ownt0% Alagus Negacao de Servico, Negac4o de Servico Distribuida e Botnets EEL878 - Redes de Computadores I Professor Otto Carlos Muniz Bandeira Duarte . to Amim 2. Ataques © 2.1: Formas de ataque © 2.2: Ferramentas © 2.3: Como fazer um atague © Voltar para o indic << Introducio | 3. Defesa >> 2. Ataques + 2.1: Formas de ataque Existem 3 principais formas de ataque, e intimeros tipos. Geralmente, um ataque é de mais de um tipo e/ou forma. © Ataques por Inundagiio (Flood Attacks) Ataques por inundacao sio caracterizados por causar um grande volume de trfego no sistema da vitima priméria, de maneira que sua banda fique congestionada, por meio da utlizagao de pacotes UDPI1] (User Datagram Protocol) ou ICMP[2| (Internet Control Message Protocol). Esta forma de ataque pode tanto deixar o sistema lento quanto derrubé-lo por completo. [1]0 UDP é um dos principais protocolos de rede da Internet, e permite que aplicagdes enviem mensagens de tamanho fixo(neste caso chamadas de datagramas, especificamente) encapsuladas em pacotes IPv4 ou IPv6 a um destino escolhido. Neste tipo de protocolo nao ha garantia da chegada do pacote. [2]0 ICMP é um dos principais protocolos de rede da Internet, ¢ & utilizado para o envio de relatérios de erro 3 fonte original. Mensagens ICMP costumam ser enviadas automaticamente quando um pacote niio consegue chegar a seu destino, por exemplo. © Ataques por Amplificagio Ataques por amplificagio sao caracterizados pelo envio de requisigdes mascaradas para um endereso IP de broadcast{1| ou para um grande mimero de computadores, que por sua vez responderao a essas requisigdes. Esta forma de ataque adultera informagdes de forma que o enderego de IP do alvo passe a ser reconhecido como o endereso de IP de origem, fazendo com que todas as respostas sejam direcionadas para o mesmo. epihwww gia. elgrad3_idoslataques hl 1ownt0% Alagus [1]Um enderego de IP de broadcast ¢ um recurso encontrado em roteadores que, quando escolhido como enderego de destino, faz com que o roteador efetue um broadcast, ou seja, replique o pacote eo envie para todos os enderesos de IP pertencentes a um intervalo determinado (intervalo de broadcast). Em ataques por amplificaco, enderecos de broadcast amplificam o trafego de ataque, o que leva A redusio da banda do alvo. Ataques por Exploragio de Protocolos Ataques por explorasio de protocolos siio caracterizados pelo consumo excessivo dos recursos do alvo por meio da exploragio de alguma caracteristica ou falha de implementagio especificas de algum protocolo instalado no sistema do alvo. Os principais ataques por exploragio de protocolos se dio pela utilizagio indevida de pacotes TCP SYN[1] ou de PSH+ACK(2]. [1]0 SYN é 0 primeiro pacote enviado através de uma conexio TCP ¢ indica a intengao de conexio. [2/0 PSH é um flag que indica que os dados devem ser transmitidos imediatamente, mesmo que o buffer iio esteja totalmente preenchido, e o ACK é um flag que indica que o endereso de destino recebeu corretamente os dados. Alguns tipos de ataque = Inundacio por ICMP (ICMP Flood) ‘Também conheeido como inundagio ping, ou ping flood, este tipo de ataque se baseia no envio constante a partir de um endereso IP mascarado de uma grande quantidade de pacotes echo request (ping) até que o limite de requests por segundo seja ultrapassado. Para tal, o atacante necessita de certos privilégios no sistema alvo, além de precisar de uma vantagem de banda significativa em relaco ao alvo para ter sucesso (por exemplo, um sistema dial-up seria alvo ffcil para um atacante que possuisse um sistema com conexio DSL de alta velocidade, mas 0 contrario nio teria sucesso). Se o ataque for bem-sucedido, a banda do alvo é, rapidamente, completamente consumida pelos pacotes ICMP que chegam e os pacotes de resposta que envia, impedindo que echo requests legitimos sejam atendidos. _echo request Figura I: Comportamento normal (ping) epihwww gia. elgrad3_idoslataques hlownt0% °? __% y, | «echo reply Alagus Capacidade limtestingita echo request Figura 2: Comportamento sob ataque (ping) = Inundagao SYN (SYN Flood) Neste tipo de ataque, o atacante inunda a rede com pacotes TCP SYN, frequentemente com um endereco IP de origem mascarado. Cada um desses pacotes representa uma intengao de conexio, ‘0 que leva o servidor alvo a alocar, para cada um deles, uma determinada quantidade de meméria para a nova conexiio a ser criada e enviar de volta um pacote TCP SYN-ACK, para 0 qual espera uma nova resposta (TCP ACK) que permitird efetivamente estabelecer a nova Como 0 pacotes ACK esperados nunca sio enviados pela origem, quando a meméria do servidor é completamente alocada os pedidos legitimos de conexo sio impedidos de ser atendidos até que o ataque acabe, Além disso, as conexdes parciais resultantes possibilitam a0 atacante acessar arquivos do servidor. epihwww gia. elgrad3_idoslataques hl‘owaz016 Alagus (PULL AM) Figura 3: Comportamento normal & = Ataques peer-to-peer Figura 4: Comportamento sob ataque Este tipo de ataque difere dos ataques baseados em botnet, mais frequentes. Nele, nio ha botnet © 0 atacante nao precisa se comunicar com os clientes sabotados; em vez disso, ele trabalha ‘enviando instrugdes a clientes de grandes redes peer-to-peer (p2p) para compartilhamento de arquivos. Tais instrucdes fazem com que esses clientes se disconectem da rede peer-to-peer e se conectem ao alvo. Como resultado, uma grande quantidade de novas conexdes com o alvo epihwww gia. elgrad3_idoslataques hl an‘owaz016 Alagus tentam ser iniciadas, parando o servidor ou levando a uma queda significativa do seu desempenho. Figura 5: Comportamento normal de uma rede p2p Infecta rede pap Figura 6: Comportamento de uma rede p2p usada para ataque de negacéo de servico = Ataques distribuidos (DDoS) [Neste tipo de ataque, miltiplos sistemas (¢ nao apenas um) inundam a banda ou os recursos de rede de um alvo, frequentemente pelo uso de botnets, e impedem a formacio de novas conexdes. AS vantagens, para 0 atacante, de um DDoS em relagao a um ataque de negagao de servigo feito ‘a partir de um nico sistema séo a maior facilidade para gerar um trafego de ataque mais infenso a maior dificuldade para o alvo anular o ataque. Este tipo de ataque pode ser feito por malware, por exemplo. Um dos mais conhecidos malwares para DDoS é 0 MyDoom, que possui um endereso IP alvo hardcoded, e seu mecanismo de ataque de negagio de servigo é ativado em uma data e uma hora especificas. Assim, nio é necessario mais nenhum tipo de interagao por parte do atacante para que 0 ataque ocorra. DDoS também pode ser feito por meio de um trojan, que contém ou faz download de um programa que transforma o sistema em um "zumbi". Ou seja, é estabelecida uma botnet. Diferentemente do ataque que utiliza malware, a wlilizagao de um trojan permite que o endereso IP alyo seja alterado apés a infecgio. epihwww gia. elgrad3_idoslataques hlownt0% Alagus ‘ -% & & ~— Oy Oy Oy ty ty ty t My \ Figura 7: Ataque distribuido de negagao de servico + 2,2: Ferramentas Existem diversas ferramentas dispontveis para a execugio de ataques de negagio de servigo, e nesta seco apresentamos brevemente algumas delas. © Stacheldraht Stacheldraht & um clissico software escrito em C para execugao de ataques DDoS por meio do uso de botnets, escrito para sistemas bascados em Linux ou Solaris, ¢ utiliza varios tipos diferentes de ataque de negagao de servigo, incluindo inundacao por UDP, inundagao por ICMP ¢ inundagao SYN. Esta ferramenta detecta ¢ automaticamente possibilita a geragio de enderesos IP de origem mascarados. © Trinoo Trinoo (ou trin0) & um conjunto de programas de computador que executam um ataque DDoS. Esta ferramenta é famosa por permitir que os atacantes deixem um arquivo auto-replicante em uma pasta chamada cry_baby e modifiquem-no regularmente, contanto que a porta 80 esteja ativa. Oatacante, por meio de um host afetado, automaticamente compila uma lista de miquinas que também podem ser afetadas. Com essa lista em mos, executa scripts para afetar tais méquinas e converté-Jas em trinoo masters ou trinoo daemons. Um master pode controlar diversos daemons, que sio quem lansam efetivamente o ataque quando o atacante executa um comando para tal a partir dos masters. + 2.3: Como fazer um ataque Esta seco explica brevemente os passos para a execusdo de um ataque de negasio de servigo. o 1.Alvo Primeiramente, deve-se, obviamente, determinar o alvo do ataque. Leva-se em conta, para tal, a motivasao do atacante e a possibilidade real de executar um ataque efetivo contra o alyo desejado por meio dos recursos dos quais se dispie. epihwww gia. elgrad3_idoslataques hl 67ownt0% ‘Aagues © 2, Planejamento Entio, o atacante deve determinar, com base nos recursos de que dispie e nas caracteristicas do alvo, qual forma de ataque seri executada, assim como tipo de ataque especifico sera feito. Por fim, determina-se a(s) ferramenta(s) a ser(em) utilizada(s), dependendo de qual ataque especifico foi escolhido. © 3, Estabelecimento da rede de ataque Por iltimo, o atacante inicia o preparo para o ataque, o que significa que ele determina de que maneira, especificamente, ele utilizar a ferramenta escolhida para executar seu ataque. Se o ataque exigir 0 ento de uma botnet, por exemplo, primeiro deve-se crid-la e, feito isso, partir para o ataque. epihwww gia. elgrad3_idoslataques hl W