Académique Documents
Professionnel Documents
Culture Documents
Nesta edio:
Tudo que voc
precisa saber sobre
os ataques DDoS
Introduo ao C ache
de Web
MBONE - Parte III
NewsGeneration:
buscar
Artigos publicados
Autores
FAQ
Assine
Pgina inicial
Introduo
No ltimo ms, o assunto segurana de redes passou a fazer parte
da ordem do dia na imprensa falada e escrita. Na pauta das
conversas nos cafs e esquinas das cidades tornou-se comum falar
sobre os hackers, os mais recentes ataques que deixaram
inacessveis alguns dos mais famosos web sites, e at mesmo se
ouvia falar em ataques de "negao de servio" (Denial of Service,
DoS).
Mas, afinal, o que um ataque de "negao de servio"? Os ataques
DoS so bastante conhecidos no mbito da comunidade de
segurana de redes. Estes ataques, atravs do envio indiscriminado
de requisies a um computador alvo, visam causar a
indisponibilidade dos servios oferecidos por ele. Fazendo uma
analogia simples, o que ocorre com as companhias de telefone
nas noites de natal e ano novo, quando milhares de pessoas
decidem, simultaneamente, cumprimentar meia-noite parentes e
amigos no Brasil e no exterior. Nos cinco minutos posteriores
virada do ano, muito provavelmente, voc simplesmente no
conseguir completar a sua ligao, pois as linhas telefnicas
estaro saturadas.
Ao longo do ltimo ano, uma categoria de ataques de rede tem-se
tornado bastante conhecida: a intruso distribuda. Neste novo
enfoque, os ataques no so baseados no uso de um nico
computador para iniciar um ataque, no lugar so utilizados centenas
http://www.rnp.br/newsgen/0003/ddos.html
1/11
28/5/2014
Desmistificando o ataque
OS PERSONAGENS
http://www.rnp.br/newsgen/0003/ddos.html
2/11
28/5/2014
3/11
28/5/2014
Ferramentas de DDoS
Ao contrrio do que se pensa, os ataques DDoS no so novos. A
primeiraferramenta conhecida com esse propsito surgiu em 1998.
Desde ento, foram diversas as ferramentas de DDoS
desenvolvidas, cada vez mais sofisticadas e com interfceis mais
amigveis. O que no mnimo preocupante, pois nos d uma idia
de quo rpido se movimenta o mundo hacker. A seguir, elas so
listadas na ordem em que surgiram:
1. Fapi (1998)
4. TFN (ago/99)
2. Blitznet
5. Stacheldraht(set/99) 8. Trank
7. TFN2K(dez/99)
9. Trin00 win version
4/11
28/5/2014
5/11
28/5/2014
Comunicao
Trin00
TFN
Stacheldraht TFN2K
Atacante->Master
Master->Agente
27444/udp
http://www.rnp.br/newsgen/0003/ddos.html
icmp_echoreply
65000/tcp,
icmp/udp/tcp
icmp/udp/tcp
6/11
28/5/2014
icmp_echoreply
Agente->Master
31335/udp
icmp_echoreply
65000/tcp,
icmp_echoreply
icmp/udp/tcp
Como se prevenir?
At o momento no existe uma "soluo mgica" para evitar os
ataques DDoS, o que sim possvel aplicar certas estratgias para
mitigar o ataque, este o objetivo desta seo.
Dentre as estratgias recomendadas pode-se considerar as
seguintes:
Incrementar a segurana do host
Sendo que a caracterstica principal deste ataque a formao de
uma rede de mquinas comprometidas atuando como masters e
agentes, recomenda-se fortemente aumentar o nvel de segurana
de suas mquinas, isto dificulta a formao da rede do ataque.
Instalar patches
Sistemas usados por intrusos para executar ataques DDoS so
comumente comprometidos via vulnerabilidades conhecidas. Assim,
recomenda-se manter seus sistemas atualizados aplicando os
patches quando necessrio.
Aplicar filtros "anti-spoofing"
Durante os ataques DDoS, os intrusos tentam esconder seus
endereos IP verdadeiros usando o mecanismo de spoofing, que
basicamente consite em forjar o endereo origem, o que dificulta a
identificao da origem do ataque. Assim, se faz necessrio que:
1. Os provedores de acesso implementem filtros antispoofing na entrada dos roteadores, de modo que ele
garanta que as redes dos seus clientes no coloquem
pacotes forjados na Internet.
2. As redes conectadas Internet, de modo geral,
implementem filtros anti-spoofing na sada dos
roteadores de borda garantindo assim que eles
prprios no enviem pacotes forjados na Internet.
Limitar banda por tipo de trfego
Alguns roteadores permitem limitar a banda consumida por tipo de
trfego na rede. Nos roteadores Cisco, por exemplo, isto possvel
usando CAR (Commited Access Rate). No caso especfico de um
ataque DDoS que lana um flood de pacotes ICMP ou TCP SYN, por
exemplo, voc pode configurar o sistema para limitar a banda que
poder ser consumida por esse tipo de pacotes.
Prevenir que sua rede seja usada como "amplificadora"
Sendo que algumas das ferramentas DDoS podem lanar ataques
smurf (ou fraggle), que utilizam o mecanismo de envio de pacotes a
endereos de b roadcasting, recomenda-se que sejam
implementadas em todas as interfaces dos roteadores diretivas que
previnam o recebimento de pacotes endereados a tais endereos.
Isto evitar que sua rede seja usada como "amplificadora". Maiores
informaes a respeito do ataque smurf (e do parente fraggle) podem
ser encontradas em: http://users.quadrunner.com/chuegen/smurf
Estabelecer um plano de contingncia
Partindo da premisa que no existe sistema conectado Internet
totalmente seguro, urge que sejam considerados os efeitos da
eventual indisponibilidade de algum dos sistemas e se tenha um
plano de contingncia apropriado, se necessrio for.
Planejamento prvio dos procedimentos de resposta
http://www.rnp.br/newsgen/0003/ddos.html
7/11
28/5/2014
Como detectar?
As ferramentas DDoS so muito furtivas no quesito deteco. Dentre
as diversaspropriedades que dificultam a sua deteco pode-se citar
como mais significativa a presena de criptografia. Por outro lado,
possvel modificar o cdigo fonte de forma que as portas, senhas e
valores padres sejam alterados.
Contudo, no impossvel detect-las. Assim, esta seo tem por
objetivo apresentar alguns mecanismos que auxiliem na deteco de
um eventual comprometimento da sua mquina (ou rede) que
indique ela estar sendo usada em ataques DDoS. Estes
mecanismos vo desde os mais convencionais at os mais
modernos.
AUDITORIA
Comandos/Utilitrios: Alguns comandos podem ser bastante teis
durante o processo de auditoria. Considerando os nomes padres
dos binrios das ferramentas DDoS, possvel fazer uma auditoria
por nome de arquivo binrio usando o comando find. Caso as
ferramentas no tenham sido instaladas com seus nomes padres,
possvel fazer uso do comando strings que permitiria, por exemplo,
fazer uma busca no contedo de binrios "suspeitos". Esta busca
visaria achar cadeias de caracteres, senhas e valores comumente
presentes nos binrios das ferramentas DDoS.
O utilitrio lsof pode ser usado para realizar uma auditoria na lista de
processos em busca do processo daemon inicializado pelas
ferramentas DDoS. Por ltimo, se a sua mquina estiver sendo
usada como master, o IP do atacante eventualmente poderia
aparecer na tabela de conexes da sua mquina (netstat). Se tiver
sido instalado previamente um rootkit, este IP no se revelar.
Ferramentas de auditoria de host: Ferramentas como o Tripwire
podem ajudar a verificar a presena de rootkits.
Ferramentas de auditoria de rede: O uso de um scanner de portas
pode revelar um eventual comprometimento da sua mquina.
Lembre-se que as ferramentas DDoS utilizam portas padres.
Assim tambm, analisadores de pacotes podem ser vitais na
deteco de trafego de ataque. Para uma melhor anlise dos pacotes
importante conhecer as assinaturas das ferramentas DDoS mais
comuns. No caso especfico da ferramenta TFN2K, que utiliza
pacotes randmicos e criptografados, o que prejudica em muito a
deteco da ferramenta por meio de anlise dos pacotes, possvel
alternativamente procurar nos pacotes uma caracterstica peculiar
gerada pelo processo de criptografia.
FERRAMENTAS DE DETECO ESPECFICAS
Uma variedade de ferramentas foram desenvolvidas para detectar
ferramentas de ataque DDoS que, eventualmente, possam ter sido
instaladas no seu sistema, dentre elas:
O NIPC (National Infraestructure Protection Center) disponibilizou
uma ferramenta de auditoria local chamada "find_ddos" que procura
no filesystem os binrios do cliente e daemon das ferramentas de
Trin00, TFN, Stacheldraht e TFN2K. Atualmente esto disponveis os
binrios do find_ddos para Linux e Solaris em:
http://www.fbi.gov/nipc/trinoo.htm
http://www.rnp.br/newsgen/0003/ddos.html
8/11
28/5/2014
Como reagir?
Se ferramentas DDoS forem instaladas nos seus sistemas
Isto pode significar que voc est sendo usado como master ou
agente. importante determinar o papel das ferramentas
encontradas. A pea encontrada pode prover informaes teis que
permitam localizar outros componentes da rede de ataque. Priorize a
identificao dos masters. Dependendo da situao, a melhor
estratgia pode ser desabilitar imediatamente os masters ou ficar
monitorando para coletar informaes adicionais.
Se seus sistemas forem vtimas de ataque DDoS
O uso do mecanismo de spoofing nos ataques DDoS dificulta em
muito a identificao do atacante. Assim, se h um momento em que
pode-se fazer um b acktracing e chegar ao verdadeiro responsvel
no exato momento em que est ocorrendo o ataque. Isto significa que
imprescindvel a comunicao rpida com os operadores de rede
do seu provedor de acesso/b ackb one.
Considere que, devido magnitude do ataque, no recomendvel
confiar na conectividade Internet para comunicao durante um
ataque. Portanto, certifque-se que sua poltica de segurana inclua
meios alternativos de comunicao (telefone celular, pager, sinais de
fumaa, etc). Mas, por favor, aja rpido, tempo crucial!
^
Consideraes finais
No existe "soluo mgica" para evitar os ataques DDoS, no com a
tecnologia atual.
No lugar, existem certas estratgias que podem ser aplicadas pelos
administradores e gerentes de rede para mitig-lo. Sem dvida, sem
se conhecer o que acontece nos bastidores ser uma tarefa difcil.
Assim, o motivo deste artigo foi justamente desmistificar o ataque de
modo que estes profissionais, conhecendo melhor o inimigo, se
preparem melhor para combat-lo.
^
Referncias on-line
ALR-01/2000: Recentes ataques de DoS
por CAIS - Centro de Atendimento de Incidentes de Segurana
http://www.rnp.br/arquivos/ALR-012000.txt
Distrib uted Denial of Service Attacks
by Bennet Tood
https://fridge.oven.com/~bet/DDoS
http://www.rnp.br/newsgen/0003/ddos.html
9/11
28/5/2014
Sites relacionados
CERT Coordinator Center
Security Focus
http://www.rnp.br/newsgen/0003/ddos.html
10/11
28/5/2014
SANS Institute
^
http://www.rnp.br/newsgen/0003/ddos.html
11/11