Ataques DoS e DDoS Alessandro Santos Germer Rafael Ambiel Faccioli Roberto Röseling Badô 1. Introdução DoS - Denial of Service DDoS - Distributed Denial of Service Falhas no protocolo TCP/IP Ataques desde 1996 Ataques Dos/DDos 2 1
Destaques Organização Ferramentas Conexões de larga Dificuldade de evitar esse tipo de ataque Ataques Dos/DDos 3 Algumas vítimas Empresas com vários servidores distribuídos Ataques Dos/DDos 4 2
Objetivo Impedir que um serviço responda adequadamente a solicitações legítimas de usuários Ataques Dos/DDos 5 Problemas Lojas Virtuais Publicidade Prestígio Migração de usuários Aumento da gravidade por usuários Ataques Dos/DDos 6 3
2. Funcionamento e Metodologia Técnica principal: Sobrecarregar o(s) computador(es) que provê(m) o serviço, das seguintes formas: - Sobrecarregar link - Sobrecarregar processamento - Sobrecarregar memória Ataques Dos/DDos 7 Ataques DoS Seleção da(s) vítima(s) Descobrir a(s) máquina(s) que fornece(m) o serviço que deseja negar Monitorar, Analisar vulnerabilidades Portas que respondem Versão do S.O. e Softwares Ataques Dos/DDos 8 4
Estratégia para sobrecarregar Solicitações adequadas Exemplo: Máquina que disponibiliza serviço Web, não necessariamente deve ser atacada somente com solicitações HTTP, pode ser ICMS, PING, ECHO, etc Métodos definidos pelo atacante Tempo de processamento (1ms, 10 ms...) Utilização de memória Solicitação que dependa de outros serviços (banco de dados offsite) Ataques Dos/DDos 9 Falsificação do Endereço (IP Spoofing) Quem faz o ataque não quer ser inundado também Falha protocolo TCP/IP Endereço fonte do pacote é alterado para um endereço qualquer Ataques Dos/DDos 10 5
Ataque Atacante sobrecarrega a máquina de solicitações Máquina(s) atacada(s): Ignorar novas solicitações Rejeitar ativamente novas solicitações Usuários legítimos tem acesso ao serviço Negação de Serviço (DoS) Ataques Dos/DDos 11 Ataque (representação) Atacante Legenda: Solicitações Respostas Vítima Ataques Dos/DDos 12 6
Links redundante Soluções Replicação de Servidores (S.D.) Utilização de máquinas de alto desempenho Ataques Dos/DDos 13 Conclusão Ataque não acompanhou a escala dos servidores. Então ganhou uma nova versão. (Distributed DoS) Ataques Dos/DDos 14 7
DDoS ( A Evolução ) Em vez de um computador realizar o ataque, vários são utilizados Para saturar a conexão Para conseguir atacar vários servidores (caso haja mais de um) Ataques Dos/DDos 15 1 Passo: Recrutamento Busca de máquinas com vulnerabilidades conhecidas e não corrigidas Instalar agente de ataque Informa status da máquina infectada Comunicação IRC ou troca de mensagem instantânea Ataques Dos/DDos 16 8
Recrutamento ( personagens ) Mestre Pouco monitorada Bom desempenho Conexão mais veloz que a média Agente Controlado por um mestre Ataques Dos/DDos 17 Ataque Atacante indica o momento do ataque aos mestres Mestres informam para os Agentes que devem atacar a máquina alvo Observação: Muitas vezes os usuários das máquinas Mestres e Agentes nem percebem sua utilização durante o ataque Pode durar desde minutos até semanas Ataques Dos/DDos 18 9
Ataque (Representação) Ataques Dos/DDos 19 3. Principais Ferramentas Técnicas Smurf ICMP Echo broadcast Endereço fonte da vítima Satura link ou capacidade de processamento Fraggle Smurf UDP Echo Ataques Dos/DDos 20 10
Junho de 1999 Trin00 Processos Mestres e Agentes podem ser executados sem privilégio de root UDP flood Controle Conexão TCP:27665 Senha (em geral betaalmostdone ) Ataques Dos/DDos 21 Comunicação de Mestre a Agente Conexão UPD:27444 ou TCP:1524 Senha (padrão l44adsl ) Lista de Agentes disponíveis Nome do processo normalmente: master.c Comunicação de Agente e Mestre Conexão UDP:31335 Quando on-line, mensagem *HELLO* para o seu Mestre Nome do processo normalmente: ns, http, rpc.trinoo, rpc.listen, trinix Ataques Dos/DDos 22 11
TNF Trible Flood Network Agosto de 1999 Processos Mestres e Agentes devem ser executados com privilégios de root UDP flood SYN flood ICMP flood Smurf/Fraggle Mais de uma vítima se desejado Ataques Dos/DDos 23 Controle dos Mestres Linha de comando Qualquer método de conexão (telnet, rsh, etc) Sem senha Uso de criptografia Blowfish (manter dados ocultos) Nome do processo mestre normalmente: master.c Nome do processo agente normalmente: td Comunicação através de ICMP Echo Reply Não há qualquer comunicação através de UDP ou TCP Ataques Dos/DDos 24 12
STACHELDRAHT Encontrado logo depois do TNF (Setembro 1999) Processos Master e Agente podem ser executados sem privilégio de root Baseado no código do TNF Funcionalidades do TRIN00 Conexão com os Mestres, telnet criptografado Comunicação entre Mestre e Agente ICMP Echo Reply TCP:65000 também Nome do processo mestre normalmente: tribe.c Nome do processo agente normalmente: td Ataques Dos/DDos 25 TNF2K - Tribe Flood Network 2000 Dezembro de 1999 Evolução da ferramenta TFN Agente pode alternar aleatoriamente entre os métodos de ataque Comunicação entre atacante e mestre através de TCP, UDP ou ICMS Aplicativo não recebe mais reconhecimentos de seus comandos (ACKs) Envia 20 vezes cada comando, acreditando que pelo menos um vai ser processado Master pode forjar os endereços de origem ao enviar solicitações para os agentes Ataques Dos/DDos 26 13
4. Casos Reais 1997, primeiro ataque Smurf que se tem notícias Configurando rede é possível se precaver Então surgiram os ataques DoS atacantes precisavam de uma banda bem maior que a vítima, utilizando conexões de universidades. 1998, variação das velocidades das conexões não já não eram tão discrepantes Escravizavam outras máquinas para que a soma de banda dessas fossem maior que a da vítima Ataques Dos/DDos 27 1999, começaram a utilizar worms Aumentar velocidade e praticidade de obter Mestres e Agentes 2000, ataques marcantes ebay Yahoo Amazon CNN FBI, em fevereiro chegou a ficar 3 horas fora do ar Ataques Dos/DDos 28 14
Janeiro de 2001 register.com foi vítima de um ataque mais específico Enviaram pacotes com a identidade da vítima a vários servidores DNS Durou cerca de uma semana Solução, desligar o serviço de resolução de nomes Ataques Dos/DDos 29 Microsoft Vítima que perdeu 98% de seus recursos 2002 um ataque tentou derrubar todos os 13 servidores raiz de DNS com um ataque DDoS Derrubou apenas 9 O que impediu: Foi um ataque de curta duração Robustez dos servidores Ataques Dos/DDos 30 15
A partir de 2003, ataques com finalidades: Serviços anti-spam Políticas Exemplo: Iraque ao mostrar soldados americanos capturados Financeiras Ataques Dos/DDos 31 Ataques Recentes Ataques Dos/DDos 32 16
Ataques Recentes Ataques Dos/DDos 33 5. Experimento Exemplo Ataques Dos/DDos 34 17
6. Conclusões e Considerações Finais Ataques DDoS não são novos, mas ainda perturbam o mundo tudo Falhas em SOs e programas estão longe de deixar de existir Mesmo que estejamos sempre atualizados, existe redes que não estão A internet está cada vez mais presente entre leigos Computadores de grande potencial Velocidade de conexão está sempre crescendo Falta de SEGURANÇA Ataques Dos/DDos 35??? Dúvidas Ataques Dos/DDos 36 18