ATAQUES DoS,DDoS,SmurfePingofDeath
Alunos: ClauzioCristianoPerptuo CleberFrancoMadureira HugoAzevedodeJesus
SUMRIO
Introduo; ICMP,PingofDeatheSmurf; TCP,DoSeDDoS; Implementao; TcnicasdeDefesa; Concluso; RefernciasBibliogrficas.
INTRODUO
Patrimniohojeemdia; Informao; Terdisponibilidade; Mercadocompetitivo,rpidoedinmico; Administradoresebatalhasvirtuais; TcnicasdeAtaquecomoDoS,DDoS,etc; PropsitodaApresentao.
ICMPTeoriaBsica
ICMPO ICMP Internet Control Message Protocol um protocolo que faz parte da pilha TCP/IP, enquadrando-se na camada de rede (nvel 3), a mesma camada do protocolo IP Internet Protocol; O seu uso mais comum feito pelo utilitrios ping; O ping envia pacotes ICMP para verificar se um determinado host est disponvel na rede. Tambem serve para medir o desempenho da rede;
ICMPPing
ICMP
ICMP
Ping da MorteO tamanho mximo de um pacote IPv4 de 64Kbytes; Um antiga vulnerabilidade explorada em relao a este limite de tamanho e o processo de fragmentao e remontagem de datagramas conhecida como Ping da Morte; Esta vulnerabilidade consiste em causar um estouro de buffer no host destino, enviando-se vrios datagramas fragmentados, cujo tamanho total exceda 64 Kbytes;
Ping da MorteEste bug no estava limitado apenas ao Unix e Windows, aparecia em um varios sistemas que utilizasse IPv4; Mas o recordista na correo do bug foi o GNU/Linux que em duas horas de meia depois do anuncio na internet, j estava oferecendo um patch para resolver o problema;
Ping da Morte
Nos sistemas atuais no acontece mais esse problema pois no recebe nem envia pacotes maiores do que 64kbytes;
Smurf AttackSmurf um simples ataque baseado em IP spoofing e Broadcast; Um pacote (ICMP) enviado para um endereo de broadcast, todos os hosts que fazem parte para daquela rede iro responder;
Smurf Attack
Smurf Attack
Neste caso os IP's sero trocados (tcnica spoofing) pelo endereo IP da vitima(Servidor) escolhida pelo *hacker; Na tcnica de Spoofing os pacotes IP possuem um endereo destino e um endereo origem. Normalmente o endereo origem reflete a realidade, mas nada impede que um hacker altere este pacote para que ele parea ter vindo de outro lugar; Dessa maneira quando os computadores que receberem o broadcast, respondero com ICMP Echo Reply para o endereo IP (spoofed) contido naquele broadcast;
Smurf Attack
Smurf AttackDependendo do numero de computadores naquela sub rede dezenas, centenas ou ate milhares de pacotes ICMP Echo Reply sero enviados para o endereo IP da vitima fazendo com que a conexo seja bloqueada ou simplesmente tornando a conexo lenta demais; Esse tcnica pode ser aplicada em conjunto com vrios outros *hackers para que o efeito seja ainda maior e duradouro. Para a vtima na ha muito o que fazer a no ser contatar o responsvel pela sub rede que esta servido de amplificador de Smurf ( Smurf Amplifier);
TCPTeoriaBsica
TCP EstabelecimentodeConexo
TCP EstabelecimentoParcialdeConexo
DoS/DDoSIntroduoOs ataques conhecidos como denialofservice (DoS) so caracterizados por uma tentativa explcita do atacante de impedir que um usurio legtimoutilizedeterminadoservio.
DoS/DDoSEstratgias
Inundar uma rede visando impedir que usurios legtimosfaamusodela; Impedir ou romper a conexo entre duas mquinasvisandoimpediroacessoaumservio; Impedir o acesso de um determinado servio ou site; Impedir ou negar um servio a um sistema ou pessoaespecficos;
DoS/DDoSCaracterstica
ExploramfalhasemservioseSOsutilizando tcnicasdeIPSpoofing:
Pingofdead; SYNFlooding; UPDpacketstorm; smurf;
DoS/DDoSFormabsicadeataque
Explorao de vulnerabilidade j conhecidas em SOseservios; Obteno de acesso privilegiado a qualquer mquina na Internet com scripts automatizados namaioriadasvezes; Gerao de uma lista de endereos IPs das mquinas exploradas que formam a rede de ataque. (Fapi, Blitznet, Trin00, TFN, Stacheldraht, Shaft,TFN2K,Trank...);
DoS/DDoSRededeataquetpicafile:///root/my%20files/my%20documents/InstitutoFatima/ddos.png
IMPLEMENTAONO GNU/LINUX
ICMPDOOR
ICMPDOOR
DDoS(masterevriosslaves); IPeTCPSpoofing;
ENDEREOSDOSSLAVES
AMBIENTEDETESTE
DESCRIODOS EQUIPAMENTOSHacker,Workstation1eWorkstation2 (FedoraCore4Kernel2.6.111) (Pentium42.4GHz512MB) ApacheWebServer (DebianSargeKernel2.4.272) (AMD2800700MB)
EXECUO
MASTERparaSLAVE
SLAVEparaVTIMA
ATAQUE
DENIALOFSERVICE
ETHEREAL
USURIOLEGTIMO
TCNICASDEDEFESA
TcnicasdedefesaAteno
Excessodetrfego; AexistnciadepacotesUDPeICMPdetamanho acimadonormalouemexcesso; PacotesTCPeUDPquenofazempartedeuma conexo;
TcnicasdedefesaMinimizandovulnerabilidades
NegaodePingspormquinasdesconhecidas; RegrasdeFirewallbemdefinidas.(antiSpoofing...); Alterao dos parmetros relativos s filas de sincronismo; Instalaodeumsistemadedetecodeintruso.(SNORT...);
Verificao peridica de logs e emails do sistema;
Contramedidas
Aindanoexisteumasoluodefinitivacontraos ataquesdedenialofserviceeataquesdistribudos. Algumaspesquisasestosendorealizadaspropondo soluesparaoproblema:
Identificaraorigemdospacotesforjados; Inibirosamplificadoresdeataques; Overlaynetworks; ActiveNetworks;
CONCLUSO
Existemvriastcnicas; Indisponibilizarumservio; FerramentasnaInternet; Administradoresdevemestarpreparados; Seproteger;
BIBLIOGRAFIA
DIGENES,Y.Certificaocisco:guiadecertificaopara oexame640801.3.ed.RiodeJaneiro:AxcelBooks,2004. SOARES, L. F. G.; LEMOS, G.; COLCHER, S. Redes de computadores:dasLANS,MANSeWANSsredesATM. 12.ed.RiodeJaneiro:Campus,1995. TANENBAUM, A. S. Redes de computadores. 3. ed. Rio deJaneiro:Campus,1997.
SITES
http://www.certrs.tche.br/docs_html/ddoserrc2003.pdf http://searchsecurity.techtarget.com/sDefinition/0,290660,sid14_gci1162868,00.html http://en.wikipedia.org/wiki/Active_Networking http://en.wikipedia.org/wiki/Overlay_network http://beginnerhacker.vilabol.uol.com.br/hacker/tutorhack/denial_of_service.htm http://www.ufsdump.org/papers/uuascnovemberddos.html http://packetstormsecurity.org/distributed/ http://en.wikipedia.org/wiki/Denialofservice_attack http://penta.ufrgs.br/Esmilda/fmtotcp.html>.Acessoem:9nov.2005 http://www.unicert.com.br/arquivos/sobre_conteudos/UBC%20705%20%20A% 20Hist%C3%B3ria%20do%20TCPIP%20v1.0.pdf http://magnum.ime.uerj.br/~alexszt/cursos/redes/osi/osi5.htm>. Acesso em: 20 out. 2005. http://penta.ufrgs.br/gere96/segur/ipspoof.htm