DoS: FORMAS DE ATAQUE E ESTRATÉGIAS DE DEFESA
Upcoming SlideShare
Loading in...5
×
 

DoS: FORMAS DE ATAQUE E ESTRATÉGIAS DE DEFESA

on

  • 977 views

UNIFEI - 2013 ...

UNIFEI - 2013

Auro Felipe Sampaio Moto
Claudia Moreno Lopes de Andrade
José Wagner de Andrade Júnior
Renan de Souza Daniel
Otuany Dias Pereira dos Santos Silvério

Statistics

Views

Total Views
977
Views on SlideShare
977
Embed Views
0

Actions

Likes
0
Downloads
27
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as OpenOffice

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    DoS: FORMAS DE ATAQUE E ESTRATÉGIAS DE DEFESA DoS: FORMAS DE ATAQUE E ESTRATÉGIAS DE DEFESA Presentation Transcript

    • DoS: FORMAS DE ATAQUE E ESTRATÉGIAS DE DEFESA Auro Felipe Sampaio Mota, Claudia Moreno Lopes de Andrade, José Wagner de Andrade Júnior, Renan de Souza Daniel, Otuany Dias Pereira dos Santos Silvério Instituto de Ciências Exatas - Universidade Federal de Itajubá (UNIFEI) Av. Benedito Pereira dos Santos, 1303, Itajubá – MG – Brazil auro@unifei.edu.br, {kaka.tarefas,juninho_andrade_1995}@hotmail.com, renansouzadaniel@yahoo.com.br, otuany.871@gmail.com Abstract. DoS attacks are expanding day after day, threatening the security and productivity of the business in the internet. Denial of Service attacks are fairly simple but very malleable, so it's hard to identify them, forecast them and elaborate defenses. This research intends to gather types of attack and list possible types of defensa against each one of them. Resumo. Os ataques DoS vêm crescendo dia após dia, ameaçando assim, a segurança e a produtividade das empresas na internet. Os ataques de Denial of Service são relativamente simples, porém, pela sua maleabilidade, torna-se difícil identificá-los, prevê-los e elaborar defesas. Pretende-se com essa pesquisa, reunir as formas de ataque e listar possíveis formas de defesa contra cada um deles. 1. Introdução Os ataques DoS vêm se tornando um tipo de ataque muito comum e invasivo contra sites e servidores de toda a web. Desde 1993, vêm atacando sites e servidores de importantes empresas na internet. Entre os dias 19 e 27 de março de 2013, a web viu o maior ataque de sua história. O grupo Spamhaus sofreu com tráfegos na casa dos 300Gbps. A empresa, com sedes em Genebra e Londres, alega que a companhia Cyberbunker é a responsável pelos ataques. Segundo especialistas, esse ocorrido deixou a internet mais lenta nos dias em que esteve em atividade [Lee 2013]. Porém, ao adentrar no universo desse assunto, percebemos que não há muitas pesquisas na área de defesa a esse ataque, fato que nos instigou a produzir essa pesquisa. O objetivo deste trabalho é explanar as formas de ataque, contextualizando-as, e propor uma sugestão de defesa para pesquisas posteriores. A próxima seção apresenta uma breve contextualização sobre o DoS, como esse foi evoluindo através do tempo. Na seção 2.1, abordamos quais são os tipos de ataques. Na seção 3, explicamos a evolução de DoS para DDoS. Nas próximas seções, propomos algumas formas de defesa para alguns tipos desse ataque. 2. Ataques DoS Criado nos primeiros anos da década de 90, os ataques do tipo DoS (Denial Of Service) têm chamado a atenção da mídia e de pessoas que trabalham na área de segurança de rede, principalmente nos últimos anos, quando vêm sendo empregados massivamente como forma de protesto a vários tipos de entidades. Os ataques DoS apareceram na mídia pela primeira vez quando, por dois dias, deixaram os servidores da Universidade de Minnesota fora do ar, em 1999. No ano seguinte, uma nova onda de ataques, cujos alvos foram a CNN, a Yahoo, o eBay e a Amazon, trouxeram-nos a debate
    • outra vez. Entre 2001 e 2005, eles ganharam ainda mais atenção da imprensa, chegando a causar prejuízos de mais de um milhão de dólares a empresas como a Yahoo. Eles passaram a ser utilizados principalmente por grupos de crime organizado como ameaça contra companhias de pequeno e médio porte. Desta forma, os hackers conseguiam extorquir dinheiro dessas empresas. Conforme cresciam, surgiam também departamentos especializados no combate a eles, como a britânica National Hi-Tech Crime Unit (NHTCU). Embora, em meados de 2000, a situação tivesse sido bem controlada, novas técnicas apareceram colaborando para o constante aumento dos ataques. Entre 2007 e 2009, ocorreu uma guerra cibernética entre países soviéticos. Rússia, Geórgia, Estônia e Azerbaijão tiveram vários servidores derrubados. Mais recentemente empresas como, YouTube, Twitter, Facebook e LiveJournal sofreram com os ataques. Atualmente, o acesso às ferramentas usadas nos ataques tornou-se amplo, permitindo que qualquer um, até mesmo leigos na informática, consiga realizá- lo. 2.1. O que são e quais os tipos de ataques DoS Apesar de possuírem diversas formas de atuação, estes ataques quase sempre procuram fazer com que um servidor ligado à rede mundial de computadores seja sobrecarregado, dificultando ou até impedindo o acesso de usuários, causando graves problemas para os donos destes servidores alvos. Dos ataques DoS, as estratégias mais utilizadas, citadas por Bertholdo et al (2003) são: “inundar uma rede visando impedir que usuários legítimos façam uso dela, impedir ou romper a conexão entre duas máquinas visando impedir o acesso a um serviço, impedir o acesso de um determinado serviço ou site, impedir ou negar um serviço a um sistema ou pessoa específicos”. Existem três tipos principais de ataques DoS: consumo da largura da banda, destruição de arquivos de configuração de rede, destruição física ou alterações de componentes da rede. • Consumo da largura total da banda: o invasor utiliza de vários computadores infectados por meio de vírus para entrar em um servidor, assim, inutilizando-o. Para cada computador que envia algo para o servidor, o mesmo tem que devolver a informação para o computador. Com a utilização de várias máquinas, o servidor acaba não conseguindo enviar a informação para todos, e assim, outros computadores que tentam acessar o servidor não conseguem. • Destruição de arquivos de configuração de rede: o invasor entra no servidor e destrói arquivos imprescindíveis para o funcionamento do mesmo. • Destruição física ou alteração dos componentes: esse tipo de ataque consiste na utilização de algum arquivo que possa fazer com que um sistema primordial para o funcionamento do servidor trave. Pode envolver computadores, roteadores, sistemas de refrigeração e questões de energia essenciais para que o sistema funcione. Para impedir o acesso a um site ou serviço hospedado na internet, o idealizador do ataque de negação de serviço conta com várias formas de ataque. Geralmente, procuram por falhas em sistemas operacionais e em protocolos de rede para, então, lançar os ataques, fazendo com que o provedor sobrecarregue e não aceite novas conexões. Entre os mais conhecidos, estão: Ping Of Death, SYN Flooding e UPD Packet Storm [Bertholdo et al 2003]. Muito simples e de fácil implementação, o Ping Of Death explora uma limitação de certos sistemas operacionais, como por exemplo o Windows 95 e NT, que não aceitam pacotes de dados maiores que 65535 bytes. Apesar de pacotes com este tamanho serem proibidos, usando uma fragmentação desses dados, pode-se fazer como que sejam aceitos, causando problemas como: reinicialização do servidor, queda de conexão e diminuição do tráfego de dados [Kenney 2
    • 1996]. Sistemas operacionais recentes já possuem defesa contra este ataque, o que faz como que não seja muito utilizado. Porém, ainda existem servidores vulneráveis. Utilizando falhas no protocolo TCP, o SYN Flooding é um modo de ataque eficiente e que ainda é muito usado. Para entendê-lo, é necessário conhecer como uma conexão com protocolo TCP é feita: esse procedimento é conhecido como “handshake de três vias”. Na primeira etapa, o cliente entra com um pedido de conexão com o servidor, que é um pacote TCP sem dados e com a flag SYN (Synchronization) ativada. Na segunda etapa, o servidor, se quiser e for possível, devolve o pacote ainda sem dados com as flags SYN e ACK (acknowledge) ativadas, dando permissão ao cliente. Na terceira e última etapa, se o cliente quiser manter a conexão, ele deve enviar o pacote de volta com a flag ACK ligada e a SYN desligada. Assim, a conexão está concluída e o tráfego de dados pode começar. Na segunda etapa, se o servidor quiser e puder estabelecer a conexão, alocará recursos de hardware para realizar a conexão. Utilizando desse sistema, um ataque SYN Flooding requisitará conexão, mas não responderá na terceira etapa. O servidor esperará pela resposta por algum tempo e cancelará a conexão: como já tinha utilizado alguns recursos esperando a conexão, fará com que o tráfego da rede fique mais lento. Fazendo este procedimento repetidamente dentro de intervalos regulares, o SYN Flooding consegue sobrecarregar a rede de tal maneira que nenhuma nova conexão seja possível [Schlemer 2007]. Existe uma grande vantagem desse sistema de ataque: o firewall do servidor, quando percebe que existe uma conexão que nunca é concluída, diminui o tempo de espera. Isso acaba ajudando o idealizador do ataque que, por causa da diminuição do tempo, poderá enviar a requisição mais vezes num intervalo menor de tempo, potencializando o ataque. Utilizando a tecnologia UDP (User Datagram Protocol), os ataques UDP Packet Storm tem o grande diferencial de atacarem dois servidores de uma só vez. Enviando pacotes de dados com o retorno alterado a um servidor alvo, este tentará se comunicar como o servidor de retorno previamente alterado pelo planejador do ataque [Garber 2000]. Depois de receber os dados, o segundo servidor alvo repetirá o pacote de dados enviado pelo idealizador do ataque, criando um loop de envio de dados. Enquanto os servidores estiverem trocando os mesmos dados, a rede fica congestionada e nenhuma nova conexão é possível. Também é possível que os dois servidores alvo sejam ambos de envio e repetição de dados: assim o ataque é mais eficiente, dificultando a defesa e manutenção da rede afetada. Uma variação dos ataques DoS é o DDoS (Distributed Denial Of Service). Este utiliza de computadores “zumbis” que foram infectados previamente pelo idealizador da ação negadora de serviço através de vírus e malwares. Estes computadores, a partir do momento da infecção, são programados para que em uma data e horário específicos, comecem a solicitar informações de um servidor alvo. Assim, esta variação de ataque é muito mais eficaz e pode manter um servidor inativo por muito mais tempo. O ataque por inundação, também conhecido por "Smurf Atack" tem como forma de funcionamento o uso de diversos IP's para acessar um servidor onde, que se feita por uma determinada quantia de computadores utilizados na sub-rede em questão pacotes de ICMP "Internet Control Message Protocol"(Os computadores da rede usam o protocolo ICMP para enviar mensagens de erro.), sejam mandados para o IP da vítima fazendo com que a conexão fique congestionada ou bloqueada. 3. História do DoS e evolução para DDoS Na literatura, há controvérsia quanto ao surgimento dos ataques DoS. Embora algumas fontes afirmem que eles hajam sido desenvolvidos em 1993, outras afirmam que foram somente dois 3
    • anos mais tarde, em 1995. De acordo com [Souza 2006], o objetivo de um ataque DoS é “impedir que usuários legítimos utilizem um determinado serviço de computador”. Em outras palavras, os hackers visavam, por meio dos ataques, derrubar servidores, inviabilizando o acesso à informação por parte dos outros usuários. Ainda na época em que o Windows 95 era a grande novidade no mercado, os ataques eram relativamente fáceis de serem realizados. Uma forma de fazê-lo é explorar uma limitação do próprio sistema operacional da Microsoft, que, até nas versões atuais, não aceita mais de 65535 conexões simultâneas [Hogan 2011]. Ao atingir esse número máximo de conexões com o servidor, ele impede que qualquer outra conexão seja realizada enquanto outra não for interrompida. Entre os resultados, cita-se reinicialização do servidor, queda de conexão e diminuição do tráfego de dados. Nesta época, havia dois tipos mais comuns de ataques: os que tentam criar um erro no servidor, para que haja mal funcionamento; e os que visam preencher toda a capacidade do servidor, evitando que ele responda a outros processos. O primeiro destes pode ser realizado por meio do “ping da morte”. Basicamente, ao enviar solicitações de ping de valor muito alto, o servidor tem dificuldade em responder, gerando erros na comunicação. Contudo, os roteadores mais novos têm capacidade de ignorar essas solicitações, evitando também as falhas. A segunda opção pode ser realizada ao estabelecer múltiplas conexões, como descrito no segundo parágrafo. Ao perceber isso, uma estratégia de defesa foi desenvolvida. Os servidores, a partir de então, não responderiam a mais de um número pré-definido de conexões de um mesmo usuário, limitando a cinco ou seis apenas. Visto isso, foi necessária uma reformulação nos ataques DoS. Os hackers passaram a propagar malwares (do inglês, malicious software) que continham comandos para que o computador infectado servisse de origem desse ataque. Como no final da década de 90 os usuários ainda não tinham conexões muito poderosas, o alvo dos hackers era, basicamente, infectar empresas. Assim, surgiram os ataques distribuídos, chamados de DDoS (Distributed Denial of Service). O primeiro caso que chamou a atenção da comunidade científica foi um ataque realizado contra a Universidade de Minnesota, em agosto de 1999, deixando os servidores fora do ar por quase três dias. Cerca de cinco meses mais tarde, um adolescente infectou uma série de servidores, que serviam como “computadores zumbis”, e atacou várias empresas, tais quais Yahoo, a Amazon, a eBay e a CNN [Karig et al 2001]. Esse ocorrido é tido como um divisor de águas na história do DoS. 4. Formas de defesa Existem várias técnicas para apurar e defender um servidor de ataques DoS. Desde equipamentos, firewalls, antivírus, páginas de autenticação até técnicas de detecção que monitoram o nível de atividade da rede [Santos 2012]. Os “Sistemas de Detecção de Intrusão” (SDI) são ferramentas de detecção de tráfego malicioso que funcionam por meio de softwares. Esses sistemas conseguem detectar vários tipos de comportamento perigosos que chegam a um servidor, como ataques a serviços vulneráveis, acesso não autorizado, logins não autorizados e malwares. Pode-se dizer que estes sistemas complementam as habilidades de monitoramento de um firewall. Como já citado anteriormente, ataques DoS e DDoS são difíceis de se detectar com antecedência por não ser clara a distinção entre tráfego de ataque e tráfego de usuários legítimos, sendo então quase impossível estruturar uma forma de defesa de total eficiência. Levando em consideração a análise sobre os ataques DDoS que mostra que apenas 0,6% a 14% dos endereços de IP envolvidos em um ataque já mantiveram algum tipo de conexão com 4
    • o servidor no passado, pode-se adotar uma forma de defesa que limita a largura da banda disponível para IPs que não tenham histórico de acesso a determinado servidor, criando uma lista de IPs confiáveis (TIL). No caso de um ataque, o TIL compara os endereços de IP que estão pedindo acesso com os já armazenados e, assim, determina quais conexões devem ter o tráfego limitado ou bloqueado. Esta forma de defesa opera por meio de três módulos, que juntos formam o sistema de defesa: ChkModel, TIT (Trusted IP Table, do inglês, tabela de IPs confiáveis) e o limitador de banda [Oliveira et al 2007]. O primeiro módulo é responsável, através da coleta, por monitorar os IPs que tentam conexão com o servidor, analisando-os e organizando-os em pacotes estruturados, para, em seguida, encaminhá-los para uma lista com os endereços considerados confiáveis para o módulo TIT. Também é responsável pela detecção de ataques, comparando o fluxo de conexões com modelos previamente determinados. O módulo TIT armazena uma lista já conhecida de IPs confiáveis e a atualiza usando um algoritmo em particular e, com base nela, gerencia as conexões por meio de duas tabelas: uma que armazena os endereços IP de origem que ingressaram na rede, e outra que acondiciona a lista de clientes legítimos. Compara-se, então, as duas, sendo possível identificar o número de novos IPs na rede no período de tempo em questão. Tal tempo de chegada é monitorado para evitar que a lista de IPs creça indefinidamente e impeça clientes que não mais acessam a rede, evitando então operar além do espaço disponível para armazenamento. Com base na lista de IPs confiáveis, o limitador de banda, como o nome sugere, gerencia a quantidade de tráfego disponível para o IP que requisita a conexão. Se este não estiver na lista de IPs confiáveis, terá sua banda limitada enquanto não tiver tempo de conexão suficiente para ser considerado confiável. Outro tipo de mecanismo de segurança é o D-WARD. Ele monitora o comportamento de cada conexão estabelecida com o servidor, procurando por dificuldades de conexão e, dentro de intervalos de tempo, compara os resultados obtidos com um modelo de tráfego normal. Se for detectado um ataque DoS, o D-WARD restringe o acesso do IP malicioso [Aschoff 2007]. Apesar de ser um sistema eficiente, tem que ser implantado em todos os pontos de rede, o que o torna um mecanismo de alto custo quanto à mão-de-obra e de difícil implementação. 5. Conclusão Neste artigo, vimos que os ataques DoS e DDoS podem ser realizados de diversas maneiras, pelas mais diversas razões. Portanto, ainda é muito difícil, embora muito tenha sido feito, para combatê-los. Hoje, uma grande parcela do terrorismo cibernético se deve a esses ataques e é importante que a infraestrutura das redes, a segurança etc, melhorem para que esses problemas sejam, senão evitados, minimizados. Pesquisas futuras devem ser feitas procurando diminuir ao máximo a frequência e intensidade dos ataques, porque a internet, hoje, se tornou uma ferramenta imprescindível à vida humana. Ataques de larga escala podem, como dito anteriormente, causar prejuízos enormes à economia mundial e, é claro, às pessoas, que, mais do que nunca, dependem dos bens oferecidos pela web: comunicação, informação, entretenimento, trabalho etc. 6. Referências JORDÃO, F.. DDoS: Como funciona um ataque distribuído por negação de serviço. Disponível em :<http://www.tecmundo.com.br/seguranca/10970-ddos-como-funciona-um- ataque-distribuido-por-negacao-de-servico.html>. Acesso em: 02 abr. 2013. SOLHA, L.; TEIXEIRA, R.; PICCOLINI, J.. Tudo que você precisa sabe sobre os ataques DDoS. Disponível em <http://www.rnp.br/newsgen/0003/ddos.html>. Acesso em: 03 abr. 2013. 5
    • BERTHOLDO, L.; ANDREOLI, A.; TAROUCO, L.. Compreendendo Ataques Denials of Services. Disponível em <http://www.cert-rs.tche.br/docs_html/ddos-errc-2003.pdf>. Acesso em: 01 abr. 2013. KENNEY, Malachi. Ping of Death. Disponível em: <http://insecure.org/sploits/ping-o- death.html>. Acesso em: 16 mai. 2013. SCHLEMER, Elgio. O que é Syn Flood?. Disponível em <http://www.vivaolinux.com.br/artigo/Iptables-protege-contra-SYN-FLOOD/?pagina=4>. Acesso em 16 mai. 2013. GARBER, Lee. Denial-of-Service Attacks Rip the Internet. Disponível em: Computer Magazine, Abril 2000. <ftp://mail.im.tku.edu.tw/assistant/bearhero/00839316.pdf> Acesso em: 17 mai. 2013. SOUZA, Andréa Bastos. Ataques de DoS: denial of service. Disponível em: Centro Universitário Feevale. <tconline.feevale.br/tc/files/0001_746.doc>. Acesso em: 12 mai. 2013. HOGAN, Will. Tecnologias da Web: o governo pode impedir ataques de DdoS?, Disponível em: TechNet Magazine, Maio 2011. <http://technet.microsoft.com/pt- br/magazine/hh237323.aspx>. Acesso em: 10 mai. 2013. KARIG, David.; LEE, Ruby. Remote Denial of Service Attacks and Countermeasures. Disponível em: Princeton University Department of Electral Engineering Technical Report. <http://www.princeton.edu/~rblee/ELE572Papers/karig01DoS.pdf>. Acesso em: 13 mai. 2013. LEE, Dave. 'Maior ataque cibernético da História' atinge internet em todo o mundo. Disponível em: <http://www.bbc.co.uk/portuguese/ultimas_noticias/2013/03/130327_ataque_ji.shtml>. Acesso em: 09 jun. 2013. SANTOS, Wellington. Método de detecção de ataques DDoS compostos baseados em filtragem sequencial. Disponível em <http://www.comp.ime.eb.br/dissertacoes/2012- Wellington_Hetmanek.pdf>. Acesso em 05 jun. 2013. OLIVEIRA, L.; ASCHOFF, R.; LINS, B.; FEITOSA, E.; SADOK, D.. Avaliação de Proteção contra Ataques de Negação de Serviço Distribuídos (DDoS) utilizando Lista de IPs Confiáveis. Disponível em <http://www.lbd.dcc.ufmg.br/colecoes/sbseg/2007/008.pdf>. Acesso em: 27 mai. 2013. ASCHOFF, Rafael. ChkModel: Um mecanismo de defesa contra ataques DDoS. Disponível em <http://www.cin.ufpe.br/~tg/2007-2/rra.pdf>. Acesso em: 03 jun. 2013. 6
    • BERTHOLDO, L.; ANDREOLI, A.; TAROUCO, L.. Compreendendo Ataques Denials of Services. Disponível em <http://www.cert-rs.tche.br/docs_html/ddos-errc-2003.pdf>. Acesso em: 01 abr. 2013. KENNEY, Malachi. Ping of Death. Disponível em: <http://insecure.org/sploits/ping-o- death.html>. Acesso em: 16 mai. 2013. SCHLEMER, Elgio. O que é Syn Flood?. Disponível em <http://www.vivaolinux.com.br/artigo/Iptables-protege-contra-SYN-FLOOD/?pagina=4>. Acesso em 16 mai. 2013. GARBER, Lee. Denial-of-Service Attacks Rip the Internet. Disponível em: Computer Magazine, Abril 2000. <ftp://mail.im.tku.edu.tw/assistant/bearhero/00839316.pdf> Acesso em: 17 mai. 2013. SOUZA, Andréa Bastos. Ataques de DoS: denial of service. Disponível em: Centro Universitário Feevale. <tconline.feevale.br/tc/files/0001_746.doc>. Acesso em: 12 mai. 2013. HOGAN, Will. Tecnologias da Web: o governo pode impedir ataques de DdoS?, Disponível em: TechNet Magazine, Maio 2011. <http://technet.microsoft.com/pt- br/magazine/hh237323.aspx>. Acesso em: 10 mai. 2013. KARIG, David.; LEE, Ruby. Remote Denial of Service Attacks and Countermeasures. Disponível em: Princeton University Department of Electral Engineering Technical Report. <http://www.princeton.edu/~rblee/ELE572Papers/karig01DoS.pdf>. Acesso em: 13 mai. 2013. LEE, Dave. 'Maior ataque cibernético da História' atinge internet em todo o mundo. Disponível em: <http://www.bbc.co.uk/portuguese/ultimas_noticias/2013/03/130327_ataque_ji.shtml>. Acesso em: 09 jun. 2013. SANTOS, Wellington. Método de detecção de ataques DDoS compostos baseados em filtragem sequencial. Disponível em <http://www.comp.ime.eb.br/dissertacoes/2012- Wellington_Hetmanek.pdf>. Acesso em 05 jun. 2013. OLIVEIRA, L.; ASCHOFF, R.; LINS, B.; FEITOSA, E.; SADOK, D.. Avaliação de Proteção contra Ataques de Negação de Serviço Distribuídos (DDoS) utilizando Lista de IPs Confiáveis. Disponível em <http://www.lbd.dcc.ufmg.br/colecoes/sbseg/2007/008.pdf>. Acesso em: 27 mai. 2013. ASCHOFF, Rafael. ChkModel: Um mecanismo de defesa contra ataques DDoS. Disponível em <http://www.cin.ufpe.br/~tg/2007-2/rra.pdf>. Acesso em: 03 jun. 2013. 6