Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
www.4linux.com.br
ence
Business Intelig lx8
F
u/
.m
va
http://
BPM
http://va.mu/EuiT
Servidor Java EE
http://va.mu/FlyB
PostgreSQL
http://va.mu/EuhV
Monitoramento
http://va.mu/EukN
Virtualizao
http://va.mu/Flxl
Groupware Yj
u/FN
http://va.m
Backup
http://va.mu/Flxr
Auditoria e Anlise
http://va.mu/Flxu
Segurana
http://va.mu/Flxy
Ensino Distncia
http://va.mu/Flxc
Integrao Continua
http://va.mu/FlyD
GED - ECM
http://va.mu/Flx3
Alta Disponibilidade
http://va.mu/FNbL
Infraestrutura Web
http://va.mu/Flxi
Implantao garantida
http://va.mu/GcFv
Contedo
1 Stress Testing
1.2 DoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.3 DDoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Captulo 1
Stress Testing
1.1 O que negao de servio?
Quem acompanha os noticirios de informtica ou o prprio Boletim Anti-Vrus do
InfoWester certamente j se deparou com matrias que citam ataques DoS ou ataques DDoS a sites. O objetivo deste captulo dar explicaes sobre isso e tambm
mostrar as conseqncias de tais ataques.
Durante um ataque de negao de servio, o atacante deixa o sistema impossvel de
ser usado ou significantemente lento, a ponto de conseguir realizar poucas tarefas.
Esses ataques podem ser realizados contra um sistema individual ou contra uma
rede inteira e normalmente so realizados com sucesso.
Qualquer tipo de ataque que afete o pilar Disponibilidade da trade ConfidencialidadeIntegridade-Disponibilidade, pode ser considerado um ataque de negao de servio,
desde puxar a tomada de alimentao de energia de um servidor, at utilizar uma
rede zumbi para ataque em massa.
Na maior parte das vezes, o objetivo do atacante no conseguir acesso informaes, roubo de dados, ou tomar o controle da mquina. O objetivo realmente causar
a indisponibilidade de servios nos sistemas do alvo, e isso pode levar a potenciais
prejuzos financeiros, do ponto de vista comercial, por exemplo.
1.2 DoS
4Linux www.4linux.com.br
1.2 DoS
De acordo com a definio do CERT (Computer Emergency Response Team), os
ataques DoS (Denial of Service), tambm denominados Ataques de Negao de
Servios, consistem em tentativas de impedir usurios legtimos de utilizarem um
determinado servio de um computador. Para isso, so usadas tcnicas que podem:
sobrecarregar uma rede a tal ponto em que os verdadeiros usurios dela no consigam us-la; derrubar uma conexo entre dois ou mais computadores; fazer tantas
Pgina 2
4Linux www.4linux.com.br
1.2 DoS
requisies a um site at que este no consiga mais ser acessado; negar acesso a
um sistema ou a determinados usurios.
Explicando de maneira ilustrativa, imagine que voc usa um nibus regularmente
para ir ao trabalho. No entanto, em um determinado dia, uma quantidade enorme de
pessoas "furaram a fila"e entraram no veculo, deixando-o to lotado que voc e os
outros passageiros regulares no conseguiram entrar. Ou ento, imagine que voc
tenha conseguido entrar no nibus, mas este ficou to cheio que no conseguiu sair
do lugar por excesso de peso. Este nibus acabou negando o seu servio - o de
transport-lo at um local -, pois recebeu mais solicitaes - neste caso, passageiros
- do que suporta.
importante frisar que quando um computador/site sofre ataque DoS, ele no
invadido, mas sim, tem apenas o servio parado.
Os ataques do tipo DoS mais comuns podem ser feitos devido a algumas caractersticas do protocolo TCP/IP (Transmission Control Protocol / Internet Protocol), sendo
possvel ocorrer em qualquer computador que o utilize. Uma das formas de ataque
mais conhecidas a SYN Flooding, onde um computador tenta estabelecer uma
conexo com um servidor atravs de um sinal do TCP conhecido por SYN (Synchronize). Se o servidor atender ao pedido de conexo, enviar ao computador solicitante
um sinal chamado ACK (Acknowledgement). O problema que em ataques desse
tipo, o servidor no consegue responder a todas as solicitaes e ento passa a recusar novos pedidos. Outra forma de ataque comum o UPD Packet Storm, onde um
computador faz solicitaes constantes para que uma mquina remota envie pacotes
de respostas ao solicitante. A mquina fica to sobrecarregada que no consegue
executar suas funes.
No so apenas grande quantidades de pacotes geradas que podem causar um
ataque de negao de servio.
Problemas em aplicativos tambm podem gerar.
Ping da Morte
Pgina 3
1.2 DoS
4Linux www.4linux.com.br
1
2
Em Windows:
Em um .bat: %0|%0
Ou:
1
2
:s
start %0
goto :s
Pgina 4
4Linux www.4linux.com.br
1.3 DDoS
$ ./ c4
Com esse comando, teremos como retorno a sintaxe e a explicao resumida dos
parmetros e opes do comando c4.
A sintaxe correta para um ataque de SYN Flood com o c4 contra um host especfico
:
Sintaxe:
./ c4 -h [ ip_alvo ]
1.3 DDoS
O DDoS, sigla para Distributed Denial of Service, um ataque DoS ampliado, ou
seja, que utiliza at milhares de computadores para atacar um determinado alvo.
Esse um dos tipos mais eficazes de ataques e j prejudicou sites conhecidos, tais
como os da CNN, Amazon, Yahoo, Microsoft e eBay.
Pgina 5
1.3 DDoS
4Linux www.4linux.com.br
Para que os ataques do tipo DDoS sejam bem-sucedidos, necessrio que se tenha um nmero grande de computadores para fazerem parte do ataque. Uma das
melhores formas encontradas para se ter tantas mquinas, foi inserir programas de
ataque DDoS em vrus ou em softwares maliciosos.
Em um primeiro momento, os hackers que criavam ataques DDoS tentavam "escravizar"computadores que agiam como servidores na internet. Com o aumento na
velocidade de acesso internet, passou-se a existir interesse nos computadores dos
usurios comuns com acesso banda larga, j que estes representam um nmero
muito grande de mquinas na internet.
Para atingir a massa, isto , a enorme quantidade de computadores conectados internet, vrus foram e so criados com a inteno de disseminar pequenos programas
para ataques DoS. Assim, quando um vrus com tal poder contamina um computador,
este fica disponvel para fazer parte de um ataque DoS e o usurio dificilmente fica
sabendo que sua mquina est sendo utilizado para tais fins. Como a quantidade de
computadores que participam do ataque grande, praticamente impossvel saber
exatamente qual a mquina principal do ataque.
Quando o computador de um internauta comum infectado com um vrus com funes para ataques DoS, este computador passa a ser chamado de zumbi. Aps a
contaminao, os zumbis entram em contato com mquinas chamadas de mestres,
que por sua vez recebem orientaes (quando, em qual site/computador, tipo de ataque, entre outros) de um computador chamado atacante. Aps receberem as ordens,
os computadores mestres as repassam aos computadores zumbis, que efetivamente
executam o ataque. Um computador mestre pode ter sob sua responsabilidade at
milhares de computadores. Repare que nestes casos, as tarefas de ataque DoS so
distribudas a um "exrcito"de mquinas escravizadas.
Pgina 6
4Linux www.4linux.com.br
1.3 DDoS
Como exemplo real de ataques DDoS ajudados por vrus, tem-se os casos das pragas digitais Codered, Slammer e MyDoom. Existem outros, mas estes so os que
conseguiram os maiores ataques j realizado.
TFN2K
Esta foi a primeira ferramenta de ataque DDoS disponvel publicamente. O TFN foi
escrito por Mixter. Os ataques efetuados pelo TFN so:
UDP Flooding;
TCP SYN Flooding;
ICMP Flooding;
Smurf Attack.
Pgina 7
1.3 DDoS
4Linux www.4linux.com.br
Sendo que a primeiro ficou muito famosa nos ltimos tempos por ser a ferramenta
usada pelo grupo ativista Anonymous para derrubar grandes sites na web. Esta ferramenta pode ser usada individualmente onde o ataque combinado e cada atacante
ou via salas de IRC.
Porm como a ferramenta atualmente possui o cdigo fonte livre, ,est protegida por
gpl, muita gente j mexeu no cdigo e alguns retiraram as travas previstas pelos
desenvolvedores tornando a ferramenta extremamente perigosa se usada para fins
maliciosos, e vamos entender o porqu.
E o melhor dessa ferramenta o fato de ser 100% brasileira, desde o desenvolvimento at a comunidade mantenedora, e foi a primeira ferramenta brasileira a ser
inclusa oficialmente da distribuio de pentest mais famosa o Backtrack.
Pgina 8
4Linux www.4linux.com.br
Ping flood um ataque de negao de servio simples no qual o atacante sobrecarrega o sistema vtima com pacotes ICMP Echo Request (pacotes ping).
Este ataque apenas bem sucedido se o atacante possui mais largura de banda que
a vitima. Como a vitima tentar responder aos pedidos, ir consumir a sua largura
de banda impossibilitando-a responder a pedidos de outros utilizadores.
As nicas maneiras de proteger deste tipo de ataque limitando o trfego do ping
na sua totalidade ou apenas limitando o trfego de pacotes ICMP Echo Request com
um tamanho menos elevado.
Pgina 9
4Linux www.4linux.com.br
Pgina 10
4Linux www.4linux.com.br
1.5 Recomendaes
O firewall tornou a tarefa do atacante ainda mais fcil. Um ataque de Syn Flood
feito com os IPs forjados (spoof), para que o atacante no receba os Syn- ACKs de
suas falsas solicitaes.
1.5 Recomendaes
sugerido que o Pen-tester seja cauteloso com o uso desse tipo de ataque ou de
ferramentas que possam causar uma negao de servio.
Exceto em casos que o cliente solicite tal tipo de ataque, no devemos realizar esse
Pgina 11
1.6 Contramedidas
4Linux www.4linux.com.br
1.6 Contramedidas
Infelizmente no existe muito o que fazer para prevenir esse tipo de ataque, quando
estamos falando de ataques que envolvem inundao de pacotes. Normalmente,
vence quem tem mais link!
Porm, DoS causados por falhas em aplicaes podem ser evitadas com treinamento
sobre programao segura para os programadores.
Apesar de no existir nenhum meio que consiga impedir totalmente um ataque DoS,
possvel detectar a presena de ataques ou de computadores (zumbis) de uma
rede que esto participando de um DDoS. Para isso, basta observar se est havendo mais trfego do que o normal (principalmente em casos de sites, seja ele um
menos conhecido, seja ele um muito utilizado, como o Google.com), se h pacotes
TCP e UDP que no fazem parte da rede ou se h pacotes com tamanho acima do
normal. Outra dica importante utilizar softwares de IDS (Intrusion Detection System
- Sistema de Identificao de Intrusos).
Para preveno, uma das melhores armas verificar as atualizaes de segurana
dos sistemas operacionais e softwares utilizados pelos computadores.
Muitos vrus aproveitam de vulnerabilidades para efetuar contaminaes e posteriormente usar a mquina como zumbi. Tambm importante filtrar certos tipos de
pacotes na rede e desativar servios que no so utilizados.
Pgina 12
4Linux www.4linux.com.br
1.6 Contramedidas
Pgina 13