1) O documento discute ataques de negação de serviço (DoS) e suas estratégias de defesa, descrevendo vários tipos de ataques DoS e sua evolução para ataques distribuídos (DDoS).
2) É explicado que ataques DoS sobrecarregam servidores para impedir o acesso de usuários legítimos, e que técnicas como SYN flooding e ping of death são comumente usadas.
3) A evolução dos ataques DoS para DDoS é descrita, notando que agora hackers infect
1. DoS: FORMAS DE ATAQUE E ESTRATÉGIAS DE DEFESA
Auro Felipe Sampaio Mota, Claudia Moreno Lopes de Andrade, José Wagner de Andrade
Júnior, Renan de Souza Daniel, Otuany Dias Pereira dos Santos Silvério
Instituto de Ciências Exatas - Universidade Federal de Itajubá (UNIFEI)
Av. Benedito Pereira dos Santos, 1303, Itajubá – MG – Brazil
auro@unifei.edu.br, {kaka.tarefas,juninho_andrade_1995}@hotmail.com,
renansouzadaniel@yahoo.com.br, otuany.871@gmail.com
Abstract. DoS attacks are expanding day after day, threatening the security and
productivity of the business in the internet. Denial of Service attacks are fairly
simple but very malleable, so it's hard to identify them, forecast them and
elaborate defenses. This research intends to gather types of attack and list
possible types of defensa against each one of them.
Resumo. Os ataques DoS vêm crescendo dia após dia, ameaçando assim, a
segurança e a produtividade das empresas na internet. Os ataques de Denial of
Service são relativamente simples, porém, pela sua maleabilidade, torna-se difícil
identificá-los, prevê-los e elaborar defesas. Pretende-se com essa pesquisa,
reunir as formas de ataque e listar possíveis formas de defesa contra cada um
deles.
1. Introdução
Os ataques DoS vêm se tornando um tipo de ataque muito comum e invasivo contra sites e
servidores de toda a web. Desde 1993, vêm atacando sites e servidores de importantes empresas
na internet. Entre os dias 19 e 27 de março de 2013, a web viu o maior ataque de sua história. O
grupo Spamhaus sofreu com tráfegos na casa dos 300Gbps. A empresa, com sedes em Genebra e
Londres, alega que a companhia Cyberbunker é a responsável pelos ataques. Segundo
especialistas, esse ocorrido deixou a internet mais lenta nos dias em que esteve em atividade
[Lee 2013].
Porém, ao adentrar no universo desse assunto, percebemos que não há muitas pesquisas
na área de defesa a esse ataque, fato que nos instigou a produzir essa pesquisa. O objetivo deste
trabalho é explanar as formas de ataque, contextualizando-as, e propor uma sugestão de defesa
para pesquisas posteriores. A próxima seção apresenta uma breve contextualização sobre o DoS,
como esse foi evoluindo através do tempo. Na seção 2.1, abordamos quais são os tipos de
ataques. Na seção 3, explicamos a evolução de DoS para DDoS. Nas próximas seções, propomos
algumas formas de defesa para alguns tipos desse ataque.
2. Ataques DoS
Criado nos primeiros anos da década de 90, os ataques do tipo DoS (Denial Of Service) têm
chamado a atenção da mídia e de pessoas que trabalham na área de segurança de rede,
principalmente nos últimos anos, quando vêm sendo empregados massivamente como forma de
protesto a vários tipos de entidades.
Os ataques DoS apareceram na mídia pela primeira vez quando, por dois dias, deixaram
os servidores da Universidade de Minnesota fora do ar, em 1999. No ano seguinte, uma nova
onda de ataques, cujos alvos foram a CNN, a Yahoo, o eBay e a Amazon, trouxeram-nos a debate
2. outra vez. Entre 2001 e 2005, eles ganharam ainda mais atenção da imprensa, chegando a causar
prejuízos de mais de um milhão de dólares a empresas como a Yahoo.
Eles passaram a ser utilizados principalmente por grupos de crime organizado como
ameaça contra companhias de pequeno e médio porte. Desta forma, os hackers conseguiam
extorquir dinheiro dessas empresas. Conforme cresciam, surgiam também departamentos
especializados no combate a eles, como a britânica National Hi-Tech Crime Unit (NHTCU).
Embora, em meados de 2000, a situação tivesse sido bem controlada, novas técnicas
apareceram colaborando para o constante aumento dos ataques. Entre 2007 e 2009, ocorreu uma
guerra cibernética entre países soviéticos. Rússia, Geórgia, Estônia e Azerbaijão tiveram vários
servidores derrubados. Mais recentemente empresas como, YouTube, Twitter, Facebook e
LiveJournal sofreram com os ataques. Atualmente, o acesso às ferramentas usadas nos ataques
tornou-se amplo, permitindo que qualquer um, até mesmo leigos na informática, consiga realizá-
lo.
2.1. O que são e quais os tipos de ataques DoS
Apesar de possuírem diversas formas de atuação, estes ataques quase sempre procuram fazer
com que um servidor ligado à rede mundial de computadores seja sobrecarregado, dificultando
ou até impedindo o acesso de usuários, causando graves problemas para os donos destes
servidores alvos.
Dos ataques DoS, as estratégias mais utilizadas, citadas por Bertholdo et al (2003) são:
“inundar uma rede visando impedir que usuários legítimos façam uso dela, impedir ou romper a
conexão entre duas máquinas visando impedir o acesso a um serviço, impedir o acesso de um
determinado serviço ou site, impedir ou negar um serviço a um sistema ou pessoa específicos”.
Existem três tipos principais de ataques DoS: consumo da largura da banda, destruição de
arquivos de configuração de rede, destruição física ou alterações de componentes da rede.
• Consumo da largura total da banda: o invasor utiliza de vários computadores infectados por
meio de vírus para entrar em um servidor, assim, inutilizando-o. Para cada computador que envia
algo para o servidor, o mesmo tem que devolver a informação para o computador. Com a
utilização de várias máquinas, o servidor acaba não conseguindo enviar a informação para todos,
e assim, outros computadores que tentam acessar o servidor não conseguem.
• Destruição de arquivos de configuração de rede: o invasor entra no servidor e destrói arquivos
imprescindíveis para o funcionamento do mesmo.
• Destruição física ou alteração dos componentes: esse tipo de ataque consiste na utilização de
algum arquivo que possa fazer com que um sistema primordial para o funcionamento do servidor
trave. Pode envolver computadores, roteadores, sistemas de refrigeração e questões de energia
essenciais para que o sistema funcione.
Para impedir o acesso a um site ou serviço hospedado na internet, o idealizador do ataque
de negação de serviço conta com várias formas de ataque. Geralmente, procuram por falhas em
sistemas operacionais e em protocolos de rede para, então, lançar os ataques, fazendo com que o
provedor sobrecarregue e não aceite novas conexões. Entre os mais conhecidos, estão: Ping Of
Death, SYN Flooding e UPD Packet Storm [Bertholdo et al 2003].
Muito simples e de fácil implementação, o Ping Of Death explora uma limitação de
certos sistemas operacionais, como por exemplo o Windows 95 e NT, que não aceitam pacotes
de dados maiores que 65535 bytes. Apesar de pacotes com este tamanho serem proibidos, usando
uma fragmentação desses dados, pode-se fazer como que sejam aceitos, causando problemas
como: reinicialização do servidor, queda de conexão e diminuição do tráfego de dados [Kenney
2
3. 1996]. Sistemas operacionais recentes já possuem defesa contra este ataque, o que faz como que
não seja muito utilizado. Porém, ainda existem servidores vulneráveis.
Utilizando falhas no protocolo TCP, o SYN Flooding é um modo de ataque eficiente e
que ainda é muito usado. Para entendê-lo, é necessário conhecer como uma conexão com
protocolo TCP é feita: esse procedimento é conhecido como “handshake de três vias”.
Na primeira etapa, o cliente entra com um pedido de conexão com o servidor, que é um
pacote TCP sem dados e com a flag SYN (Synchronization) ativada. Na segunda etapa, o
servidor, se quiser e for possível, devolve o pacote ainda sem dados com as flags SYN e ACK
(acknowledge) ativadas, dando permissão ao cliente. Na terceira e última etapa, se o cliente
quiser manter a conexão, ele deve enviar o pacote de volta com a flag ACK ligada e a SYN
desligada. Assim, a conexão está concluída e o tráfego de dados pode começar.
Na segunda etapa, se o servidor quiser e puder estabelecer a conexão, alocará recursos de
hardware para realizar a conexão. Utilizando desse sistema, um ataque SYN Flooding requisitará
conexão, mas não responderá na terceira etapa. O servidor esperará pela resposta por algum
tempo e cancelará a conexão: como já tinha utilizado alguns recursos esperando a conexão, fará
com que o tráfego da rede fique mais lento. Fazendo este procedimento repetidamente dentro de
intervalos regulares, o SYN Flooding consegue sobrecarregar a rede de tal maneira que nenhuma
nova conexão seja possível [Schlemer 2007].
Existe uma grande vantagem desse sistema de ataque: o firewall do servidor, quando
percebe que existe uma conexão que nunca é concluída, diminui o tempo de espera. Isso acaba
ajudando o idealizador do ataque que, por causa da diminuição do tempo, poderá enviar a
requisição mais vezes num intervalo menor de tempo, potencializando o ataque.
Utilizando a tecnologia UDP (User Datagram Protocol), os ataques UDP Packet Storm
tem o grande diferencial de atacarem dois servidores de uma só vez. Enviando pacotes de dados
com o retorno alterado a um servidor alvo, este tentará se comunicar como o servidor de retorno
previamente alterado pelo planejador do ataque [Garber 2000].
Depois de receber os dados, o segundo servidor alvo repetirá o pacote de dados enviado
pelo idealizador do ataque, criando um loop de envio de dados. Enquanto os servidores
estiverem trocando os mesmos dados, a rede fica congestionada e nenhuma nova conexão é
possível. Também é possível que os dois servidores alvo sejam ambos de envio e repetição de
dados: assim o ataque é mais eficiente, dificultando a defesa e manutenção da rede afetada.
Uma variação dos ataques DoS é o DDoS (Distributed Denial Of Service). Este utiliza de
computadores “zumbis” que foram infectados previamente pelo idealizador da ação negadora de
serviço através de vírus e malwares. Estes computadores, a partir do momento da infecção, são
programados para que em uma data e horário específicos, comecem a solicitar informações de
um servidor alvo. Assim, esta variação de ataque é muito mais eficaz e pode manter um servidor
inativo por muito mais tempo.
O ataque por inundação, também conhecido por "Smurf Atack" tem como forma de
funcionamento o uso de diversos IP's para acessar um servidor onde, que se feita por uma
determinada quantia de computadores utilizados na sub-rede em questão pacotes de ICMP
"Internet Control Message Protocol"(Os computadores da rede usam o protocolo ICMP para
enviar mensagens de erro.), sejam mandados para o IP da vítima fazendo com que a conexão
fique congestionada ou bloqueada.
3. História do DoS e evolução para DDoS
Na literatura, há controvérsia quanto ao surgimento dos ataques DoS. Embora algumas fontes
afirmem que eles hajam sido desenvolvidos em 1993, outras afirmam que foram somente dois
3
4. anos mais tarde, em 1995. De acordo com [Souza 2006], o objetivo de um ataque DoS é
“impedir que usuários legítimos utilizem um determinado serviço de computador”. Em outras
palavras, os hackers visavam, por meio dos ataques, derrubar servidores, inviabilizando o acesso
à informação por parte dos outros usuários.
Ainda na época em que o Windows 95 era a grande novidade no mercado, os ataques
eram relativamente fáceis de serem realizados. Uma forma de fazê-lo é explorar uma limitação
do próprio sistema operacional da Microsoft, que, até nas versões atuais, não aceita mais de
65535 conexões simultâneas [Hogan 2011]. Ao atingir esse número máximo de conexões com o
servidor, ele impede que qualquer outra conexão seja realizada enquanto outra não for
interrompida. Entre os resultados, cita-se reinicialização do servidor, queda de conexão e
diminuição do tráfego de dados.
Nesta época, havia dois tipos mais comuns de ataques: os que tentam criar um erro no
servidor, para que haja mal funcionamento; e os que visam preencher toda a capacidade do
servidor, evitando que ele responda a outros processos. O primeiro destes pode ser realizado por
meio do “ping da morte”. Basicamente, ao enviar solicitações de ping de valor muito alto, o
servidor tem dificuldade em responder, gerando erros na comunicação. Contudo, os roteadores
mais novos têm capacidade de ignorar essas solicitações, evitando também as falhas. A segunda
opção pode ser realizada ao estabelecer múltiplas conexões, como descrito no segundo
parágrafo. Ao perceber isso, uma estratégia de defesa foi desenvolvida. Os servidores, a partir de
então, não responderiam a mais de um número pré-definido de conexões de um mesmo usuário,
limitando a cinco ou seis apenas.
Visto isso, foi necessária uma reformulação nos ataques DoS. Os hackers passaram a
propagar malwares (do inglês, malicious software) que continham comandos para que o
computador infectado servisse de origem desse ataque. Como no final da década de 90 os
usuários ainda não tinham conexões muito poderosas, o alvo dos hackers era, basicamente,
infectar empresas. Assim, surgiram os ataques distribuídos, chamados de DDoS (Distributed
Denial of Service).
O primeiro caso que chamou a atenção da comunidade científica foi um ataque realizado
contra a Universidade de Minnesota, em agosto de 1999, deixando os servidores fora do ar por
quase três dias. Cerca de cinco meses mais tarde, um adolescente infectou uma série de
servidores, que serviam como “computadores zumbis”, e atacou várias empresas, tais quais
Yahoo, a Amazon, a eBay e a CNN [Karig et al 2001]. Esse ocorrido é tido como um divisor de
águas na história do DoS.
4. Formas de defesa
Existem várias técnicas para apurar e defender um servidor de ataques DoS. Desde
equipamentos, firewalls, antivírus, páginas de autenticação até técnicas de detecção que
monitoram o nível de atividade da rede [Santos 2012].
Os “Sistemas de Detecção de Intrusão” (SDI) são ferramentas de detecção de tráfego
malicioso que funcionam por meio de softwares. Esses sistemas conseguem detectar vários tipos
de comportamento perigosos que chegam a um servidor, como ataques a serviços vulneráveis,
acesso não autorizado, logins não autorizados e malwares. Pode-se dizer que estes sistemas
complementam as habilidades de monitoramento de um firewall.
Como já citado anteriormente, ataques DoS e DDoS são difíceis de se detectar com
antecedência por não ser clara a distinção entre tráfego de ataque e tráfego de usuários legítimos,
sendo então quase impossível estruturar uma forma de defesa de total eficiência.
Levando em consideração a análise sobre os ataques DDoS que mostra que apenas 0,6%
a 14% dos endereços de IP envolvidos em um ataque já mantiveram algum tipo de conexão com
4
5. o servidor no passado, pode-se adotar uma forma de defesa que limita a largura da banda
disponível para IPs que não tenham histórico de acesso a determinado servidor, criando uma lista
de IPs confiáveis (TIL). No caso de um ataque, o TIL compara os endereços de IP que estão
pedindo acesso com os já armazenados e, assim, determina quais conexões devem ter o tráfego
limitado ou bloqueado. Esta forma de defesa opera por meio de três módulos, que juntos formam
o sistema de defesa: ChkModel, TIT (Trusted IP Table, do inglês, tabela de IPs confiáveis) e o
limitador de banda [Oliveira et al 2007].
O primeiro módulo é responsável, através da coleta, por monitorar os IPs que tentam
conexão com o servidor, analisando-os e organizando-os em pacotes estruturados, para, em
seguida, encaminhá-los para uma lista com os endereços considerados confiáveis para o módulo
TIT. Também é responsável pela detecção de ataques, comparando o fluxo de conexões com
modelos previamente determinados.
O módulo TIT armazena uma lista já conhecida de IPs confiáveis e a atualiza usando um
algoritmo em particular e, com base nela, gerencia as conexões por meio de duas tabelas: uma
que armazena os endereços IP de origem que ingressaram na rede, e outra que acondiciona a lista
de clientes legítimos. Compara-se, então, as duas, sendo possível identificar o número de novos
IPs na rede no período de tempo em questão. Tal tempo de chegada é monitorado para evitar que
a lista de IPs creça indefinidamente e impeça clientes que não mais acessam a rede, evitando
então operar além do espaço disponível para armazenamento.
Com base na lista de IPs confiáveis, o limitador de banda, como o nome sugere, gerencia
a quantidade de tráfego disponível para o IP que requisita a conexão. Se este não estiver na lista
de IPs confiáveis, terá sua banda limitada enquanto não tiver tempo de conexão suficiente para
ser considerado confiável.
Outro tipo de mecanismo de segurança é o D-WARD. Ele monitora o comportamento de
cada conexão estabelecida com o servidor, procurando por dificuldades de conexão e, dentro de
intervalos de tempo, compara os resultados obtidos com um modelo de tráfego normal. Se for
detectado um ataque DoS, o D-WARD restringe o acesso do IP malicioso [Aschoff 2007].
Apesar de ser um sistema eficiente, tem que ser implantado em todos os pontos de rede, o que o
torna um mecanismo de alto custo quanto à mão-de-obra e de difícil implementação.
5. Conclusão
Neste artigo, vimos que os ataques DoS e DDoS podem ser realizados de diversas maneiras,
pelas mais diversas razões. Portanto, ainda é muito difícil, embora muito tenha sido feito, para
combatê-los. Hoje, uma grande parcela do terrorismo cibernético se deve a esses ataques e é
importante que a infraestrutura das redes, a segurança etc, melhorem para que esses problemas
sejam, senão evitados, minimizados.
Pesquisas futuras devem ser feitas procurando diminuir ao máximo a frequência e
intensidade dos ataques, porque a internet, hoje, se tornou uma ferramenta imprescindível à vida
humana. Ataques de larga escala podem, como dito anteriormente, causar prejuízos enormes à
economia mundial e, é claro, às pessoas, que, mais do que nunca, dependem dos bens oferecidos
pela web: comunicação, informação, entretenimento, trabalho etc.
6. Referências
JORDÃO, F.. DDoS: Como funciona um ataque distribuído por negação de serviço.
Disponível em :<http://www.tecmundo.com.br/seguranca/10970-ddos-como-funciona-um-
ataque-distribuido-por-negacao-de-servico.html>. Acesso em: 02 abr. 2013.
SOLHA, L.; TEIXEIRA, R.; PICCOLINI, J.. Tudo que você precisa sabe sobre os ataques
DDoS. Disponível em <http://www.rnp.br/newsgen/0003/ddos.html>. Acesso em: 03 abr. 2013.
5
6. BERTHOLDO, L.; ANDREOLI, A.; TAROUCO, L.. Compreendendo Ataques Denials of
Services. Disponível em <http://www.cert-rs.tche.br/docs_html/ddos-errc-2003.pdf>. Acesso
em: 01 abr. 2013.
KENNEY, Malachi. Ping of Death. Disponível em: <http://insecure.org/sploits/ping-o-
death.html>. Acesso em: 16 mai. 2013.
SCHLEMER, Elgio. O que é Syn Flood?. Disponível em
<http://www.vivaolinux.com.br/artigo/Iptables-protege-contra-SYN-FLOOD/?pagina=4>.
Acesso em 16 mai. 2013.
GARBER, Lee. Denial-of-Service Attacks Rip the Internet. Disponível em: Computer
Magazine, Abril 2000. <ftp://mail.im.tku.edu.tw/assistant/bearhero/00839316.pdf> Acesso em:
17 mai. 2013.
SOUZA, Andréa Bastos. Ataques de DoS: denial of service. Disponível em: Centro
Universitário Feevale. <tconline.feevale.br/tc/files/0001_746.doc>. Acesso em: 12 mai. 2013.
HOGAN, Will. Tecnologias da Web: o governo pode impedir ataques de DdoS?, Disponível
em: TechNet Magazine, Maio 2011. <http://technet.microsoft.com/pt-
br/magazine/hh237323.aspx>. Acesso em: 10 mai. 2013.
KARIG, David.; LEE, Ruby. Remote Denial of Service Attacks and Countermeasures.
Disponível em: Princeton University Department of Electral Engineering Technical Report.
<http://www.princeton.edu/~rblee/ELE572Papers/karig01DoS.pdf>. Acesso em: 13 mai. 2013.
LEE, Dave. 'Maior ataque cibernético da História' atinge internet em todo o mundo.
Disponível em:
<http://www.bbc.co.uk/portuguese/ultimas_noticias/2013/03/130327_ataque_ji.shtml>. Acesso
em: 09 jun. 2013.
SANTOS, Wellington. Método de detecção de ataques DDoS compostos baseados em
filtragem sequencial. Disponível em <http://www.comp.ime.eb.br/dissertacoes/2012-
Wellington_Hetmanek.pdf>. Acesso em 05 jun. 2013.
OLIVEIRA, L.; ASCHOFF, R.; LINS, B.; FEITOSA, E.; SADOK, D.. Avaliação de Proteção
contra Ataques de Negação de Serviço Distribuídos (DDoS) utilizando Lista de IPs
Confiáveis. Disponível em <http://www.lbd.dcc.ufmg.br/colecoes/sbseg/2007/008.pdf>. Acesso
em: 27 mai. 2013.
ASCHOFF, Rafael. ChkModel: Um mecanismo de defesa contra ataques DDoS. Disponível
em <http://www.cin.ufpe.br/~tg/2007-2/rra.pdf>. Acesso em: 03 jun. 2013.
6
7. BERTHOLDO, L.; ANDREOLI, A.; TAROUCO, L.. Compreendendo Ataques Denials of
Services. Disponível em <http://www.cert-rs.tche.br/docs_html/ddos-errc-2003.pdf>. Acesso
em: 01 abr. 2013.
KENNEY, Malachi. Ping of Death. Disponível em: <http://insecure.org/sploits/ping-o-
death.html>. Acesso em: 16 mai. 2013.
SCHLEMER, Elgio. O que é Syn Flood?. Disponível em
<http://www.vivaolinux.com.br/artigo/Iptables-protege-contra-SYN-FLOOD/?pagina=4>.
Acesso em 16 mai. 2013.
GARBER, Lee. Denial-of-Service Attacks Rip the Internet. Disponível em: Computer
Magazine, Abril 2000. <ftp://mail.im.tku.edu.tw/assistant/bearhero/00839316.pdf> Acesso em:
17 mai. 2013.
SOUZA, Andréa Bastos. Ataques de DoS: denial of service. Disponível em: Centro
Universitário Feevale. <tconline.feevale.br/tc/files/0001_746.doc>. Acesso em: 12 mai. 2013.
HOGAN, Will. Tecnologias da Web: o governo pode impedir ataques de DdoS?, Disponível
em: TechNet Magazine, Maio 2011. <http://technet.microsoft.com/pt-
br/magazine/hh237323.aspx>. Acesso em: 10 mai. 2013.
KARIG, David.; LEE, Ruby. Remote Denial of Service Attacks and Countermeasures.
Disponível em: Princeton University Department of Electral Engineering Technical Report.
<http://www.princeton.edu/~rblee/ELE572Papers/karig01DoS.pdf>. Acesso em: 13 mai. 2013.
LEE, Dave. 'Maior ataque cibernético da História' atinge internet em todo o mundo.
Disponível em:
<http://www.bbc.co.uk/portuguese/ultimas_noticias/2013/03/130327_ataque_ji.shtml>. Acesso
em: 09 jun. 2013.
SANTOS, Wellington. Método de detecção de ataques DDoS compostos baseados em
filtragem sequencial. Disponível em <http://www.comp.ime.eb.br/dissertacoes/2012-
Wellington_Hetmanek.pdf>. Acesso em 05 jun. 2013.
OLIVEIRA, L.; ASCHOFF, R.; LINS, B.; FEITOSA, E.; SADOK, D.. Avaliação de Proteção
contra Ataques de Negação de Serviço Distribuídos (DDoS) utilizando Lista de IPs
Confiáveis. Disponível em <http://www.lbd.dcc.ufmg.br/colecoes/sbseg/2007/008.pdf>. Acesso
em: 27 mai. 2013.
ASCHOFF, Rafael. ChkModel: Um mecanismo de defesa contra ataques DDoS. Disponível
em <http://www.cin.ufpe.br/~tg/2007-2/rra.pdf>. Acesso em: 03 jun. 2013.
6