Denial
of Service
Definição
A diferença entre um cracker e um script kiddie pode ser vista
aqui. Um invasor decente estuda em detalhes o sistema alvo, às
vezes por meses, conhecendo todo o seu processo de autenticação,
usuários e falhas que podem levá-lo a ter acesso a arquivos
vitais. Já o script kiddie pega algum programinha de alguma homepage
duvidável de fundo preto e imagens de caveiras animadas, tenta
usá-lo no primeiro sistema que vê na frente e se não
consegue invadí-lo , o derruba para mostrar que é “bom”.
Isso é absolutamente inútil, afinal se o sistema travar
e cair devido ao Denial of Service, provavelmente ele volta a funcionar
com questão de poucos minutos. Ou o administrador competente rapidamente
percebe. Alguns programas bons para essa tarefa são o Agressor,
o IGMP Nuker e o Divine Intervention (para Windows). Para Linux e Unix,
sem dúvida o melhor é o excelente Tribal Flood Network.
Danos sem invasões
Por ser um ataque apenas voltado para o consumo de memória ou do
processamento, o DoS não é usado para invasão. Ao
contrário de alguns programas que causam um estouro de memória
já sabendo que esse problema lhe dará acesso ao sistema
(programas que causam buffer overflow), a intenção do DoS
é só chatear. Mesmo assim em grandes empresas o prejuízo
pode ser grande. Quando a Amazon.com foi tirada do ar por exemplo, chegou
a ficar apenas poucos minutos desligada, mas nesse tempo perdeu muito
dinheiro em compras. O mesmo aconteceu com o Yahoo e até com o
UOL, que já foi tirado do ar.
Utilizando o broadcast como arma
Realizar um ataque de DoS é muito simples. Pode-se utilizar vários
tipos de programas e softwares zumbis para fazê-lo. Às vezes
nem é preciso um programa adicional. Sites como Yahoo e Altavista
utilizam webspiders (programa utilizado para procurar informações
pulando de link em link) para checar o conteúdo de homepages. Muitos
webspiders checando o mesmo servidor ao mesmo tempo pode levá-lo
ao colapso. Causar um DoS em algum servidor de e-mail é ainda mais
fácil. Utilizando um programa de e-mail bomba (software que envia
milhares de e-mails para o mesmo endereço) ou cadastrando o e-mail
alvo em serviços de spam (como mensagens de anjos, piadas, notícias
e outros) pode encher a sua caixa postal e travar todo o sistema. Ou mande
um e-mail para alguém que tenha serviço de resposta automática
, utilizando o próprio endereço da pessoa. É assim:
mande uma mensagem para [email protected] usando esse e-mail (como
se fosse o seu, já que pra mandar e-mails não se precisa
de senha). A resposta automática da caixa postal do Fulano mandará
mensagens para ele mesmo, travando sua caixa postal. O endereço
de broadcast de redes geralmente é o com final 255 (exemplo: 200.202.243.255).
A solução para o problema do e-mail é mais simples.
Apenas use um bom filtro ou algum programa que impossibilite que se receba
mais de três e-mails enviados da mesma origem (endereço IP)
durante um certo intervalo de tempo.
Uma tela de um programa e-mail bomba
Syn-flood
O tipo de ataque usado para gerar o ip spoof. A autenticação
por Syn é feita em três vias. O ataque consiste em não
completar essas três vias. Mais ou menos assim. No caso do ping,
ele é em duas vias, apenas envia o pacote e recebe a resposta.
Para o Syn-flood, primeiro é enviado o pacote Syn e logo depois
teria que ser enviado o Ack para a conexão se estabelecer, mas
ele não é enviado, fazendo com que a máquina alvo
consuma seus recursos ao receber muitos Syns e esperar muitos Acks. O
ataque por ping é parecido, é enviado vários pings
com grandes pacotes fazendo com que um sistema trave. Mas é mais
difícil de ocorrer o travamento do que o ataque por syn.
OOB
Ataque Out-of-Band ou popularmente conhecido como WinNuke. Consiste em
mandar pacotes malformados para uma porta Netbios do Windows. Geralmente
usado nas portas 135, 137 e 139, essa última sendo a mais usada.
O sistema não consegue lidar com os pacotes, trava e mostra a famosa
tela azul de erro. No Windows 95 esse ataque era mais eficaz, agora está
se tornando obsoleto.
Smurf
Na minha opinião o mais devastador de todos os ataques. Envia pacotes
ICMP (protocolo que informa condições de erro) spoofados
para centenas, talvez milhares de sites. Envia-se os pacotes com o endereço
IP da vítima, assim fazendo com que ela receba muitos pacotes ping
de resposta ao mesmo tempo, causando um travamento total. Ainda não
existe uma proteção eficaz contra esse tipo de ataque. Um
programa bom (para Windows) que realiza o smurf é o WinSmurf.
Softwares Zumbis
Programas que automatizam o processo de causar um DoS em alguma máquina.
São instalados em computadores estratégicos (como universidades,
centros de pesquisa e outros) que possuem conexão rápida
à Internet e configurados para atacar ao mesmo tempo. Se eu instalar
o programa em vinte máquinas de diferentes endereços e configurá-las
para enviar 10.000 pacotes cada uma, com certeza derruba qualquer host.
Um programa muito utilizado para isso é o Tribal Flood Network.
Trojans também são largamente usados para esse fim.
Diminuindo o impacto causado pelos ataques
O melhor procedimento para se adotar é procurar os sites do fabricante
do sistema operacional e pegar atualizações para as falhas.
Como é o caso do OOB(Winnuke). A Microsoft já colocou um
patch de correção em sua homepage. Evitar o máximo
de uso desnecessário da memória, assim dificultando um pouco
os ataques. E sempre que puder, aumentar a capacidade de processamento
e a memória RAM do sistema. Isso não vai impedir os ataques
pois alguns não têm solução, mas só
funcionam mesmo quando utilizados em larga escala. O Smurf por exemplo,
para derrubar um computador pessoal é fácil, mas um grande
host para cair seria preciso muitas pessoas realizando o ataque ao mesmo
tempo. Ou a utilização do software zumbi. A não ser
que tenha comprado briga com alguns crackers, pode ficar tranqüilo.