Ataque DoS (Denial of Service)

quinta-feira, 14 de junho de 2007

Definição

A diferença entre um cracker e um script kiddie pode ser vista aqui. Um invasor decente estuda em detalhes o sistema alvo, às vezes por meses, conhecendo todo o seu processo de autenticação, usuários e falhas que podem levá-lo a ter acesso a arquivos vitais. Já o script kiddie pega algum programinha de alguma homepage duvidável de fundo preto e imagens de caveiras animadas, tenta usá-lo no primeiro sistema que vê na frente e se não consegue invadí-lo , o derruba para mostrar que é “bom”. Isso é absolutamente inútil, afinal se o sistema travar e cair devido ao Denial of Service, provavelmente ele volta a funcionar com questão de poucos minutos. Ou o administrador competente rapidamente percebe. Alguns programas bons para essa tarefa são o Agressor, o IGMP Nuker e o Divine Intervention (para Windows). Para Linux e Unix, sem dúvida o melhor é o excelente Tribal Flood Network.

Danos sem invasões

Por ser um ataque apenas voltado para o consumo de memória ou do processamento, o DoS não é usado para invasão. Ao contrário de alguns programas que causam um estouro de memória já sabendo que esse problema lhe dará acesso ao sistema (programas que causam buffer overflow), a intenção do DoS é só chatear. Mesmo assim em grandes empresas o prejuízo pode ser grande. Quando a Amazon.com foi tirada do ar por exemplo, chegou a ficar apenas poucos minutos desligada, mas nesse tempo perdeu muito dinheiro em compras. O mesmo aconteceu com o Yahoo e até com o UOL, que já foi tirado do ar.

Utilizando o broadcast como arma

Realizar um ataque de DoS é muito simples. Pode-se utilizar vários tipos de programas e softwares zumbis para fazê-lo. Às vezes nem é preciso um programa adicional. Sites como Yahoo e Altavista utilizam webspiders (programa utilizado para procurar informações pulando de link em link) para checar o conteúdo de homepages. Muitos webspiders checando o mesmo servidor ao mesmo tempo pode levá-lo ao colapso. Causar um DoS em algum servidor de e-mail é ainda mais fácil. Utilizando um programa de e-mail bomba (software que envia milhares de e-mails para o mesmo endereço) ou cadastrando o e-mail alvo em serviços de spam (como mensagens de anjos, piadas, notícias e outros) pode encher a sua caixa postal e travar todo o sistema. Ou mande um e-mail para alguém que tenha serviço de resposta automática , utilizando o próprio endereço da pessoa. É assim: mande uma mensagem para fulano@provedor.com.br usando esse e-mail (como se fosse o seu, já que pra mandar e-mails não se precisa de senha). A resposta automática da caixa postal do Fulano mandará mensagens para ele mesmo, travando sua caixa postal. O endereço de broadcast de redes geralmente é o com final 255 (exemplo: 200.202.243.255). A solução para o problema do e-mail é mais simples. Apenas use um bom filtro ou algum programa que impossibilite que se receba mais de três e-mails enviados da mesma origem (endereço IP) durante um certo intervalo de tempo.

Uma tela de um programa e-mail bomba

Syn-flood

O tipo de ataque usado para gerar o ip spoof. A autenticação por Syn é feita em três vias. O ataque consiste em não completar essas três vias. Mais ou menos assim. No caso do ping, ele é em duas vias, apenas envia o pacote e recebe a resposta. Para o Syn-flood, primeiro é enviado o pacote Syn e logo depois teria que ser enviado o Ack para a conexão se estabelecer, mas ele não é enviado, fazendo com que a máquina alvo consuma seus recursos ao receber muitos Syns e esperar muitos Acks. O ataque por ping é parecido, é enviado vários pings com grandes pacotes fazendo com que um sistema trave. Mas é mais difícil de ocorrer o travamento do que o ataque por syn.

OOB

Ataque Out-of-Band ou popularmente conhecido como WinNuke. Consiste em mandar pacotes malformados para uma porta Netbios do Windows. Geralmente usado nas portas 135, 137 e 139, essa última sendo a mais usada. O sistema não consegue lidar com os pacotes, trava e mostra a famosa tela azul de erro. No Windows 95 esse ataque era mais eficaz, agora está se tornando obsoleto.

Smurf

Na minha opinião o mais devastador de todos os ataques. Envia pacotes ICMP (protocolo que informa condições de erro) spoofados para centenas, talvez milhares de sites. Envia-se os pacotes com o endereço IP da vítima, assim fazendo com que ela receba muitos pacotes ping de resposta ao mesmo tempo, causando um travamento total. Ainda não existe uma proteção eficaz contra esse tipo de ataque. Um programa bom (para Windows) que realiza o smurf é o WinSmurf.

Softwares Zumbis

Programas que automatizam o processo de causar um DoS em alguma máquina. São instalados em computadores estratégicos (como universidades, centros de pesquisa e outros) que possuem conexão rápida à Internet e configurados para atacar ao mesmo tempo. Se eu instalar o programa em vinte máquinas de diferentes endereços e configurá-las para enviar 10.000 pacotes cada uma, com certeza derruba qualquer host. Um programa muito utilizado para isso é o Tribal Flood Network. Trojans também são largamente usados para esse fim.

Diminuindo o impacto causado pelos ataques

O melhor procedimento para se adotar é procurar os sites do fabricante do sistema operacional e pegar atualizações para as falhas. Como é o caso do OOB(Winnuke). A Microsoft já colocou um patch de correção em sua homepage. Evitar o máximo de uso desnecessário da memória, assim dificultando um pouco os ataques. E sempre que puder, aumentar a capacidade de processamento e a memória RAM do sistema. Isso não vai impedir os ataques pois alguns não têm solução, mas só funcionam mesmo quando utilizados em larga escala. O Smurf por exemplo, para derrubar um computador pessoal é fácil, mas um grande host para cair seria preciso muitas pessoas realizando o ataque ao mesmo tempo. Ou a utilização do software zumbi. A não ser que tenha comprado briga com alguns crackers, pode ficar tranqüilo.