03/11/13 Ataques DOS (Denial of Service)

www.webcheats.com.br/forum/seguranca-tutoriais/1886673-ataques-dos-denial-service.html 1/12
DOS - Denial Of Service
1. Dos e DDoS:
O objetivo dos ataques de Negao de Servio, ou DoS (Denial of Service), interromper atividades
legtimas como navegar em um web browser, ouvir uma rdio ou assistir a um canal de TV online ou
transferir dinheiro para uma conta bancria.
Uma forma de provocar os ataques aproveitando-se de falhas e/ou vulnerabilidades presentes na
mquina vtima, ou enviar um grande nmero de mensagens que esgote algum dos recursos da vtima,
como CPU, memria, banda, etc.
Para isto, necessrio ou uma nica mquina poderosa, com bom processamento e bastante banda
disponvel, capaz de gerar o nmero de mensagens suficiente para causar a interrupo do servio, ou ter
o controle de um grupo de mquinas, que podem ter recursos mais humildes, que se concentrem em
enviar mensagens para a vtima. Este ltimo, por distribuir os ataques em vrias mquinas, denominado
ataque de Negao de Servio Distribudo, ou DDoS (Distributed Denial of Service).
Embora os ataques de DoS sejam em geral perigosos para os servios de internet, a forma distribuda
ainda mais perigosa, justamente por se tratar de um ataque feito por vrias mquinas, que podem estar
espalhados geograficamente e no terem nenhuma relao entre si exceto o fato de estarem parcial ou
totalmente sob controle do atacante. O agravante a existncia de vrias ferramentas DDoS facilmente
encontradas em sites e fruns hacker, que permitem facilmente o domnio sobre vrias mquinas para
us-las em ataque. Alm disso, mensagens DDoS podem ser complexas por conseguirem facilmente se
passar por mensagens de trfego legtimo. Enquanto extremamente pouco natural que uma mesma
mquina envie vrias mensagens a um servidor em perodos muito curtos de tempo, igualmente muito
natural que vrias mquinas enviem mensagens de requisio de servio regularmente.
2. Motivao
da natureza humana a existncia de discrdia entre grupos que interagem. A internet hoje no s
permite esta interao como jamais se permitiu na histria da humanidade, como tambm oferece
servios que fornecem s pessoas rendimentos, educao, entretenimento, informao e at servios dos
quais vidas dependem. A interrupo em um servidor Web ou em um roteador pode ser definitivo na
interferncia de um ou vrios destes servios. Com a popularizao da rede mundial de computadores, ela
tornou-se no s um local de encontro de pessoas do mundo todo, mas tambm um palco de conflitos.
Neste contexto se encaixa o DoS.
Todavia, os ataques no so um fim em si. Os primeiros ataques de DoS eram feitos por hackers apenas
para provar que a segurana de um website nunca era o bastante para que nunca pudesse ser quebrada,
e, a partir disso, travar brigas entre si pela supremacia dos atacantes, via DoS. Tambm ocorrem ataques
polticos e ataques de extorso, cobrando os websites por proteo,prtica que remonta s da Mfia.
Mas hoje no so s os hackers padro os principais atacantes. Dadas as facilidades de obter
ferramentas na internet, muitos usurios comuns tornam-se atacantes, e mesmo os prprios pases,
usando das mquinas de estado, amplos recursos e inteligncia, podem desenvolver ferramentasprprias,
inclusive para atacar outros pases em guerras.
3. Histrico e evoluo do DoS
Programas para ataques remotos de DoS surgiram em meados dos anos 90, causando problemas. Para
usar estes programas, era necessria uma conta em um grande computador ou rede, para obter efeito
mximo. Havia nas universidades muitas contas de aluguel, que eram trocadas com os atacantes por
software, cartes de crdito, dinheiro, etc.
Em 1996, falhas no TCP/IP foram descobertas, e no ano seguinte, ataques em larga escala em redes IRC
comearam a ocorrer. Aproveitava-se de falhas nos sistemas Windows dos usurios para travar seus
sistemas.
Ainda em 1997 surgiu uma tcnica chamada Smurf. Lanando alguns poucos pacotes na rede, destinados
a uma vtima, o atacante podia multiplic-los por um fator de centenas, ou at milhares, dependendo do
tamanho da rede, que eram en*****s da vtima original para um endereo broadcast da rede. Este exrcito
de pacotes eventualmente alcanava diversas outras vtimas, e a vtima original era a terica culpada pelo
ataque. A defesa contra este tipo de ataque era simples, no entanto. Bastava desligar as capacidades de
recepo de mensagens broadcast nos roteadores. Algumas redes possibilitaram isso, enquanto outras
no, permanecendo assim a ameaa de potenciais ataques Smurf.
A seguir, os atacantes resolveram explorar outra linha de ao: Simplesmente enviar centenas de pacotes
ao alvo. Se a vtima usava uma conexo discada de velocidade baixa (variando de 14,4Kbps a 56Kbps) e o
03/11/13 Ataques DOS (Denial of Service)
www.webcheats.com.br/forum/seguranca-tutoriais/1886673-ataques-dos-denial-service.html 2/12
atacante usava uma conexo roubada de uma Universidade, de em torno de 1Mbps, ele obliteraria
facilmente a conexo discada da vtima, que seria prejudicada a ponto de tornar-se intil e com velocidade
de resposta praticamente nula.
Em 1998, as velocidades de conexo j se tornavam menos heterogneas e ataques Smurf eram fceis de
serem combatidos. A surgiu o DDos, com atacantes passando a tentar obter controle de mquinas
alheias para conseguir alagar a conexo da vtima com trfego suficiente. Prottipos de ferramentas DDoS
comearam a surgir em meados de 98. Ataques explorando vulnerabilidades de sistema sempre
continuaram, e passou-se a combinar vrias falhas DoS em uma nica ferramenta, usando shell scripts
em Unix. Isso aumentava a velocidade e violncia do ataque, que foi denominadorape (estupro).
Em 1999, a computao distribuda foi combinada com worms para causar novos ataques DDoS. Em
meados deste ano, vrios novos programas de DoS foram usados. As vtimas principais foram novamente
redes e clientes IRC. Com a iminncia do ano 2000, vrios ataques que causassem falhas esperadas com
o chamado Bug do Milnio foram previstos pelos especialistas, causando pnico na populao. Estes
ataques jamais ocorreram, no entanto.
Em fevereiro de 2000, eBay, Yahoo, Amazon e CNN, todos sites robustos, adaptados a trfegos pesados
e milhares de acessos simultneos, sofreram ataques DDoS, resultando em milhes de dlares em
perdas de publicidade e vendas. Nem o FBI americano escapou, e no mesmo ms sofreu um ataque
durante 3 horas.
Em janeiro de 2001, requests DNS falsos en*****s a vrios servidores DNS ao redor do mundo gerou o
trfego para um ataque DDoS refletido de um site de registros de domnios: o atacante enviou vrios
requests sob identidade da vtima. Os servidores DNS responderam aos pedidos enviando a informao
vtima. O trfego gerado foi de mais de 50Mbps, com o site enviando mais de 200 requests DNS por
servidor por minuto. Este ataque durou uma semana, e no foi detido rapidamente pois a nica forma de
faz-lo seria desligar o servio para todos os clientes (inclusive) legtimos do site. Como o ataque foi feito
atravs de diferentes servidores DNS, no se podia escolher um que estivesse apenas criando trfego
falso para ser filtrado.
A posio j destacada da Microsoft no mercado fazia da empresa um alvo freqente de ataques DDoS.
Mas ela estava sempre em salvaguarda, sobretudo quando um novo produto ou atualizao importante era
lanado. Mesmo assim, alguns ataques obtiveram sucesso, e em um deles um roteador que gerenciava
todas as propriedades dos servidores DNS da Microsoft teve sua velocidade de ao reduzida, no
respondendo normalmente ao trfego requerido. 98% dos servios da Microsoft foram total ou parcialmente
negados com este ataque.
No ano seguinte, talvez inspirado no ataque Microsoft, um atacante tentou derrubar todos os 13
servidores raiz de DNS. Com um simples ataque DDoS, chegou-se a conseguir negar o servio de 9 dos
13 servidores. Graas robustez dos servidores e da curta durao do ataque, no houve um grande
impacto internet como um todo. Fosse um ataque mais duradouro, as conseqncias poderiam ter sido
devastadoras.
Em 2003, houve uma grande mudana nas motivaes aos ataques. Primeiro, as redes de spam, paralelo
aos ataques de negao contra sites antispam; Segundo, crimes financeiros envolvendo DDoS, quando s
vezes milhares de dlares eram pedidos como extorso para parar ataques de negao; Motivaes
polticas, quando na Guerra no Iraque, a sucursal no Qatar da rede de televiso Al-Jazeera, praticamente
nico rgo de mdia com acesso pleno aos acontecimentos no Oriente Mdio, sofreu ataques quando
mostrava imagens de soldados americanos capturados.
Agora amparados tambm em motivaes monetrias, os ataques prosseguem. Os worms tambm
avanam, infectando redes e servidores.
4.Como os ataques so feitos
Ataques DDoS precisam ser planejados pelo atacante. Primeiro, conseguindo domnio sobre as mquinas
que efetuaro a negao. Busca-se computadores vulnerveis que so invadidos e tm os cdigos de
ataque instalados neles. A seguir, o atacante estabelece laos de controle entre as mquinas sob seu
comando, geralmente atravs de ferramentas IRC. Quando a rede de ataque (rede agente) est pronta,
pode ser usada como bem se entender contra variados alvos.
As mquinas para a rede podem ser ora conseguidas atravs de bots de IRC (programas cliente que do
aos usurios de IRC permisses nos canais), permanentemente escaneando mquinas vulnerveis e
remetendo suas informaes ao atacante; ora por worms, que se propagam de um computador vulnervel
a outro, procurando tambm outras mquinas vulnerveis, estabelecendo domnio sobre a mquina
infectada e realizando o payload (um cdigo que executado para conseguir funes de ataque).
5. Controlando DDoS
Estabelecida a rede agente, o atacante pode control-la, especificar os comandos de ataque e recolher
estatsticas do comportamento da rede.
Ferramentas DDoS constroem uma hierarquia operador (handler) / agentes, nas quais o atacante controla
03/11/13 Ataques DOS (Denial of Service)
www.webcheats.com.br/forum/seguranca-tutoriais/1886673-ataques-dos-denial-service.html 3/12
a rede agente atravs de comandos diretos impostos ao operador, que os repassa aos agentes, s vezes
usando um conjunto de comandos e semntica diferentes. Os operadores guardam em arquivos as
identidades dos agentes, e este era o grande ponto fraco deste modelo de comandos diretos,
esquematizado abaixo:
Como os agentes por vezes acabavam por guardar tambm as identidades dos operadores, uma
investigao podia revel-los, e com eles todos os demais agentes, desmantelando assim a rede DDoS.
Com grande parte das batalhas de negao de servio tendo j como campo o IRC, e bots sendo j
programados para encontrar agentes para ataques, os atacantes passaram a desenvolver bots de IRC
tambm para desempenhar funes de DDoS. As vantagens eram inmeras: o servidor j estava disponvel
e era mantido por outros; seria difcil encontrar o canal de chat no qual atua o operador do atacante e seus
agentes. Mesmo que seja estranho que um canal repentinamente ganhe dezenas de milhares de usurios,
seria difcil encontr-lo dentre tantos outros canais do servidor e, mesmo quando encontrado,
necessrio contatar os administradores do servidor para alertar a farsa, o que pode tambm levar tempo.
comum transformar computadores em servidores forjados de IRC, em geral usando outra porta que no a
padro (6667/TCP) do protocolo, ou usar bots como proxies TCP para conectar-se a servidores reais na
porta padro. Este controle da rede de agentes, feito de forma indireta, est esquematizado abaixo:
03/11/13 Ataques DOS (Denial of Service)
www.webcheats.com.br/forum/seguranca-tutoriais/1886673-ataques-dos-denial-service.html 4/12
6. Classificao dos Ataques
7. Ataque por Inundao
[SPOILER] dos tipos de ataque de DoS mais comuns. Ocorre inundao de trfego TCP SYN,
explorando a abertura de conexes do protocolo de TCP, utilizado em servios que necessitam de entrega
com confivel de dados, e que se inicia com a negociao de determinados parmetros entre o cliente e o
servidor.
O cliente envia um pacote SYN para o servidor, pedindo abertura de conexo. O pacote leva um parmetro
chamado nmero de seqncia inicial, que permite que o receptor reconhea dados perdidos, repetidos ou
fora de ordem. Aps o recebimento do pacote SYN, o servidor processa o pedido de conexo e aloca
memria para armazenar informaes do cliente. A seguir, um pacote TCP SYN/ACK en***** como
resposta ao cliente, notificando que o seu pedido de conexo foi aceito. O cliente envia ento um pacote
ACK, para completar a abertura da conexo. Esse procedimento conhecido como aperto de mo de trs
vias (three-way handshake).
A partir deste tipo de ataque, os recursos da vtima podem ser explorados de diversas formas.
8. Ataque Reflexivo
Variao de um ataque de inundao, que visa exaurir recursos da vtima. Todavia, neste h a presena de
um agente intermedirio entre o atacante e a vtima. Utiliza-se este intermedirio para espelhar o trfego
de ataque em direo vtima, o que dificulta ainda mais a identificao dos atacantes, pois o trfego que
chega vtima originado no intermedirio, e no no prprio atacante. Para este ataque, necessrio que
o atacante envie uma requisio (REQ) ao agente intermedirio, forjando o endereo da vtima (IP
Spoofing, seo 2.4) ao invs de usar seu prprio endereo. Ao receber o REQ, o agente no consegue
verificar a autenticidade da origem da requisio (que de fato no autntica) e envia uma resposta
(RESP) diretamente para a vtima.
Entretanto, como o objetivo do ataque usar os recursos do refletor e no inund-lo, preciso que o
agente consiga processar as requisies em tempo, que deve ser menor ou igual ao intervalo entre
pacotes de ataque, ou seja, tempo de resposta menor ou igual ao tempo de ataque . Caso contrrio, o
processamento do agente no ser suficiente, e o trfego excedente ser descartado, e no atingir a
vtima. Este tipo de ataque no restrito a determinado protocolo. Qualquer protocolo que envie pacotes
de resposta ao atender a requisies pode ser usado, como o prprio TCP, quando o atacante enviaria
diversos pacotes SYN para o agente, que os responderia pacotes ACK direcionados para a vtima. Poder-
se-ia ainda usar UDP (User Datagram Protocol) associado ao DNS, quando o atacante enviaria diversas
requisies ao DNS do agente, que enviaria respostas para a vtima.
03/11/13 Ataques DOS (Denial of Service)
www.webcheats.com.br/forum/seguranca-tutoriais/1886673-ataques-dos-denial-service.html 5/12
9. Ataque Infra-Estrutura da rede
Sobretudo usado contra os grandes sites da Internet como Yahoo, Amazon e Microsoft, que em geral
possuem grandes recursos de processamento e de memria. Contra eles, DDoS de pequena escala no
conseguem exaurir os suficientemente rpido para que a vtima tenha o servio negado a usurios
legtimos. Pode-se ainda concentrar esforos em algum elemento vital para o fornecimento do servio,
mas que no dependa da vtima, como por exemplo consumir toda a banda passante da vtima com o
trfego de ataque, o que causaria perda de requisies na infra-estrutura de rede. O ponto onde ocorrem
as perdas seria algum roteador entre o atacante e a vtima, e onde o trfego direcionado vtima (entrada)
maior do que o de sada. Como precisaro disputar o mesmo recurso com o trfego en***** pelo
atacante, o trfego legtimo eventualmente pode ser descartado. um tipo de ataque de difcil combate, j
que os pacotes no precisam ter nenhum padro semelhante que possibilite filtr-los.
Contra os mesmos tipos de alvos, usa-se inundao aos seus servidores DNS. Este ataque no atinge a
vtima diretamente, mas estes servidores so responsveis por traduzir nomes dos sites - que o que os
usurios usam para acess-los - em endereos IP. Um ataque ao servio de resoluo de nomes acaba
por negar servios. Como vimos no captulo 1, um destes ataques ocorreu contra a Microsoft.
10. Ataque de Vulnerabilidade
Obejtiva deixar a vtima inoperante. Uma das maneiras conseguir o intento explorar alguma
vulnerabilidade na implementao da pilha de protocolos ou da prpria aplicao da vtima. Ocorreu, por
exemplo, na implementao do protocolo TCP em sistemas operacionais Microsoft Windows. O atacante
precisava construir um pacote TCP particular e envi-lo para a vtima. Ao receber o pacote, o sistema
operacional da vtima abortava, causando congelamento total do processamento.
11. IP Spoofing
Spoof significa forjar, ou seja, falsificar. exatamente esta a ttica no IP Spoofing: fornecer um falso
endereo IP. Todo pacote de comunicao IP contm em seu cabealho o endereo do remetente e o do
destinatrio.
Programas maliciosos podem forjar cabealhos falsos, fazendo assim crer que o pacote veio de outro
endereo. Isto pode ser usado por atacantes para quebrar medidas de segurana, como autenticaes
baseadas em endereo IP.
Este tipo de ataque mais comum quando existe relao de confiana entre mquinas. Por exemplo, no
incomum que computadores dentro de uma mesma rede local confiem uns nos outros, aceitando
conexes vindas dos outros sem exigncia de login e senha. O mesmo pode ocorrer com a aceitao de
pacotes, e isto se torna uma ferramenta muito til para ataques de negao de servio.
IP Spoofing pode ser feito por:
Gerao aleatria de endereos IP, quando um endereo dentro da faixa IPv4 (0.0.0.0 255.255.255.255)
forjado. Embora possam surgir endereos reservados, como os da faixa 192.168 ou invlidos, como os
da faixa 0, a maior parte dos endereos simular um IP vlido e rotevel. A forma mais comum de
combater este tipo de spoofing com filtragens de ingresso e egresso, tcnica atravs da qual compara-
se o endereo-fonte do pacote com o intervalo de endereos IP designado s redes da fonte e do destino,
dependendo da localizao do roteador de filtragem, descartando pacotes cujas fontes parecem ter IP
forjado.
Forja de subrede: Se uma mquina est em uma subrede de faixa pr-determinada e conhecida, fcil
forjar um endereo que esteja dentro desta faixa e faz-lo passar-se por um integrante da subrede. A
filtragem de ingresso e egresso neste caso deve ser feito apenas na faixa de IPs compreendida pela
subrede. Todavia, mesmo assim ainda difcil filtrar o IP forjado e identificar a mquina responsvel pelo
congestionamento de trfego.
Forjar o IP da vtima: Coloca-se o IP da vtima nos pacotes de pedidos de servios para provocar uma
inundao de pacotes no requisitados sendo a ela en*****s.
Forjar IPs uma ttica que gera sucessos em DDoS, embora no seja imprescindvel. Oculta os
endereos reais dos agentes em ataques DoS de agente nico, permite ataques reflexivos (nestes,
realmente essencial forjar o IP como sendo o da vtima), nos quais a vtima recebe pacotes no
requisitados de fato por ela, mas sim pelo IP que se fazia passar pelo seu; Por fim, IP Spoofing uma
arma para trespassar defesas contra DDoS. Algumas destas defesas criam listas de clientes legtimos,
aos quais ser dada preferncia. Forja-se o IP dos pacotes de ataque como sendo de um destes clientes,
que receber tratamento preferencial ou seja, um pacote falso no s ser aceito, como ter preferncia
sobre outros.
Mas no cenrio atual da negao de servio, no raro ter redes de agentes com dezenas de milhares de
03/11/13 Ataques DOS (Denial of Service)
www.webcheats.com.br/forum/seguranca-tutoriais/1886673-ataques-dos-denial-service.html 6/12
mquinas. razovel que elas tenham pouca ou nenhuma relao entre si, estando geograficamente
espalhadas. Com IPs diversos, passam-se por clientes legtimos dos servios com pouca dificuldade.
12. Ferramentas de Ataque
Embora haja atacantes que cheguem ao ponto de escrever seus prprios cdigos para ataques de
negao de servio, h uma srie de programas facilmente encontrados na Internet:
Trinoo: Arquitetura operador / agentes. Atacante se comunica com o operador via TCP; O operador se
comunica com os agentes via UDP. Permite senhas para operadores e agentes, e gera pacotes UDP para
portas aleatrias para mltiplos recipientes.
Tribe Flood Network (TFN): Usa uma arquitetura diferente da do Trinoo. O atacante no precisa se logar
ao operador. Os agentes podem atacar via UDP ou TCP.
Stacheldraht (Arame farpado): Combina caractersticas do Trinoo e do TFN, com comunicao encriptada
via TCP entre atacante e operador.
Shaft: Combina caractersticas dos trs anteriores. Permite mudana de portas de comunicao entre
operador e agentes durante a conexo e tem recursos de coleta de estatsticas.
Tribe Flood Network 2000 (TFN2K): Verso melhorada do TFN, adiciona caractersticas para dificultar
deteco do trfego e controle remoto da rede de agentes.
Mstream: Gera inundaes com trfego TCP; Operadores podem ser controlados remotamente por mais
de um atacante, e a forma de comunicao entre operadores e agentes manipulvel em tempo de
compilao;
Trinity: Primeira ferramenta DDoS controlada via IRC. Cada agente, aps infectado pelo Trinity, conecta-
se a um canal e espera comandos.
Agobot & Phatbot: Congestionamentos de trfego SYN, UDP e ICMP
13. Dificuldades de defesa contra DDoS
Uma srie de caractersticas do DDoS o tornam um desafio difcil de combater. Os ataques de alagamento
feitos em DDoS alvejam um recurso especfico da vtima e tentam esgot-lo, criando um sem nmero de
pacotes a ele destinado. Como estes ataques no precisam de um tipo de pacote especfico, cria-se uma
variedade deles, que se misturam ao trfego legtimo, que ter poucas chances de conseguir resposta,
no s por em geral ser menor em nmero, mas por a vtima detectar que est sofrendo congestionamento
e passar a baixar ainda mais a velocidade de resposta do recurso, para poder atender a todos os
requerimentos falsos ou verdadeiros.
Como j foi mostrado, existe um bom nmero de ferramentas para DDoS difundidas na internet, facilmente
encontradas. Com elas, fcil fazer o trfego de ataque passar-se por trfego legtimo - e pode-se ainda
usar IP spoofing. Com um alto trfego em controle do atacante, no s se sobrepuja o recurso da vtima,
como tambm torna-se difcil caracterizar o trfego como legtimo ou falso. E, mesmo que se consiga isto,
ainda se encontra dificuldade nos nmeros, pois so dezenas, centenas ou milhares os agentes a servio
do atacante, distribudos em mquinas ao longo da internet. Aprpria forma como a internet foi
desenvolvida, para permitir fcil acesso, gera uma srie de brechas das quais se pode aproveitar para mais
ataques.
Com o nmero e eficincia de ataques apenas aumentando, muito se investiu em P&D para enfrent-los.
Mesmo assim, o combate ainda difcil, e as dificuldades so, sobretudo, IP spoofing, similaridade entre
pacotes legtimos e falsos, prontido e performance dos sistemas.
14. Prevenir e remediar
Prevenir sempre melhor que remediar, quando possvel. Existem duas formas de prevenir ataques de
negao de servio: Evitar que atacantes ajam ou aumentar as capacidades do sistema para resistir a
cargas de trfego, para que um ataque falhe ao tentar sobrecarregar o sistema e impedi-lo de oferecer
servios a clientes legtimos.
Medidas para evitar que ataques DDoS sejam sequer possveis incluem impedir que atacantes consigam
reunir nmero suficiente de agentes para atacar, cobrar por uso das redes (de tal forma que conseguir
trfego suficiente para um ataque seja economicamente invivel).
A soluo definitiva seria ter sistemas perfeitos.
Mas, como isto pura fantasia, resta elevar a segurana dos sistemas existentes, tomando medidas
plausveis:
Melhor programao elevar o nvel da segurana das aplicaes e dos sistemas operacionais. H j
mtodos conhecidos para evitar bugs de segurana conhecidos, como overflows de buffer. Um
programador melhor educado ter capacidade de reduzir a freqncia de alguns destes problemas.
03/11/13 Ataques DOS (Denial of Service)
www.webcheats.com.br/forum/seguranca-tutoriais/1886673-ataques-dos-denial-service.html 7/12
Melhorias no desenvolvimento e projeto de software e ferramentas de teste podem ajudar programadores
a escrever cdigos que no tenham falhas bvias de segurana.
Melhorias na segurana de sistemas operacionais, tanto da perspectiva de cdigo quanto modelos de
segurana melhor desenvolvidos reduziro as chances de um atacante de achar vulnerabilidades a serem
maliciosamente exploradas.
Ferramentas automatizadas para verificao de programas melhoraro a capacidade de encontrar erros
nos cdigos, permitindo que desenvolvedores de software faam declaraes mais absolutas sobre a
segurana de seus cdigos. Isso permitiria aos consumidores escolher os produtos mais seguros.
Se no for possvel prevenir um problema, s resta remedi-lo. E em se tratando de ataques de Negao
de Servio, s vezes melhor remediar do que propriamente prevenir. Existem muitos ataques ocorrendo
na internet, mas as vtimas so relativamente poucas. Se os ataques tm vtimas mais direcionadas e o
custo de preveno contra eles alto, melhor investir na reao contra os ataques, que tm menor ou
nenhum custo a menos que um ataque efetivamente ocorra.
Mas, reao no significa que no h preparao. Diferente do que acontece quando se est prevenido,
para remediar um problema preciso diagnostic-lo, ou seja, ele precisa acontecer e ser detectado.
Sendo as medidas contra DoS e DDoS preventivas ou reativas, ou at uma combinao de ambas, h
objetivos que se deseja conseguir. A defesa deve ser efetiva, isto , ela tem que funcionar. Isto vale tanto
para medidas que impeam ataques de ocorrer quanto para reaes aos ataques. Deve ser completa no
que se refere a ser capaz de lidar com todos os tipos de ataque. Embora este seja um objetivo bvio,
bastante difcil de se conseguir: novos ataques surgem a todo momento, especialmente para quebrar
defesas existentes. As defesas devem tambm ser capaz de continuar fornecendo servios a clientes
legtimos, que o principal objetivo das medidas contra DDoS. Para isso, preciso uma baixa taxa de
falsos positivos, ou seja, baixa taxa de trfego legtimo sendo confundido com trfego falso. Por fim, deve
ser necessrio baixo custo operacional e bom retorno, fazendo com que os sistemas operem
normalmente durante ataques.
15. Mecanismos de defesa e aplicaes
Independente de qual o papel de uma vtima de DDoS, seja ela a vtima final ou uma mscara (agente)
do atacante, as medidas de defesa no so muito diferentes. J vimos que as medidas de preveno
podem no ser as melhores, e que em geral DDoS um caso onde remediar mais efetivo claro, em
menor tempo possvel, e para isso necessrio entender como opera a rede e ter ferramentas que
permitam colher e analisar corretamente dados, de tal forma que seja possvel detectar o problema.
O processo de deteco muitas vezes rduo, por ser pouco perceptvel. Poucas so as conseqncias
de DDoS que faro o sistema cessar completamente o funcionamento. Conexes lentas muitas vezes
podem ser confundidas com problemas internos no servio de internet, e dificilmente pensar-se-ia em um
ataque DoS. preciso implementar medidas de deteco com amplo nmero de atividades malignas, que
possam diagnosticar e caracterizar o problema, algo que, detectada a anomalia, muito menos difcil
tendo alguma amostra do trfego. Com isso possvel saber no s o tipo de ataque, mas tambm de
onde ele vem. Ainda que no seja sempre possvel chegar ao atacante, pode-se chegar aos agentes e
operadores.
A seguir deve-se, finalmente, reagir, bloqueando o trfego falso e identificando os servidores
comprometidos no envio deles. Por fim, preciso sempre documentar os procedimentos, para ter uma
base de informaes mais rica, que permita refinar cada vez mais as contra-medidas.
16. Linhas de pesquisa de defesa
Negao de Servio um problema real em Redes de Computadores, e muito tem se estudado e
pesquisado para combater as ameaas. A seguir esto enumeradas e brevemente descritas algumas
linhas de pesquisa em defesa contra DoS:
17. Novo Sistema de Rastreamento de Pacotes IP
Proposto por Laufer et al. no Grupo de Teleinformtica e Automao da Universidade Federal do Rio de
Janeiro (GTA-UFRJ). um sistema de rastreamento de pacotes IP para determinar a origem de cada
pacote recebido pela vtima. Cada roteador pelo qual passou o pacote insere nele uma assinatura que
indica esta passagem. Uma tcnica de filtro de Bloom (Estrutura de dados para compactao de
conjuntos de elementos) usada para que estas informaes sejam minimizadas e permanea constante
para no fragmentar os pacotes. Props-se ainda uma generalizao de filtros de Bloom para que o
atacante no possa forjar as assinaturas.
03/11/13 Ataques DOS (Denial of Service)
www.webcheats.com.br/forum/seguranca-tutoriais/1886673-ataques-dos-denial-service.html 8/12
Um campo fixo no pacote reservado para alojar o filtro de Bloom onde estar armazenada a rota do
pacote. Cada roteador, antes de encaminhar o pacote, insere nele seu IP de sada. Desta forma, ao
receber o pacote, o receptor tem uma rota de todos os componentes da rota de ataque.
A vantagem desta abordagem poder reconhecer a origem de cada pacote individualmente. Alm disso,
nenhum estado armazenado na infra-estrutura da rede: todos os dados do rastreamento ficam com
a prpria vtima-receptor. Todavia, o uso dos filtros de Bloom pode gerar falsos positivos adicionando um
roteador que no fez parte da rota de ataque reconstruo desta ou falsos negativos a no adio de
um roteador que fez parte da rota de ataque.
18. Pushback
Proposto por Mahajan et al., a idia de que operadores de rede empurrem de volta o trfego de ataque
at a fonte, seja desconectando os cabos de rede do roteador e verificando se o trfego pra, ou
observando o trfego da rede em equipamentos de monitorao.
19. D-WARD
Proposto por Mirkovic et al., e desenvolvido na UCLA sob superviso da DARPA. Almeja detectar ataques
antes que eles deixem a rede na qual residem os agentes DDoS. um sistema transparente aos usurios
da rede, que coleta estatsticas de trfego bidirecional do roteador rede fonte e as compara a modelos
de trfego construdos de acordo com especificaes de protocolos de transporte e aplicao, refletindo
trfegos legtimos, suspeitos e de ataque, aplicando limitaes s taxas dos considerados suspeitos e
ilegtimos. A opo de diminuir e no bloquear a taxa faz com que o sistema se recupere mais
eficientemente de falsos positivos.
O D-WARD foi testado internamente e obteve bons resultados, detectando rapidamente os ataques. Suas
vantagens so de detect-los e control-los, assumindo que os trfegos falsos so suficientemente
diferentes dos trfegos legtimos. A opo de limitar as taxas permite poucos efeitos colaterais, e a
resposta s ofensivas rpida.
20. NetBouncer
Outra proposta supervisionada pela DARPA, de E. OBrien. um mecanismo de legitimao de clientes,
permitindo trfego apenas para os legtimos. Para isso, vrios testes so efetuados sobre o
usurio/cliente. Uma vez autenticado, o cliente adicionado ao grupo de clientes legtimos, aos quais
dada preferncia sobre o grupo de clientes ainda no legtimos. Para evitar que o atacante forje uma
autenticao, ela expira em um determinado intervalo de tempo, sendo necessria uma nova legitimao,
passando pelo mesmo teste anterior ou um outro.
Embora tenha seus aspectos positivos, fornecendo bom servio aos clientes legtimos na maioria dos
casos, o NetBouncer assume certas caractersticas e capacidades dos clientes, como poder responder a
pings, algo que nem todos faro, sobretudo aqueles operando sob um firewall.
As vantagens deste mtodo de no exigir modificaes em protocolos, servidores ou clientes, sejam os
da prpria rede ou de outras. Mas ainda possvel conseguir um exrcito de agentes e forjar seus IPs,
eventualmente conseguindo um que seja de um cliente legtimo.
21. Secure Overlay Service (SOS)
Com o objetivo de rotear apenas trfego legtimo aos servidores, descartando os considerados ilegtimos,
este mtodo foi proposto por Keromytis et al. Os clientes devero primeiro contatar pontos de acesso que
verificaro a legitimidade dos pedidos, antes de permitir a entrada destes clientes na rede.
SOS foi projetado para funcionar em redes operando sob um firewall, como redes empresariais. Os
pacotes precisam passar primeiro pelos pontos de acesso, e o firewall se encarrega de descartar os
demais pacotes e aceitar as conexes j confiveis.
Este mtodo fornece proteo comunicao com clientes legtimos. Todavia, solues deste tipo podem
ser sobrepujadas por ataques em massa sobre o firewall.
22. Prova de Trabalho
Sugere ao cliente um desafio criptografado e espera por sua soluo, qual estar atrelado o
oferecimento ou no do servio. o mtodo antibots mais usado atualmente, e presente geralmente em
conjunto com mecanismos de autenticao em websites. Sua forma mais comum apresentar junto
autenticao uma figura onde caracteres so representados e devem ser informados pelo usurio a uma
03/11/13 Ataques DOS (Denial of Service)
www.webcheats.com.br/forum/seguranca-tutoriais/1886673-ataques-dos-denial-service.html 9/12
caixa de dilogos. Bots podem forjar autenticidade pura com relativa facilidade, exaurindo o nmero de
conexes do servidor, mas mtodos de reconhecimento de padres para detectar os caracteres em
imagens ainda difcil.
23. DefCOM
Outra proposta de Mirkovic et al., parceria da UCLA com a Universidade de Delaware que se baseia em
defesas de ncleo de rede, sob perspectiva da vtima e da fonte. Detecta o ataque ocorrente e limita o
trfego, enquanto ainda respondendo a pedidos legtimos. composto de trs tipos de ns (roteadores ou
servidores): geradores de alerta que detectam ataque; limitadores de taxa de trfego e classificadores,
separando pacotes legtimos de pacotes suspeitos, marcando-os. Os dois primeiros tipos de ns
trabalham nas bordas da rede e o ltimo opera no ncleo desta.
Em suma, DefCOM detecta ataques na rede da vtima, limita trfego no ncleo desta e bloqueia trfegos
suspeitos/de ataque na rede da fonte. Utiliza o tambm proposto D-WARD como n classificador para
melhorar resultados.
24. COSSACK
Uma proposta de Papadopoulos et al. e desenvolvida na Universidade do Sul da Califrnia. Objetiva evitar
que ataques sequer saiam do escopo da rede-fonte ( portanto mais um mtodo de preveno). Este
mtodo age na rede-fonte, engatilhado por uma notificao da vtima do DDoS, correlacionando e
analisando trfegos na fonte e detectando trfego suspeito que ser descartado.
Se trfego legtimo for capturado como um falso positivo, ser descartado pelo COSSACK. Esta tcnica
inova por colocar vigias (watchdogs) nas redes, evitando que elas se tornem redes fontes de ataque, sem
que sejam necessrias modificaes em protocolos ou aplicaes destas redes.
25. Pi
Defesa baseada na vtima, proposta por Yaar et al., inserindo identificadores de caminho em cabealhos
de pacotes IP no utilizados (ou pouco utilizados). A idia principal que estes identificadores de
caminho (ou impresses digitais) sejam inseridos pelos roteadores ao longo do caminho da rede. O alvo
ou vtima poderia ento rejeitar pacotes com impresses digitais que j foram identificados em outros
pacotes, estes sabidos pacotes integrantes de um ataque.
No esquema bsico de marcao do Pi, cara roteador marca alguns bits no campo de identificao do
pacote IP. A localizao da marca dentro deste campo definida pelo valor do campo TTL (tempo de vida
ou time to live) do pacote. Como o TTL decrementa a cada passagem por um roteador, um caminho
contguo do pacote construdo enquanto ele se aproxima da vtima.
Este mtodo assume que a vtima saber identificar o volume de um trfego de ataque, por exemplo
selecionando uma alta poro de trfego de entrada com uma mesma marcao. Naturalmente, isso pode
gerar o descarte de falsos positivos que so, na verdade, trfego legtimo contendo a mesma marca do
ataque.
O mtodo Pi entra em ao aps o primeiro pacote ser identificado (pelo alvo). Por isso, est ainda sujeito
a ataques por inundao, como a maioria dos mtodos de defesa centrados na vtima.
26. SIFF
Yaar et al. propuseram aliviar ataques DDoS por inundao usando um mecanismo que divide o trfego de
rede em dois: Privilegiado e no-privilegiado. Os destinos finais podem trocar permisses observadas em
trfego privilegiado. Os roteadores verificaro essas permisses, que so dispostas de forma dinmica, de
tal forma que mau-comportamento (ou seja, ataque) implicar no cancelamento destas. Diferentemente de
outros mtodos, este no requer nenhum mecanismo extra, mas necessita de modificaes nos clientes,
servidores e roteadores. Os destinos finais usaro protocolo de aperto de mo para trocar permisses, e
assim o trfego privilegiado se propagaria pela rede, diferentemente do trfego no-privilegiado. H
providncias a serem tomadas para que trfego privilegiado no seja forjado para cometer ataques. Se um
destino final comear uma inundao, as credenciais de trfego privilegiado precisam ser retiradas dele.
Os autores deste mecanismo propem duas abordagens: Que as redes de prxima gerao o integrem ou
que as redes atuais incorporem estas tcnicas no protocolo IPv4. incerto que qualquer destas hipteses
desemboque em um sucesso.
Em suma, esta tcnica faz muitas assunes, inclusive de que o cliente e o servidor possam atualizar
seus protocolos TCP/IP para modificar as permisses. A vantagem no haver necessidade de
cooperao dos provedores de servios de internet. Tambm se assume que a capacidade de inundao
seja limitada e que roteadores sejam capazes de processar e guardar estados e marcar pacotes. Todas
03/11/13 Ataques DOS (Denial of Service)
www.webcheats.com.br/forum/seguranca-tutoriais/1886673-ataques-dos-denial-service.html 10/12
essas presunes so muito restritivas, e esto muito distantes do que se v na internet.
27. Filtro de Contagem de Saltos (HCF)
Filtro de contagem de saltos ou Hop-Count Filtering, uma proposta de Jin et al., um projeto da
Universidade de Michigan, objetivando defesa contra DDoS atravs da observao do TTL (um salto
exatamente uma passagem por um roteador, a qual decrementa o valor TTL), evitando trfego falsificado.
Tenta-se inferir uma contagem de saltos e associa-se cada fonte de pacotes que adentra a rede da vtima
/alvo a um IP e nmero de saltos.
O sistema que infere a contagem de saltos comea com o TTL observado e estima o inicial que foi
imposto ao pacote pelo remetente. H apenas alguns poucos valores que sistemas operacionais usam e
eles so bem diferentes, o que facilita inferncias corretas. A contagem de saltos ento a diferena
entre o TTL inicial e o observado.
A distribuio de contagem de saltos segue distribuio normal, j que h suficiente variedade nos valores
TTL. Se um atacante planeja derrotar este esquema, ter de adivinhar o correto valor de TTL a inserir em
um pacote forjado, tal que o nmero de saltos deduzido seja exatamente o esperado. A falsificao torna-
se, ento, difcil, pois o atacante agora tem de forjar o correto valor TTL associado a um dado endereo
forjado de uma fonte, acrescido da apropriada diferena na contagem de saltos entre os endereos do
atacante e o forjado.
Em geral, o filtro de contagem de saltos passivo enquanto analisa trfego e o compara s tabelas de
saltos estimados. Se o nmero de igualdades passar de um determinado limiar, a filtragem comea. As
tabelas de entrada so constantemente atualizadas examinando uma conexo TCP escolhida
aleatoriamente dentro da rede protegida. Como a tcnica no impede que o atacante efetue um ataque,
apenas o impede de forjar trfego, ataques vindos de fontes legtimas, carregando os corretos valores TTL,
usando um exrcito de bots ou worms, no precisando de endereos forjados, ainda seriam
problemticos. E este tipo de ataque hoje bem simples. Outra iniciativa centrada na vtima, o filtro de
contagem de saltos no tem grande eficincia contra ataques de inundao baseados em exaurir o
sistema que verifica os valores TTL.
28. Quem so as vtimas?
Vtimas de ataques de negao de servio incluem no s os alvos finais, mas tambm mquinas usadas
como agentes de ataque. Estes ltimos incluem quaisquer mquinas de usurios comuns ao redor do
mundo. Os alvos finais de ataques recentes incluem:
Redes de IRC;
Sites e servidores de agncias americanas de inteligncia e segurana como o FBI, CIA, NASA, NSA
(Agncia de Segurana Nacional americana);
Sites envolvidos em conflitos polticos (Israel/Palestina, ndia/Paquisto);
Sites ligados a assuntos terroristas;
Sites ligados a rgos de imprensa evidentes nos grandes conflitos armados e polticos (CNN, New York
Times, Al Jazeera);
Grandes portais de internet (Yahoo);
Sites de *****grafia;
Sites de apostas e jogos de azar;
Servidores de websites;
Sites anti-spam e de medidas de segurana na internet;
Sites de gigantes do comrcio eletrnico como e-Bay e Amazon;
Microsoft.
Tal qual so variadas as motivaes para ataques de negao de servio as vtimas dos ataques variam de
grandes corporaes a sites que apiam causas polticas.
Assim, embora no seja possvel generalizar potenciais vtimas de negao de servio, torna-se tambm
bastante difcil determinar que dado site ou servidor est imune a ataques. Afinal, ainda hoje h ataques
sem nenhuma motivao poltica ou econmica: Apenas para exibir capacidades como hacker.
29. Providncias legais e jurdicas
Embora o Brasil ainda no tenha leis especficas para a Informtica em seu Cdigo Penal, que data de
1940, vrias leis podem se aplicar a conseqncias de ataques de negao de servio:
Extorso: Art. 158 - Constranger algum, mediante violncia ou grave ameaa, e com o intuito de obter
para si ou para outrem indevida vantagem econmica, a fazer, tolerar que se faa ou deixar fazer alguma
coisa. A pena de recluso de 4 a 10 anos, e multa, e pode ser acrescida de at metade se o crime for
cometido por duas ou mais pessoas.
03/11/13 Ataques DOS (Denial of Service)
www.webcheats.com.br/forum/seguranca-tutoriais/1886673-ataques-dos-denial-service.html 11/12
o Aplicvel a ataques que exigem algum tipo de pagamento por proteo contra ataques ou no realizao
destes.
Usurpao: Art. 161 - Suprimir ou deslocar tapume, marco, ou qualquer outro sinal indicativo de linha
divisria, para apropriar-se, no todo ou em parte, de coisa imvel alheia. A pena de deteno de 1 a 6
meses, e multa.
o No caso, o tapume (terreno) seria a rede de computadores, e este o caso no qual um atacante possui
uma mquina alheia (o imvel) para utiliz-la como agente da negao de servio.
Dano: Art. 163 - Destruir, inutilizar ou deteriorar coisa alheia. Pena: deteno, de 1 a 6 meses, ou multa.
Se contra patrimnio pblico, tem-se dano qualificado, e a pena deteno de 6 meses a 3 anos e multa.
Apropriao indbita: Art. 168 - Apropriar-se de coisa alheia mvel, de que tem a posse ou a deteno.
Pena de recluso de 1 a 4 anos e multa; Art. 169 - Apropriar-se algum de coisa alheia vinda ao seu poder
por erro, caso fortuito ou fora da natureza. Pena de deteno de 1 ms a 1 ano e multa.
o Ambos aplicveis tambm posse de agentes.
Estelionato: Art. 171 - Obter, para si ou para outrem, vantagem ilcita, em prejuzo alheio, induzindo ou
mantendo algum em erro, mediante artifcio, ardil, ou qualquer outro meio fraudulento, pargrafo 2 -
Disposio de coisa alheia como prpria (vender, permutar, dar em pagamento, em locao ou em
garantia coisa alheia como prpria). Pena de recluso de 1 a 5 anos e multa.
o Posse de mquinas alheias cujo controle repassado, vendido, etc; Fornecimento a atacantes de
senhas que possam controlar redes.
30. Entraves dos processos legais
Quem cometeu o ataque? Onde o cometeu? Onde as conseqncias foram percebidas? Sob que leis o
crime deve ser julgado?
Identificar o atacante j extremamente complexo. Ataques de negao de servio so ataques virtuais.
Provas fsicas em geral sequer vo existir, e vimos que dados virtuais podem ser manipulados e forjados
com alguma facilidade, dificultando muito o rastreamento do executor.
Alm disso, um ataque pode ser feito com o atacante em um pas, agentes espalhados por vrios outros
pases e a vtima em ainda outro pas (ou at em mais de um). Sob que leis o crime, to globalizado, deve
ser julgado? No h um consenso mundial sobre estas prticas de crimes virtuais, mas parece bem
razovel que julgamentos possam ser feitos em todos os territrios por onde o crime passou.
E uma nova discusso ainda mais preocupante surge: responsveis por mquinas que foram usadas como
agentes devem ser considerados cmplices? Pode-se considerar que foram omissos em no tomar (se
que no tomaram) todas as providncias que poderiam, para evitar que suas mquinas fossem possudas
por atacantes? Nem todos os usurios de internet so to cientes de aspectos de segurana quanto
administradores de rede e demais profissionais de computao. O usurio comum em geral estar mais
preocupado apenas em no contrair um vrus cujo efeito lhe seja diretamente visvel, mas atribuir
conexes lentas e outros sintomas de negao a problemas com o servio de internet ou com problemas
internos de sua prpria mquina, e no a uma invaso ou ataque.
31. Concluso
A Negao de Servios uma realidade. Claro, com tantos milhes de mquinas conectadas internet, a
chance de que uma seja um alvo, ou at um agente de um ataque, no grande mas existe.
No futuro, DDoS tende a ser mais forte do que hoje. O nmero de ferramentas que permitem armar
verdadeiros exrcitos apenas cresce e esto cada vez mais acessveis na grande rede. Alm disso, ao mesmo
tempo que novos ataques so feitos para tentar superar as defesas existentes, novas defesas tm muitos
entraves por s vezes precisarem de mudanas em protocolos j existentes, quebrando em parte o que se
prope da simplicidade da arquitetura da internet.
Os ataques tendem tambm a mudar seus objetivos e alvos. Mais do que tornar servios totalmente inoperveis
o que facilmente detectvel, os ataques tentaro degradar o servio, tentando deix-lo operando em carga
total a todo momento, mas sem tir-lo do ar. Da mesma forma, novos servios surgem e sero potenciais alvos
de ataques e dentre estes destaca-se VoIP, cujo uso cada vez maior e s tende a crescer.
Em suma, o futuro da negao de servios resume-se no surgimento de novos mecanismos de defesa,
03/11/13 Ataques DOS (Denial of Service)
www.webcheats.com.br/forum/seguranca-tutoriais/1886673-ataques-dos-denial-service.html 12/12
seguidos de novos mecanismos de ataque que os superem. Ao usurio, resta refletir sobre sua prpria
condio: Est em posio de ser ameaado por ataques de negao de servio, se no como alvo final, como
agente do ataque? Tomou todas as medidas possveis de preveno e est preparado para executar medidas
de reao? Claro, mesmo elas no findam totalmente a chance de ser uma vtima de um ataque. A nica
soluo definitiva contra negao de servios e contra qualquer outro malefcio da Internet ainda no estar
conectado a nenhuma rede de computadores.