Fundamentos de Redes para Hacking Ético: Tudo que Você Precisa Saber

Por Que Redes São Essenciais para Hacking?

Esquece filmes. Hacking não é aquele cara de preto digitando num terminal verde enquanto texto cai na tela. Hacking é, antes de tudo, entender como as coisas se conectam. E no mundo digital, tudo se conecta por redes.

Quando você entra no Wi-Fi do café, abre o WhatsApp, acessa o internet banking — tudo isso trafega por uma rede. Se um atacante quer interceptar, manipular ou interromper qualquer uma dessas coisas, ele precisa entender como os dados viajam de A até B. Sem rede, não existe hacking. Ponto.

Pensa assim: se hacking é invadir uma casa, redes são as ruas, os portões, as fechaduras e as câmeras. Conhecer a planta da cidade é o primeiro passo para saber por onde entrar — e, se você é um hacker ético, para saber quais portas precisam de reforço.

🎯 Dica do Hacker: O CEH v13 cobra bastante fundamentos de redes. Quase todo módulo prático assume que você já sabe o que é uma porta, um IP, um handshake TCP. Domine isso agora e o resto da certificação fica 10x mais fácil.

Modelo OSI: As 7 Camadas Explicadas

O Modelo OSI (Open Systems Interconnection) é um mapa mental. Ele divide toda a comunicação em rede em 7 camadas, cada uma com uma função específica. Não é um protocolo de verdade — é um modelo de referência. Mas é a base de tudo.

Analogia simples: imagine que você vai enviar uma carta para um amigo em outro país.

Aplicação (Camada 7): Você escreve a carta em português.
Apresentação (Camada 6): Traduz para inglês para o correio entender.
Sessão (Camada 5): Abre uma sessão de correio e registra o envio.
Transporte (Camada 4): Decide se manda por SEDEX (confiável) ou correio normal (rápido mas sem garantia).
Rede (Camada 3): Define o endereço e a rota até o destino.
Enlace (Camada 2): Coloca em um caminhão de entrega.
Física (Camada 1): O caminhão roda pela estrada.

Do outro lado, o processo acontece de trás pra frente: o caminhão chega, descarga, separa, confere endereço, reúne as partes, traduz de volta, e seu amigo lê a carta. Tudo isso em milissegundos na rede.

Tabela Resumo do Modelo OSI

Camada	Número	Função	Protocolos	Ataques Comuns
Aplicação	7	Interface com o usuário	HTTP, FTP, SMTP, DNS, SSH	SQL Injection, XSS, Phishing
Apresentação	6	Criptografia, compressão, formato	SSL/TLS, JPEG, ASCII	SSL Stripping, MITM
Sessão	5	Gerencia sessões entre aplicações	NetBIOS, RPC, PPTP	Session Hijacking
Transporte	4	Entrega confiável de dados	TCP, UDP	SYN Flood, UDP Flood
Rede	3	Roteamento e endereçamento IP	IP, ICMP, ARP, OSPF	IP Spoofing, Ping of Death
Enlace	2	Comunicação entre dispositivos vizinhos	Ethernet, Wi-Fi, PPP, MAC	ARP Spoofing, MAC Flooding
Física	1	Transmissão de bits brutos	Cabos, fibra, ondas de rádio	Wiretapping, Jamming

💡 Dica do Hacker: Use o mnemônico “From Bottom To Top: Please Do Not Throw Sausage Pizza Away” (Física, Enlace, Rede, Transporte, Sessão, Apresentação, Aplicação). Funciona.

Pilha TCP/IP: O Modelo que Realmente Usamos

O OSI é bonito na teoria. Na prática, a internet funciona em cima da pilha TCP/IP, que é mais simples e tem 4 camadas em vez de 7. A maioria dos protocolos que você vai encontrar no dia a dia pertence a TCP/IP.

TCP/IP	Camadas OSI correspondentes	Protocolos principais
Aplicação	5, 6, 7 (Sessão, Apresentação, Aplicação)	HTTP, FTP, DNS, SMTP, SSH, Telnet
Transporte	4 (Transporte)	TCP, UDP
Internet	3 (Rede)	IP, ICMP, ARP
Acesso à Rede	1, 2 (Física, Enlace)	Ethernet, Wi-Fi, PPP

A diferença fundamental: TCP/IP junta as 3 camadas de cima do OSI numa só (Aplicação) e as 2 de baixo em outra (Acesso à Rede). É mais pragmático — e é por isso que a internet inteira roda em cima dele.

Endereçamento IP

Todo dispositivo conectado a uma rede precisa de um endereço. Pense como o CEP da sua casa — é como os dados sabem onde chegar. Existem duas versões principais: IPv4 e IPv6.

IPv4: O Padrão Ainda Dominante

Um endereço IPv4 tem 32 bits, representados como 4 números entre 0 e 255 separados por pontos. Exemplo: 192.168.1.10. Isso dá cerca de 4,3 bilhões de endereços — parece muito, mas já acabou. É por isso que existem técnicas como NAT (mais abaixo).

Classes de Endereços IPv4

Classe	Faixa	Máscara padrão	Uso	Hosts possíveis
A	1.0.0.0 — 126.255.255.255	255.0.0.0 (/8)	Redes enormes	~16 milhões
B	128.0.0.0 — 191.255.255.255	255.255.0.0 (/16)	Médio porte	~65 mil
C	192.0.0.0 — 223.255.255.255	255.255.255.0 (/24)	Redes pequenas	254
D (multicast)	224.0.0.0 — 239.255.255.255	—	Multicast	—

CIDR (Classless Inter-Domain Routing)

Hoje em dia, ninguém usa classes fixas. Usa-se CIDR, que representa o tamanho da rede com uma barra seguida do número de bits da máscara. Por exemplo: 192.168.1.0/24 significa que os primeiros 24 bits são a rede e os últimos 8 são para hosts. Isso dá 254 hosts (2⁸ – 2, reservando rede e broadcast).

IPs Especiais que Todo Hacker Conhece

127.0.0.1 (Loopback): “Eu mesmo”. Sempre aponta para a máquina local. Muito usado em testes.
192.168.x.x, 10.x.x.x, 172.16.x.x — 172.31.x.x: IPs privados. Não roteiam na internet pública. São o que você recebe do seu roteador.
Broadcast (ex: 192.168.1.255): Envia para todos os dispositivos da rede local. Útil para descoberta de hosts.
0.0.0.0: “Qualquer endereço” — usado em configurações de binding de serviços.

IPv6: O Futuro (Que Já Chegou)

IPv4 acabou. O IPv6 tem 128 bits, o que dá mais endereços do que átomos na superfície da Terra. Literalmente. Formato: 2001:0db8:85a3:0000:0000:8a2e:0370:7334. Abreviação: 2001:db8:85a3::8a2e:370:7334.

Para o hacker, IPv6 traz desafios novos — muitas redes rodam IPv4 e IPv6 simultaneamente (dual-stack), e a segurança de IPv6 frequentemente fica menos monitorada, criando gaps exploráveis.

🎯 Dica do Hacker: Em pentests, sempre verifique se a rede tem IPv6 habilitado. Muitas vezes há serviços expostos via IPv6 que não estão protegidos da mesma forma que no IPv4.

Portas e Protocolos

Se o IP é o endereço da casa, a porta é a porta da casa. Um IP sozinho não basta — o dado precisa saber qual serviço dentro da máquina deve receber a informação. HTTP usa a porta 80, SSH usa a 22, e por aí vai.

Existem 65.535 portas. As primeiras 1.024 (well-known ports) são reservadas para serviços conhecidos. De 1024 a 49.151 são registradas, e de 49.152 a 65535 são dinâmicas/privadas.

As Portas que Todo Hacker Precisa Saber

Porta	Protocolo/Serviço	O que é	Por que importa para o hacker
21	FTP	Transferência de arquivos	Transfere credenciais em texto puro. Gold mine.
22	SSH	Acesso remoto seguro	Alvo de brute-force. Se exposta, ponto de entrada.
23	Telnet	Acesso remoto inseguro	Sem criptografia alguma. Interceptável com Wireshark.
25	SMTP	Envio de e-mail	Open relay = spam. Ponto de exploração clássico.
53	DNS	Resolução de nomes	DNS poisoning, zone transfer, enumeração.
80	HTTP	Web sem criptografia	MITM, injection, credential theft. Sempre alvo.
110	POP3	Recebimento de e-mail	Credenciais em texto puro se sem TLS.
135	MSRPC	Remote Procedure Call (Windows)	Historicamente explorado por worms (Blaster, etc).
139 / 445	SMB	Compartilhamento de arquivos Windows	EternalBlue (WannaCry). Sempre verifique.
443	HTTPS	Web com criptografia	Alvo de SSL stripping, certificados falsos.
993 / 995	IMAPS / POP3S	E-mail seguro	Versões seguras — mas se mal configuradas, vulneráveis.
1433	MSSQL	Banco de dados Microsoft	Brute-force em sa. Se exposto na internet, desastre.
1521	Oracle DB	Banco Oracle	Enumeração de SIDs, default credentials.
3306	MySQL	Banco de dados	Exploits de brute-force e SQL injection via rede.
3389	RDP	Área de Trabalho Remota	BlueKeep. Um dos alvos favoritos de ransomware.
5432	PostgreSQL	Banco de dados	Default creds, credential dumping.
5900	VNC	Área de trabalho remota	Sem criptografia por padrão. Interceptável.
8080 / 8443	HTTP(S) Alternativo	Proxy, Tomcat, consoles de admin	Muitas vezes escondem painéis de administração.

TCP vs UDP: A Grande Diferença

Existem dois protocolos de transporte principais:

TCP (Transmission Control Protocol): Confiável. Garante que os dados chegam na ordem certa, sem perdas. Usa handshake, acknowledgements, retransmissão. É como enviar um telegrama com aviso de recebimento.
UDP (User Datagram Protocol): Rápido, mas sem garantias. Envia e pronto. Não verifica se chegou, não reordera. É como jogar uma bola — se o outro não pegar, azar. Usado em streaming, DNS, gaming.

Para o hacker: ataques de SYN Flood exploram o TCP. Ataques de UDP Flood (DDoS) exploram o UDP. Conhecer as diferenças define qual vetor usar.

Handshake TCP de 3 Vias

Antes de qualquer comunicação TCP, os dois lados fazem um “aperto de mão” de três etapas para estabelecer a conexão. Isso é fundamental — muitos ataques exploram esse processo.

  Cliente                          Servidor
    |                                 |
    |  1. SYN  (seq=x)                |
    |  ------------------------------> |
    |  "Quero conversar, aqui está    |
    |   meu número de sequência"      |
    |                                 |
    |  2. SYN-ACK  (seq=y, ack=x+1)  |
    |  <------------------------------ |
    |  "Ok, aceito. Aqui está o       |
    |   meu número. Vi o seu."        |
    |                                 |
    |  3. ACK  (ack=y+1)           |
    |  ------------------------------> |
    |  "Perfeito, vamos lá."          |
    |                                 |
    |  === CONEXÃO ESTABELECIDA ===   |
    |                                 |
    |  ... dados são transferidos ... |
    |                                 |
    |  4. FIN                         |
    |  ------------------------------> |
    |  "Terminei, encerrando."        |

⚠️ Atenção: No SYN Flood, o atacante envia milhares de SYN sem nunca responder o SYN-ACK. O servidor fica reservando recursos para conexões que nunca completam, até travar. É um ataque de negação de serviço clássico.

DNS: O Sistema de Nomes da Internet

Quando você digita google.com, seu computador não sabe onde é isso. Ele precisa do DNS (Domain Name System) para traduzir o nome em um endereço IP. O DNS é o catálogo telefônico da internet — sem ele, você teria que memorizar números IP para acessar qualquer site.

Como Funciona o DNS

Você digita www.exemplo.com
Seu computador pergunta ao DNS Resolver (geralmente do seu provedor)
O resolver verifica seu cache local. Se não tiver, sobe a hierarquia
Pergunta ao Root Server (.) → “Quem cuida de .com?”
Root responde: “Pergunta ao TLD Server de .com”
TLD responde: “Pergunta ao Authoritative Server de exemplo.com”
Authoritative responde: “www.exemplo.com = 93.184.216.34″
Seu resolver cacheia a resposta e devolve para você

Tipos de Registros DNS

Registro	Função	Exemplo
A	Nome → IPv4	`exemplo.com → 93.184.216.34`
AAAA	Nome → IPv6	`exemplo.com → 2606:2800:220:1:...`
CNAME	Apelido para outro nome	`www.exemplo.com → exemplo.com`
MX	Servidor de e-mail	`exemplo.com → mail.exemplo.com`
NS	Servidor DNS autoritativo	`exemplo.com → ns1.dnsprovider.com`
TXT	Texto livre (SPF, DKIM, verificação)	`"v=spf1 include:_spf.google.com ~all"`
PTR	IP → Nome (reverse DNS)	`34.216.184.93 → exemplo.com`

Ataques de DNS

DNS Poisoning (Cache Poisoning): O atacante corrompe o cache do DNS resolver para que banco.com.br aponte para o IP do servidor do atacante. O usuário acessa o site falso sem perceber. Funciona porque o DNS usa UDP e, historicamente, não validava a origem das respostas (DNSSEC resolve isso, mas poucos usam).

Zone Transfer (AXFR): Se um servidor DNS estiver mal configurado, qualquer um pode solicitar uma transferência de zona — ou seja, baixar a lista completa de todos os domínios e subdomínios que ele gerencia. É uma mina de ouro para reconhecimento. Na prática, descobre subdomínios internos que o admin achava que estavam escondidos.

🎯 Dica do Hacker: Use dig axfr @ns1.exemplo.com exemplo.com para tentar uma zone transfer. Se funcionar, você acabou de mapear a infraestrutura inteira do alvo.

DHCP, NAT e Proxies

DHCP: O Distribuidor de IPs

Quando você conecta ao Wi-Fi, quem te dá um endereço IP? O DHCP (Dynamic Host Configuration Protocol). Ele distribui IPs automaticamente para os dispositivos da rede, junto com máscara de sub-rede, gateway padrão e servidores DNS.

DHCP Starvation Attack: O atacante envia milhares de solicitações DHCP com MACs falsos até esgotar o pool de IPs do servidor DHCP. Quando o próximo dispositivo legítimo tentar se conectar, não haverá IPs disponíveis. Em seguida, o atacante levanta um servidor DHCP falso e distribui configurações maliciosas — como um gateway falso para interceptar todo o tráfego.

NAT: A Tabela de Correspondência

NAT (Network Address Translation) resolve o problema da escassez de IPv4. Ele permite que múltiplos dispositivos dentro de uma rede compartilhem um único IP público. O roteador mantém uma tabela que mapeia qual dispositivo interno pediu qual conexão externa.

  Dispositivo interno      →  IP público        Porta externa
  192.168.1.10:54321       →  203.0.113.5:50001   (navegador)
  192.168.1.11:54322       →  203.0.113.5:50002   (WhatsApp)
  192.168.1.12:54323       →  203.0.113.5:50003   (streaming)

Para o hacker, NAT é uma barreira — dispositivos atrás de NAT não são diretamente acessíveis pela internet. Mas não é impossível: técnicas como UPnP exploitation (muitos roteadores deixam qualquer dispositivo interno abrir portas automaticamente) podem contornar essa proteção.

Proxies: O Intermediário

Um proxy é um intermediário entre você e o destino. Seu tráfego vai para o proxy, e o proxy vai para o site. O site só vê o IP do proxy.

Para o hacker, proxies são essenciais para anonimato. Chains de proxies (proxy1 → proxy2 → proxy3 → alvo) tornam o rastreamento muito mais difícil. Tor é essencialmente uma rede de proxies em camadas (cebola — daí “onion routing”).

Firewalls: Os Guardiões da Rede

Um firewall é o segurança da porta do prédio. Ele inspecta todo o tráfego que passa e decide o que entra e o que sai baseado em regras.

Tipos de Firewall

Packet Filtering (Filtragem de Pacotes): O mais básico. Olha o cabeçalho de cada pacote (IP de origem, IP de destino, porta, protocolo) e decide com base em regras. Rápido, mas burro — não olha o conteúdo do pacote. Senta nas camadas 3 e 4 do OSI.
Stateful Inspection: Além de filtrar pacotes, acompanha o estado das conexões. Sabe se um pacote faz parte de uma conexão já estabelecida ou se é um novo pedido. Bloqueia pacotes que não fazem sentido no contexto (como um ACK sem SYN anterior). Mais inteligente.
Application-Level (Gateway / WAF): Entende o protocolo da aplicação. Pode inspectar conteúdo HTTP, bloquear SQL injection no nível da rede, filtrar URLs. Senta na camada 7. Mais lento, mas muito mais preciso.

⚠️ Atenção: Firewalls não são balas de prata. Um firewall mal configurado é pior do que nenhum — dá uma falsa sensação de segurança. E ataques de camada 7 (SQL injection, XSS) passam por firewalls de pacotes sem problema.

VPN: Túneis na Internet

VPN (Virtual Private Network) cria um túnel criptografado entre dois pontos na internet. Todo o tráfego dentro do túnel é protegido — mesmo que alguém intercepte, só verá dados cifrados.

Protocolos de VPN

IPSec: Suite de protocolos do nível de rede (camada 3). Robusto, amplamente usado em redes corporativas. Pode operar em modo transporte (só criptografa o payload) ou modo túnel (criptografa tudo, incluindo cabeçalhos originais).
OpenVPN: Baseado em SSL/TLS. Muito popular, open source, flexível. Usa TLS para troca de chaves e cifra os dados com AES. Boa performance e compatibilidade.
WireGuard: O mais moderno. Código mínimo (~4.000 linhas vs 100.000+ do OpenVPN), extremamente rápido, criptografia moderna por padrão (ChaCha20, Poly1305, Curve25519). Está substituindo OpenVPN e IPSec em muitas implementações.

Para o hacker: VPNs são ferramentas de anonimato e evasão. Em pentests, você frequentemente usa VPNs para simular um atacante de outra localização ou para acessar redes restritas. Também são relevantes na defesa — VPNs mal configuradas (com credenciais fracas ou protocolos desatualizados) são pontos de entrada frequentes em ataques.

🎯 Dica do Hacker: Quando estiver fazendo reconhecimento, sempre verifique se o alvo tem VPNs expostas. Portas 1194 (OpenVPN), 500/4500 (IPSec) e 51820 (WireGuard) são os primeiros lugares para olhar.

Hands-on: Comandos Básicos para Explorar Redes

Teoria sem prática é inútil. Aqui estão os comandos que você vai usar todo dia como hacker ético. Abra um terminal e experimente.

ping — Teste de Conectividade

$ ping google.com
PING google.com (142.250.74.46): 56 data bytes
64 bytes from 142.250.74.46: icmp_seq=0 ttl=117 time=12.3 ms

Envia pacotes ICMP para verificar se um host está acessível. Mostra o IP, o tempo de resposta (latência) e o TTL (Time to Live). Se o ping falhar, o host pode estar offline, bloqueando ICMP, ou inexistente.

traceroute / tracert — Mapeamento da Rota

$ traceroute google.com
 1  192.168.1.1    1.2 ms    gateway local
 2  10.0.0.1       5.8 ms    ISP
 3  72.14.215.85   12.1 ms   backbone
 4  142.250.74.46  15.3 ms   destino

Mostra cada salto (hop) entre você e o destino. Revela quantos roteadores intermediários existem e onde estão os gargalos. No Windows use tracert.

nslookup e dig — Consultas DNS

$ nslookup google.com
Server:   8.8.8.8
Address:  8.8.8.8#53

Non-authoritative answer:
Name:  google.com
Address: 142.250.74.46

$ dig google.com ANY
;; ANSWER SECTION:
google.com.      300  IN  A     142.250.74.46
google.com.      300  IN  AAAA  2607:f8b0:4004:800::200e
google.com.      300  IN  MX    10 smtp.google.com
google.com.      300  IN  NS    ns1.google.com

nslookup é simples e disponível em todos os sistemas. dig é mais poderoso (Linux/macOS) — permite consultar tipos específicos de registros, servidores DNS específicos, e zone transfers.

ipconfig / ifconfig — Configuração de Rede

# Linux/macOS
$ ifconfig
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
      inet 192.168.1.100  netmask 255.255.255.0  broadcast 192.168.1.255

# Linux moderno (recomendado)
$ ip addr show
$ ip route show

# Windows
C:\> ipconfig /all

Mostra seus endereços IP, máscaras, gateway, MAC address, e status das interfaces. O primeiro comando que você roda ao entrar numa rede nova.

netstat / ss — Conexões Ativas

$ netstat -tuln
Proto  Local Address     Foreign Address   State
tcp    0.0.0.0:22        0.0.0.0:*         LISTENING
tcp    0.0.0.0:80        0.0.0.0:*         LISTENING
udp    0.0.0.0:53        0.0.0.0:*         LISTENING

# Linux moderno
$ ss -tuln

Lista todas as portas abertas e conexões ativas na sua máquina. No pentest, é essencial para entender quais serviços estão rodando. Flags: -t TCP, -u UDP, -l listening, -n numérico.

arp — Tabela ARP

$ arp -a
? (192.168.1.1)    at aa:bb:cc:dd:ee:01  [ether]  on eth0
? (192.168.1.50)   at aa:bb:cc:dd:ee:02  [ether]  on eth0
? (192.168.1.100)  at aa:bb:cc:dd:ee:03  [ether]  on eth0

Mostra o mapeamento IP ↔ MAC dos dispositivos na sua rede local. É o ponto de partida para ARP spoofing — um ataque onde você finge ser o gateway para interceptar todo o tráfego da rede.

💡 Dica do Hacker: Combine esses comandos para mapear uma rede rapidamente: ip addr → descobrir seu IP → ping sweep da sub-rede → arp -a para descobrir hosts → nmap para port scanning (vamos ver nmap em detalhes nos próximos artigos).

Próximo Artigo: Linux para Hackers

Agora que você já entende como as redes funcionam, o próximo passo é o sistema operacional que todo hacker usa: Linux. No Artigo 03, vamos cobrir:

Por que Linux é o sistema dos hackers
Comandos essenciais do terminal
Permissões de arquivos e usuários
Distribuições voltadas para segurança (Kali, Parrot, BlackArch)
Como usar o terminal como uma arma de reconhecimento

Redes são o mapa. Linux é o veículo. Juntos, eles te levam a qualquer lugar.

→ Próximo artigo: Artigo 03 — Linux para Hackers Éticos: Guia Prático de Linha de Comando