap mostrará uma lista de todos os hosts (dispositivos) que estão respondendo na sua rede, incluindo seus endereços IP e, se possível, o nome do dispositivo.
Exemplo de saída:
Nmap scan report for 192.168.1.1
Host is up (0.003s latency).
Nmap scan report for 192.168.1.5
Host is up (0.015s latency).
Nmap scan report for 192.168.1.22
Host is up (0.021s latency).
A partir dessa lista, você pode identificar todos os dispositivos conectados à sua rede no momento do escaneamento.
Se você precisar de mais detalhes, como o endereço MAC de cada dispositivo, pode usar uma ferramenta como o arp-scan ou o netdiscover.
Depois de obter a lista de IPs e endereços MAC, compare-os com os dispositivos que você sabe que estão na sua rede (seu celular, computador, TV, etc.). Qualquer dispositivo que você não reconhecer pode ser um invasor.
Para identificar um dispositivo específico, você pode usar o comando nmap sem a flag -sn para obter mais detalhes.
nmap 192.168.1.22
A saída pode mostrar portas abertas e até mesmo o tipo de sistema operacional do dispositivo, o que pode ajudar a identificá-lo. No entanto, a forma mais segura de identificar e bloquear um dispositivo desconhecido é através das configurações do seu roteador, como explicado na resposta anterior.
A regra LIMIT é um "contador de pacotes" que permite que você restrinja o número de conexões ou pacotes por um período de tempo. A principal função dela é evitar que um único endereço IP (ou um grupo deles) sobrecarregue seu servidor com requisições.
A regra funciona de maneira simples:
Ela define um limite, por exemplo, "30 requisições por minuto".
Se o tráfego de um IP estiver dentro do limite, ele é aceito normalmente.
Se o tráfego exceder o limite, os pacotes adicionais são descartados.
Imagine um servidor web que recebe 100 requisições por segundo. Um atacante pode tentar derrubar o servidor enviando 1.000 requisições por segundo de um único IP.
Uma regra LIMIT pode ser configurada para aceitar apenas, por exemplo, 50 requisições por segundo do mesmo IP. As 950 requisições restantes são descartadas, o que impede que o atacante sobrecarregue o servidor.
Aqui está como a regra seria implementada no iptables para limitar o tráfego de SSH e HTTP:
Limitar requisições de SSH:
Bash
sudo iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 5 -j DROP
sudo iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set -j ACCEPT
Este comando é mais complexo, mas faz o mesmo que a regra LIMIT. Ele descarta pacotes se o mesmo IP tentar abrir mais de 5 novas conexões na porta 22 em menos de 60 segundos.
Limitar conexões HTTP (porta 80):
Bash
sudo iptables -A INPUT -p tcp --dport 80 -m limit --limit 30/minute --limit-burst 30 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 80 -j DROP
--limit 30/minute: Permite até 30 pacotes por minuto.
--limit-burst 30: Permite um "surtos" inicial de 30 pacotes.
Em resumo, a regra LIMIT é uma medida de segurança importante para proteger servidores contra ataques de negação de serviço e tentativas de força bruta, ao restringir a taxa de requisições de um mesmo endereço IP.
O modelo OSI (Open Systems Interconnection) e o modelo TCP/IP são dois frameworks conceituais que descrevem como os dados são enviados e recebidos em uma rede de computadores. Eles têm propósitos e abordagens diferentes, mas estão intimamente relacionados.
A principal diferença é que o modelo OSI é mais um conceito teórico e de referência, enquanto o modelo TCP/IP é um modelo prático e funcional que impulsiona a internet hoje.
Característica
Modelo OSI
Modelo TCP/IP
Camadas
7 camadas
4 camadas
Origem
Desenvolvido pela ISO (Organização Internacional para Padronização) como uma arquitetura genérica.
Desenvolvido pelo Departamento de Defesa dos EUA para a ARPANET.
Propósito
Apenas um modelo de referência. É usado para ensinar conceitos e para a arquitetura de sistemas.
Um protocolo prático e implementado na vida real.
Rigidez
A hierarquia de 7 camadas é mais rígida e detalhada.
As 4 camadas são mais flexíveis e menos detalhadas.
Modelo OSI (7 Camadas)
Camada 7 - Aplicação: Onde as aplicações interagem com a rede (HTTP, FTP, SMTP).
Camada 6 - Apresentação: Converte e formata os dados para a camada de aplicação (criptografia, compressão).
Camada 5 - Sessão: Estabelece e gerencia sessões de comunicação entre dispositivos.
Camada 4 - Transporte: Garante a entrega dos dados, usando protocolos como TCP e UDP.
Camada 3 - Rede: Lida com o roteamento e o endereçamento lógico dos pacotes de dados (endereço IP).
Camada 2 - Enlace: Garante a transferência de dados entre nós na mesma rede local (endereço MAC).
Camada 1 - Física: Transmite o fluxo de bits brutos através de um meio físico (cabos de rede, fibra óptica, Wi-Fi).
Modelo TCP/IP (4 Camadas)
Camada de Aplicação: Combina as camadas 5, 6 e 7 do modelo OSI. Contém os protocolos que os aplicativos usam.
Camada de Transporte: Corresponde à camada 4 do modelo OSI. É responsável por garantir a entrega dos dados.
Camada de Internet: Corresponde à camada 3 do modelo OSI. Lida com o roteamento dos pacotes pela rede.
Camada de Acesso à Rede: Combina as camadas 1 e 2 do modelo OSI. Lida com a transmissão dos dados pela mídia física.
O modelo TCP/IP é uma versão simplificada e funcional do modelo OSI.
O modelo OSI foi desenvolvido depois do TCP/IP com o objetivo de ser um padrão universal. Ele é mais completo e detalhado. Por isso, é frequentemente usado para ensinar e para analisar problemas de rede, pois permite que você isole exatamente em qual camada um problema está ocorrendo.
No entanto, a internet foi construída com base nos protocolos do modelo TCP/IP. O modelo TCP/IP é a arquitetura que realmente funciona na prática.
Em resumo, o OSI é o "manual de instruções detalhado" da rede, enquanto o TCP/IP é o "motor" que a faz funcionar.
A análise de um ataque com base nas camadas do modelo TCP/IP é uma prática fundamental na cibersegurança. Ela permite que os profissionais de segurança compreendam a natureza do ataque, identifiquem a causa-raiz e escolham as ferramentas certas para a mitigação.
A análise se baseia na correlação de evidências, como logs e tráfego de rede, com os processos que ocorrem em cada uma das quatro camadas do modelo TCP/IP.
Aqui está um resumo de como essa análise é feita para cada camada:
O que é: Esta camada lida com a transmissão física dos dados. Ela abrange a placa de rede, os cabos, os switches e o endereçamento MAC.
Ataques Típicos:
Spoofing de MAC: Um atacante falsifica o endereço MAC de outro dispositivo para se passar por ele na rede local.
Envenenamento de ARP: O atacante envia mensagens ARP falsas para associar seu endereço MAC ao endereço IP de outro host ou do roteador, interceptando o tráfego.
Como Analisar: A evidência para esses ataques é encontrada na rede local.
Análise de tráfego: O profissional de segurança usará ferramentas como o Wireshark para capturar e analisar os pacotes de rede. A presença de pacotes com endereços MAC ou IP inconsistentes é um sinal de ataque.
Logs de switches: Os logs do switch podem mostrar alterações inesperadas nas tabelas de endereços MAC.
O que é: Esta camada lida com o roteamento dos pacotes pela rede global usando endereços IP.
Ataques Típicos:
Ataques de DDoS (Negação de Serviço Distribuída): O atacante inunda o sistema com um volume massivo de pacotes IP falsos.
Varredura de Portas (Port Scanning): O atacante envia pacotes para diversas portas de um IP para identificar serviços abertos.
Como analisar: A evidência está no fluxo de tráfego entre redes.
Logs de firewall e roteador: Um aumento anormal no tráfego de um único IP ou de um grupo de IPs é um forte indicador de um ataque.
Logs de sistemas IDS/IPS: Os Sistemas de Detecção/Prevenção de Intrusões (IDS/IPS) podem gerar alertas sobre varreduras de porta ou pacotes maliciosos.
O que é: Esta camada lida com a conexão entre as aplicações e garante que os dados sejam entregues de forma confiável (TCP) ou rápida (UDP).
Ataques Típicos:
Ataques de SYN Flood: Um ataque que sobrecarrega um servidor com requisições de conexão TCP falsas.
Sequestro de Sessão (Session Hijacking): O atacante rouba a sessão de um usuário legítimo para assumir o controle.
Como Analisar: A evidência está na forma como as conexões são estabelecidas.
Logs de firewall: Um grande número de conexões TCP "meio abertas" ou incompletas é um sinal claro de um SYN flood.
Logs de fluxo de rede (NetFlow): Ferramentas de análise de fluxo podem identificar um grande número de pacotes sem uma resposta, indicando um possível ataque.
O que é: Esta é a camada que o usuário e os programas interagem diretamente. Os protocolos mais comuns (HTTP, FTP, SMTP) residem aqui.
Ataques Típicos:
Phishing: Ataques de engenharia social que enganam o usuário.
Injeção de SQL (SQL Injection): O atacante usa código malicioso em formulários web para roubar dados de um banco de dados.
Ransomware: O malware entra no sistema e criptografa os arquivos.
Como Analisar: A evidência para esses ataques está nos logs dos serviços.
Logs do servidor web: O log de acesso pode mostrar requisições incomuns ou a presença de URLs com caracteres de injeção.
Logs de bancos de dados: Logs de banco de dados podem mostrar consultas que não deveriam ter sido feitas.
Logs de e-mail: O log do servidor de e-mail pode mostrar mensagens de phishing enviadas internamente.
Em resumo, o profissional de segurança usa as camadas TCP/IP como um guia para a investigação. Ao identificar a evidência (seja um tráfego de rede anômalo, um alerta de antivírus ou uma consulta estranha em um banco de dados), ele consegue mapear o ataque para uma camada específica, o que simplifica a análise e direciona a resposta.