Segurança de Redes de Computadores

Transcrição

1 Segurança de Redes de Computadores Aula 11 DoS (Denial of Service) DDoS (Distributed Denial of Service) Prática #4 Prof. Ricardo M. Marcacini Curso: Sistemas de Informação 1º Semestre /

2 Conteúdo Definição do Ataque DoS Ataque Simples Smurf DDoS: Distributed denial of service attacks Estratégias de Detecção

3 Denial of Service Attack Definição Uma tentativa explícita dos atacantes para impedir que usuários legítimos (vítimas) acessem um serviço Estratégias de Ataque Consumir todo o recurso de rede/conexão/tráfego Consumir todo o recurso de cpu/memória

4 Status DoS : um dos ataques mais frequentes 32% das grandes empresas já foram atacadas (FBI survey) Redes sociais: Twitter, Facebook, Livejournal e Google já relataram ataques Principais servidores DNS da Internet Out. 22, 2002, 9 de 13 foram desabilitados por 1 hora Fev. 6, 2007, 1 servidor desabilitado, dois reportaram "mal funcionamento", restantes reportaram "tráfego pesado Tentativas de derrubar a rede mundial de computadores

5 Tipos de Ataques Point-to-point ou Flooding (DoS) Também chamado de Smurf Um atacante realiza diversas (milhões, bilhões) de conexões inválidas em um serviço Ataques Distribuídos (DDoS) Muitos atacantes Organização hierárquica Rede de máquinas zumbis

6 Smurf DoS (Exemplo com ICMP) DoS Source 1 ICMP Echo Req Src: Dos Target Dest: brdct addr gateway 3 ICMP Echo Reply Dest: Dos Target DoS Target Envia ping request para endereço de broadcast Muitas respostas: Cada máquina na rede irá responder para o IP da vítima Prevenção: Regra de firewall para bloquear (DROP) pacotes ao endereço de broadcast

7 Smurf DoS (Exemplo com ICMP) Smurf explora endereços de broadcast! Exemplo de ataque com hping3: hping3-1 --flood -a IP_VITIMA END_BROADCAST

8 Ataque DoS (Flood SYN TCP) Criar várias conexões com IP de origem falso/modificado A vítima (servidor TCP) tenta responder as solicitações falsas (que nunca serão completadas) Exemplo de ataque com hping3: hping3 -S -p 80 --flood --rand-source IP_VITIMA

9 Ataque DoS (Explorar Protocolo) Procura por vulnerabilidade no protocolo ou na configuração de serviços Exemplo: timeouts mal definidos Explora vulnerabilidades até esgotar: Recurso de conexão/banda Recurso de cpu/memória Vamos escrever um exemplo!

10 DdoS (Ataque Distribuído)

11 DdoS (Ataque Distribuído) Zombies (zumbis) são máquinas com malwares instalados e disponíveis para os ataques

12 DdoS (Ataque Distribuído) Zombies (zumbis) experam comandos do controlador

13 DdoS (Ataque Distribuído) O atacante se conecta ao controlador e define o IP da vítima a sofrer ataque DoS

14 É possível encontrar o atacante DDoS Tarefa difícil! Responsável pelo ataque final são os zumbis O atacante não fica ativo na rede quando o ataque DDOS ocorre de fato Como bloquear? Qual o IP de origem do ataque? Como construir regras de firewall?

15 Exemplo Em agosto de 1999, uma rede de > 2,200 hosts da University of Minnesota ficou offline por 3 dias...

16 Quem são os alvos de ataques DoS Sistemas Finais (não usuários) Serviços Críticos Web, Arquivos, Autenticação DNS!!! Infraestrutura Roteadores! Firewalls!

17 (D)DoS - Evolução 1996 Point-to-point (ataques diretos) 1997 Combinado com diferentes tipos (ICMP, TCP, UDP) Distribuído (ainda pequeno) 1999 Distribuído e com criptografia entre zumbis, controladores e atacantes 2000 Aumento da rede zumbis (internet mais popular) 2001 Adicionou auto-scan de computadores infectados por alguns tipos de works para acesso não autorizado 2002 Worms específicos de infecção de zumbis para DDoS 2003 IPv6 DdoS Dias atuais: Exploração de mais bugs, worms, comércio de zumbis

18 Formas de Proteção Não há estratégias eficientes! :( Regras de firewall ajudam Mas se tornam rapidamente ineficientes em um DDoS É uma briga por recursos Estratégias novas usam cookies Funcionais para HTTP e HTTPS Soluções pagas:

19 Prática #4 Escrever um DDoS Explora vulnerabilidade do Serviço TCP Echo Inverso Usar a versão DoS desenvolvida em sala O que programar? Escrever o código do Zumbi Cliente que faz N conexões ao servidor TCP da vítima Escrever o código do Controlador Recebe do atacante qual o IP da vítima Informa qual IP da vítima para um zumbi