Os administradores de rede conhecem, h� algum tempo, o m�todo Denial of Service (DoS), utilizado pelos hackers para derrubar os principais sites da Internet, mas at� hoje o sistema vinha sendo controlado com alguma efici�ncia na Rede, porque os ataques ainda n�o eram feitos de forma coordenada. Mas a uni�o dos hackers e o uso de v�rias m�quinas ao mesmo tempo � uma novidade que tornou essa a��o indefens�vel. O DoS (sigla de "nega��o de servi�o") se aproveita de uma fraqueza do padr�o de comunica��o da Internet, o TCP, que requer o envio de tr�s mensagens para estabelecer uma conex�o entre duas m�quinas: a solicita��o da conex�o; a confirma��o do pedido; e a tr�plica, em que � pedido o in�cio da transmiss�o. O truque do DoS � simples: a solicita��o de conex�o � enviada com um endere�o de resposta falso. Assim, o servidor envia uma confirma��o de recebimento do pedido de conex�o para um endere�o inexistente e fica paralisado esperando uma resposta. Como milhares de pedidos id�nticos s�o feitos simultaneamente, a m�quina fica com a capacidade esgotada e p�ra de funcionar. Para combater o DoS, os administradores de rede vinham determinando que seus servidores ignorassem todo computador que solicitasse um n�mero incomum de conex�es. Mas os hackers aperfei�oaram o ataque: passaram a usar v�rias m�quinas simultaneamente em um novo sistema conhecido como DDoS ou "Distributed Denial of Service", o ataque distribu�do por DoS. Estima-se que 2 mil micros foram usados no ataque. Os hackers tiveram de invadir esses computadores com anteced�ncia e instalar programas para DDoS, como o TFN e o Trin00, para atingir os grandes sites. S�o esses aplicativos que permitiram controlar os milhares de micros remotamente, na a��o coordenada. TFN � um conjunto de softwares que implementam uma estrutura distribu�da de ataques. Apesar de usar vulnerabilidades conhecidas, � extremamente perigoso por permitir que apenas um atacante execute, de forma coordenada, um ataque em massa atrav�s de v�rios equipamentos distintos. O TFN implementa os seguintes ataques: * Syn Flood; * ICMP Flood (ping flood); * UDP Flood; * SMURF (a.k.a. Directed Broadcast attack); * Al�m de tamb�m servir como backdoor para uso do criminoso. H� tamb�m uma vers�o mais nova do TFN chamada TFN2K, que implementa algumas funcionalidades adicionais ao software al�m de uma rotina de ataques baseados em falhas de implementa��o dos stacks IP (winnuke, land, etc.) J� o trin00 � uma ferramenta semelhante, mas como menos ataques. O trin00 s� implementa ataques de UDP Flood. Algumas caracter�sticas desse tipo de ataque s�o: * Pacotes originados de rede reservadas (RFC1918); * Pacotes UDP destinados a portas n�o utilizadas pelo sistema; * Pacotes fragmentados; * Pacotes ICMP direcionados a endere�os de broadcast; * N�mero elevado de pacotes ICMP do tipo Destination Unreachable (ICMP Type 3 code 3); Na m�quina alvo tamb�m pode ser verificado se h� um elevado n�mero de conex�es incompletas (SYN_RECV). Podem ser consideradas atividades suspeitas: o recebimento de pacotes ICMP, solicitando a Netmask da rede (ICMP Type 17 code 0) e solicitando Timestamp (ICMP Type 13 code 0); e pacotes RIP de m�quinas externas � rede do cliente (UDP port 520). Tanto o TFN quanto o Trin00 precisam ser instalados nas m�quinas de onde se originam os ataques e, dependendo da vers�o ou variante da ferramenta, � poss�vel fazer IP spoof, escondendo desta forma a real origem do ataque. Hosted by www.Geocities.ws