___________________________
 
     Não se lamente pelos dados que foram roubados ou
     perdidos sem antes se lamentar por não ter contratado 
     um profissional especializado em segurança!
_______________________________
                                                          by Claudio Rocha 
Menu
Principal
DoS attack
DDoS attack
Smurf attack
SYN Flood attack
UDP Flood attack
Ping Flood attack
Mensagem 1

Informa

 BR

O caminho certo da Informação

 
Mensagem 2

SEJAM
BEM-VINDOS !

 
 
Dos attack:
 
Uma breve descrição.   

Um attack DoS (Denial of Service) é um tipo de attack onde o *hacker explora as vulnerabilidades dos Sistemas Operacionais, especificos softwares e a família de protocolos TCP/IP. O resultado desses attacks podem ser do tipo: Buffer Overflow - derrubar o servidor, derrubar o serviço ou serviços (FTP, HTTP, Telnet etc.). Em resumo, o atacante pretende fazer com que os serviços sejam negados para usuários legítimos.

Exemplo: Antigamente o windows 95 em conjunto com o  protocolo TCP/IP não suportavam pacotes maiores de 64400 bytes. Dessa maneira tornando o sistema vulnerável para um simples comando ping: ping -t -l 65500 <IP da vitima>.  Esse comando (conhecido também como Ping of Death) faz com que seja enviado  ininterruptamente pacotes com tamanho superior ao suportado pelo windows 95 na época, fazendo então com que os sistemas reinicializasse ou simplesmente "crashed".     

Atualmente os Sistemas Operacionais (principalmente o Windows) já não são afetados por esse tipo de ataque simples (usando ping -t -l), porem outros métodos foram surgindo (SYN Flooding) no momento em que os *hackers foram desvendando as fraquezas da família de protocolos TCP/IP. 

Para efetuar um attack DoS hoje em dia basta usar uma das centenas de ferramentas de DoS disponíveis na internet.

Exemplo: O attacker controla a maquina descrita como zombie e de lá (maquina zombie)  efetuando o attack no IP da vitima. O attacker usa um intermediário (maquina zombie) para efetuar o attack  tornando o rastreamento deste attack difícil de ser localizado pela vitima.


Top of Page[Back to Top]

     
 
DDoS attack:
 
Uma breve descrição. 

DDoS attacks são complicados e envolvem  quebra de segurança/invasão de varias maquinas conectada a Intenet. Apos obter acesso a varias maquinas na internet o attacker (Client - representação do gráfico), instala os softwares de DDoS nelas, permitindo ao attacker controlar todas as maquinas (Hadler e Agents - representação do gráfico) com os softwares DDoS efetuando um attack coordenado no site da vitima escolhida. Esses attacks tipicamente esgotam o bandwidth, capacidade de processamento dos roteadores ou recursos da rede e faz com que a vitima perca totalmente sua conexão com a internet pelo tempo que o attack estiver ocorrendo.

Para que o attack DDoS seja um sucesso, o attacker necessita ter seu dispor varias maquinas trabalhando em conjunto (Hadler e Agents - representação do gráfico), podendo ser dezenas, centenas ou até milhares de máquinas disponível para o propósito de DDoS. Normalmente essas máquinas (Hadler e Agents - representação do gráfico) estão usando Sistemas Operacionais do tipo Linux e Solaris, facilitando o uso das ferramentas disponíveis necessárias para o attack. Porem, as ferramentas de attack podem e já são encontradas na internet para outras plataformas tipo Windows também.

 Terminologia:

As vezes as terminologias encontradas para analisar o DDoS são um tanto confusas. Para evitar este tipo de problema estaremos  padronizando o nosso exemplo a seguir:

Client - uma aplicação que pode ser usado para iniciar attacks simplesmente enviando comandos para outros componentes. Também conhecido como Attacker ou Intruder.

Daemon - Um processo rodando no agent responsável por receber a executar comandos recebido pelo cliente. Também conhecido como bcast (broadcast program).

Handler - um host rodando como client do attacker, também conhecido como Master.

Agent - um  host rodando o "processo" daemon. Também conhecido como Zombie.

Target - A vitima  ( host ou  network) do attack distribuído.



Top of Page[Back to Top]
     
 
Smurf attack:
 
Uma breve descrição. 

Smurf é um simples attack baseado em IP spoofing e Broadcast.  Um único pacote (conhecido como ICMP Echo Request) é enviado como um direcionado broadcast para uma subnet na Internet. Todas os computadores naquela subnet respondera para esse direcionado broadcast. Neste caso o IP source deste direcionado broadcast certamente serài trocado (técnica spoofing) pelo endereço IP da vitima escolhida pelo *hacker. Dessa maneira quando os computadores que receberem o broadcast direcionado, responderão com ICMP Echo Reply para o endereço IP (spoofed) contido naquele broadcast. Dependendo do numero de computadores naquela subnet dezenas, centenas ou ate milhares de pacotes ICMP Echo Reply serão enviado para o endereço IP da vitima fazendo com que a conexão seja bloqueada ou simplesmente tornando a conexão  lenta demais.   Esse técnica pode ser aplicada em conjunto com vários outros *hackers para que o efeito seja ainda maior e duradouro. Para a vitima na ha muito o que fazer a não ser contatar o responsável pela subnet que esta servido de amplificador de Smurf ( Smurf Amplifier).

Exemplo: O atacante envia um pacote de ICMP Echo Request, porem a vitima que recebe o ICMP Echo
                 Replay.


Dica: Para entender como funciona o Smurf é só efetuar um ping na sua própria rede  e visualizar o resultado com o TCPdump/Windump.

Exemplo: Execute o windump para capturar somente pacotes de icmp.   c:\>windump icmp

                 Use o comando ping para efetuar o Smurf Attack.  c:\>ping 192.168.0.255

  • OBS. Use duas janelas de DOS prompt (uma para visualizar o resultado ping com o windump e outra para efetuar o comando ping).  O endereço de IP usado com o comando ping  (192.168.0.255) devera ser o endereço IP de broadcast da sua rede, esse usado acima é só um exemplo de broadcast da classe C.

  • O resultado desse comando será o envio de um ICMP Echo Request para o endereço de IP escolhido  e o recebimento de vários ICMP Echo Replay da maquinas que estiverem conectadas sua rede.

Exemplo:

c:\>ping 192.168.0.255

10:47:12.618303 claudio > 192.168.0.255: icmp: echo request
10:47:12.618483 ylan > claudio: icmp: echo reply (DF)
10:47:12.618532 madonna > claudio: icmp: echo reply (DF)
10:47:12.618560 wave > claudio: icmp: echo reply (DF)
10:47:12.618577 unix_server > claudio: icmp: echo reply (DF)
10:47:12.618683 adsl-xx-xx-19-42.xxxxxxx.com > claudio: icmp: echo reply
10:47:12.620849 hp4050 > claudio: icmp: echo reply
...

  • Caso você esteja conectado via modem ou não esta conectado em rede, é só pingar um dos endereços de IPs listados no link acima citado e o resultado será o mesmo.



Top of Page[Back to Top]

     
 
TCP SYN Flood attack:
 
Uma breve descrição. 

O TCP SYN attack tira vantagem do comportamento do 3 way handshake efetuado pelo protocolo TCP no processo de uma conexão. O attacker faz um pedido de conexão para o servidor da vitima com pacotes que carregam o endereço falsificado de IP da fonte (método IP spoofing). Como resultado o servidor da vitima perde tempo e recursos de maquina que poderiam estar sendo usados para ouros processos. Dependendo da quantidade de pacotes de TCP SYN enviado para o servidor vitima,  memória, CPU e aplicações rodando neste servidor serão comprometidos e afetados podendo ate causar o shutting down do servidor. 


Top of Page[Back to Top]

     
 
UDP Flood attack:
 
Uma breve descrição. 

O UDP Flood attack é totalmente diferente to TCP SYN attack visto que o protocolo UDP não faz o processo de 3 way handshake para efetuar a conexão. Então já que o protocolo UDP não oferece nenhum meio de garantia de entrega do pacote, o attacker simplesmente envia pacotes de UDP randomicamente para todas portas do servidor da vitima. Quando o servidor da vitima recebe os pacotes de UDP enviado pelo attacker, ele tenta determinar qual aplicação esta aguardando pelo pacote naquela determinada porta em que foi recebido o pacote. Porem, quando o servidor verifica que não existe nenhuma aplicação aguardando tal pacote recebido, ele então emite um pacote ICMP para o destinatário (que obviamente forjou o endereço de IP da fonte) dizendo que o pacote não encontrou seu destino. Se uma grande quantidade de pacotes de UDP forem enviados para as portas do servidor da vitima, o sistema poderá ser comprometido fazendo com que aconteça ate o shutting down da maquina.



Top of Page[Back to Top]
     
 
Ping Flood attack:
 
Uma breve descrição. 

Ping Flood attack é uma técnica de attack que tenta saturar uma conexão de Internet através do envio continuo de uma serie de pings originados tipicamente em redes de alta velocidade para redes de baixa velocidades. Com o recebimento de um grande numero de ICMP Echo Request (ping) por parte do servidor sendo atacado, faz com que o mesmo perca tempo e gaste seus recursos tentando responder todos os pacotes recebido com ICMP Echo Reply (ping). Dependendo da rapidez e quantidade dos pacotes recebidos pelo servidor, a conexão de acesso a internet poderá ser comprometida e as vezes também ocasionar ate o shutting down do servidor.  




Top of Page[Back to Top]


Retornar