ATAQUES DoS,DDoS,SmurfePingofDeath

Alunos: ClauzioCristianoPerptuo CleberFrancoMadureira HugoAzevedodeJesus

SUMRIO

Introduo; ICMP,PingofDeatheSmurf; TCP,DoSeDDoS; Implementao; TcnicasdeDefesa; Concluso; RefernciasBibliogrficas.

INTRODUO

Patrimniohojeemdia; Informao; Terdisponibilidade; Mercadocompetitivo,rpidoedinmico; Administradoresebatalhasvirtuais; TcnicasdeAtaquecomoDoS,DDoS,etc; PropsitodaApresentao.

ICMP
TeoriaBsica

ICMP
O ICMP Internet Control Message Protocol um protocolo que faz parte da pilha TCP/IP, enquadrando-se na camada de rede (nvel 3), a mesma camada do protocolo IP Internet Protocol; O seu uso mais comum feito pelo utilitrios ping; O ping envia pacotes ICMP para verificar se um determinado host est disponvel na rede. Tambem serve para medir o desempenho da rede;

ICMP
Ping

ICMP

ICMP

Ping da Morte
O tamanho mximo de um pacote IPv4 de 64Kbytes; Um antiga vulnerabilidade explorada em relao a este limite de tamanho e o processo de fragmentao e remontagem de datagramas conhecida como Ping da Morte; Esta vulnerabilidade consiste em causar um estouro de buffer no host destino, enviando-se vrios datagramas fragmentados, cujo tamanho total exceda 64 Kbytes;

Ping da Morte
Este bug no estava limitado apenas ao Unix e Windows, aparecia em um varios sistemas que utilizasse IPv4; Mas o recordista na correo do bug foi o GNU/Linux que em duas horas de meia depois do anuncio na internet, j estava oferecendo um patch para resolver o problema;

Ping da Morte

Nos sistemas atuais no acontece mais esse problema pois no recebe nem envia pacotes maiores do que 64kbytes;

Smurf Attack
Smurf um simples ataque baseado em IP spoofing e Broadcast; Um pacote (ICMP) enviado para um endereo de broadcast, todos os hosts que fazem parte para daquela rede iro responder;

Smurf Attack

Smurf Attack

Neste caso os IP's sero trocados (tcnica spoofing) pelo endereo IP da vitima(Servidor) escolhida pelo *hacker; Na tcnica de Spoofing os pacotes IP possuem um endereo destino e um endereo origem. Normalmente o endereo origem reflete a realidade, mas nada impede que um hacker altere este pacote para que ele parea ter vindo de outro lugar; Dessa maneira quando os computadores que receberem o broadcast, respondero com ICMP Echo Reply para o endereo IP (spoofed) contido naquele broadcast;

Smurf Attack

Smurf Attack
Dependendo do numero de computadores naquela sub rede dezenas, centenas ou ate milhares de pacotes ICMP Echo Reply sero enviados para o endereo IP da vitima fazendo com que a conexo seja bloqueada ou simplesmente tornando a conexo lenta demais; Esse tcnica pode ser aplicada em conjunto com vrios outros *hackers para que o efeito seja ainda maior e duradouro. Para a vtima na ha muito o que fazer a no ser contatar o responsvel pela sub rede que esta servido de amplificador de Smurf ( Smurf Amplifier);

TCP
TeoriaBsica

TCP EstabelecimentodeConexo

TCP EstabelecimentoParcialdeConexo

DoS/DDoS
Introduo
Os ataques conhecidos como denialofservice (DoS) so caracterizados por uma tentativa explcita do atacante de impedir que um usurio legtimoutilizedeterminadoservio.

DoS/DDoS
Estratgias

Inundar uma rede visando impedir que usurios legtimosfaamusodela; Impedir ou romper a conexo entre duas mquinasvisandoimpediroacessoaumservio; Impedir o acesso de um determinado servio ou site; Impedir ou negar um servio a um sistema ou pessoaespecficos;

DoS/DDoS
Caracterstica

ExploramfalhasemservioseSOsutilizando tcnicasdeIPSpoofing:

Pingofdead; SYNFlooding; UPDpacketstorm; smurf;

DoS/DDoS
Formabsicadeataque

Explorao de vulnerabilidade j conhecidas em SOseservios; Obteno de acesso privilegiado a qualquer mquina na Internet com scripts automatizados namaioriadasvezes; Gerao de uma lista de endereos IPs das mquinas exploradas que formam a rede de ataque. (Fapi, Blitznet, Trin00, TFN, Stacheldraht, Shaft,
TFN2K,Trank...);

DoS/DDoS
Rededeataquetpica
file:///root/my%20files/my%20documents/InstitutoFatima/ddos.png

IMPLEMENTAONO GNU/LINUX

ICMPDOOR

ICMPDOOR

DDoS(masterevriosslaves); IPeTCPSpoofing;

ENDEREOSDOSSLAVES

AMBIENTEDETESTE

DESCRIODOS EQUIPAMENTOS
Hacker,Workstation1eWorkstation2 (FedoraCore4Kernel2.6.111) (Pentium42.4GHz512MB) ApacheWebServer (DebianSargeKernel2.4.272) (AMD2800700MB)

EXECUO

MASTERparaSLAVE

SLAVEparaVTIMA

ATAQUE

DENIALOFSERVICE

ETHEREAL

USURIOLEGTIMO

TCNICASDEDEFESA

Tcnicasdedefesa
Ateno

Excessodetrfego; AexistnciadepacotesUDPeICMPdetamanho acimadonormalouemexcesso; PacotesTCPeUDPquenofazempartedeuma conexo;

Tcnicasdedefesa
Minimizandovulnerabilidades

NegaodePingspormquinasdesconhecidas; RegrasdeFirewallbemdefinidas.(antiSpoofing...); Alterao dos parmetros relativos s filas de sincronismo; Instalaodeumsistemadedetecodeintruso.

(SNORT...);

Verificao peridica de logs e emails do sistema;

Contramedidas

Aindanoexisteumasoluodefinitivacontraos ataquesdedenialofserviceeataquesdistribudos. Algumaspesquisasestosendorealizadaspropondo soluesparaoproblema:

Identificaraorigemdospacotesforjados; Inibirosamplificadoresdeataques; Overlaynetworks; ActiveNetworks;

CONCLUSO

Existemvriastcnicas; Indisponibilizarumservio; FerramentasnaInternet; Administradoresdevemestarpreparados; Seproteger;

BIBLIOGRAFIA

DIGENES,Y.Certificaocisco:guiadecertificaopara oexame640801.3.ed.RiodeJaneiro:AxcelBooks,2004. SOARES, L. F. G.; LEMOS, G.; COLCHER, S. Redes de computadores:dasLANS,MANSeWANSsredesATM. 12.ed.RiodeJaneiro:Campus,1995. TANENBAUM, A. S. Redes de computadores. 3. ed. Rio deJaneiro:Campus,1997.

SITES

http://www.certrs.tche.br/docs_html/ddoserrc2003.pdf http://searchsecurity.techtarget.com/sDefinition/0,290660,sid14_gci1162868,00.html http://en.wikipedia.org/wiki/Active_Networking http://en.wikipedia.org/wiki/Overlay_network http://beginnerhacker.vilabol.uol.com.br/hacker/tutorhack/denial_of_service.htm http://www.ufsdump.org/papers/uuascnovemberddos.html http://packetstormsecurity.org/distributed/ http://en.wikipedia.org/wiki/Denialofservice_attack http://penta.ufrgs.br/Esmilda/fmtotcp.html>.Acessoem:9nov.2005 http://www.unicert.com.br/arquivos/sobre_conteudos/UBC%20705%20%20A% 20Hist%C3%B3ria%20do%20TCPIP%20v1.0.pdf http://magnum.ime.uerj.br/~alexszt/cursos/redes/osi/osi5.htm>. Acesso em: 20 out. 2005. http://penta.ufrgs.br/gere96/segur/ipspoof.htm