DoS - Esclarecimentos

[ManagerONE]

Resolvi postar este material sobre DoS, é antigo, mas muita gente pede esclarecimentos sobre o assunto.

Boa Leitura, e se puderem enriquecer o material seria legal.

[], ManagerOne
----------------------------------------------------------------

Ataques Distributed Denial of Service (DDoS)

A partir da segunda medate de 1999, vários ataques conhecidos como Distributed Denial of Service (DDoS) foram reportados, mas apenas no início de 2000, com os problemas nos sites da CNN, eBay, ZDnet, E*Trade, Time Warner, Amazon e Yahoo, este tipo de ataque ganhou destaque. Este artigo apresenta como são implementados ataques DDoS e as maneiras de evita-los.

Antes de entrar em detalhes sobre o ataque DDoS, vale relembrar o que vem a ser um Denial of Service (DoS). Um ataque do tipo DoS basicamente visa indispolibilizar os serviços oferecidos por algum servidor de rede, como Web, mail ou Domain Name Services (DNS). Indisponibilizar pode significar retirar totalmente o servidor de operação ou apenas deixa-lo lento, ao ponto do cliente abandonar o serviço devido ao tempo de resposta. Um ataque DoS ou DDoS não implica no site ser invadido, ou seja, as informações contidas no site não podendo ser roubadas, modificadas ou eliminadas.

Os ataques DoS atuam nas fraquezas dos protocolos TCP/IP, sendo possível de ser implemetado em qualquer dispositivo que utilize este protocolo, como servidores, clientes e roteadores. Um exemplo comum de ataque DoS é TCP SYN Attack. De forma simplificada, toda vez que um cliente deseja iniciar uma conexão com um servidor, o cliente envia um pedido, utilizando o bit de SYN (sincronização) do pacote TCP. O servidor recebe o pacote e devolve um ACK para iniciar a conexão. A cada pedido gerado pelo cliente, o servidor aloca recursos internos, como memória, para poder atender a solicitação. Se um número muito grande de solicitações forem feitas, o servidor pode simplesmente parar ou ficar tão sobrecarregado que recuse novas conexões. Geralmente, o endereço de origem do cliente que solicita a conexão é forjado (spoofed) para tornar o ataque ainda mais efetivo e encobrir o seu autor.

Além do TCP SYN Attack, existem vários outros ataques conhecidos do tipo DoS, como UDP Flood Attack, Smurfing e Fragging. Existe uma série de utilitários disponíveis na Internet que facilitam estes ataques, tornado-os bastante simples de serem implementados, inclusive por amadores. Um ataque Distributed DoS nada mais é que um ataque DoS em larga escala, utilizando uma dezena, centena ou milhares de sistemas ao mesmo tempo no ataque de um ou mais alvos. Este tipo de ataque é considerado como sendo de alto risco e de difícil defesa.

Durante o ano de 1999, foram encontradas algumas ferramentas que automatizam os ataques DDoS, como TFN (Tribe Flood Network), Trinoo, stacheldraht (arame farpado em alemão) e o TFN2000 (TFN2K). Em agosto de 1999, as ferramentas TFN e Trinoo foram infiltradas em 27 máquinas da Universidade de Washington e utilizadas em um ataque de três dias a Universidade de Minnesota, juntamente com mais outras 200 máquinas infectadas. Enquanto o Trinoo foi utilizado para múltiplos ataques DoS do tipo UDP Flood, o TFN gerava diferentes tipos de ataques DoS, inclusive com endereços forjados (IP spoofing).

Os ataques DDoS funcionam com base no modelo cliente/servidor. O(s) cracker(s) invade(m) um pequeno número de sistemas (três ou quatro) que passam a ser os servidores (ou masters). Um grande número de sistemas são infectados com uma ferramenta DDoS e passam a responder como clientes (ou deamons) aos masters. O invasor se comunica com os master que por sua vez enviam comandos para os clientes que finalmente lançam o ataque a um ou mais alvos.

Os servidores e clientes podem estar espalhados por qualquer site na Internet e, apesar do Unix ser o sistema operacional mais infectado, não existe motivos para que os demais sistemas também sejam alvo de ataques. Recentemente foi encontrada versões de ferramentas DDoS para ambientes Windows, tornando qualquer usuário da Internet um potencial cliente. Geralmente os clientes invadidos são escolhidos em função de sua capacidade de comunicação. Quanto maior a conexão de rede, maior será o volume de pacotes gerados na vítima. Isto faz com que os grandes provedores de acesso sejam um alvo preferencial para servir de cliente.

Como os sistemas comprometidos estão sob controle externo, existe uma grande dificuldade do administrator do site atacado responder ao DDoS. A melhor maneira de evitar ataques deste tipo é impedir que se tenha acesso aos servidores e clientes. As recomendações daqueles que já sofreram este tipo de ataque são:

Impedir a instalação da ferramenta que realize o DDoS. Conheça as deficiências do seu sistema operacional (Unix, Windows etc.);
Já existem algumas scanners que identificam ferramentas DDoS e alertam aos administradores;
Verificar os log's;
Desativar serviços que não sejam utilizados;
Manter procedimentos de resposta aos ataques;
Utilizar ferramentas de IDS (Intrision Detection System) que tenham a capacidade de identificar a comunicação entre servidores e clientes;
Filtrar certos tipos de pacotes, principalmente com IP forjado.
Estamos assistindo apenas ao começo de uma série de ataques que devem crescer em número e poder de ação. Cabe aos responsáveis pela segurança, estar atualizado sobre as novas modalidades de ataques e como responder a eles.
Este artigo foi escrito por Luiz Paulo Maia e pode ser contatado pelo email: lpmaia@training.com.br

Referências:

CERT, Tips in Denial of Service
http://www.cert.org/tech_tips/denial_of_service.html

CERT Advisory CA-99-17, Denial-of-Service Tools.
http://www.cert.org/advisories/CA-99...ice-tools.html

CERT Incident Note IN-99-07, Distributed Denial of Service Tools.
http://www.cert.org/incident_notes/IN-99-07.html

Results of the Distributed-Systems Intruder Tools Workshop, CERT, Nov. 1999.
http://www.cert.org/reports/dsit_workshop.pdf

CERT Advisory CA-2000-01, Denial-of-Service Developments
http://www.cert.org/advisories/CA-2000-01.html

NATIONAL INFRASTRUCTURE PROTECTION CENTER, TRINOO/Tribal Flood Net/tfn2k.
http://www.fbi.gov/nipc/trinoo.htm

The "stacheldraht" distributed denial of service attack tool
David Dittrich, University of Washington, Dez, 1999.
http://staff.washington.edu/dittrich...draht.analysis

Index of Distributed Attack Tools
http://packetstorm.securify.com/distributed/

Denial of Service Attack using the trin00 and Tribe Flood Network programs
ISS Security Alert, Dez., 1999.
http://xforce.iss.net/alerts/advise40.php3

CERT Security Improvement Modules
http://www.cert.org/security-improvement/

http://www.training.com.br/lpmaia/artigo_ddos.htm

[brunosolar]

Além do TCP SYN Attack, existem vários outros ataques conhecidos do tipo DoS, como UDF Flood Attack, Smurfing e Fragging. Existe uma série de utilitários disponíveis na Internet que facilitam estes ataques, tornado-os bastante simples de serem implementados, inclusive por amadores. Um ataque Distributed DoS nada mais é que um ataque DoS em larga escala, utilizando uma dezena, centena ou milhares de sistemas ao mesmo tempo no ataque de um ou mais alvos. Este tipo de ataque é considerado como sendo de alto risco e de difícil defesa.

So a agradecer oo ManagerOne por mais uma explanação aos usuarios do forum, porem nao seria UDP flood?

[ManagerONE]

So a agradecer oo ManagerOne por mais uma explanação aos usuarios do forum, porem nao seria UDP flood?

Sim seria, estou editando e corrigindo o próprio post.

[]s, ManagerOne

[Guzpido Krush]

Exploit em GZIP pode levar a DoS e acesso ao sistema
http://www.istf.com.br/vb/showthread.php?p=36521

[ManagerONE]

Sobre os ataques DOS -por favor leia

Olá ManagerONE, é um prazer poder "falar" com você, uma pessoa que demonstra ter um conhecimento bastante desenvolvido no mundo da informática.
Eu estive lendo a notícia, ou melhor dizendo, o texto que você colocou no ISTF, onde abordava o ataque DOS, mas preciso tirar algumas dúvidas com você e peço: por favor, não me trate mal como muitas pessoas aqui já fizeram.Vou começar:
-O ataque ao qual você falou está ou é feito através do prompt do DOS ?
-SE for, como isso pode ser feito?
-Meus amigos afirman que ataque e invasões por meio do ms DOS utilizando ftp não são mais possíveis.Isso é verdade ?
Por favor, se possível eu gostaria de ter respostas, pois isso é de grande importância para min.

Netinho
--------------------------------------------

O que é?

Mas, afinal de contas, o que vem a ser um ataque de "negação de serviço"? vamos fazer um analogia simples sobre ataques DOS, nas noites de natal e ano novo, quando milhares de pessoas decidem simultaneamente, cumprimentar à meia noite parentes e amigos, que encontram-se no Brasil e no exterior. Uns 5 minutos posteriores a virada do ano e na noite de natal provavelmente, você não conseguira completar a sua ligação, pois as linhas telefônicas estarão saturadas, causando a indisponibilidade dos serviços prestados pela companhia telefônica.
è basicamente isso um ataque do tipo DOS(denial of service), seguindo esta linha de raciocínio os ataques DDOS(distributed denial of service) são a união entre negação de serviço e intrusão distribuída.

Os personagens do ataque

Ao longo deste ataque o(s) atacante(s) usam máster, agente, cliente e daemom, para coordenar o ataque.
Atacante -> Quem comanda o ataque.
Master -> A máquina que comanda os agentes e recebe as instruções para realizar ataque.
Agente -> A máquina que iniciara o ataque contra a(s) vitima(s).
Cliente -> Aplicação instalada no master, que envia os comandos ao daemon.
Daemon -> Aplicação que roda no agente, recebe e executa os comandos enviados pelo cliente.
Vítima -> Como próprio nome já diz vitima é quem sofrerá o ataque, sendo infestada por uma quantidade gigantesca de pacotes, o que ira ocasionar congestionamento e a indisponibilidade dos serviços oferecidos por ela.

As três principais fases do ataque

1ª fase: intrusão em massa. nesta fase do ataque o atacante escolhe as vitimas(geralmente conexões de banda larga), e faz um superscan de vulnerabilidades nelas, apos encontradas as vulnerabilidades, é criado uma lista com os IP's dessas máquinas que foram invadidas e comprometidas, para serem usadas no ataque.

2ª fase: instalação das ferramentas DDOS, escolha dos masters e agentes. Após invadida as máquinas e instalados os programas DDOS é a hora de selecionar a função de cada máquina no ataque. A escolha sobre qual máquina será usada como master e agente dependerá do atacante. O perfil dos masters e agente dependerá do atacante, mais geralmente o perfil dos masters e agente são máquinas poucos manuseadas e pouco monitoradas pelo seu administrador já os agentes são máquinas rápidas, é nos agentes que serão instalados o daemon DDOS que anunciara sua presença aos masters e ficara esperando os comandos, daí começa a ser organizado o ataque, é instalado rootkits para tentar ocultar o comprometimento das máquinas.

3ª fase: iniciando o ataque. O atacante agora só precisa controlar seu ou seus agentes e "mandarem" atacar o(s) IP(s) da(s) vítima(s), por um período de tempo determinado pelo atacante.

A figura mostrada abaixo ilustra um exemplo básico de ataque DDOS.



As ferramentas DDOS

Bom já sabemos como é feito o ataque em si, mais faltou explicar o principal quais as ferramentas são usadas neste tipo de ataque e como detectar um ataque DDOS. a figura abaixo mostra algumas ferramentas:


Fabi Trank
Shaft TFN
Stacheldraht TFN2K
Blitznet TRIN00


Visando sempre disseminar o conhecimento, veremos um pouco sobre as principais ferramentas usadas nestes tipos de ataque como trin00, stacheldraht, tfn e tfn2k.


TRIN00

Está ferramenta foi desenvolvida em junho de 1990 e é usada para iniciar ataques DOS coordenados UDP. A estrutura de uma rede trin00 é formada por poucos masters e muitos agentes, a conexão com os masters é estabelecida no protocolo TCP na porta 27655. logo depois de realizada a conexão é pedida uma senha(que geralmente é "betaalmostdone"), os masters e os agentes se comunicam através de pacotes UDP na porta 27444 ou via TCP na porta 1524 é necessário uma senha para usar os comandos a senha default é "144adsl" e só seram executados comandos com a substring "144". Assim que um daemon é ativado, ele automaticamente anuncia sua presença na rede enviando uma mensagem ("*hello*") aos masters que tem uma lista dos IP's dos agentes ativos. geralmente a aplicação cliente que roda no master tem nome de master.c e os daemons geralmente tem o nome de ns, http, rpc, trin00, trinix, etc. Lembrando que os nomes podem ser facilmente modificados. OBS: tanto o cliente quanto o daemon podem ser iniciados sem privilégios de root(superusuário).

TFN(trible flood network)

O TFN ou trible flood network pode coordenar ataques a uma ou mais vítimas e pode ser iniciado de varias máquinas ao mesmo tempo e podem gerar varios tipos de ataques como UDP flood, SYN flood, ICMP flood e Smurf/faggle. é possível forjar o endereço de origem dos pacotes enviados as vítimas, o que torna muito difícil para as vítimas identificar o atacante, a conexão de um master TFN é feita através de linha de comandos executadas pela aplicação cliente, a sua conexão entre o atacante e o cliente pode ser estabelecida por métodos de conexão bem conhecidas como telnet, rsh, etc e não é necessário nenhum tipo de autenticação o interessante nesse tipo de ataque é que algumas versões são usadas criptografias(do tipo blowfish) para ocultar o conteúdo da lista dos IP's porém não existe comunicação TCP ou UDP entre os clientes e os daemons, a comunicação é feita através de pacotes ICMP_ECHORELPY e os programas precisam ser executados com privilégios de usuário root.

TFN2K(trible flood network 2000)

è uma versão mais sofisticada do seu antecessor o TFN e também dispara ataques dos tipos UDP flood, TCP flood, ICMP flood ou Smurf/faggle e os daemos podem ser instruídos a alternarem aleatoriamente entre estes tipos de ataques. A comunicação com o master pode ser feita através de pacotes TCP, UDP, ICMP ou aleatoriamente e entre os três, os pacotes são criptografados usando o algoritmo CAST. A grande inovação do TFN2K em relação ao seu antecessor e o fato desta ferramenta ser completamente "silenciosa", pois não existe ACK da recepção dos comandos a comunicação é unidirecional, os sistemas mais atacados são máquinas Linux e Solaris, mais os códigos fonte dessa ferramenta são abertos o que torna difícil sua identificação.

TFN(trible flood network)

O TFN ou trible flood network pode coordenar ataques a uma ou mais vítimas e pode ser iniciado de varias máquinas ao mesmo tempo e podem gerar varios tipos de ataques como UDP flood, SYN flood, ICMP flood e Smurf/faggle. é possível forjar o endereço de origem dos pacotes enviados as vítimas, o que torna muito difícil para as vítimas identificar o atacante, a conexão de um master TFN é feita através de linha de comandos executadas pela aplicação cliente, a sua conexão entre o atacante e o cliente pode ser estabelecida por métodos de conexão bem conhecidas como telnet, rsh, etc e não é necessário nenhum tipo de autenticação o interessante nesse tipo de ataque é que algumas versões são usadas criptografias(do tipo blowfish) para ocultar o conteúdo da lista dos IP's porém não existe comunicação TCP ou UDP entre os clientes e os daemons, a comunicação é feita através de pacotes ICMP_ECHORELPY e os programas precisam ser executados com privilégios de usuário root.

TFN2K(trible flood network 2000)

è uma versão mais sofisticada do seu antecessor o TFN e também dispara ataques dos tipos UDP flood, TCP flood, ICMP flood ou Smurf/faggle e os daemos podem ser instruídos a alternarem aleatoriamente entre estes tipos de ataques. A comunicação com o master pode ser feita através de pacotes TCP, UDP, ICMP ou aleatoriamente e entre os três, os pacotes são criptografados usando o algoritmo CAST. A grande inovação do TFN2K em relação ao seu antecessor e o fato desta ferramenta ser completamente "silenciosa", pois não existe ACK da recepção dos comandos a comunicação é unidirecional, os sistemas mais atacados são máquinas Linux e Solaris, mais os códigos fonte dessa ferramenta são abertos o que torna difícil sua identificação.

Stalcheldraht

Esta poderosa ferramenta combina basicamente aspectos das ferramentas trin00 e TFN, com uma criptografia na comunicação entre o atacante e seus masters e atualizando automaticamente os seus agentes. um aspecto muito interessante é que a atualização dos binários dos daemon executados nos agentes pode ser realizada instruindo os daemon a apagarem sua própria imagem e substituí-la por uma outra cópia.

A comunicação ocorre via serviço rpc na porta 5146(porta TCP), os programas clientes desta ferramenta geralmente recebem o nome de mserv e os daemons laf, td, etc e ambos devem ser executados com privilégios de usuários root. A conexão é feita pela por telnet, mais nesta criptografados e se conecta na porta 16660 porta TCP.

http://www.invasao.com.br/coluna-bytes-03.htm

[brunosolar]

So uma coisinha tambem... DOS <> DOS ..... Ou seja.....
Existe um S.O da microsoft chamado de DOS e existem ataques do tipo Dos DDos que significam Denial of service e Distribuited Denil of service.


E ainda pra acrescentar ao post do managerone temos ai tambem as ferramentas C4 (synflood) e udp.pl (script em perl para DOS sobre o protocolo UDP.)