Team), os ataques DoS (Denial of Service), também denominados Ataques de Negação de Serviços, consistem em tentativas de impedir usuários legítimos de utilizarem um determinado serviço de um computador. Para isso, são usadas técnicas que podem: sobrecarregar uma rede a tal ponto em que os verdadeiros usuários dela não consigam usá-la; derrubar uma conexão entre dois ou mais computadores; fazer tantas requisições a um site até que este não consiga mais ser acessado; negar acesso a um sistema ou a determinados usuários.Os ataques do tipo DoS mais comuns podem ser feitos devido a algumas características do protocolo TCP/IP (Transmission Control Protocol / Internet Protocol), sendo possível ocorrer em qualquer computador que o utilize. Uma das formas de ataque mais conhecidas é a SYN Flooding, onde um computador tenta estabelecer uma conexão com um servidor através de um sinal do TCP conhecido por SYN (Synchronize). Se o servidor atender o pedido de conexão, enviará ao computador solicitante um sinal chamado ACK (Acknowledgement). O problema é que em ataques desse tipo, o servidor não consegue responder a todas as solicitações e então passa a recusar novos pedidos.
Outra forma de ataque comum é o UPD Packet Storm, onde um computador faz solicitações constantes para que uma máquina remota envie pacotes de respostas ao solicitante. A máquina fica tão sobrecarregada que não consegue executar suas funções.
Danos sem invasõesPor ser um ataque apenas voltado para o consumo de memória ou do processamento, o DoS não é usado para invasão. A intenção do DoS é só chatear. Mesmo assim em grandes empresas o prejuízo pode ser grande. Quando a Amazon.com foi tirada do ar por exemplo, chegou a ficar apenas poucos minutos desligada, mas nesse tempo perdeu muito dinheiro em compras.
Utilizando o broadcast como arma
O broadcast é uma tecnologia que, entre outras coisas, permite transmissão ao vivo pela Web. Para fazer um Ataque DOS , pode-se utilizar vários tipos de programas e softwares zumbis para fazê-lo. Às vezes nem é preciso um programa adicional. Sites como Yahoo e Altavista utilizam webspiders (programa utilizado para procurar informações pulando de link em link) para checar o conteúdo de homepages. Muitos webspiders checando o mesmo servidor ao mesmo tempo pode levá-lo ao colapso. Causar um DoS em algum servidor de e-mail é ainda mais fácil. Utilizando um programa de e-mail bomba (software que envia milhares de e-mails para o mesmo endereço) ou cadastrando o e-mail alvo em serviços de spam (como mensagens de anjos, piadas, notícias e outros) pode encher a sua caixa postal e travar todo o sistema. Ou mande um e-mail para alguém que tenha serviço de resposta automática , utilizando o próprio endereço da pessoa. É assim: mande uma mensagem para fulano@provedor.com.br usando esse e-mail (como se fosse o seu, já que pra mandar e-mails não se precisa de senha). A resposta automática da caixa postal do Fulano mandará mensagens para ele mesmo, travando sua caixa postal. O endereço de broadcast de redes geralmente é o com final 255 (exemplo: 200.202.243.255). A solução para o problema do e-mail é mais simples. Apenas use um bom filtro ou algum programa que impossibilite que se receba mais de três e-mails enviados da mesma origem (endereço IP) durante um certo intervalo de tempo.
SYN flood ou ataque SYN
É uma forma de ataque de negação de serviço em sistemas computadorizados, na qual o atacante envia uma seqüência de requisições SYN para um sistema-alvo.
Quando um cliente tenta começar uma conexão TCP com um servidor, o cliente e o servidor trocam um série de mensagens, que normalmente são assim:
· O cliente requisita uma conexão enviando um SYN (synchronize) ao servidor.
· O servidor confirma esta requisição mandando um SYN-ACK de volta ao cliente.
· O cliente por sua vez responde com um ACK, e a conexão está estabelecida.
Isto é o chamado aperto de mão em três etapas (Three-Way Handshake).
Um cliente malicioso pode não manda esta última mensagem ACK. O servidor irá esperar por isso por um tempo, já que um simples congestionamento de rede pode ser a causa do ACK faltante.
Esta chamada conexão semi-aberta pode ocupar recursos no servidor ou causar prejuízos para empresas usando softwares licenciados por conexão. Pode ser possível ocupar todos os recursos da máquina, com pacotes SYN. Uma vez que todos os recursos estejam ocupados, nenhuma nova conexão (legítima ou não) pode ser feita, resultando em negação de serviço. Alguns podem funcionar mal ou até mesmo travar se ficarem sem recursos desta maneira.
Algumas contra-medidas para este ataque são os SYN cookies. Apenas máquinas Sun e Linux usam SYN cookies.
Ao contrário do que muitos pensam, não se resolve negação de serviço por Syn flood limitando conexões por minuto (como usar o módulo limit ou recent do iptables), pois as conexões excedentes seriam descartadas pelo firewall, sendo que desta forma o próprio firewall tiraria o serviço do ar. Se eu, por exemplo, limito as conecões SYN a 10/seg, um atacante precisa apenas manter uma taxa de SYNs superior a 10/s para que conexões legítimas sejam descartadas pelo firewall. O firewall tornou a tarefa do atacante ainda mais fácil. Em "Iptables protege contra SYN Flood?" tem uma boa descrição dos motivos pelos quais uma configuração de firewall não resolve.
Um ataque de Syn Flood é feito com os ips forjados (spoof), para que o atacante não receba os ACKs de suas falsas solicitações. Mas é mais difícil de ocorrer o travamento do que o ataque por syn.
OOB
Ataque Out-of-Band ou popularmente conhecido como WinNuke. Consiste em mandar pacotes malformados para uma porta Netbios do Windows. Geralmente usado nas portas 135, 137 e 139, essa última sendo a mais usada. O sistema não consegue lidar com os pacotes, trava e mostra a famosa tela azul de erro. No Windows 95 esse ataque era mais eficaz, agora está se tornando obsoleto.
Smurf
Envia pacotes ICMP (protocolo que informa condições de erro) spoofados para centenas, talvez milhares de sites. Envia-se os pacotes com o endereço IP da vítima, assim fazendo com que ela receba muitos pacotes ping de resposta ao mesmo tempo, causando um travamento total. Ainda não existe uma proteção eficaz contra esse tipo de ataque. Um programa bom (para Windows) que realiza o smurf é o WinSmurf.
Softwares Zumbis
Programas que automatizam o processo de causar um DoS em alguma máquina. São instalados em computadores estratégicos (como universidades, centros de pesquisa e outros) que possuem conexão rápida à Internet e configurados para atacar ao mesmo tempo. Um programa muito utilizado para isso é o Tribal Flood Network. Trojans também são largamente usados para esse fim.
Agora um pouco sobre o programa “Tfn é composta de clientes e programas demónio, que implementar um rede de negação de serviço distribuído ferramenta capaz de travar ICMP cheias, inundações SYN, UDP inundação, estilo e Smurf ataques, assim como fornecendo uma "on demand" raiz shell vinculado a uma porta TCP.”
Diminuindo o impacto causado pelos ataques
O melhor procedimento para se adotar é procurar os sites do fabricante do sistema operacional e pegar atualizações para as falhas. Como é o caso do OOB(Winnuke). A Microsoft já colocou um patch de correção em sua homepage. Evitar o máximo de uso desnecessário da memória, assim dificultando um pouco os ataques. E sempre que puder, aumentar a capacidade de processamento e a memória RAM do sistema. Isso não vai impedir os ataques pois alguns não têm solução, mas só funcionam mesmo quando utilizados em larga escala. O Smurf por exemplo, para derrubar um computador pessoal é fácil, mas um grande host para cair seria preciso muitas pessoas realizando o ataque ao mesmo tempo. Ou a utilização do software zumbi. A não ser que tenha comprado briga com alguns crackers, pode ficar tranqüilo.
Bibliografia
Livro Guia do Hacker
Cd: do aluno
www.peer1.com
http://pt.wikipedia.org/
staff.washington.edu
http://www.forum-invasao.com.br/
http://josevalter.com.br/
http://www.google.com.br/
http://www.cade.com.br/
http://www.forum-invasao.com.br/
http://josevalter.com.br/
Nenhum comentário:
Postar um comentário