|
|
O DoS também pode servir de forma a neutralizar uma certa máquina, ou impedir que certo usuário (o root, por exemplo...) logue na máquina e acabe com a farra. Imagine as conseqüências de um ataque DoS realizado em um router, ou em uma firewall... Ataca-se 1 computador, mas centenas podem ser neutralizados instantaneamente. Quando um ataque DoS é bem sucedido, o computador alvo, poderá sofrer várias conseqüências que incluem: mensagens de pânico apresentadas no console; arquivos dump ou core serão escritos no disco; x-windows será abortado; um travamento total do sistema.... Geralmente o host irá simplesmente executar um boot. Para ter-se certeza de que o servidor realmente caiu, existem vários métodos, o mais simples e o meu preferido é o "ping". Como você sabe, o que ele irá fazer é basicamente enviar pacotes de rede do tipo ECHO_REQUEST... Alguns servidores bloqueiam pacotes ping, mas isso é raro... Os ataques a grandes sites na Web (yahoo!, Amazon, etc) são frutos
de uma técnica explorada pelos hackers: o ataque distributivo.
Baseado nas técnicas de Denial of Service, é feito por meio
do envio de pacotes de dados em larga escala para serviços baseados
em RPC que já foram devidamente exploitados. O resultado desta
ação é a parada de servidores e a interrupção
de vários ou todos os serviços. Esse tipo de ataque provavelmente
é o que esta sendo feito contra esses sites na internet, e no Brasil,
até a presente data, não tivemos nenhum caso devidamente
reportado. Existem várias ferramentas apontadas como causadoras
desses ataques: uma delas é a trinoo (trin00)
e a tribe flood network (TFN),
ambas citadas pelo CERT (www.cert.org) em seu advisorie 90-07. Podemos
citar ainda o Slice e o Spank, ferramentas DoS que geram muitos pacotes
TCP?UDP contra seus alvos, provocando assim sua paralisação
e ainda há o stacheldraht, fruto de uma mesclagem entre o Trinoo
e o TFN. Esse é um pequeno manual para administradores de rede
que gostariam de ter um método para tentar minimizar os efeitos
de um ataque desse tipo em seus sites. >>> Anatomia do Ataque Basicamente o ataque distributivo é feito em cima da arquitetura cliente/servidor. O atacante tem acesso (geralmente através da invasão) a shells (0c48) em bandwidths extremamente altas. Esses hosts são conhecidos como Masters ou Máster Controlers. Eles controlam uma série de nós ou daemons espalhados pela internet, dos quais irão gerar o ataque. Vamos analisar o diagrama abaixo: Invasor II ------------------------------II Máster Máster II --------------------------------------------------IIII Daemon Daemon Daemon IIII ------------------------------------------II Vitima Os daemons são máquinas espalhadas pela Web com várias
falhas de segurança, falta de patches de atualização,
etc. Que recebem um cavalo de tróia (trojans) em algum de seus
arquivos do sistema. Esses trojan contém o código do daemon
que se anuncia a uma máquina máster na rede, enviando sua
localização e em que portas há contado. Os masters
por sua vez têm total controle desses daemons, enviando quando necessário
as instruções para ataque a um alvo. Existem métodos
pelos quais os masters podem ser desligados ou trocados, causando assim
dificuldade na localização de um atacante. Com isso o atacante
tem nas suas mãos uma rede para atacar qualquer vitima na internet.
Normalmente os atacantes utilizam a técnica de flood através
do protocolo UDP, em que a vitima literalmente recebe milhares de pacotes
por segundo e simplesmente é derrubada pelo excesso de pacotes
recebidos. |
|
DoS
é diferente de DOS, ou seja, não iremos falar de um sistema
operacional, mas sim de um tipo de ataque, o Denial of Service (ataque
de negação de serviços). Ataque DoS, consistem, basicamente
em atacar-se um certo serviço de forma a, geralmente, "travar-se"
todo um sistema.