Tweet
O que é DoS?
DoS, ou Denial of Service(Recusa de serviço), é um tipo de ataque muito usado por hackers e crackers, geralmente ele é causado explorando-se uma falha em algum software ou deixando o host vítima confuso. O princípio básico dele é o seguinte: o atacante envia pacotes de internet 'maliciosos' para o host vítima, o qual vai processando os pacotes normalmente, mas com a insistencia do atacante, o host vítima começa a se sobrecarregar de pacotes, o motivo vai variar dependendo do tipo de DoS, até uma hora em que ele trava, reinicia ou até mesmo não acontece nada :S
Primeiro, vou explicar como são feitas as conexões TCP para melhor entendimento do ataque.
As conexões TCP são efetuadas em três etapas, chamado de "Handshake"(Aperto de mão).
Primeiro, um host, que chamarei de A, envia um sinal SYN(pedido de sincronização, é a razão do nome SYN) para o host que chamarei de B. O host B controla esses e outros pedidos de conexões parcialmente abertas em uma 'lista de escuta', onde, normalmente, os pedidos ficam pelo menos 75 segundos.
Depois de enviar o sinal SYN, o host A espera por uma resposta, de aceitação, da sincronização(SYN-ACK) do host B. Quando ele receber esta resposta, o host A encerrá o handshake enviando uma resposta de aceitação (ACK) para o host B. Só então a conexão é efetivamente feita.
Ataque Syn Flood
Também conhecido por "Ataque SYN TCP", o Syn Flood é o ataque mais 'básico' de DoS, pois é a essência pura do termo. Ele se aproveita do modo como uma conexão TCP é feita. Quando um atacante manda muitos sinais de sincronização em um curto intervalo de tempo de tempo para um host vítima e não responde com um ACK as respostas SYN-ACK recebidas pelo host vítima, fazendo então com que a fila de solicitações de SYN do host vítima fique lotada, a um ponto o qual o host vítima não consiga processar mais pacotes nem requisições, fazendo com que ele comece a recusar serviços.
Ataque LAND
Neste ataque, o atacante envia uma sequencia de pacotes SYN de TCP com o endereço IP de origem e de destino iguais, e número de portas idêntico. Quando o host vítima tenta resolver os pacotes, entra em um loop infinito, causando assim a quebra do sistema. Apesar de ser uma técnica antiga(foi utilizada pela primeira vez em 1997), existem alguns sistemas vulneráveis a ela hoje em dia.
O modo mais fácil de se executar um ataque LAND é usando o scaner HPING (Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...).
Vou descrever o comando mas não entrarei em detalhes neste tópico sobre o hping.
O comando é : hping3 -S 192.168.1.3 -a 192.168.1.3 -k -s 139 -p 139 --flood
Tendo como base que a porta utilizada é 139 e o IP do host vítima seja 192.168.1.3.
Ataque UDP Flood
Como todos já devem saber, o UDP é um protocolo sem conexão, ou seja, não precisa de nenhum processo pra se estabelecer uma conexão, diferente do TCP que necessita do Handshake. Um ataque de UDP Flood acontece quando o atacante envia um pacote UDP pra qualquer porta do host vítima. Quando o host vítima receber o pacote UDP, ele vai tentar descobrir qual é o serviço ou aplicativo que roda na porta indicada pelo atacante. Quando o host vítima perceber que não existe tal serviço rodando, ele vai criar um pacote ICMP de 'Destino não alvançável' e vai enviar pro endereço IP forjado pelo atacante. Se o atacane enviar um número grande o suficiente de pacotes UDP para diversas portas do host vítima, vai acabar causando o DoS sem muito esforço.
Ataque Permanent DoS
Ataques PdoS é um ataque que danifica físicamente o host vítima a um ponto de ser necessário a troca do hardware, geralmente as interfaces de rede. É muito pouco conhecido, foi desenvolvido pelo laboratório HP Systems Security Lab. Essa técnica se aproveita de falhas na firmware das interfaces.
Ataque Ping Of Death
Muitas pessoas pensam que esse ataque não existe, mas existe, apesar de não ser muito usado ultimamente. Ele é causado ao enviar muitos pacotes PING com um tamanho excedido ao permitido por lei(Previsto no RFC 791, os pacotes PING podem ter no máximo 65535(2^16-1) bytes.
O ataque funciona porque é enviado um pacote com 65536 bytes fragmentado para um host vítima que irá resolvê-lo e juntar as partes dele, causando um overflow no buffer da memória RAM. Existe um exploit local em C que causa um DoS usando a técnica do Ping Of Death.
Ataque Black Hole
Também conhecido por Packet Drop, o ataque consiste em o atacante enviar pacotes para um endereço IP que não existe, dentro da rede vítima.
Mesmo que o TCP tenha meios de notificar que o destinatário não existe, através do ICMP o tráfego dos pacotes enviados ao endereço IP inexistente é simplesmente deixado 'morto'(é daí que vem o nome Packet Drop).
Quando a rede fica cheia de pacotes 'mortos', cria-se um gargalo na rede, deixando ela cada vez mais lenta até a hora que o roteador não aguenta mais e entra em pane.
"Não temo os computadores, temo é que um dia eles possam acabar"
DoS, ou Denial of Service(Recusa de serviço), é um tipo de ataque muito usado por hackers e crackers, geralmente ele é causado explorando-se uma falha em algum software ou deixando o host vítima confuso. O princípio básico dele é o seguinte: o atacante envia pacotes de internet 'maliciosos' para o host vítima, o qual vai processando os pacotes normalmente, mas com a insistencia do atacante, o host vítima começa a se sobrecarregar de pacotes, o motivo vai variar dependendo do tipo de DoS, até uma hora em que ele trava, reinicia ou até mesmo não acontece nada :S
Primeiro, vou explicar como são feitas as conexões TCP para melhor entendimento do ataque.
As conexões TCP são efetuadas em três etapas, chamado de "Handshake"(Aperto de mão).
Primeiro, um host, que chamarei de A, envia um sinal SYN(pedido de sincronização, é a razão do nome SYN) para o host que chamarei de B. O host B controla esses e outros pedidos de conexões parcialmente abertas em uma 'lista de escuta', onde, normalmente, os pedidos ficam pelo menos 75 segundos.
Depois de enviar o sinal SYN, o host A espera por uma resposta, de aceitação, da sincronização(SYN-ACK) do host B. Quando ele receber esta resposta, o host A encerrá o handshake enviando uma resposta de aceitação (ACK) para o host B. Só então a conexão é efetivamente feita.
Ataque Syn Flood
Também conhecido por "Ataque SYN TCP", o Syn Flood é o ataque mais 'básico' de DoS, pois é a essência pura do termo. Ele se aproveita do modo como uma conexão TCP é feita. Quando um atacante manda muitos sinais de sincronização em um curto intervalo de tempo de tempo para um host vítima e não responde com um ACK as respostas SYN-ACK recebidas pelo host vítima, fazendo então com que a fila de solicitações de SYN do host vítima fique lotada, a um ponto o qual o host vítima não consiga processar mais pacotes nem requisições, fazendo com que ele comece a recusar serviços.
Ataque LAND
Neste ataque, o atacante envia uma sequencia de pacotes SYN de TCP com o endereço IP de origem e de destino iguais, e número de portas idêntico. Quando o host vítima tenta resolver os pacotes, entra em um loop infinito, causando assim a quebra do sistema. Apesar de ser uma técnica antiga(foi utilizada pela primeira vez em 1997), existem alguns sistemas vulneráveis a ela hoje em dia.
O modo mais fácil de se executar um ataque LAND é usando o scaner HPING (Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...).
Vou descrever o comando mas não entrarei em detalhes neste tópico sobre o hping.
O comando é : hping3 -S 192.168.1.3 -a 192.168.1.3 -k -s 139 -p 139 --flood
Tendo como base que a porta utilizada é 139 e o IP do host vítima seja 192.168.1.3.
Ataque UDP Flood
Como todos já devem saber, o UDP é um protocolo sem conexão, ou seja, não precisa de nenhum processo pra se estabelecer uma conexão, diferente do TCP que necessita do Handshake. Um ataque de UDP Flood acontece quando o atacante envia um pacote UDP pra qualquer porta do host vítima. Quando o host vítima receber o pacote UDP, ele vai tentar descobrir qual é o serviço ou aplicativo que roda na porta indicada pelo atacante. Quando o host vítima perceber que não existe tal serviço rodando, ele vai criar um pacote ICMP de 'Destino não alvançável' e vai enviar pro endereço IP forjado pelo atacante. Se o atacane enviar um número grande o suficiente de pacotes UDP para diversas portas do host vítima, vai acabar causando o DoS sem muito esforço.
Ataque Permanent DoS
Ataques PdoS é um ataque que danifica físicamente o host vítima a um ponto de ser necessário a troca do hardware, geralmente as interfaces de rede. É muito pouco conhecido, foi desenvolvido pelo laboratório HP Systems Security Lab. Essa técnica se aproveita de falhas na firmware das interfaces.
Ataque Ping Of Death
Muitas pessoas pensam que esse ataque não existe, mas existe, apesar de não ser muito usado ultimamente. Ele é causado ao enviar muitos pacotes PING com um tamanho excedido ao permitido por lei(Previsto no RFC 791, os pacotes PING podem ter no máximo 65535(2^16-1) bytes.
O ataque funciona porque é enviado um pacote com 65536 bytes fragmentado para um host vítima que irá resolvê-lo e juntar as partes dele, causando um overflow no buffer da memória RAM. Existe um exploit local em C que causa um DoS usando a técnica do Ping Of Death.
Ataque Black Hole
Também conhecido por Packet Drop, o ataque consiste em o atacante enviar pacotes para um endereço IP que não existe, dentro da rede vítima.
Mesmo que o TCP tenha meios de notificar que o destinatário não existe, através do ICMP o tráfego dos pacotes enviados ao endereço IP inexistente é simplesmente deixado 'morto'(é daí que vem o nome Packet Drop).
Quando a rede fica cheia de pacotes 'mortos', cria-se um gargalo na rede, deixando ela cada vez mais lenta até a hora que o roteador não aguenta mais e entra em pane.
"Não temo os computadores, temo é que um dia eles possam acabar"
Comment