Ataque Dos

  • View
    442

  • Download
    0

Embed Size (px)

Text of Ataque Dos

  1. 1. INSTITUTO TCNICO DE BARUERI PROF. MUNIR JOS SEGURANA DE REDES ATAQUES DDOS BARUERI 2012
  2. 2. SEGURANA DE REDES ATAQUES DDOS
  3. 3. Trabalho de Concluso de Curso, apresentado ao Instituto Tcnico de Barueri Professor Munir Jos, como um dos pr-requisitos para a obteno do grau de Tcnico em Redes de Computadores, sob orientao do professor Eduardo Corra Lima Filho. Segurana de Redes: Ataques DDoS /. So Paulo 2012. Orientador: Eduardo Corra Lima Filho Trabalho de Concluso de Curso (Tcnico) ITB / Instituto Tcnico de Barueri
  4. 4. SEGURANA DE REDES Ataques DDoS
  5. 5. Trabalho de Concluso de Curso apresentado ao Instituto Tcnico de Barueri Prof. Munir Jos como um dos requisitos para a obteno do diploma de Tcnico em Redes de Computadores, sob orientao do Professor. Data de Aprovao ___/___/_____ Nota:__________ Aprovado por: ______________________________________ Prof. Coordenador do Curso ______________________________________ Prof. Orientador do Curso _____________________________________ Prof. ______________________________________ Prof. ______________________________________ Prof. ______________________________________ Prof. BARUERI 2012
  6. 6. O sucesso um professor perverso. Ele seduz as pessoas inteligentes e as faz pensar que jamais vo cair. Bill Gates
  7. 7. INTRODUO A Internet tem inmeras utilidades e serve para incontveis necessidades pessoais e profissionais, sendo gradativamente mais explorada por todos de modo geral e para diversos fins, permitindo assim uma alta conectividade. No entanto, esta interconexo entre computadores tambm permite que usurios mal intencionados ocasionem uma m utilizao dos recursos da vtima, como o caso do Ataque de Negao de Servio contra a vtima. Este tipo de ataque caracterizado por consumir os recursos de um host remoto ou de uma rede, afetando os recursos que seriam utilizados para servir os usurios autnticos. Portanto, a finalidade deste ataque tornar um servio oferecido por uma rede ou um servidor inacessvel, atravs de tentativas para romper ligaes entre mquinas, podendo tambm tirar totalmente um servidor de operao ou apenas deix-lo lento, por um tempo determinado pelo atacante. Nem todas as falhas de servios, mesmo aqueles que resultam de atividades maliciosas, so necessariamente ataques denial of service (CERT 2001). Outros tipos de ataque podem incluir uma negao de servio, o uso ilegal tambm pode resultar em negao de servio, como por exemplo, um usurio pode usar sua rea de FTP como lugar para armazenar cpias ilegais de software comercial, de forma a consumir espao em disco e gerando trfego de rede. A Negao de Servio pode ocorrer de forma local onde o atacante deve estar logado no sistema, ou ento, realizar de forma remota onde o atacante no precisa estar logado para realizar o ataque. Isto pode ocorrer independente do sistema operacional. Fazendo uma analogia simples o que ocorre com as companhias de telefone nas noites de natal e ano novo, quando milhares de pessoas decidem, simultaneamente, cumprimentar, a meia-noite, parentes e amigos no Brasil e no exterior. Nos cinco minutos posteriores virada do ano, muito provavelmente, voc simplesmente no conseguir completar a sua ligao, pois as linhas telefnicas estaro saturadas. Deste modo, o Ataque de Negao de Servios age de maneira similar a este processo de inundao, com o objetivo de neutralizar os servios. Por conseguinte, quando um computador ou site sofre este tipo de ataque (ASCHOFF), o mesmo no necessariamente invadido e na realidade sofre uma sobrecarga de processos. Independentemente de ambiente ou plataforma o computador atacado ser inundado e consequentemente no ir prover os servios a que lhe destinado. Segundo Moore (2001), existem duas principais classes de ataques: uma denominada de Lgica de Ataques (Logic Attacks) e a outra de Inundaes de Ataques (Flooding Attacks). A primeira classe, Lgica de Ataques, baseia-se em explorar vulnerabilidades existentes em software de servidores remotos causando queda ou degradando significativamente o desempenho. Muitos destes ataques podem ser prevenidos por atualizaes de software defeituosos ou filtragem especial de pacotes sequncias.
  8. 8. A segunda classe, Inundaes de Ataques, tem como objetivo sobrecarregar os recursos da vtima, de modo a consumir todos os recursos essncias da vtima para o seu funcionamento, como CPU, memria, ou recursos de redes. Para que este ataque funcione, o atacante envia mensagens de solicitaes superiores a qual a vtima possa tratar, de forma que a vtima fica sobrecarregada com um grande nmero de solicitaes falsas e no consegue atender ao trfego legtimo. Moore (2001) afirma que, o que torna difcil esse tipo de ataque porque no existe nenhuma forma tipicamente simples para distinguir os trfegos legtimos dos falsos. Um ataque de DoS (Ataque de Negao de Servio) caracterizado por um ataque de uma nica origem, j os ataques de mltiplas origens, onde as origens so mltiplos usurios ou mquinas coordenadas para inundar o alvo (vtima), com grande nmero de pacotes o mtodo conhecido como DDoS (Ataque de Negao de Servio Distribuda). O estudo em questo ir concentrar informaes sobre o segundo mtodo DDoS. Com este objetivo, este captulo descreve conceitos bsicos que foram necessrios para o desenvolvimento desta monografia. Este captulo est dividido da seguinte forma: na seo 3.2 descreve conceitos sobre o mtodo DoS (Denial of Service); a seo 3.3 descreve conceitos sobre o mtodo DDoS (Distributed Denial of Service); na seo 3.4 contar um pouco da histria desse ataque; por fim o motivos existentes para os atacantes efetuarem estas operaes.
  9. 9. 1. HISTRIA No ano de 1988 houve a primeira deteco de ataque DoS. No ms de tembro de 1996, o Provedor PANIX (Public Access Network Corporation) ficou cerca de uma semana sob o efeito de um ataque DoS. J em maio de 1999 uma srie de ataques DoS atingiu as redes do FBI (Federal Bearout of Investigation) e de vrios outros rgos governamentais norte-americanos. (SANTOS, 2008) Segundo Solha, Teixeira e Piccolini (2000) os primeiros ataques DDoS documentados surgiram em agosto de 1999, no entanto, esta categoria se firmou como a mais nova ameaa na Internet na semana de 7 a 11 de Fevereiro de 2000, quando vndalos cibernticos deixaram inoperantes por algumas horas sites como o Yahoo, eBay, Amazon e CNN. Uma semana depois, teve-se notcia de ataques DDoS contra sites brasileiros, tais como: UOL, Globo On e IG, causando com isto uma certa apreenso generalizada. Segundo Duarte (2005), em uma de suas publicaes sobre Denial-of-Service, o autor narra todo uma histrica e evoluo desse ataque. Duarte afirma que os primeiros programas para ataques remotos DoS surgiram em meados dos anos 90, que para obter um maior efeito, era necessrio uma conta em um grande computador ou rede. Havia nas universidades muitas contas de aluguel, que eram trocadas com os atacantes por software, cartes de crdito, dinheiro, etc. Duarte afirma que em 1996 foram descobertas as falhas no TCP/IP, e no ano seguinte, salas de bate-papo do IRC2 (Internet Relay Chat) eram utilizadas para ataques DoS por jovens que queriam tomar conta do canal, usavam o ataque para sobrecarregar a mquina alheia Ainda em 1997 surgiu uma tcnica chamada Smurf (seo 4.3.2). Onde so lanando alguns poucos pacotes na rede, destinados a uma vtima, o atacante pode multiplic-los por um fator de centenas, ou at milhares, dependendo do tamanho da rede, que so enviados da vtima original para um endereo broadcast3 da rede. Este exrcito de pacotes eventualmente alcanava diversas outras vtimas, e a vtima original era a terica culpada pelo ataque. A defesa contra este tipo de ataque era simples, no entanto. Bastava desligar as capacidades de recepo de mensagens broadcast nos roteadores. Algumas redes possibilitaram isso, enquanto outras no, permanecendo assim a ameaa de potenciais ataques Smurf. Logo em seguida, os atacantes resolveram explorar outra linha de ao: simplesmente enviando centenas de pacotes ao alvo. Se a vtima usava uma conexo discada de velocidade baixa (variando de 14,4Kbps a 56Kbps) e o atacante usava uma conexo roubada de uma Universidade, de em torno de 1Mbps, ele obteria facilmente a conexo discada da vtima, que seria prejudicada a ponto de se tornar intil e com velocidade de resposta praticamente nula. Em 1998, as velocidades de conexo j se tornavam menos heterogneas e ataques Smurf eram fceis de serem combatidos. A surgiu o DDoS, com atacantes passando a tentar obter controle de mquinas alheias para conseguir alagar a conexo da vtima com trfego suficiente. Prottipos de ferramentas DDoS
  10. 10. comearam a surgir em meados de 1998. Ataques explorando vulnerabilidades de sistema sempre continuaram, e passou-se a combinar vrias falhas DoS em uma nica ferramenta, usando shell scripts em Unix. Isso aumentava a velocidade e violncia do ataque, que foi denominado rape (estupro). IRC - um protocolo de comunicao bastante utilizado na Internet. Ele utilizado basicamente como bate-papo (chat) e troca de arquivos, permitindo a conversa em grupo ou privada. Foi documentado formalmente pela primeira vez em 1993, com a RFC 1459. Em 1999, a computao distribuda foi combinada com worms (seo 2.4.4) para causar novos ataques DDoS. Em meados deste ano, vrios novos programas de DoS foram usados. As vtimas principais foram novamente redes e clientes IRC. Com a iminncia do ano 2000, vrios ataques que causassem falhas esperadas com o chamado Bug do Milnio foram previstos pelos especialistas, causando pnico na populao. Estes ataques jamais ocorreram, no entanto, em fevereiro de 2000, eBay, Yahoo, Amazon e CNN, todos sites robustos, adaptados a trfegos pesados e milhares de acessos simultneos, sofreram ataques DDoS, resultando em milhes de dlares em perdas de publicidade e vendas. Em janeiro de 2001, requests DNS falsos enviados a vrios servidores DNS ao redor do mundo gerou o trfego para um ataque DDoS refletido d