SlideShare una empresa de Scribd logo

DoS: FORMAS DE ATAQUE E ESTRATÉGIAS DE DEFESA

Descargar como ODT, PDF
Renan Souza Daniel
Renan Souza Daniel

1) O documento discute ataques de negação de serviço (DoS) e suas estratégias de defesa, descrevendo vários tipos de ataques DoS e sua evolução para ataques distribuídos (DDoS). 2) É explicado que ataques DoS sobrecarregam servidores para impedir o acesso de usuários legítimos, e que técnicas como SYN flooding e ping of death são comumente usadas. 3) A evolução dos ataques DoS para DDoS é descrita, notando que agora hackers infect

1 de 7
DoS: FORMAS DE ATAQUE E ESTRATÉGIAS DE DEFESA Auro Felipe Sampaio Mota, Claudia Moreno Lopes de Andrade, José Wagner de Andrade Júnior, Renan de Souza Daniel, Otuany Dias Pereira dos Santos Silvério Instituto de Ciências Exatas - Universidade Federal de Itajubá (UNIFEI) Av. Benedito Pereira dos Santos, 1303, Itajubá – MG – Brazil auro@unifei.edu.br, {kaka.tarefas,juninho_andrade_1995}@hotmail.com, renansouzadaniel@yahoo.com.br, otuany.871@gmail.com Abstract. DoS attacks are expanding day after day, threatening the security and productivity of the business in the internet. Denial of Service attacks are fairly simple but very malleable, so it's hard to identify them, forecast them and elaborate defenses. This research intends to gather types of attack and list possible types of defensa against each one of them. Resumo. Os ataques DoS vêm crescendo dia após dia, ameaçando assim, a segurança e a produtividade das empresas na internet. Os ataques de Denial of Service são relativamente simples, porém, pela sua maleabilidade, torna-se difícil identificá-los, prevê-los e elaborar defesas. Pretende-se com essa pesquisa, reunir as formas de ataque e listar possíveis formas de defesa contra cada um deles. 1. Introdução Os ataques DoS vêm se tornando um tipo de ataque muito comum e invasivo contra sites e servidores de toda a web. Desde 1993, vêm atacando sites e servidores de importantes empresas na internet. Entre os dias 19 e 27 de março de 2013, a web viu o maior ataque de sua história. O grupo Spamhaus sofreu com tráfegos na casa dos 300Gbps. A empresa, com sedes em Genebra e Londres, alega que a companhia Cyberbunker é a responsável pelos ataques. Segundo especialistas, esse ocorrido deixou a internet mais lenta nos dias em que esteve em atividade [Lee 2013]. Porém, ao adentrar no universo desse assunto, percebemos que não há muitas pesquisas na área de defesa a esse ataque, fato que nos instigou a produzir essa pesquisa. O objetivo deste trabalho é explanar as formas de ataque, contextualizando-as, e propor uma sugestão de defesa para pesquisas posteriores. A próxima seção apresenta uma breve contextualização sobre o DoS, como esse foi evoluindo através do tempo. Na seção 2.1, abordamos quais são os tipos de ataques. Na seção 3, explicamos a evolução de DoS para DDoS. Nas próximas seções, propomos algumas formas de defesa para alguns tipos desse ataque. 2. Ataques DoS Criado nos primeiros anos da década de 90, os ataques do tipo DoS (Denial Of Service) têm chamado a atenção da mídia e de pessoas que trabalham na área de segurança de rede, principalmente nos últimos anos, quando vêm sendo empregados massivamente como forma de protesto a vários tipos de entidades. Os ataques DoS apareceram na mídia pela primeira vez quando, por dois dias, deixaram os servidores da Universidade de Minnesota fora do ar, em 1999. No ano seguinte, uma nova onda de ataques, cujos alvos foram a CNN, a Yahoo, o eBay e a Amazon, trouxeram-nos a debate
outra vez. Entre 2001 e 2005, eles ganharam ainda mais atenção da imprensa, chegando a causar prejuízos de mais de um milhão de dólares a empresas como a Yahoo. Eles passaram a ser utilizados principalmente por grupos de crime organizado como ameaça contra companhias de pequeno e médio porte. Desta forma, os hackers conseguiam extorquir dinheiro dessas empresas. Conforme cresciam, surgiam também departamentos especializados no combate a eles, como a britânica National Hi-Tech Crime Unit (NHTCU). Embora, em meados de 2000, a situação tivesse sido bem controlada, novas técnicas apareceram colaborando para o constante aumento dos ataques. Entre 2007 e 2009, ocorreu uma guerra cibernética entre países soviéticos. Rússia, Geórgia, Estônia e Azerbaijão tiveram vários servidores derrubados. Mais recentemente empresas como, YouTube, Twitter, Facebook e LiveJournal sofreram com os ataques. Atualmente, o acesso às ferramentas usadas nos ataques tornou-se amplo, permitindo que qualquer um, até mesmo leigos na informática, consiga realizá- lo. 2.1. O que são e quais os tipos de ataques DoS Apesar de possuírem diversas formas de atuação, estes ataques quase sempre procuram fazer com que um servidor ligado à rede mundial de computadores seja sobrecarregado, dificultando ou até impedindo o acesso de usuários, causando graves problemas para os donos destes servidores alvos. Dos ataques DoS, as estratégias mais utilizadas, citadas por Bertholdo et al (2003) são: “inundar uma rede visando impedir que usuários legítimos façam uso dela, impedir ou romper a conexão entre duas máquinas visando impedir o acesso a um serviço, impedir o acesso de um determinado serviço ou site, impedir ou negar um serviço a um sistema ou pessoa específicos”. Existem três tipos principais de ataques DoS: consumo da largura da banda, destruição de arquivos de configuração de rede, destruição física ou alterações de componentes da rede. • Consumo da largura total da banda: o invasor utiliza de vários computadores infectados por meio de vírus para entrar em um servidor, assim, inutilizando-o. Para cada computador que envia algo para o servidor, o mesmo tem que devolver a informação para o computador. Com a utilização de várias máquinas, o servidor acaba não conseguindo enviar a informação para todos, e assim, outros computadores que tentam acessar o servidor não conseguem. • Destruição de arquivos de configuração de rede: o invasor entra no servidor e destrói arquivos imprescindíveis para o funcionamento do mesmo. • Destruição física ou alteração dos componentes: esse tipo de ataque consiste na utilização de algum arquivo que possa fazer com que um sistema primordial para o funcionamento do servidor trave. Pode envolver computadores, roteadores, sistemas de refrigeração e questões de energia essenciais para que o sistema funcione. Para impedir o acesso a um site ou serviço hospedado na internet, o idealizador do ataque de negação de serviço conta com várias formas de ataque. Geralmente, procuram por falhas em sistemas operacionais e em protocolos de rede para, então, lançar os ataques, fazendo com que o provedor sobrecarregue e não aceite novas conexões. Entre os mais conhecidos, estão: Ping Of Death, SYN Flooding e UPD Packet Storm [Bertholdo et al 2003]. Muito simples e de fácil implementação, o Ping Of Death explora uma limitação de certos sistemas operacionais, como por exemplo o Windows 95 e NT, que não aceitam pacotes de dados maiores que 65535 bytes. Apesar de pacotes com este tamanho serem proibidos, usando uma fragmentação desses dados, pode-se fazer como que sejam aceitos, causando problemas como: reinicialização do servidor, queda de conexão e diminuição do tráfego de dados [Kenney 2
1996]. Sistemas operacionais recentes já possuem defesa contra este ataque, o que faz como que não seja muito utilizado. Porém, ainda existem servidores vulneráveis. Utilizando falhas no protocolo TCP, o SYN Flooding é um modo de ataque eficiente e que ainda é muito usado. Para entendê-lo, é necessário conhecer como uma conexão com protocolo TCP é feita: esse procedimento é conhecido como “handshake de três vias”. Na primeira etapa, o cliente entra com um pedido de conexão com o servidor, que é um pacote TCP sem dados e com a flag SYN (Synchronization) ativada. Na segunda etapa, o servidor, se quiser e for possível, devolve o pacote ainda sem dados com as flags SYN e ACK (acknowledge) ativadas, dando permissão ao cliente. Na terceira e última etapa, se o cliente quiser manter a conexão, ele deve enviar o pacote de volta com a flag ACK ligada e a SYN desligada. Assim, a conexão está concluída e o tráfego de dados pode começar. Na segunda etapa, se o servidor quiser e puder estabelecer a conexão, alocará recursos de hardware para realizar a conexão. Utilizando desse sistema, um ataque SYN Flooding requisitará conexão, mas não responderá na terceira etapa. O servidor esperará pela resposta por algum tempo e cancelará a conexão: como já tinha utilizado alguns recursos esperando a conexão, fará com que o tráfego da rede fique mais lento. Fazendo este procedimento repetidamente dentro de intervalos regulares, o SYN Flooding consegue sobrecarregar a rede de tal maneira que nenhuma nova conexão seja possível [Schlemer 2007]. Existe uma grande vantagem desse sistema de ataque: o firewall do servidor, quando percebe que existe uma conexão que nunca é concluída, diminui o tempo de espera. Isso acaba ajudando o idealizador do ataque que, por causa da diminuição do tempo, poderá enviar a requisição mais vezes num intervalo menor de tempo, potencializando o ataque. Utilizando a tecnologia UDP (User Datagram Protocol), os ataques UDP Packet Storm tem o grande diferencial de atacarem dois servidores de uma só vez. Enviando pacotes de dados com o retorno alterado a um servidor alvo, este tentará se comunicar como o servidor de retorno previamente alterado pelo planejador do ataque [Garber 2000]. Depois de receber os dados, o segundo servidor alvo repetirá o pacote de dados enviado pelo idealizador do ataque, criando um loop de envio de dados. Enquanto os servidores estiverem trocando os mesmos dados, a rede fica congestionada e nenhuma nova conexão é possível. Também é possível que os dois servidores alvo sejam ambos de envio e repetição de dados: assim o ataque é mais eficiente, dificultando a defesa e manutenção da rede afetada. Uma variação dos ataques DoS é o DDoS (Distributed Denial Of Service). Este utiliza de computadores “zumbis” que foram infectados previamente pelo idealizador da ação negadora de serviço através de vírus e malwares. Estes computadores, a partir do momento da infecção, são programados para que em uma data e horário específicos, comecem a solicitar informações de um servidor alvo. Assim, esta variação de ataque é muito mais eficaz e pode manter um servidor inativo por muito mais tempo. O ataque por inundação, também conhecido por "Smurf Atack" tem como forma de funcionamento o uso de diversos IP's para acessar um servidor onde, que se feita por uma determinada quantia de computadores utilizados na sub-rede em questão pacotes de ICMP "Internet Control Message Protocol"(Os computadores da rede usam o protocolo ICMP para enviar mensagens de erro.), sejam mandados para o IP da vítima fazendo com que a conexão fique congestionada ou bloqueada. 3. História do DoS e evolução para DDoS Na literatura, há controvérsia quanto ao surgimento dos ataques DoS. Embora algumas fontes afirmem que eles hajam sido desenvolvidos em 1993, outras afirmam que foram somente dois 3
anos mais tarde, em 1995. De acordo com [Souza 2006], o objetivo de um ataque DoS é “impedir que usuários legítimos utilizem um determinado serviço de computador”. Em outras palavras, os hackers visavam, por meio dos ataques, derrubar servidores, inviabilizando o acesso à informação por parte dos outros usuários. Ainda na época em que o Windows 95 era a grande novidade no mercado, os ataques eram relativamente fáceis de serem realizados. Uma forma de fazê-lo é explorar uma limitação do próprio sistema operacional da Microsoft, que, até nas versões atuais, não aceita mais de 65535 conexões simultâneas [Hogan 2011]. Ao atingir esse número máximo de conexões com o servidor, ele impede que qualquer outra conexão seja realizada enquanto outra não for interrompida. Entre os resultados, cita-se reinicialização do servidor, queda de conexão e diminuição do tráfego de dados. Nesta época, havia dois tipos mais comuns de ataques: os que tentam criar um erro no servidor, para que haja mal funcionamento; e os que visam preencher toda a capacidade do servidor, evitando que ele responda a outros processos. O primeiro destes pode ser realizado por meio do “ping da morte”. Basicamente, ao enviar solicitações de ping de valor muito alto, o servidor tem dificuldade em responder, gerando erros na comunicação. Contudo, os roteadores mais novos têm capacidade de ignorar essas solicitações, evitando também as falhas. A segunda opção pode ser realizada ao estabelecer múltiplas conexões, como descrito no segundo parágrafo. Ao perceber isso, uma estratégia de defesa foi desenvolvida. Os servidores, a partir de então, não responderiam a mais de um número pré-definido de conexões de um mesmo usuário, limitando a cinco ou seis apenas. Visto isso, foi necessária uma reformulação nos ataques DoS. Os hackers passaram a propagar malwares (do inglês, malicious software) que continham comandos para que o computador infectado servisse de origem desse ataque. Como no final da década de 90 os usuários ainda não tinham conexões muito poderosas, o alvo dos hackers era, basicamente, infectar empresas. Assim, surgiram os ataques distribuídos, chamados de DDoS (Distributed Denial of Service). O primeiro caso que chamou a atenção da comunidade científica foi um ataque realizado contra a Universidade de Minnesota, em agosto de 1999, deixando os servidores fora do ar por quase três dias. Cerca de cinco meses mais tarde, um adolescente infectou uma série de servidores, que serviam como “computadores zumbis”, e atacou várias empresas, tais quais Yahoo, a Amazon, a eBay e a CNN [Karig et al 2001]. Esse ocorrido é tido como um divisor de águas na história do DoS. 4. Formas de defesa Existem várias técnicas para apurar e defender um servidor de ataques DoS. Desde equipamentos, firewalls, antivírus, páginas de autenticação até técnicas de detecção que monitoram o nível de atividade da rede [Santos 2012]. Os “Sistemas de Detecção de Intrusão” (SDI) são ferramentas de detecção de tráfego malicioso que funcionam por meio de softwares. Esses sistemas conseguem detectar vários tipos de comportamento perigosos que chegam a um servidor, como ataques a serviços vulneráveis, acesso não autorizado, logins não autorizados e malwares. Pode-se dizer que estes sistemas complementam as habilidades de monitoramento de um firewall. Como já citado anteriormente, ataques DoS e DDoS são difíceis de se detectar com antecedência por não ser clara a distinção entre tráfego de ataque e tráfego de usuários legítimos, sendo então quase impossível estruturar uma forma de defesa de total eficiência. Levando em consideração a análise sobre os ataques DDoS que mostra que apenas 0,6% a 14% dos endereços de IP envolvidos em um ataque já mantiveram algum tipo de conexão com 4
o servidor no passado, pode-se adotar uma forma de defesa que limita a largura da banda disponível para IPs que não tenham histórico de acesso a determinado servidor, criando uma lista de IPs confiáveis (TIL). No caso de um ataque, o TIL compara os endereços de IP que estão pedindo acesso com os já armazenados e, assim, determina quais conexões devem ter o tráfego limitado ou bloqueado. Esta forma de defesa opera por meio de três módulos, que juntos formam o sistema de defesa: ChkModel, TIT (Trusted IP Table, do inglês, tabela de IPs confiáveis) e o limitador de banda [Oliveira et al 2007]. O primeiro módulo é responsável, através da coleta, por monitorar os IPs que tentam conexão com o servidor, analisando-os e organizando-os em pacotes estruturados, para, em seguida, encaminhá-los para uma lista com os endereços considerados confiáveis para o módulo TIT. Também é responsável pela detecção de ataques, comparando o fluxo de conexões com modelos previamente determinados. O módulo TIT armazena uma lista já conhecida de IPs confiáveis e a atualiza usando um algoritmo em particular e, com base nela, gerencia as conexões por meio de duas tabelas: uma que armazena os endereços IP de origem que ingressaram na rede, e outra que acondiciona a lista de clientes legítimos. Compara-se, então, as duas, sendo possível identificar o número de novos IPs na rede no período de tempo em questão. Tal tempo de chegada é monitorado para evitar que a lista de IPs creça indefinidamente e impeça clientes que não mais acessam a rede, evitando então operar além do espaço disponível para armazenamento. Com base na lista de IPs confiáveis, o limitador de banda, como o nome sugere, gerencia a quantidade de tráfego disponível para o IP que requisita a conexão. Se este não estiver na lista de IPs confiáveis, terá sua banda limitada enquanto não tiver tempo de conexão suficiente para ser considerado confiável. Outro tipo de mecanismo de segurança é o D-WARD. Ele monitora o comportamento de cada conexão estabelecida com o servidor, procurando por dificuldades de conexão e, dentro de intervalos de tempo, compara os resultados obtidos com um modelo de tráfego normal. Se for detectado um ataque DoS, o D-WARD restringe o acesso do IP malicioso [Aschoff 2007]. Apesar de ser um sistema eficiente, tem que ser implantado em todos os pontos de rede, o que o torna um mecanismo de alto custo quanto à mão-de-obra e de difícil implementação. 5. Conclusão Neste artigo, vimos que os ataques DoS e DDoS podem ser realizados de diversas maneiras, pelas mais diversas razões. Portanto, ainda é muito difícil, embora muito tenha sido feito, para combatê-los. Hoje, uma grande parcela do terrorismo cibernético se deve a esses ataques e é importante que a infraestrutura das redes, a segurança etc, melhorem para que esses problemas sejam, senão evitados, minimizados. Pesquisas futuras devem ser feitas procurando diminuir ao máximo a frequência e intensidade dos ataques, porque a internet, hoje, se tornou uma ferramenta imprescindível à vida humana. Ataques de larga escala podem, como dito anteriormente, causar prejuízos enormes à economia mundial e, é claro, às pessoas, que, mais do que nunca, dependem dos bens oferecidos pela web: comunicação, informação, entretenimento, trabalho etc. 6. Referências JORDÃO, F.. DDoS: Como funciona um ataque distribuído por negação de serviço. Disponível em :<http://www.tecmundo.com.br/seguranca/10970-ddos-como-funciona-um- ataque-distribuido-por-negacao-de-servico.html>. Acesso em: 02 abr. 2013. SOLHA, L.; TEIXEIRA, R.; PICCOLINI, J.. Tudo que você precisa sabe sobre os ataques DDoS. Disponível em <http://www.rnp.br/newsgen/0003/ddos.html>. Acesso em: 03 abr. 2013. 5
BERTHOLDO, L.; ANDREOLI, A.; TAROUCO, L.. Compreendendo Ataques Denials of Services. Disponível em <http://www.cert-rs.tche.br/docs_html/ddos-errc-2003.pdf>. Acesso em: 01 abr. 2013. KENNEY, Malachi. Ping of Death. Disponível em: <http://insecure.org/sploits/ping-o- death.html>. Acesso em: 16 mai. 2013. SCHLEMER, Elgio. O que é Syn Flood?. Disponível em <http://www.vivaolinux.com.br/artigo/Iptables-protege-contra-SYN-FLOOD/?pagina=4>. Acesso em 16 mai. 2013. GARBER, Lee. Denial-of-Service Attacks Rip the Internet. Disponível em: Computer Magazine, Abril 2000. <ftp://mail.im.tku.edu.tw/assistant/bearhero/00839316.pdf> Acesso em: 17 mai. 2013. SOUZA, Andréa Bastos. Ataques de DoS: denial of service. Disponível em: Centro Universitário Feevale. <tconline.feevale.br/tc/files/0001_746.doc>. Acesso em: 12 mai. 2013. HOGAN, Will. Tecnologias da Web: o governo pode impedir ataques de DdoS?, Disponível em: TechNet Magazine, Maio 2011. <http://technet.microsoft.com/pt- br/magazine/hh237323.aspx>. Acesso em: 10 mai. 2013. KARIG, David.; LEE, Ruby. Remote Denial of Service Attacks and Countermeasures. Disponível em: Princeton University Department of Electral Engineering Technical Report. <http://www.princeton.edu/~rblee/ELE572Papers/karig01DoS.pdf>. Acesso em: 13 mai. 2013. LEE, Dave. 'Maior ataque cibernético da História' atinge internet em todo o mundo. Disponível em: <http://www.bbc.co.uk/portuguese/ultimas_noticias/2013/03/130327_ataque_ji.shtml>. Acesso em: 09 jun. 2013. SANTOS, Wellington. Método de detecção de ataques DDoS compostos baseados em filtragem sequencial. Disponível em <http://www.comp.ime.eb.br/dissertacoes/2012- Wellington_Hetmanek.pdf>. Acesso em 05 jun. 2013. OLIVEIRA, L.; ASCHOFF, R.; LINS, B.; FEITOSA, E.; SADOK, D.. Avaliação de Proteção contra Ataques de Negação de Serviço Distribuídos (DDoS) utilizando Lista de IPs Confiáveis. Disponível em <http://www.lbd.dcc.ufmg.br/colecoes/sbseg/2007/008.pdf>. Acesso em: 27 mai. 2013. ASCHOFF, Rafael. ChkModel: Um mecanismo de defesa contra ataques DDoS. Disponível em <http://www.cin.ufpe.br/~tg/2007-2/rra.pdf>. Acesso em: 03 jun. 2013. 6
BERTHOLDO, L.; ANDREOLI, A.; TAROUCO, L.. Compreendendo Ataques Denials of Services. Disponível em <http://www.cert-rs.tche.br/docs_html/ddos-errc-2003.pdf>. Acesso em: 01 abr. 2013. KENNEY, Malachi. Ping of Death. Disponível em: <http://insecure.org/sploits/ping-o- death.html>. Acesso em: 16 mai. 2013. SCHLEMER, Elgio. O que é Syn Flood?. Disponível em <http://www.vivaolinux.com.br/artigo/Iptables-protege-contra-SYN-FLOOD/?pagina=4>. Acesso em 16 mai. 2013. GARBER, Lee. Denial-of-Service Attacks Rip the Internet. Disponível em: Computer Magazine, Abril 2000. <ftp://mail.im.tku.edu.tw/assistant/bearhero/00839316.pdf> Acesso em: 17 mai. 2013. SOUZA, Andréa Bastos. Ataques de DoS: denial of service. Disponível em: Centro Universitário Feevale. <tconline.feevale.br/tc/files/0001_746.doc>. Acesso em: 12 mai. 2013. HOGAN, Will. Tecnologias da Web: o governo pode impedir ataques de DdoS?, Disponível em: TechNet Magazine, Maio 2011. <http://technet.microsoft.com/pt- br/magazine/hh237323.aspx>. Acesso em: 10 mai. 2013. KARIG, David.; LEE, Ruby. Remote Denial of Service Attacks and Countermeasures. Disponível em: Princeton University Department of Electral Engineering Technical Report. <http://www.princeton.edu/~rblee/ELE572Papers/karig01DoS.pdf>. Acesso em: 13 mai. 2013. LEE, Dave. 'Maior ataque cibernético da História' atinge internet em todo o mundo. Disponível em: <http://www.bbc.co.uk/portuguese/ultimas_noticias/2013/03/130327_ataque_ji.shtml>. Acesso em: 09 jun. 2013. SANTOS, Wellington. Método de detecção de ataques DDoS compostos baseados em filtragem sequencial. Disponível em <http://www.comp.ime.eb.br/dissertacoes/2012- Wellington_Hetmanek.pdf>. Acesso em 05 jun. 2013. OLIVEIRA, L.; ASCHOFF, R.; LINS, B.; FEITOSA, E.; SADOK, D.. Avaliação de Proteção contra Ataques de Negação de Serviço Distribuídos (DDoS) utilizando Lista de IPs Confiáveis. Disponível em <http://www.lbd.dcc.ufmg.br/colecoes/sbseg/2007/008.pdf>. Acesso em: 27 mai. 2013. ASCHOFF, Rafael. ChkModel: Um mecanismo de defesa contra ataques DDoS. Disponível em <http://www.cin.ufpe.br/~tg/2007-2/rra.pdf>. Acesso em: 03 jun. 2013. 6

Recomendados

DDoS - Ataque de negação de serviço
DDoS - Ataque de negação de serviçoDDoS - Ataque de negação de serviço
DDoS - Ataque de negação de serviçoGustavo Neves
 
Ataque DoS e DDoS
Ataque DoS e DDoSAtaque DoS e DDoS
Ataque DoS e DDoSRommel Teles
 
Documentação Ataques DOS, DDOS e Scamming
Documentação Ataques DOS, DDOS e ScammingDocumentação Ataques DOS, DDOS e Scamming
Documentação Ataques DOS, DDOS e ScammingAricelio Souza
 
Ataques DOS, DDOS e Scamming
Ataques DOS, DDOS e ScammingAtaques DOS, DDOS e Scamming
Ataques DOS, DDOS e ScammingAricelio Souza
 
Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)
Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)
Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)Carlos Henrique Martins da Silva
 
Aula 7 - Ataque de Força Bruta
Aula 7 - Ataque de Força BrutaAula 7 - Ataque de Força Bruta
Aula 7 - Ataque de Força BrutaCarlos Henrique Martins da Silva
 
DDoS
DDoSDDoS
DDoSGuilherme Farias
 
D do s
D do sD do s
D do sLeandro Almeida
 

Recomendados

DDoS - Ataque de negação de serviço
DDoS - Ataque de negação de serviçoDDoS - Ataque de negação de serviço
DDoS - Ataque de negação de serviçoGustavo Neves
 
Ataque DoS e DDoS
Ataque DoS e DDoSAtaque DoS e DDoS
Ataque DoS e DDoSRommel Teles
 
Documentação Ataques DOS, DDOS e Scamming
Documentação Ataques DOS, DDOS e ScammingDocumentação Ataques DOS, DDOS e Scamming
Documentação Ataques DOS, DDOS e ScammingAricelio Souza
 
Ataques DOS, DDOS e Scamming
Ataques DOS, DDOS e ScammingAtaques DOS, DDOS e Scamming
Ataques DOS, DDOS e ScammingAricelio Souza
 
Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)
Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)
Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)Carlos Henrique Martins da Silva
 
Aula 7 - Ataque de Força Bruta
Aula 7 - Ataque de Força BrutaAula 7 - Ataque de Força Bruta
Aula 7 - Ataque de Força BrutaCarlos Henrique Martins da Silva
 
DDoS
DDoSDDoS
DDoSGuilherme Farias
 
D do s
D do sD do s
D do sLeandro Almeida
 
DNS - Domain Name System
DNS - Domain Name SystemDNS - Domain Name System
DNS - Domain Name SystemCarlos Rodrigo de Araujo
 
Filtro de conteúdo Proxy
Filtro de conteúdo ProxyFiltro de conteúdo Proxy
Filtro de conteúdo ProxyCarlos Rodrigo de Araujo
 
Ataques na internet
Ataques na internetAtaques na internet
Ataques na internetAna Júlia Damião
 
Unidade3 seg perimetral-proxy
Unidade3 seg perimetral-proxyUnidade3 seg perimetral-proxy
Unidade3 seg perimetral-proxyLeandro Almeida
 
Ataques na internet
Ataques na internetAtaques na internet
Ataques na internetPatrícia Morais
 
Invasão e Segurança
Invasão e SegurançaInvasão e Segurança
Invasão e SegurançaCarlos Henrique Martins da Silva
 
03 estrategia-ddos
03 estrategia-ddos03 estrategia-ddos
03 estrategia-ddosPavel Odintsov
 
7 - segurança - dmz vpn
7 - segurança - dmz vpn7 - segurança - dmz vpn
7 - segurança - dmz vpnAndre Peres
 
Ultrasurf - Entendendo e bloqueando
Ultrasurf - Entendendo e bloqueandoUltrasurf - Entendendo e bloqueando
Ultrasurf - Entendendo e bloqueandomarcusburghardt
 
Sistemas Distribuídos - Aula 08 - Segurança
Sistemas Distribuídos - Aula 08 - SegurançaSistemas Distribuídos - Aula 08 - Segurança
Sistemas Distribuídos - Aula 08 - SegurançaArthur Emanuel
 
FISL11: Protegendo webservers na intranet contra ataques Man-In-The-Middle
FISL11: Protegendo webservers na intranet contra ataques Man-In-The-MiddleFISL11: Protegendo webservers na intranet contra ataques Man-In-The-Middle
FISL11: Protegendo webservers na intranet contra ataques Man-In-The-MiddleFernando Mercês
 
Vpn alan-rafael
Vpn alan-rafaelVpn alan-rafael
Vpn alan-rafaelPaulo Henrique Henrique
 
Agility Networks - F5 GTM v20131009a
Agility Networks - F5 GTM v20131009aAgility Networks - F5 GTM v20131009a
Agility Networks - F5 GTM v20131009aAgility Networks
 
Estratégia e Modelos de Negócio
Estratégia e Modelos de NegócioEstratégia e Modelos de Negócio
Estratégia e Modelos de NegócioFelipe Pereira
 
O que é Business Intelligence (BI)
O que é Business Intelligence (BI)O que é Business Intelligence (BI)
O que é Business Intelligence (BI)Marco Garcia
 
Linguistica abril mail 1
Linguistica abril mail 1Linguistica abril mail 1
Linguistica abril mail 1Margarita Gamarra
 
uso del e-mail
uso del e-mailuso del e-mail
uso del e-mailibosaul
 
Plantilla Compte de Resultats
Plantilla Compte de ResultatsPlantilla Compte de Resultats
Plantilla Compte de ResultatsAlfonso Perdrix Ecequiel
 
Taboao
TaboaoTaboao
TaboaoIsabela Dourado
 
Informe de lectura. met
Informe de lectura. metInforme de lectura. met
Informe de lectura. metViviana Ramírez
 
¿Cómo abrir una cuenta en hotmail?
¿Cómo abrir una cuenta en hotmail?¿Cómo abrir una cuenta en hotmail?
¿Cómo abrir una cuenta en hotmail?male_tati
 
Edital concurso caema,são luis do maranhão
Edital concurso caema,são luis do maranhãoEdital concurso caema,são luis do maranhão
Edital concurso caema,são luis do maranhãoPedro Álvares
 

Más contenido relacionado

La actualidad más candente

Unidade3 seg perimetral-proxy
Unidade3 seg perimetral-proxyUnidade3 seg perimetral-proxy
Unidade3 seg perimetral-proxyLeandro Almeida
 
7 - segurança - dmz vpn
7 - segurança - dmz vpn7 - segurança - dmz vpn
7 - segurança - dmz vpnAndre Peres
 
Ultrasurf - Entendendo e bloqueando
Ultrasurf - Entendendo e bloqueandoUltrasurf - Entendendo e bloqueando
Ultrasurf - Entendendo e bloqueandomarcusburghardt
 
Sistemas Distribuídos - Aula 08 - Segurança
Sistemas Distribuídos - Aula 08 - SegurançaSistemas Distribuídos - Aula 08 - Segurança
Sistemas Distribuídos - Aula 08 - SegurançaArthur Emanuel
 
FISL11: Protegendo webservers na intranet contra ataques Man-In-The-Middle
FISL11: Protegendo webservers na intranet contra ataques Man-In-The-MiddleFISL11: Protegendo webservers na intranet contra ataques Man-In-The-Middle
FISL11: Protegendo webservers na intranet contra ataques Man-In-The-MiddleFernando Mercês
 
Agility Networks - F5 GTM v20131009a
Agility Networks - F5 GTM v20131009aAgility Networks - F5 GTM v20131009a
Agility Networks - F5 GTM v20131009aAgility Networks
 

La actualidad más candente (13)

DNS - Domain Name System
DNS - Domain Name SystemDNS - Domain Name System
DNS - Domain Name System
 
Filtro de conteúdo Proxy
Filtro de conteúdo ProxyFiltro de conteúdo Proxy
Filtro de conteúdo Proxy
 
Ataques na internet
Ataques na internetAtaques na internet
Ataques na internet
 
Unidade3 seg perimetral-proxy
Unidade3 seg perimetral-proxyUnidade3 seg perimetral-proxy
Unidade3 seg perimetral-proxy
 
Ataques na internet
Ataques na internetAtaques na internet
Ataques na internet
 
Invasão e Segurança
Invasão e SegurançaInvasão e Segurança
Invasão e Segurança
 
03 estrategia-ddos
03 estrategia-ddos03 estrategia-ddos
03 estrategia-ddos
 
7 - segurança - dmz vpn
7 - segurança - dmz vpn7 - segurança - dmz vpn
7 - segurança - dmz vpn
 
Ultrasurf - Entendendo e bloqueando
Ultrasurf - Entendendo e bloqueandoUltrasurf - Entendendo e bloqueando
Ultrasurf - Entendendo e bloqueando
 
Sistemas Distribuídos - Aula 08 - Segurança
Sistemas Distribuídos - Aula 08 - SegurançaSistemas Distribuídos - Aula 08 - Segurança
Sistemas Distribuídos - Aula 08 - Segurança
 
FISL11: Protegendo webservers na intranet contra ataques Man-In-The-Middle
FISL11: Protegendo webservers na intranet contra ataques Man-In-The-MiddleFISL11: Protegendo webservers na intranet contra ataques Man-In-The-Middle
FISL11: Protegendo webservers na intranet contra ataques Man-In-The-Middle
 
Vpn alan-rafael
Vpn alan-rafaelVpn alan-rafael
Vpn alan-rafael
 
Agility Networks - F5 GTM v20131009a
Agility Networks - F5 GTM v20131009aAgility Networks - F5 GTM v20131009a
Agility Networks - F5 GTM v20131009a
 

Destacado

Estratégia e Modelos de Negócio
Estratégia e Modelos de NegócioEstratégia e Modelos de Negócio
Estratégia e Modelos de NegócioFelipe Pereira
 
O que é Business Intelligence (BI)
O que é Business Intelligence (BI)O que é Business Intelligence (BI)
O que é Business Intelligence (BI)Marco Garcia
 
uso del e-mail
uso del e-mailuso del e-mail
uso del e-mailibosaul
 
¿Cómo abrir una cuenta en hotmail?
¿Cómo abrir una cuenta en hotmail?¿Cómo abrir una cuenta en hotmail?
¿Cómo abrir una cuenta en hotmail?male_tati
 
Edital concurso caema,são luis do maranhão
Edital concurso caema,são luis do maranhãoEdital concurso caema,são luis do maranhão
Edital concurso caema,são luis do maranhãoPedro Álvares
 
Curso de despachante 1 port instr.
Curso de despachante 1 port instr.Curso de despachante 1 port instr.
Curso de despachante 1 port instr.Rotivtheb
 
Introduccion a MOSS 2007
Introduccion a MOSS 2007Introduccion a MOSS 2007
Introduccion a MOSS 2007Luis Du Solier
 
TJ/GO Juiz Substituto
TJ/GO Juiz SubstitutoTJ/GO Juiz Substituto
TJ/GO Juiz SubstitutoCurso Forum
 
Bigmac
BigmacBigmac
Bigmackey
 
Bol sistemas
Bol sistemasBol sistemas
Bol sistemasverinlaza
 
Actividades de verano
Actividades de veranoActividades de verano
Actividades de veranoelsaviceversa
 

Destacado (20)

Estratégia e Modelos de Negócio
Estratégia e Modelos de NegócioEstratégia e Modelos de Negócio
Estratégia e Modelos de Negócio
 
O que é Business Intelligence (BI)
O que é Business Intelligence (BI)O que é Business Intelligence (BI)
O que é Business Intelligence (BI)
 
Linguistica abril mail 1
Linguistica abril mail 1Linguistica abril mail 1
Linguistica abril mail 1
 
uso del e-mail
uso del e-mailuso del e-mail
uso del e-mail
 
Plantilla Compte de Resultats
Plantilla Compte de ResultatsPlantilla Compte de Resultats
Plantilla Compte de Resultats
 
Taboao
TaboaoTaboao
Taboao
 
Informe de lectura. met
Informe de lectura. metInforme de lectura. met
Informe de lectura. met
 
¿Cómo abrir una cuenta en hotmail?
¿Cómo abrir una cuenta en hotmail?¿Cómo abrir una cuenta en hotmail?
¿Cómo abrir una cuenta en hotmail?
 
Edital concurso caema,são luis do maranhão
Edital concurso caema,são luis do maranhãoEdital concurso caema,são luis do maranhão
Edital concurso caema,são luis do maranhão
 
Curso de despachante 1 port instr.
Curso de despachante 1 port instr.Curso de despachante 1 port instr.
Curso de despachante 1 port instr.
 
Código de Processo Penal
Código de Processo PenalCódigo de Processo Penal
Código de Processo Penal
 
Universidades de Brasil
Universidades de BrasilUniversidades de Brasil
Universidades de Brasil
 
Introduccion a MOSS 2007
Introduccion a MOSS 2007Introduccion a MOSS 2007
Introduccion a MOSS 2007
 
Web service
Web serviceWeb service
Web service
 
TJ/GO Juiz Substituto
TJ/GO Juiz SubstitutoTJ/GO Juiz Substituto
TJ/GO Juiz Substituto
 
Bigmac
BigmacBigmac
Bigmac
 
Exposições artes
Exposições artesExposições artes
Exposições artes
 
Bol sistemas
Bol sistemasBol sistemas
Bol sistemas
 
Ma
MaMa
Ma
 
Actividades de verano
Actividades de veranoActividades de verano
Actividades de verano
 

Similar a DoS: FORMAS DE ATAQUE E ESTRATÉGIAS DE DEFESA

Estudo de caso segurança computação distribuída
Estudo de caso segurança computação distribuídaEstudo de caso segurança computação distribuída
Estudo de caso segurança computação distribuídaRicardo Nagel
 
manual_ufcd_1421_segurana_informatica.pdf
manual_ufcd_1421_segurana_informatica.pdfmanual_ufcd_1421_segurana_informatica.pdf
manual_ufcd_1421_segurana_informatica.pdfCarlos Gomes
 
Segurança e Auditoria de sistemas
Segurança e Auditoria de sistemasSegurança e Auditoria de sistemas
Segurança e Auditoria de sistemasWesley Gimenes
 
Apresentação sobre DDoS - Semana da Computação - Thiago Escobar
Apresentação sobre DDoS - Semana da Computação - Thiago EscobarApresentação sobre DDoS - Semana da Computação - Thiago Escobar
Apresentação sobre DDoS - Semana da Computação - Thiago EscobarThiago Escobar
 
Segurança nas redes e internet
Segurança nas redes e internetSegurança nas redes e internet
Segurança nas redes e internetAna Lúcia Albano
 
Conceitos BáSicos Sobre SegurançA Parte 2
Conceitos BáSicos Sobre SegurançA Parte 2Conceitos BáSicos Sobre SegurançA Parte 2
Conceitos BáSicos Sobre SegurançA Parte 2Felipe Santos
 
Segurança dos Sistemas Operativos
Segurança dos Sistemas OperativosSegurança dos Sistemas Operativos
Segurança dos Sistemas OperativosPedro Marmelo
 
A seguranca dos sistemas operativos
A seguranca dos sistemas operativosA seguranca dos sistemas operativos
A seguranca dos sistemas operativosRodrigovieira99
 
Phishing - CAPTURANDO SENHAS DO FACEBOOK COM O XPLOITV.NET
Phishing - CAPTURANDO SENHAS DO FACEBOOK COM O XPLOITV.NETPhishing - CAPTURANDO SENHAS DO FACEBOOK COM O XPLOITV.NET
Phishing - CAPTURANDO SENHAS DO FACEBOOK COM O XPLOITV.NETRicardo Ferreira
 
Conceitos BáSicos Sobre SegurançA Parte 3
Conceitos BáSicos Sobre SegurançA Parte 3Conceitos BáSicos Sobre SegurançA Parte 3
Conceitos BáSicos Sobre SegurançA Parte 3Felipe Santos
 
aula-02-tc3a9cnicas-comuns-de-ataques-ataques-para-obtenc3a7c3a3o-de-informac...
aula-02-tc3a9cnicas-comuns-de-ataques-ataques-para-obtenc3a7c3a3o-de-informac...aula-02-tc3a9cnicas-comuns-de-ataques-ataques-para-obtenc3a7c3a3o-de-informac...
aula-02-tc3a9cnicas-comuns-de-ataques-ataques-para-obtenc3a7c3a3o-de-informac...Everson Santos
 
Os maiores riscos de segurança
Os maiores riscos de segurançaOs maiores riscos de segurança
Os maiores riscos de segurançaYuri Dantas
 

Similar a DoS: FORMAS DE ATAQUE E ESTRATÉGIAS DE DEFESA (20)

Ataque Dos
Ataque DosAtaque Dos
Ataque Dos
 
Estudo de caso segurança computação distribuída
Estudo de caso segurança computação distribuídaEstudo de caso segurança computação distribuída
Estudo de caso segurança computação distribuída
 
DDOS
DDOSDDOS
DDOS
 
manual_ufcd_1421_segurana_informatica.pdf
manual_ufcd_1421_segurana_informatica.pdfmanual_ufcd_1421_segurana_informatica.pdf
manual_ufcd_1421_segurana_informatica.pdf
 
Seg info
Seg infoSeg info
Seg info
 
Segurança e Auditoria de sistemas
Segurança e Auditoria de sistemasSegurança e Auditoria de sistemas
Segurança e Auditoria de sistemas
 
Apresentação sobre DDoS - Semana da Computação - Thiago Escobar
Apresentação sobre DDoS - Semana da Computação - Thiago EscobarApresentação sobre DDoS - Semana da Computação - Thiago Escobar
Apresentação sobre DDoS - Semana da Computação - Thiago Escobar
 
Trabalho de segurança
Trabalho de segurançaTrabalho de segurança
Trabalho de segurança
 
Capitulo9788575221365
Capitulo9788575221365Capitulo9788575221365
Capitulo9788575221365
 
Segurança nas redes e internet
Segurança nas redes e internetSegurança nas redes e internet
Segurança nas redes e internet
 
Conceitos BáSicos Sobre SegurançA Parte 2
Conceitos BáSicos Sobre SegurançA Parte 2Conceitos BáSicos Sobre SegurançA Parte 2
Conceitos BáSicos Sobre SegurançA Parte 2
 
Segurança dos Sistemas Operativos
Segurança dos Sistemas OperativosSegurança dos Sistemas Operativos
Segurança dos Sistemas Operativos
 
A seguranca dos sistemas operativos
A seguranca dos sistemas operativosA seguranca dos sistemas operativos
A seguranca dos sistemas operativos
 
Phishing - CAPTURANDO SENHAS DO FACEBOOK COM O XPLOITV.NET
Phishing - CAPTURANDO SENHAS DO FACEBOOK COM O XPLOITV.NETPhishing - CAPTURANDO SENHAS DO FACEBOOK COM O XPLOITV.NET
Phishing - CAPTURANDO SENHAS DO FACEBOOK COM O XPLOITV.NET
 
Conceitos BáSicos Sobre SegurançA Parte 3
Conceitos BáSicos Sobre SegurançA Parte 3Conceitos BáSicos Sobre SegurançA Parte 3
Conceitos BáSicos Sobre SegurançA Parte 3
 
Segurança em sistemas distribuidos
Segurança em sistemas distribuidosSegurança em sistemas distribuidos
Segurança em sistemas distribuidos
 
Fundamentos por terminar
Fundamentos por terminarFundamentos por terminar
Fundamentos por terminar
 
aula-02-tc3a9cnicas-comuns-de-ataques-ataques-para-obtenc3a7c3a3o-de-informac...
aula-02-tc3a9cnicas-comuns-de-ataques-ataques-para-obtenc3a7c3a3o-de-informac...aula-02-tc3a9cnicas-comuns-de-ataques-ataques-para-obtenc3a7c3a3o-de-informac...
aula-02-tc3a9cnicas-comuns-de-ataques-ataques-para-obtenc3a7c3a3o-de-informac...
 
Unidade 2.2 ameaças
Unidade 2.2 ameaçasUnidade 2.2 ameaças
Unidade 2.2 ameaças
 
Os maiores riscos de segurança
Os maiores riscos de segurançaOs maiores riscos de segurança
Os maiores riscos de segurança
 

DoS: FORMAS DE ATAQUE E ESTRATÉGIAS DE DEFESA

  • 1. DoS: FORMAS DE ATAQUE E ESTRATÉGIAS DE DEFESA Auro Felipe Sampaio Mota, Claudia Moreno Lopes de Andrade, José Wagner de Andrade Júnior, Renan de Souza Daniel, Otuany Dias Pereira dos Santos Silvério Instituto de Ciências Exatas - Universidade Federal de Itajubá (UNIFEI) Av. Benedito Pereira dos Santos, 1303, Itajubá – MG – Brazil auro@unifei.edu.br, {kaka.tarefas,juninho_andrade_1995}@hotmail.com, renansouzadaniel@yahoo.com.br, otuany.871@gmail.com Abstract. DoS attacks are expanding day after day, threatening the security and productivity of the business in the internet. Denial of Service attacks are fairly simple but very malleable, so it's hard to identify them, forecast them and elaborate defenses. This research intends to gather types of attack and list possible types of defensa against each one of them. Resumo. Os ataques DoS vêm crescendo dia após dia, ameaçando assim, a segurança e a produtividade das empresas na internet. Os ataques de Denial of Service são relativamente simples, porém, pela sua maleabilidade, torna-se difícil identificá-los, prevê-los e elaborar defesas. Pretende-se com essa pesquisa, reunir as formas de ataque e listar possíveis formas de defesa contra cada um deles. 1. Introdução Os ataques DoS vêm se tornando um tipo de ataque muito comum e invasivo contra sites e servidores de toda a web. Desde 1993, vêm atacando sites e servidores de importantes empresas na internet. Entre os dias 19 e 27 de março de 2013, a web viu o maior ataque de sua história. O grupo Spamhaus sofreu com tráfegos na casa dos 300Gbps. A empresa, com sedes em Genebra e Londres, alega que a companhia Cyberbunker é a responsável pelos ataques. Segundo especialistas, esse ocorrido deixou a internet mais lenta nos dias em que esteve em atividade [Lee 2013]. Porém, ao adentrar no universo desse assunto, percebemos que não há muitas pesquisas na área de defesa a esse ataque, fato que nos instigou a produzir essa pesquisa. O objetivo deste trabalho é explanar as formas de ataque, contextualizando-as, e propor uma sugestão de defesa para pesquisas posteriores. A próxima seção apresenta uma breve contextualização sobre o DoS, como esse foi evoluindo através do tempo. Na seção 2.1, abordamos quais são os tipos de ataques. Na seção 3, explicamos a evolução de DoS para DDoS. Nas próximas seções, propomos algumas formas de defesa para alguns tipos desse ataque. 2. Ataques DoS Criado nos primeiros anos da década de 90, os ataques do tipo DoS (Denial Of Service) têm chamado a atenção da mídia e de pessoas que trabalham na área de segurança de rede, principalmente nos últimos anos, quando vêm sendo empregados massivamente como forma de protesto a vários tipos de entidades. Os ataques DoS apareceram na mídia pela primeira vez quando, por dois dias, deixaram os servidores da Universidade de Minnesota fora do ar, em 1999. No ano seguinte, uma nova onda de ataques, cujos alvos foram a CNN, a Yahoo, o eBay e a Amazon, trouxeram-nos a debate
  • 2. outra vez. Entre 2001 e 2005, eles ganharam ainda mais atenção da imprensa, chegando a causar prejuízos de mais de um milhão de dólares a empresas como a Yahoo. Eles passaram a ser utilizados principalmente por grupos de crime organizado como ameaça contra companhias de pequeno e médio porte. Desta forma, os hackers conseguiam extorquir dinheiro dessas empresas. Conforme cresciam, surgiam também departamentos especializados no combate a eles, como a britânica National Hi-Tech Crime Unit (NHTCU). Embora, em meados de 2000, a situação tivesse sido bem controlada, novas técnicas apareceram colaborando para o constante aumento dos ataques. Entre 2007 e 2009, ocorreu uma guerra cibernética entre países soviéticos. Rússia, Geórgia, Estônia e Azerbaijão tiveram vários servidores derrubados. Mais recentemente empresas como, YouTube, Twitter, Facebook e LiveJournal sofreram com os ataques. Atualmente, o acesso às ferramentas usadas nos ataques tornou-se amplo, permitindo que qualquer um, até mesmo leigos na informática, consiga realizá- lo. 2.1. O que são e quais os tipos de ataques DoS Apesar de possuírem diversas formas de atuação, estes ataques quase sempre procuram fazer com que um servidor ligado à rede mundial de computadores seja sobrecarregado, dificultando ou até impedindo o acesso de usuários, causando graves problemas para os donos destes servidores alvos. Dos ataques DoS, as estratégias mais utilizadas, citadas por Bertholdo et al (2003) são: “inundar uma rede visando impedir que usuários legítimos façam uso dela, impedir ou romper a conexão entre duas máquinas visando impedir o acesso a um serviço, impedir o acesso de um determinado serviço ou site, impedir ou negar um serviço a um sistema ou pessoa específicos”. Existem três tipos principais de ataques DoS: consumo da largura da banda, destruição de arquivos de configuração de rede, destruição física ou alterações de componentes da rede. • Consumo da largura total da banda: o invasor utiliza de vários computadores infectados por meio de vírus para entrar em um servidor, assim, inutilizando-o. Para cada computador que envia algo para o servidor, o mesmo tem que devolver a informação para o computador. Com a utilização de várias máquinas, o servidor acaba não conseguindo enviar a informação para todos, e assim, outros computadores que tentam acessar o servidor não conseguem. • Destruição de arquivos de configuração de rede: o invasor entra no servidor e destrói arquivos imprescindíveis para o funcionamento do mesmo. • Destruição física ou alteração dos componentes: esse tipo de ataque consiste na utilização de algum arquivo que possa fazer com que um sistema primordial para o funcionamento do servidor trave. Pode envolver computadores, roteadores, sistemas de refrigeração e questões de energia essenciais para que o sistema funcione. Para impedir o acesso a um site ou serviço hospedado na internet, o idealizador do ataque de negação de serviço conta com várias formas de ataque. Geralmente, procuram por falhas em sistemas operacionais e em protocolos de rede para, então, lançar os ataques, fazendo com que o provedor sobrecarregue e não aceite novas conexões. Entre os mais conhecidos, estão: Ping Of Death, SYN Flooding e UPD Packet Storm [Bertholdo et al 2003]. Muito simples e de fácil implementação, o Ping Of Death explora uma limitação de certos sistemas operacionais, como por exemplo o Windows 95 e NT, que não aceitam pacotes de dados maiores que 65535 bytes. Apesar de pacotes com este tamanho serem proibidos, usando uma fragmentação desses dados, pode-se fazer como que sejam aceitos, causando problemas como: reinicialização do servidor, queda de conexão e diminuição do tráfego de dados [Kenney 2
  • 3. 1996]. Sistemas operacionais recentes já possuem defesa contra este ataque, o que faz como que não seja muito utilizado. Porém, ainda existem servidores vulneráveis. Utilizando falhas no protocolo TCP, o SYN Flooding é um modo de ataque eficiente e que ainda é muito usado. Para entendê-lo, é necessário conhecer como uma conexão com protocolo TCP é feita: esse procedimento é conhecido como “handshake de três vias”. Na primeira etapa, o cliente entra com um pedido de conexão com o servidor, que é um pacote TCP sem dados e com a flag SYN (Synchronization) ativada. Na segunda etapa, o servidor, se quiser e for possível, devolve o pacote ainda sem dados com as flags SYN e ACK (acknowledge) ativadas, dando permissão ao cliente. Na terceira e última etapa, se o cliente quiser manter a conexão, ele deve enviar o pacote de volta com a flag ACK ligada e a SYN desligada. Assim, a conexão está concluída e o tráfego de dados pode começar. Na segunda etapa, se o servidor quiser e puder estabelecer a conexão, alocará recursos de hardware para realizar a conexão. Utilizando desse sistema, um ataque SYN Flooding requisitará conexão, mas não responderá na terceira etapa. O servidor esperará pela resposta por algum tempo e cancelará a conexão: como já tinha utilizado alguns recursos esperando a conexão, fará com que o tráfego da rede fique mais lento. Fazendo este procedimento repetidamente dentro de intervalos regulares, o SYN Flooding consegue sobrecarregar a rede de tal maneira que nenhuma nova conexão seja possível [Schlemer 2007]. Existe uma grande vantagem desse sistema de ataque: o firewall do servidor, quando percebe que existe uma conexão que nunca é concluída, diminui o tempo de espera. Isso acaba ajudando o idealizador do ataque que, por causa da diminuição do tempo, poderá enviar a requisição mais vezes num intervalo menor de tempo, potencializando o ataque. Utilizando a tecnologia UDP (User Datagram Protocol), os ataques UDP Packet Storm tem o grande diferencial de atacarem dois servidores de uma só vez. Enviando pacotes de dados com o retorno alterado a um servidor alvo, este tentará se comunicar como o servidor de retorno previamente alterado pelo planejador do ataque [Garber 2000]. Depois de receber os dados, o segundo servidor alvo repetirá o pacote de dados enviado pelo idealizador do ataque, criando um loop de envio de dados. Enquanto os servidores estiverem trocando os mesmos dados, a rede fica congestionada e nenhuma nova conexão é possível. Também é possível que os dois servidores alvo sejam ambos de envio e repetição de dados: assim o ataque é mais eficiente, dificultando a defesa e manutenção da rede afetada. Uma variação dos ataques DoS é o DDoS (Distributed Denial Of Service). Este utiliza de computadores “zumbis” que foram infectados previamente pelo idealizador da ação negadora de serviço através de vírus e malwares. Estes computadores, a partir do momento da infecção, são programados para que em uma data e horário específicos, comecem a solicitar informações de um servidor alvo. Assim, esta variação de ataque é muito mais eficaz e pode manter um servidor inativo por muito mais tempo. O ataque por inundação, também conhecido por "Smurf Atack" tem como forma de funcionamento o uso de diversos IP's para acessar um servidor onde, que se feita por uma determinada quantia de computadores utilizados na sub-rede em questão pacotes de ICMP "Internet Control Message Protocol"(Os computadores da rede usam o protocolo ICMP para enviar mensagens de erro.), sejam mandados para o IP da vítima fazendo com que a conexão fique congestionada ou bloqueada. 3. História do DoS e evolução para DDoS Na literatura, há controvérsia quanto ao surgimento dos ataques DoS. Embora algumas fontes afirmem que eles hajam sido desenvolvidos em 1993, outras afirmam que foram somente dois 3
  • 4. anos mais tarde, em 1995. De acordo com [Souza 2006], o objetivo de um ataque DoS é “impedir que usuários legítimos utilizem um determinado serviço de computador”. Em outras palavras, os hackers visavam, por meio dos ataques, derrubar servidores, inviabilizando o acesso à informação por parte dos outros usuários. Ainda na época em que o Windows 95 era a grande novidade no mercado, os ataques eram relativamente fáceis de serem realizados. Uma forma de fazê-lo é explorar uma limitação do próprio sistema operacional da Microsoft, que, até nas versões atuais, não aceita mais de 65535 conexões simultâneas [Hogan 2011]. Ao atingir esse número máximo de conexões com o servidor, ele impede que qualquer outra conexão seja realizada enquanto outra não for interrompida. Entre os resultados, cita-se reinicialização do servidor, queda de conexão e diminuição do tráfego de dados. Nesta época, havia dois tipos mais comuns de ataques: os que tentam criar um erro no servidor, para que haja mal funcionamento; e os que visam preencher toda a capacidade do servidor, evitando que ele responda a outros processos. O primeiro destes pode ser realizado por meio do “ping da morte”. Basicamente, ao enviar solicitações de ping de valor muito alto, o servidor tem dificuldade em responder, gerando erros na comunicação. Contudo, os roteadores mais novos têm capacidade de ignorar essas solicitações, evitando também as falhas. A segunda opção pode ser realizada ao estabelecer múltiplas conexões, como descrito no segundo parágrafo. Ao perceber isso, uma estratégia de defesa foi desenvolvida. Os servidores, a partir de então, não responderiam a mais de um número pré-definido de conexões de um mesmo usuário, limitando a cinco ou seis apenas. Visto isso, foi necessária uma reformulação nos ataques DoS. Os hackers passaram a propagar malwares (do inglês, malicious software) que continham comandos para que o computador infectado servisse de origem desse ataque. Como no final da década de 90 os usuários ainda não tinham conexões muito poderosas, o alvo dos hackers era, basicamente, infectar empresas. Assim, surgiram os ataques distribuídos, chamados de DDoS (Distributed Denial of Service). O primeiro caso que chamou a atenção da comunidade científica foi um ataque realizado contra a Universidade de Minnesota, em agosto de 1999, deixando os servidores fora do ar por quase três dias. Cerca de cinco meses mais tarde, um adolescente infectou uma série de servidores, que serviam como “computadores zumbis”, e atacou várias empresas, tais quais Yahoo, a Amazon, a eBay e a CNN [Karig et al 2001]. Esse ocorrido é tido como um divisor de águas na história do DoS. 4. Formas de defesa Existem várias técnicas para apurar e defender um servidor de ataques DoS. Desde equipamentos, firewalls, antivírus, páginas de autenticação até técnicas de detecção que monitoram o nível de atividade da rede [Santos 2012]. Os “Sistemas de Detecção de Intrusão” (SDI) são ferramentas de detecção de tráfego malicioso que funcionam por meio de softwares. Esses sistemas conseguem detectar vários tipos de comportamento perigosos que chegam a um servidor, como ataques a serviços vulneráveis, acesso não autorizado, logins não autorizados e malwares. Pode-se dizer que estes sistemas complementam as habilidades de monitoramento de um firewall. Como já citado anteriormente, ataques DoS e DDoS são difíceis de se detectar com antecedência por não ser clara a distinção entre tráfego de ataque e tráfego de usuários legítimos, sendo então quase impossível estruturar uma forma de defesa de total eficiência. Levando em consideração a análise sobre os ataques DDoS que mostra que apenas 0,6% a 14% dos endereços de IP envolvidos em um ataque já mantiveram algum tipo de conexão com 4
  • 5. o servidor no passado, pode-se adotar uma forma de defesa que limita a largura da banda disponível para IPs que não tenham histórico de acesso a determinado servidor, criando uma lista de IPs confiáveis (TIL). No caso de um ataque, o TIL compara os endereços de IP que estão pedindo acesso com os já armazenados e, assim, determina quais conexões devem ter o tráfego limitado ou bloqueado. Esta forma de defesa opera por meio de três módulos, que juntos formam o sistema de defesa: ChkModel, TIT (Trusted IP Table, do inglês, tabela de IPs confiáveis) e o limitador de banda [Oliveira et al 2007]. O primeiro módulo é responsável, através da coleta, por monitorar os IPs que tentam conexão com o servidor, analisando-os e organizando-os em pacotes estruturados, para, em seguida, encaminhá-los para uma lista com os endereços considerados confiáveis para o módulo TIT. Também é responsável pela detecção de ataques, comparando o fluxo de conexões com modelos previamente determinados. O módulo TIT armazena uma lista já conhecida de IPs confiáveis e a atualiza usando um algoritmo em particular e, com base nela, gerencia as conexões por meio de duas tabelas: uma que armazena os endereços IP de origem que ingressaram na rede, e outra que acondiciona a lista de clientes legítimos. Compara-se, então, as duas, sendo possível identificar o número de novos IPs na rede no período de tempo em questão. Tal tempo de chegada é monitorado para evitar que a lista de IPs creça indefinidamente e impeça clientes que não mais acessam a rede, evitando então operar além do espaço disponível para armazenamento. Com base na lista de IPs confiáveis, o limitador de banda, como o nome sugere, gerencia a quantidade de tráfego disponível para o IP que requisita a conexão. Se este não estiver na lista de IPs confiáveis, terá sua banda limitada enquanto não tiver tempo de conexão suficiente para ser considerado confiável. Outro tipo de mecanismo de segurança é o D-WARD. Ele monitora o comportamento de cada conexão estabelecida com o servidor, procurando por dificuldades de conexão e, dentro de intervalos de tempo, compara os resultados obtidos com um modelo de tráfego normal. Se for detectado um ataque DoS, o D-WARD restringe o acesso do IP malicioso [Aschoff 2007]. Apesar de ser um sistema eficiente, tem que ser implantado em todos os pontos de rede, o que o torna um mecanismo de alto custo quanto à mão-de-obra e de difícil implementação. 5. Conclusão Neste artigo, vimos que os ataques DoS e DDoS podem ser realizados de diversas maneiras, pelas mais diversas razões. Portanto, ainda é muito difícil, embora muito tenha sido feito, para combatê-los. Hoje, uma grande parcela do terrorismo cibernético se deve a esses ataques e é importante que a infraestrutura das redes, a segurança etc, melhorem para que esses problemas sejam, senão evitados, minimizados. Pesquisas futuras devem ser feitas procurando diminuir ao máximo a frequência e intensidade dos ataques, porque a internet, hoje, se tornou uma ferramenta imprescindível à vida humana. Ataques de larga escala podem, como dito anteriormente, causar prejuízos enormes à economia mundial e, é claro, às pessoas, que, mais do que nunca, dependem dos bens oferecidos pela web: comunicação, informação, entretenimento, trabalho etc. 6. Referências JORDÃO, F.. DDoS: Como funciona um ataque distribuído por negação de serviço. Disponível em :<http://www.tecmundo.com.br/seguranca/10970-ddos-como-funciona-um- ataque-distribuido-por-negacao-de-servico.html>. Acesso em: 02 abr. 2013. SOLHA, L.; TEIXEIRA, R.; PICCOLINI, J.. Tudo que você precisa sabe sobre os ataques DDoS. Disponível em <http://www.rnp.br/newsgen/0003/ddos.html>. Acesso em: 03 abr. 2013. 5
  • 6. BERTHOLDO, L.; ANDREOLI, A.; TAROUCO, L.. Compreendendo Ataques Denials of Services. Disponível em <http://www.cert-rs.tche.br/docs_html/ddos-errc-2003.pdf>. Acesso em: 01 abr. 2013. KENNEY, Malachi. Ping of Death. Disponível em: <http://insecure.org/sploits/ping-o- death.html>. Acesso em: 16 mai. 2013. SCHLEMER, Elgio. O que é Syn Flood?. Disponível em <http://www.vivaolinux.com.br/artigo/Iptables-protege-contra-SYN-FLOOD/?pagina=4>. Acesso em 16 mai. 2013. GARBER, Lee. Denial-of-Service Attacks Rip the Internet. Disponível em: Computer Magazine, Abril 2000. <ftp://mail.im.tku.edu.tw/assistant/bearhero/00839316.pdf> Acesso em: 17 mai. 2013. SOUZA, Andréa Bastos. Ataques de DoS: denial of service. Disponível em: Centro Universitário Feevale. <tconline.feevale.br/tc/files/0001_746.doc>. Acesso em: 12 mai. 2013. HOGAN, Will. Tecnologias da Web: o governo pode impedir ataques de DdoS?, Disponível em: TechNet Magazine, Maio 2011. <http://technet.microsoft.com/pt- br/magazine/hh237323.aspx>. Acesso em: 10 mai. 2013. KARIG, David.; LEE, Ruby. Remote Denial of Service Attacks and Countermeasures. Disponível em: Princeton University Department of Electral Engineering Technical Report. <http://www.princeton.edu/~rblee/ELE572Papers/karig01DoS.pdf>. Acesso em: 13 mai. 2013. LEE, Dave. 'Maior ataque cibernético da História' atinge internet em todo o mundo. Disponível em: <http://www.bbc.co.uk/portuguese/ultimas_noticias/2013/03/130327_ataque_ji.shtml>. Acesso em: 09 jun. 2013. SANTOS, Wellington. Método de detecção de ataques DDoS compostos baseados em filtragem sequencial. Disponível em <http://www.comp.ime.eb.br/dissertacoes/2012- Wellington_Hetmanek.pdf>. Acesso em 05 jun. 2013. OLIVEIRA, L.; ASCHOFF, R.; LINS, B.; FEITOSA, E.; SADOK, D.. Avaliação de Proteção contra Ataques de Negação de Serviço Distribuídos (DDoS) utilizando Lista de IPs Confiáveis. Disponível em <http://www.lbd.dcc.ufmg.br/colecoes/sbseg/2007/008.pdf>. Acesso em: 27 mai. 2013. ASCHOFF, Rafael. ChkModel: Um mecanismo de defesa contra ataques DDoS. Disponível em <http://www.cin.ufpe.br/~tg/2007-2/rra.pdf>. Acesso em: 03 jun. 2013. 6
  • 7. BERTHOLDO, L.; ANDREOLI, A.; TAROUCO, L.. Compreendendo Ataques Denials of Services. Disponível em <http://www.cert-rs.tche.br/docs_html/ddos-errc-2003.pdf>. Acesso em: 01 abr. 2013. KENNEY, Malachi. Ping of Death. Disponível em: <http://insecure.org/sploits/ping-o- death.html>. Acesso em: 16 mai. 2013. SCHLEMER, Elgio. O que é Syn Flood?. Disponível em <http://www.vivaolinux.com.br/artigo/Iptables-protege-contra-SYN-FLOOD/?pagina=4>. Acesso em 16 mai. 2013. GARBER, Lee. Denial-of-Service Attacks Rip the Internet. Disponível em: Computer Magazine, Abril 2000. <ftp://mail.im.tku.edu.tw/assistant/bearhero/00839316.pdf> Acesso em: 17 mai. 2013. SOUZA, Andréa Bastos. Ataques de DoS: denial of service. Disponível em: Centro Universitário Feevale. <tconline.feevale.br/tc/files/0001_746.doc>. Acesso em: 12 mai. 2013. HOGAN, Will. Tecnologias da Web: o governo pode impedir ataques de DdoS?, Disponível em: TechNet Magazine, Maio 2011. <http://technet.microsoft.com/pt- br/magazine/hh237323.aspx>. Acesso em: 10 mai. 2013. KARIG, David.; LEE, Ruby. Remote Denial of Service Attacks and Countermeasures. Disponível em: Princeton University Department of Electral Engineering Technical Report. <http://www.princeton.edu/~rblee/ELE572Papers/karig01DoS.pdf>. Acesso em: 13 mai. 2013. LEE, Dave. 'Maior ataque cibernético da História' atinge internet em todo o mundo. Disponível em: <http://www.bbc.co.uk/portuguese/ultimas_noticias/2013/03/130327_ataque_ji.shtml>. Acesso em: 09 jun. 2013. SANTOS, Wellington. Método de detecção de ataques DDoS compostos baseados em filtragem sequencial. Disponível em <http://www.comp.ime.eb.br/dissertacoes/2012- Wellington_Hetmanek.pdf>. Acesso em 05 jun. 2013. OLIVEIRA, L.; ASCHOFF, R.; LINS, B.; FEITOSA, E.; SADOK, D.. Avaliação de Proteção contra Ataques de Negação de Serviço Distribuídos (DDoS) utilizando Lista de IPs Confiáveis. Disponível em <http://www.lbd.dcc.ufmg.br/colecoes/sbseg/2007/008.pdf>. Acesso em: 27 mai. 2013. ASCHOFF, Rafael. ChkModel: Um mecanismo de defesa contra ataques DDoS. Disponível em <http://www.cin.ufpe.br/~tg/2007-2/rra.pdf>. Acesso em: 03 jun. 2013. 6