Ataques DOS (Denial of Service)

03/11/13 Ataques DOS (Denial of Service)

www.webcheats.com.br/forum/seguranca-tutoriais/1886673-ataques-dos-denial-service.html 1/12

DOS - Denial Of Service

1. Dos e DDoS:O objetivo dos ataques de Negação de Serviço, ou DoS (Denial of Service), é interromper atividadeslegítimas como navegar em um web browser, ouvir uma rádio ou assistir a um canal de TV online outransferir dinheiro para uma conta bancária.Uma forma de provocar os ataques é aproveitando-se de falhas e/ou vulnerabilidades presentes namáquina vítima, ou enviar um grande número de mensagens que esgote algum dos recursos da vítima,como CPU, memória, banda, etc.Para isto, é necessário ou uma única máquina poderosa, com bom processamento e bastante bandadisponível, capaz de gerar o número de mensagens suficiente para causar a interrupção do serviço, ou tero controle de um grupo de máquinas, que podem ter recursos mais humildes, que se concentrem emenviar mensagens para a vítima. Este último, por distribuir os ataques em várias máquinas, é denominadoataque de Negação de Serviço Distribuído, ou DDoS (Distributed Denial of Service).Embora os ataques de DoS sejam em geral perigosos para os serviços de internet, a forma distribuída éainda mais perigosa, justamente por se tratar de um ataque feito por várias máquinas, que podem estarespalhados geograficamente e não terem nenhuma relação entre si – exceto o fato de estarem parcial outotalmente sob controle do atacante. O agravante é a existência de várias ferramentas DDoS facilmenteencontradas em sites e fóruns hacker, que permitem facilmente o domínio sobre várias máquinas parausá-las em ataque. Além disso, mensagens DDoS podem ser complexas por conseguirem facilmente sepassar por mensagens de tráfego legítimo. Enquanto é extremamente pouco natural que uma mesmamáquina envie várias mensagens a um servidor em períodos muito curtos de tempo, é igualmente muitonatural que várias máquinas enviem mensagens de requisição de serviço regularmente.

2. MotivaçãoÉ da natureza humana a existência de discórdia entre grupos que interagem. A internet hoje não sópermite esta interação como jamais se permitiu na história da humanidade, como também ofereceserviços que fornecem às pessoas rendimentos, educação, entretenimento, informação e até serviços dosquais vidas dependem. A interrupção em um servidor Web ou em um roteador pode ser definitivo nainterferência de um ou vários destes serviços. Com a popularização da rede mundial de computadores, elatornou-se não só um local de encontro de pessoas do mundo todo, mas também um palco de conflitos.Neste contexto se encaixa o DoS.Todavia, os ataques não são um fim em si. Os primeiros ataques de DoS eram feitos por hackers apenaspara provar que a segurança de um website nunca era o bastante para que nunca pudesse ser quebrada,e, a partir disso, travar brigas entre si pela supremacia dos atacantes, via DoS. Também ocorrem ataquespolíticos e ataques de extorsão, cobrando os websites por “proteção”,prática que remonta às da Máfia.Mas hoje não são só os hackers padrão os principais atacantes. Dadas as facilidades de obterferramentas na internet, muitos usuários comuns tornam-se atacantes, e mesmo os próprios países,usando das máquinas de estado, amplos recursos e inteligência, podem desenvolver ferramentaspróprias,inclusive para atacar outros países em guerras.

3. Histórico e evolução do DoSProgramas para ataques remotos de DoS surgiram em meados dos anos 90, causando problemas. Parausar estes programas, era necessária uma conta em um grande computador ou rede, para obter efeitomáximo. Havia nas universidades muitas “contas de aluguel”, que eram trocadas com os atacantes porsoftware, cartões de crédito, dinheiro, etc.Em 1996, falhas no TCP/IP foram descobertas, e no ano seguinte, ataques em larga escala em redes IRCcomeçaram a ocorrer. Aproveitava-se de falhas nos sistemas Windows dos usuários para travar seussistemas.Ainda em 1997 surgiu uma técnica chamada Smurf. Lançando alguns poucos pacotes na rede, destinadosa uma vítima, o atacante podia multiplicá-los por um fator de centenas, ou até milhares, dependendo dotamanho da rede, que eram en*****s da vítima original para um endereço broadcast da rede. Este exércitode pacotes eventualmente alcançava diversas outras vítimas, e a vítima original era a teórica culpada peloataque. A defesa contra este tipo de ataque era simples, no entanto. Bastava desligar as capacidades derecepção de mensagens broadcast nos roteadores. Algumas redes possibilitaram isso, enquanto outrasnão, permanecendo assim a ameaça de potenciais ataques Smurf.A seguir, os atacantes resolveram explorar outra linha de ação: Simplesmente enviar centenas de pacotesao alvo. Se a vítima usava uma conexão discada de velocidade baixa (variando de 14,4Kbps a 56Kbps) e o



atacante usava uma conexão roubada de uma Universidade, de em torno de 1Mbps, ele obliterariafacilmente a conexão discada da vítima, que seria prejudicada a ponto de tornar-se inútil e com velocidadede resposta praticamente nula.Em 1998, as velocidades de conexão já se tornavam menos heterogêneas e ataques Smurf eram fáceis deserem combatidos. Aí surgiu o DDos, com atacantes passando a tentar obter controle de máquinasalheias para conseguir alagar a conexão da vítima com tráfego suficiente. Protótipos de ferramentas DDoScomeçaram a surgir em meados de 98. Ataques explorando vulnerabilidades de sistema semprecontinuaram, e passou-se a combinar várias falhas DoS em uma única ferramenta, usando shell scriptsem Unix. Isso aumentava a velocidade e violência do ataque, que foi denominadorape (estupro).Em 1999, a computação distribuída foi combinada com worms para causar novos ataques DDoS. Emmeados deste ano, vários novos programas de DoS foram usados. As vítimas principais foram novamenteredes e clientes IRC. Com a iminência do ano 2000, vários ataques que causassem falhas esperadas como chamado “Bug do Milênio” foram previstos pelos especialistas, causando pânico na população. Estesataques jamais ocorreram, no entanto.Em fevereiro de 2000, eBay, Yahoo, Amazon e CNN, todos sites robustos, adaptados a tráfegos pesadose milhares de acessos simultâneos, sofreram ataques DDoS, resultando em milhões de dólares emperdas de publicidade e vendas. Nem o FBI americano escapou, e no mesmo mês sofreu um ataquedurante 3 horas.Em janeiro de 2001, requests DNS falsos en*****s a vários servidores DNS ao redor do mundo gerou otráfego para um ataque DDoS refletido de um site de registros de domínios: o atacante enviou váriosrequests sob identidade da vítima. Os servidores DNS responderam aos pedidos enviando a informação àvítima. O tráfego gerado foi de mais de 50Mbps, com o site enviando mais de 200 requests DNS porservidor por minuto. Este ataque durou uma semana, e não foi detido rapidamente pois a única forma defazê-lo seria desligar o serviço para todos os clientes (inclusive) legítimos do site. Como o ataque foi feitoatravés de diferentes servidores DNS, não se podia escolher um que estivesse apenas criando tráfegofalso para ser filtrado.A posição já destacada da Microsoft no mercado fazia da empresa um alvo freqüente de ataques DDoS.Mas ela estava sempre em salvaguarda, sobretudo quando um novo produto ou atualização importante eralançado. Mesmo assim, alguns ataques obtiveram sucesso, e em um deles um roteador que gerenciavatodas as propriedades dos servidores DNS da Microsoft teve sua velocidade de ação reduzida, nãorespondendo normalmente ao tráfego requerido. 98% dos serviços da Microsoft foram total ou parcialmentenegados com este ataque.No ano seguinte, talvez inspirado no ataque à Microsoft, um atacante tentou derrubar todos os 13servidores raiz de DNS. Com um simples ataque DDoS, chegou-se a conseguir negar o serviço de 9 dos13 servidores. Graças à robustez dos servidores e da curta duração do ataque, não houve um grandeimpacto à internet como um todo. Fosse um ataque mais duradouro, as conseqüências poderiam ter sidodevastadoras.Em 2003, houve uma grande mudança nas motivações aos ataques. Primeiro, as redes de spam, paraleloaos ataques de negação contra sites antispam; Segundo, crimes financeiros envolvendo DDoS, quando àsvezes milhares de dólares eram pedidos como extorsão para parar ataques de negação; Motivaçõespolíticas, quando na Guerra no Iraque, a sucursal no Qatar da rede de televisão Al-Jazeera, praticamenteúnico órgão de mídia com acesso pleno aos acontecimentos no Oriente Médio, sofreu ataques quandomostrava imagens de soldados americanos capturados.Agora amparados também em motivações monetárias, os ataques prosseguem. Os worms tambémavançam, infectando redes e servidores.

4.Como os ataques são feitosAtaques DDoS precisam ser planejados pelo atacante. Primeiro, conseguindo domínio sobre as máquinasque efetuarão a negação. Busca-se computadores vulneráveis que são invadidos e têm os códigos deataque instalados neles. A seguir, o atacante estabelece laços de controle entre as máquinas sob seucomando, geralmente através de ferramentas IRC. Quando a rede de ataque (rede agente) está pronta,pode ser usada como bem se entender contra variados alvos.As máquinas para a rede podem ser ora conseguidas através de bots de IRC (programas cliente que dãoaos usuários de IRC permissões nos canais), permanentemente escaneando máquinas vulneráveis eremetendo suas informações ao atacante; ora por worms, que se propagam de um computador vulnerávela outro, procurando também outras máquinas vulneráveis, estabelecendo domínio sobre a máquinainfectada e realizando o payload (um código que é executado para conseguir funções de ataque).

5. Controlando DDoSEstabelecida a rede agente, o atacante pode controlá-la, especificar os comandos de ataque e recolherestatísticas do comportamento da rede.Ferramentas DDoS constroem uma hierarquia operador (handler) / agentes, nas quais o atacante controla



a rede agente através de comandos diretos impostos ao operador, que os repassa aos agentes, às vezesusando um conjunto de comandos e semântica diferentes. Os operadores guardam em arquivos asidentidades dos agentes, e este era o grande ponto fraco deste modelo de comandos diretos,esquematizado abaixo:

Como os agentes por vezes acabavam por guardar também as identidades dos operadores, umainvestigação podia revelá-los, e com eles todos os demais agentes, desmantelando assim a rede DDoS.Com grande parte das batalhas de negação de serviço tendo já como campo o IRC, e bots sendo jáprogramados para encontrar agentes para ataques, os atacantes passaram a desenvolver bots de IRCtambém para desempenhar funções de DDoS. As vantagens eram inúmeras: o servidor já estava disponívele era mantido por outros; seria difícil encontrar o canal de chat no qual atua o operador do atacante e seusagentes. Mesmo que seja estranho que um canal repentinamente ganhe dezenas de milhares de usuários,seria difícil encontrá-lo dentre tantos outros canais do servidor – e, mesmo quando encontrado, énecessário contatar os administradores do servidor para alertar a farsa, o que pode também levar tempo. Écomum transformar computadores em servidores forjados de IRC, em geral usando outra porta que não apadrão (6667/TCP) do protocolo, ou usar bots como proxies TCP para conectar-se a servidores reais naporta padrão. Este controle da rede de agentes, feito de forma indireta, está esquematizado abaixo:



6. Classificação dos Ataques

7. Ataque por Inundação[SPOILER]É dos tipos de ataque de DoS mais comuns. Ocorre inundação de tráfego TCP SYN,explorando a abertura de conexões do protocolo de TCP, utilizado em serviços que necessitam de entregacom confiável de dados, e que se inicia com a negociação de determinados parâmetros entre o cliente e oservidor.O cliente envia um pacote SYN para o servidor, pedindo abertura de conexão. O pacote leva um parâmetrochamado número de seqüência inicial, que permite que o receptor reconheça dados perdidos, repetidos oufora de ordem. Após o recebimento do pacote SYN, o servidor processa o pedido de conexão e alocamemória para armazenar informações do cliente. A seguir, um pacote TCP SYN/ACK é en***** comoresposta ao cliente, notificando que o seu pedido de conexão foi aceito. O cliente envia então um pacoteACK, para completar a abertura da conexão. Esse procedimento é conhecido como aperto de mão de trêsvias (three-way handshake).A partir deste tipo de ataque, os recursos da vítima podem ser explorados de diversas formas.

8. Ataque ReflexivoVariação de um ataque de inundação, que visa exaurir recursos da vítima. Todavia, neste há a presença deum agente intermediário entre o atacante e a vítima. Utiliza-se este intermediário para espelhar o tráfegode ataque em direção à vítima, o que dificulta ainda mais a identificação dos atacantes, pois o tráfego quechega à vítima é originado no intermediário, e não no próprio atacante. Para este ataque, é necessário queo atacante envie uma requisição (REQ) ao agente intermediário, forjando o endereço da vítima (IPSpoofing, seção 2.4) ao invés de usar seu próprio endereço. Ao receber o REQ, o agente não consegueverificar a autenticidade da origem da requisição (que de fato não é autêntica) e envia uma resposta(RESP) diretamente para a vítima.Entretanto, como o objetivo do ataque é usar os recursos do refletor e não inundá-lo, é preciso que oagente consiga processar as requisições em tempo, que deve ser menor ou igual ao intervalo entrepacotes de ataque, ou seja, tempo de resposta menor ou igual ao tempo de ataque . Caso contrário, oprocessamento do agente não será suficiente, e o tráfego excedente será descartado, e não atingirá avítima. Este tipo de ataque não é restrito a determinado protocolo. Qualquer protocolo que envie pacotesde resposta ao atender a requisições pode ser usado, como o próprio TCP, quando o atacante enviariadiversos pacotes SYN para o agente, que os responderia pacotes ACK direcionados para a vítima. Poder-se-ia ainda usar UDP (User Datagram Protocol) associado ao DNS, quando o atacante enviaria diversasrequisições ao DNS do agente, que enviaria respostas para a vítima.

http://www.gta.ufrj.br/grad/06_1/dos/ataques.html#2.4



9. Ataque à Infra-Estrutura da redeSobretudo usado contra os grandes sites da Internet como Yahoo, Amazon e Microsoft, que em geralpossuem grandes recursos de processamento e de memória. Contra eles, DDoS de pequena escala nãoconseguem exaurir os suficientemente rápido para que a vítima tenha o serviço negado a usuárioslegítimos. Pode-se ainda concentrar esforços em algum elemento vital para o fornecimento do serviço,mas que não dependa da vítima, como por exemplo consumir toda a banda passante da vítima com otráfego de ataque, o que causaria perda de requisições na infra-estrutura de rede. O ponto onde ocorremas perdas seria algum roteador entre o atacante e a vítima, e onde o tráfego direcionado à vítima (entrada)é maior do que o de saída. Como precisarão disputar o mesmo recurso com o tráfego en***** peloatacante, o tráfego legítimo eventualmente pode ser descartado. É um tipo de ataque de difícil combate, jáque os pacotes não precisam ter nenhum padrão semelhante que possibilite filtrá-los.Contra os mesmos tipos de alvos, usa-se inundação aos seus servidores DNS. Este ataque não atinge avítima diretamente, mas estes servidores são responsáveis por traduzir nomes dos sites - que é o que osusuários usam para acessá-los - em endereços IP. Um ataque ao serviço de resolução de nomes acabapor negar serviços. Como vimos no capítulo 1, um destes ataques ocorreu contra a Microsoft.

10. Ataque de VulnerabilidadeObejtiva deixar a vítima inoperante. Uma das maneiras conseguir o intento é explorar algumavulnerabilidade na implementação da pilha de protocolos ou da própria aplicação da vítima. Ocorreu, porexemplo, na implementação do protocolo TCP em sistemas operacionais Microsoft Windows. O atacanteprecisava construir um pacote TCP particular e enviá-lo para a vítima. Ao receber o pacote, o sistemaoperacional da vítima abortava, causando congelamento total do processamento.

11. IP SpoofingSpoof significa forjar, ou seja, falsificar. É exatamente esta a tática no IP Spoofing: fornecer um falsoendereço IP. Todo pacote de comunicação IP contém em seu cabeçalho o endereço do remetente e o dodestinatário.Programas maliciosos podem forjar cabeçalhos falsos, fazendo assim crer que o pacote veio de outroendereço. Isto pode ser usado por atacantes para quebrar medidas de segurança, como autenticaçõesbaseadas em endereço IP.Este tipo de ataque é mais comum quando existe relação de confiança entre máquinas. Por exemplo, nãoé incomum que computadores dentro de uma mesma rede local confiem uns nos outros, aceitandoconexões vindas dos outros sem exigência de login e senha. O mesmo pode ocorrer com a aceitação depacotes, e isto se torna uma ferramenta muito útil para ataques de negação de serviço.IP Spoofing pode ser feito por:· Geração aleatória de endereços IP, quando um endereço dentro da faixa IPv4 (0.0.0.0 – 255.255.255.255)é forjado. Embora possam surgir endereços reservados, como os da faixa 192.168 ou inválidos, como osda faixa 0, a maior parte dos endereços simulará um IP válido e roteável. A forma mais comum decombater este tipo de spoofing é com filtragens de ingresso e egresso, técnica através da qual compara-se o endereço-fonte do pacote com o intervalo de endereços IP designado às redes da fonte e do destino,dependendo da localização do roteador de filtragem, descartando pacotes cujas fontes parecem ter IPforjado. · Forja de subrede: Se uma máquina está em uma subrede de faixa pré-determinada e conhecida, é fácilforjar um endereço que esteja dentro desta faixa e fazê-lo passar-se por um integrante da subrede. Afiltragem de ingresso e egresso neste caso deve ser feito apenas na faixa de IPs compreendida pelasubrede. Todavia, mesmo assim ainda é difícil filtrar o IP forjado e identificar a máquina responsável pelocongestionamento de tráfego.· Forjar o IP da vítima: Coloca-se o IP da vítima nos pacotes de pedidos de serviços para provocar umainundação de pacotes não requisitados sendo a ela en*****s.Forjar IPs é uma tática que gera sucessos em DDoS, embora não seja imprescindível. Oculta osendereços reais dos agentes em ataques DoS de agente único, permite ataques reflexivos (nestes, érealmente essencial forjar o IP como sendo o da vítima), nos quais a vítima recebe pacotes nãorequisitados de fato por ela, mas sim pelo IP que se fazia passar pelo seu; Por fim, IP Spoofing é umaarma para trespassar defesas contra DDoS. Algumas destas defesas criam listas de clientes legítimos,aos quais será dada preferência. Forja-se o IP dos pacotes de ataque como sendo de um destes clientes,que receberá tratamento preferencial – ou seja, um pacote falso não só será aceito, como terá preferênciasobre outros.Mas no cenário atual da negação de serviço, não é raro ter redes de agentes com dezenas de milhares de



máquinas. É razoável que elas tenham pouca ou nenhuma relação entre si, estando geograficamenteespalhadas. Com IPs diversos, passam-se por clientes legítimos dos serviços com pouca dificuldade.

12. Ferramentas de AtaqueEmbora haja atacantes que cheguem ao ponto de escrever seus próprios códigos para ataques denegação de serviço, há uma série de programas facilmente encontrados na Internet:· Trinoo: Arquitetura operador / agentes. Atacante se comunica com o operador via TCP; O operador secomunica com os agentes via UDP. Permite senhas para operadores e agentes, e gera pacotes UDP paraportas aleatórias para múltiplos recipientes.· Tribe Flood Network (TFN): Usa uma arquitetura diferente da do Trinoo. O atacante não precisa se logarao operador. Os agentes podem atacar via UDP ou TCP.· Stacheldraht (Arame farpado): Combina características do Trinoo e do TFN, com comunicação encriptadavia TCP entre atacante e operador.· Shaft: Combina características dos três anteriores. Permite mudança de portas de comunicação entreoperador e agentes durante a conexão e tem recursos de coleta de estatísticas.· Tribe Flood Network 2000 (TFN2K): Versão melhorada do TFN, adiciona características para dificultardetecção do tráfego e controle remoto da rede de agentes.· Mstream: Gera inundações com tráfego TCP; Operadores podem ser controlados remotamente por maisde um atacante, e a forma de comunicação entre operadores e agentes é manipulável em tempo decompilação;· Trinity: Primeira ferramenta DDoS controlada via IRC. Cada agente, após infectado pelo Trinity, conecta-se a um canal e espera comandos.· Agobot & Phatbot: Congestionamentos de tráfego SYN, UDP e ICMP

13. Dificuldades de defesa contra DDoSUma série de características do DDoS o tornam um desafio difícil de combater. Os ataques de alagamentofeitos em DDoS alvejam um recurso específico da vítima e tentam esgotá-lo, criando um sem número depacotes a ele destinado. Como estes ataques não precisam de um tipo de pacote específico, cria-se umavariedade deles, que se misturam ao tráfego legítimo, que terá poucas chances de conseguir resposta,não só por em geral ser menor em número, mas por a vítima detectar que está sofrendo congestionamentoe passar a baixar ainda mais a velocidade de resposta do recurso, para poder atender a todos osrequerimentos – falsos ou verdadeiros.Como já foi mostrado, existe um bom número de ferramentas para DDoS difundidas na internet, facilmenteencontradas. Com elas, é fácil fazer o tráfego de ataque passar-se por tráfego legítimo - e pode-se aindausar IP spoofing. Com um alto tráfego em controle do atacante, não só se sobrepuja o recurso da vítima,como também torna-se difícil caracterizar o tráfego como legítimo ou falso. E, mesmo que se consiga isto,ainda se encontra dificuldade nos números, pois são dezenas, centenas ou milhares os agentes a serviçodo atacante, distribuídos em máquinas ao longo da internet. Aprópria forma como a internet foidesenvolvida, para permitir fácil acesso, gera uma série de brechas das quais se pode aproveitar para maisataques.Com o número e eficiência de ataques apenas aumentando, muito se investiu em P&D para enfrentá-los.Mesmo assim, o combate ainda é difícil, e as dificuldades são, sobretudo, IP spoofing, similaridade entrepacotes legítimos e falsos, prontidão e performance dos sistemas.

14. Prevenir e remediarPrevenir sempre é melhor que remediar, quando possível. Existem duas formas de prevenir ataques denegação de serviço: Evitar que atacantes ajam ou aumentar as capacidades do sistema para resistir acargas de tráfego, para que um ataque falhe ao tentar sobrecarregar o sistema e impedi-lo de oferecerserviços a clientes legítimos.Medidas para evitar que ataques DDoS sejam sequer possíveis incluem impedir que atacantes consigamreunir número suficiente de agentes para atacar, cobrar por uso das redes (de tal forma que conseguirtráfego suficiente para um ataque seja economicamente inviável).A solução definitiva seria ter sistemas perfeitos.Mas, como isto é pura fantasia, resta elevar a segurança dos sistemas existentes, tomando medidasplausíveis:· Melhor programação elevará o nível da segurança das aplicações e dos sistemas operacionais. Há jámétodos conhecidos para evitar bugs de segurança conhecidos, como overflows de buffer. Umprogramador melhor educado terá capacidade de reduzir a freqüência de alguns destes problemas.



· Melhorias no desenvolvimento e projeto de software e ferramentas de teste podem ajudar programadoresa escrever códigos que não tenham falhas óbvias de segurança.· Melhorias na segurança de sistemas operacionais, tanto da perspectiva de código quanto modelos desegurança melhor desenvolvidos reduzirão as chances de um atacante de achar vulnerabilidades a seremmaliciosamente exploradas.· Ferramentas automatizadas para verificação de programas melhorarão a capacidade de encontrar errosnos códigos, permitindo que desenvolvedores de software façam declarações mais absolutas sobre asegurança de seus códigos. Isso permitiria aos consumidores escolher os produtos mais seguros.

Se não for possível prevenir um problema, só resta remediá-lo. E em se tratando de ataques de Negaçãode Serviço, às vezes é melhor remediar do que propriamente prevenir. Existem muitos ataques ocorrendona internet, mas as vítimas são relativamente poucas. Se os ataques têm vítimas mais direcionadas e ocusto de prevenção contra eles é alto, é melhor investir na reação contra os ataques, que têm menor ounenhum custo a menos que um ataque efetivamente ocorra.Mas, reação não significa que não há preparação. Diferente do que acontece quando se está prevenido,para remediar um problema é preciso diagnosticá-lo, ou seja, ele precisa acontecer e ser detectado.Sendo as medidas contra DoS e DDoS preventivas ou reativas, ou até uma combinação de ambas, háobjetivos que se deseja conseguir. A defesa deve ser efetiva, isto é, ela tem que funcionar. Isto vale tantopara medidas que impeçam ataques de ocorrer quanto para reações aos ataques. Deve ser completa noque se refere a ser capaz de lidar com todos os tipos de ataque. Embora este seja um objetivo óbvio, ébastante difícil de se conseguir: novos ataques surgem a todo momento, especialmente para quebrardefesas existentes. As defesas devem também ser capaz de continuar fornecendo serviços a clienteslegítimos, que é o principal objetivo das medidas contra DDoS. Para isso, é preciso uma baixa taxa defalsos positivos, ou seja, baixa taxa de tráfego legítimo sendo confundido com tráfego falso. Por fim, deveser necessário baixo custo operacional e bom retorno, fazendo com que os sistemas operemnormalmente durante ataques.

15. Mecanismos de defesa e aplicaçõesIndependente de qual é o papel de uma vítima de DDoS, seja ela a vítima final ou uma máscara (agente)do atacante, as medidas de defesa não são muito diferentes. Já vimos que as medidas de prevençãopodem não ser as melhores, e que em geral DDoS é um caso onde remediar é mais efetivo – claro, emmenor tempo possível, e para isso é necessário entender como opera a rede e ter ferramentas quepermitam colher e analisar corretamente dados, de tal forma que seja possível detectar o problema.O processo de detecção é muitas vezes árduo, por ser pouco perceptível. Poucas são as conseqüênciasde DDoS que farão o sistema cessar completamente o funcionamento. Conexões lentas muitas vezespodem ser confundidas com problemas internos no serviço de internet, e dificilmente pensar-se-ia em umataque DoS. É preciso implementar medidas de detecção com amplo número de atividades malignas, quepossam diagnosticar e caracterizar o problema, algo que, detectada a anomalia, é muito menos difíciltendo alguma amostra do tráfego. Com isso é possível saber não só o tipo de ataque, mas também deonde ele vem. Ainda que não seja sempre possível chegar ao atacante, pode-se chegar aos agentes eoperadores.A seguir deve-se, finalmente, reagir, bloqueando o tráfego falso e identificando os servidorescomprometidos no envio deles. Por fim, é preciso sempre documentar os procedimentos, para ter umabase de informações mais rica, que permita refinar cada vez mais as contra-medidas.

16. Linhas de pesquisa de defesaNegação de Serviço é um problema real em Redes de Computadores, e muito tem se estudado epesquisado para combater as ameaças. A seguir estão enumeradas e brevemente descritas algumaslinhas de pesquisa em defesa contra DoS:

17. Novo Sistema de Rastreamento de Pacotes IPProposto por Laufer et al. no Grupo de Teleinformática e Automação da Universidade Federal do Rio deJaneiro (GTA-UFRJ). É um sistema de rastreamento de pacotes IP para determinar a origem de cadapacote recebido pela vítima. Cada roteador pelo qual passou o pacote insere nele uma assinatura queindica esta passagem. Uma técnica de filtro de Bloom (Estrutura de dados para compactação deconjuntos de elementos) é usada para que estas informações sejam minimizadas e permaneça constantepara não fragmentar os pacotes. Propôs-se ainda uma generalização de filtros de Bloom para que oatacante não possa forjar as assinaturas.



Um campo fixo no pacote é reservado para alojar o filtro de Bloom onde estará armazenada a rota dopacote. Cada roteador, antes de encaminhar o pacote, insere nele seu IP de saída. Desta forma, aoreceber o pacote, o receptor tem uma rota de todos os componentes da rota de ataque.A vantagem desta abordagem é poder reconhecer a origem de cada pacote individualmente. Além disso,nenhum estado é armazenado na infra-estrutura da rede: todos os dados do rastreamento ficam coma própria vítima-receptor. Todavia, o uso dos filtros de Bloom pode gerar falsos positivos – adicionando umroteador que não fez parte da rota de ataque à reconstrução desta ou falsos negativos – a não adição deum roteador que fez parte da rota de ataque.

18. PushbackProposto por Mahajan et al., a idéia é de que operadores de rede “empurrem” de volta o tráfego de ataqueaté a fonte, seja desconectando os cabos de rede do roteador e verificando se o tráfego pára, ouobservando o tráfego da rede em equipamentos de monitoração.

19. D-WARDProposto por Mirkovic et al., e desenvolvido na UCLA sob supervisão da DARPA. Almeja detectar ataquesantes que eles deixem a rede na qual residem os agentes DDoS. É um sistema transparente aos usuáriosda rede, que coleta estatísticas de tráfego bidirecional do roteador à rede fonte e as compara a modelosde tráfego construídos de acordo com especificações de protocolos de transporte e aplicação, refletindotráfegos legítimos, suspeitos e de ataque, aplicando limitações às taxas dos considerados suspeitos eilegítimos. A opção de diminuir e não bloquear a taxa faz com que o sistema se recupere maiseficientemente de falsos positivos.O D-WARD foi testado internamente e obteve bons resultados, detectando rapidamente os ataques. Suasvantagens são de detectá-los e controlá-los, assumindo que os tráfegos falsos são suficientementediferentes dos tráfegos legítimos. A opção de limitar as taxas permite poucos efeitos colaterais, e aresposta às ofensivas é rápida.

20. NetBouncerOutra proposta supervisionada pela DARPA, de E. O’Brien. É um mecanismo de legitimação de clientes,permitindo tráfego apenas para os legítimos. Para isso, vários testes são efetuados sobre ousuário/cliente. Uma vez autenticado, o cliente é adicionado ao grupo de clientes legítimos, aos quais édada preferência sobre o grupo de clientes ainda não legítimos. Para evitar que o atacante forje umaautenticação, ela expira em um determinado intervalo de tempo, sendo necessária uma nova legitimação,passando pelo mesmo teste anterior ou um outro.Embora tenha seus aspectos positivos, fornecendo bom serviço aos clientes legítimos na maioria doscasos, o NetBouncer assume certas características e capacidades dos clientes, como poder responder apings, algo que nem todos farão, sobretudo aqueles operando sob um firewall.As vantagens deste método é de não exigir modificações em protocolos, servidores ou clientes, sejam osda própria rede ou de outras. Mas ainda é possível conseguir um exército de agentes e forjar seus IPs,eventualmente conseguindo um que seja de um cliente legítimo.

21. Secure Overlay Service (SOS)Com o objetivo de rotear apenas tráfego legítimo aos servidores, descartando os considerados ilegítimos,este método foi proposto por Keromytis et al. Os clientes deverão primeiro contatar pontos de acesso queverificarão a legitimidade dos pedidos, antes de permitir a entrada destes clientes na rede.SOS foi projetado para funcionar em redes operando sob um firewall, como redes empresariais. Ospacotes precisam passar primeiro pelos pontos de acesso, e o firewall se encarrega de descartar osdemais pacotes e aceitar as conexões já confiáveis.Este método fornece proteção à comunicação com clientes legítimos. Todavia, soluções deste tipo podemser sobrepujadas por ataques em massa sobre o firewall.

22. Prova de TrabalhoSugere ao cliente um desafio criptografado e espera por sua solução, à qual estará atrelado ooferecimento ou não do serviço. É o método antibots mais usado atualmente, e presente geralmente emconjunto com mecanismos de autenticação em websites. Sua forma mais comum é apresentar junto àautenticação uma figura onde caracteres são representados e devem ser informados pelo usuário a uma



caixa de diálogos. Bots podem forjar autenticidade pura com relativa facilidade, exaurindo o número deconexões do servidor, mas métodos de reconhecimento de padrões para detectar os caracteres emimagens ainda é difícil.

23. DefCOMOutra proposta de Mirkovic et al., parceria da UCLA com a Universidade de Delaware que se baseia emdefesas de núcleo de rede, sob perspectiva da vítima e da fonte. Detecta o ataque ocorrente e limita otráfego, enquanto ainda respondendo a pedidos legítimos. É composto de três tipos de nós (roteadores ouservidores): geradores de alerta que detectam ataque; limitadores de taxa de tráfego e classificadores,separando pacotes legítimos de pacotes suspeitos, marcando-os. Os dois primeiros tipos de nóstrabalham nas bordas da rede e o último opera no núcleo desta.Em suma, DefCOM detecta ataques na rede da vítima, limita tráfego no núcleo desta e bloqueia tráfegossuspeitos/de ataque na rede da fonte. Utiliza o também proposto D-WARD como nó classificador paramelhorar resultados.

24. COSSACKUma proposta de Papadopoulos et al. e desenvolvida na Universidade do Sul da Califórnia. Objetiva evitarque ataques sequer saiam do escopo da rede-fonte (é portanto mais um método de prevenção). Estemétodo age na rede-fonte, engatilhado por uma notificação da vítima do DDoS, correlacionando eanalisando tráfegos na fonte e detectando tráfego suspeito que será descartado.Se tráfego legítimo for capturado como um falso positivo, será descartado pelo COSSACK. Esta técnicainova por colocar vigias (watchdogs) nas redes, evitando que elas se tornem redes fontes de ataque, semque sejam necessárias modificações em protocolos ou aplicações destas redes.

25. PiDefesa baseada na vítima, proposta por Yaar et al., inserindo identificadores de caminho em cabeçalhosde pacotes IP não utilizados (ou pouco utilizados). A idéia principal é que estes identificadores decaminho (ou impressões digitais) sejam inseridos pelos roteadores ao longo do caminho da rede. O alvoou vítima poderia então rejeitar pacotes com impressões digitais que já foram identificados em outrospacotes, estes sabidos pacotes integrantes de um ataque.No esquema básico de marcação do Pi, cara roteador marca alguns bits no campo de identificação dopacote IP. A localização da marca dentro deste campo é definida pelo valor do campo TTL (tempo de vidaou time to live) do pacote. Como o TTL decrementa a cada passagem por um roteador, um caminhocontíguo do pacote é construído enquanto ele se aproxima da vítima.Este método assume que a vítima saberá identificar o volume de um tráfego de ataque, por exemploselecionando uma alta porção de tráfego de entrada com uma mesma marcação. Naturalmente, isso podegerar o descarte de falsos positivos que são, na verdade, tráfego legítimo contendo a mesma marca doataque.O método Pi entra em ação após o primeiro pacote ser identificado (pelo alvo). Por isso, está ainda sujeitoa ataques por inundação, como a maioria dos métodos de defesa centrados na vítima.

26. SIFFYaar et al. propuseram aliviar ataques DDoS por inundação usando um mecanismo que divide o tráfego derede em dois: Privilegiado e não-privilegiado. Os destinos finais podem trocar permissões observadas emtráfego privilegiado. Os roteadores verificarão essas permissões, que são dispostas de forma dinâmica, detal forma que mau-comportamento (ou seja, ataque) implicará no cancelamento destas. Diferentemente deoutros métodos, este não requer nenhum mecanismo extra, mas necessita de modificações nos clientes,servidores e roteadores. Os destinos finais usarão protocolo de aperto de mão para trocar permissões, eassim o tráfego privilegiado se propagaria pela rede, diferentemente do tráfego não-privilegiado. Háprovidências a serem tomadas para que tráfego privilegiado não seja forjado para cometer ataques. Se umdestino final começar uma inundação, as credenciais de tráfego privilegiado precisam ser retiradas dele.Os autores deste mecanismo propõem duas abordagens: Que as redes de próxima geração o integrem ouque as redes atuais incorporem estas técnicas no protocolo IPv4. É incerto que qualquer destas hipótesesdesemboque em um sucesso.Em suma, esta técnica faz muitas assunções, inclusive de que o cliente e o servidor possam atualizarseus protocolos TCP/IP para modificar as permissões. A vantagem é não haver necessidade decooperação dos provedores de serviços de internet. Também se assume que a capacidade de inundaçãoseja limitada e que roteadores sejam capazes de processar e guardar estados e marcar pacotes. Todas



essas presunções são muito restritivas, e estão muito distantes do que se vê na internet.

27. Filtro de Contagem de Saltos (HCF)Filtro de contagem de saltos ou Hop-Count Filtering, uma proposta de Jin et al., um projeto daUniversidade de Michigan, objetivando defesa contra DDoS através da observação do TTL (um salto éexatamente uma passagem por um roteador, a qual decrementa o valor TTL), evitando tráfego falsificado.Tenta-se inferir uma contagem de saltos e associa-se cada fonte de pacotes que adentra a rede da vítima/alvo a um IP e número de saltos.O sistema que infere a contagem de saltos começa com o TTL observado e estima o inicial que foiimposto ao pacote pelo remetente. Há apenas alguns poucos valores que sistemas operacionais usam eeles são bem diferentes, o que facilita inferências corretas. A contagem de saltos é então a diferençaentre o TTL inicial e o observado.A distribuição de contagem de saltos segue distribuição normal, já que há suficiente variedade nos valoresTTL. Se um atacante planeja derrotar este esquema, terá de adivinhar o correto valor de TTL a inserir emum pacote forjado, tal que o número de saltos deduzido seja exatamente o esperado. A falsificação torna-se, então, difícil, pois o atacante agora tem de forjar o correto valor TTL associado a um dado endereçoforjado de uma fonte, acrescido da apropriada diferença na contagem de saltos entre os endereços doatacante e o forjado.Em geral, o filtro de contagem de saltos é passivo enquanto analisa tráfego e o compara às tabelas desaltos estimados. Se o número de igualdades passar de um determinado limiar, a filtragem começa. Astabelas de entrada são constantemente atualizadas examinando uma conexão TCP escolhidaaleatoriamente dentro da rede protegida. Como a técnica não impede que o atacante efetue um ataque,apenas o impede de forjar tráfego, ataques vindos de fontes legítimas, carregando os corretos valores TTL,usando um exército de bots ou worms, não precisando de endereços forjados, ainda seriamproblemáticos. E este tipo de ataque é hoje bem simples. Outra iniciativa centrada na vítima, o filtro decontagem de saltos não tem grande eficiência contra ataques de inundação baseados em exaurir osistema que verifica os valores TTL.

28. Quem são as vítimas?Vítimas de ataques de negação de serviço incluem não só os alvos finais, mas também máquinas usadascomo agentes de ataque. Estes últimos incluem quaisquer máquinas de usuários comuns ao redor domundo. Os alvos finais de ataques recentes incluem:· Redes de IRC;· Sites e servidores de agências americanas de inteligência e segurança como o FBI, CIA, NASA, NSA(Agência de Segurança Nacional americana);· Sites envolvidos em conflitos políticos (Israel/Palestina, Índia/Paquistão);· Sites ligados a assuntos terroristas;· Sites ligados a órgãos de imprensa evidentes nos grandes conflitos armados e políticos (CNN, New YorkTimes, Al Jazeera);· Grandes portais de internet (Yahoo);· Sites de *****grafia;· Sites de apostas e jogos de azar;· Servidores de websites;· Sites anti-spam e de medidas de segurança na internet;· Sites de gigantes do comércio eletrônico como e-Bay e Amazon;· Microsoft.Tal qual são variadas as motivações para ataques de negação de serviço as vítimas dos ataques variam degrandes corporações a sites que apóiam causas políticas.Assim, embora não seja possível generalizar potenciais vítimas de negação de serviço, torna-se tambémbastante difícil determinar que dado site ou servidor está imune a ataques. Afinal, ainda hoje há ataquessem nenhuma motivação política ou econômica: Apenas para exibir capacidades como hacker.

29. Providências legais e jurídicasEmbora o Brasil ainda não tenha leis específicas para a Informática em seu Código Penal, que data de1940, várias leis podem se aplicar a conseqüências de ataques de negação de serviço:· Extorsão: Art. 158 - Constranger alguém, mediante violência ou grave ameaça, e com o intuito de obterpara si ou para outrem indevida vantagem econômica, a fazer, tolerar que se faça ou deixar fazer algumacoisa. A pena é de reclusão de 4 a 10 anos, e multa, e pode ser acrescida de até metade se o crime forcometido por duas ou mais pessoas.



o Aplicável a ataques que exigem algum tipo de pagamento por proteção contra ataques ou não realizaçãodestes.

· Usurpação: Art. 161 - Suprimir ou deslocar tapume, marco, ou qualquer outro sinal indicativo de linhadivisória, para apropriar-se, no todo ou em parte, de coisa imóvel alheia. A pena é de detenção de 1 a 6meses, e multa.o No caso, o tapume (terreno) seria a rede de computadores, e este é o caso no qual um atacante possuiuma máquina alheia (o imóvel) para utilizá-la como agente da negação de serviço.

· Dano: Art. 163 - Destruir, inutilizar ou deteriorar coisa alheia. Pena: detenção, de 1 a 6 meses, ou multa.Se contra patrimônio público, tem-se dano qualificado, e a pena é detenção de 6 meses a 3 anos e multa.· Apropriação indébita: Art. 168 - Apropriar-se de coisa alheia móvel, de que tem a posse ou a detenção.Pena de reclusão de 1 a 4 anos e multa; Art. 169 - Apropriar-se alguém de coisa alheia vinda ao seu poderpor erro, caso fortuito ou força da natureza. Pena de detenção de 1 mês a 1 ano e multa.o Ambos aplicáveis também à posse de agentes.

· Estelionato: Art. 171 - Obter, para si ou para outrem, vantagem ilícita, em prejuízo alheio, induzindo oumantendo alguém em erro, mediante artifício, ardil, ou qualquer outro meio fraudulento, parágrafo 2º -Disposição de coisa alheia como própria (vender, permutar, dar em pagamento, em locação ou emgarantia coisa alheia como própria). Pena de reclusão de 1 a 5 anos e multa.o Posse de máquinas alheias cujo controle é repassado, vendido, etc; Fornecimento a atacantes desenhas que possam controlar redes.

30. Entraves dos processos legaisQuem cometeu o ataque? Onde o cometeu? Onde as conseqüências foram percebidas? Sob que leis ocrime deve ser julgado?Identificar o atacante é já extremamente complexo. Ataques de negação de serviço são ataques virtuais.Provas físicas em geral sequer vão existir, e vimos que dados virtuais podem ser manipulados e forjadoscom alguma facilidade, dificultando muito o rastreamento do executor.Além disso, um ataque pode ser feito com o atacante em um país, agentes espalhados por vários outrospaíses e a vítima em ainda outro país (ou até em mais de um). Sob que leis o crime, tão globalizado, deveser julgado? Não há um consenso mundial sobre estas práticas de crimes virtuais, mas parece bemrazoável que julgamentos possam ser feitos em todos os territórios por onde o crime passou.E uma nova discussão ainda mais preocupante surge: responsáveis por máquinas que foram usadas comoagentes devem ser considerados cúmplices? Pode-se considerar que foram omissos em não tomar (se éque não tomaram) todas as providências que poderiam, para evitar que suas máquinas fossem possuídaspor atacantes? Nem todos os usuários de internet são tão cientes de aspectos de segurança quantoadministradores de rede e demais profissionais de computação. O usuário comum em geral estará maispreocupado apenas em não contrair um vírus cujo efeito lhe seja diretamente visível, mas atribuiráconexões lentas e outros sintomas de negação a problemas com o serviço de internet ou com problemasinternos de sua própria máquina, e não a uma invasão ou ataque.

31. Conclusão

A Negação de Serviços é uma realidade. Claro, com tantos milhões de máquinas conectadas à internet, achance de que uma seja um alvo, ou até um agente de um ataque, não é grande – mas existe.No futuro, DDoS tende a ser mais forte do que é hoje. O número de ferramentas que permitem armarverdadeiros exércitos apenas cresce e estão cada vez mais acessíveis na grande rede. Além disso, ao mesmotempo que novos ataques são feitos para tentar superar as defesas existentes, novas defesas têm muitosentraves por às vezes precisarem de mudanças em protocolos já existentes, quebrando em parte o que sepropõe da simplicidade da arquitetura da internet.Os ataques tendem também a mudar seus objetivos e alvos. Mais do que tornar serviços totalmente inoperáveis– o que é facilmente detectável, os ataques tentarão degradar o serviço, tentando deixá-lo operando em cargatotal a todo momento, mas sem tirá-lo do ar. Da mesma forma, novos serviços surgem e serão potenciais alvosde ataques – e dentre estes destaca-se VoIP, cujo uso é cada vez maior e só tende a crescer.Em suma, o futuro da negação de serviços resume-se no surgimento de novos mecanismos de defesa,



seguidos de novos mecanismos de ataque que os superem. Ao usuário, resta refletir sobre sua própriacondição: Está em posição de ser ameaçado por ataques de negação de serviço, se não como alvo final, comoagente do ataque? Tomou todas as medidas possíveis de prevenção e está preparado para executar medidasde reação? Claro, mesmo elas não findam totalmente a chance de ser uma vítima de um ataque. A únicasolução definitiva contra negação de serviços e contra qualquer outro malefício da Internet ainda é não estarconectado a nenhuma rede de computadores.

Documents

Ataques DOS (Denial of Service)