DoS – Negação de Serviço
Carlos Vinícius Cavalcanti Pivotto
Luís Carlos de Souza Pimenta
Redes de Computadores I – Profº Otto
Introdução
• Negação de Serviços
– DoS :Denial of Service
• Ataque singular (único agente)
– DDoS: Distributed Denial of Service
• Ataque em massa (distribuído, vários agentes)
Introdução
• Negação de Serviços
– Interrompem atividades legítimas
• Web Browsers;
• Streaming;
• Bancos Online;
Motivações
•
•
•
•
Disputa entre hackers;
Burlar segurança de sites;
Política;
Extorsão.
Evolução
•
•
•
•
•
•
•
Falhas TCP/IP;
Ataques em redes IRC;
Smurf;
Inundação;
DDoS;
Worms;
Ataques a grandes sites.
Ataques
• Controle sobre agentes;
– Bots de IRC;
– Infecção por worms.
Ataques
Ataques
Ataques
Tipos de Ataque
• Inundação
– Tráfego TCP SYN;
– Three-way Handshake;
– Envio massivo de pacotes.
Tipos de Ataque
• Reflexivo
– Particularidade de inundação;
– Espelho entre atacante e vítima;
– Forja-se endereço da vítima.
Tipos de Ataque
• Infra-estrutura
– Visa grandes sites;
– Ataca elemento vital que não dependa da
vítima;
• Banda;
• DNS.
Tipos de Ataque
• Vulnerabilidade
– Explora falhas de protocolos ou aplicações.
IP Spoofing
• Spoof: forjar, falsificar.
–
–
–
–
Falsificar endereços IP;
Usado em ataques reflexivos;
Invasão de redes privadas;
Gerado:
• Aleatoriamente (0.0.0.0 – 255.255.255.255)
• Subrede (X.Y.Z.*);
• IP da vítima.
Defesa
• Remediar a prevenir:
– Ataques freqüentes, mas poucas vítimas;
– Prevenir-se é caro.
Tipos de Defesa
• Sistema de Rastreamento de Pacotes IP
– Determina origem dos pacotes;
– Roteadores inserem assinaturas em pacotes;
• Pushback
– Rede impede tráfego de ataque
Tipos de Defesa
• D-WARD
– Detecta tráfego antes que deixe sua rede
nativa;
– Limita taxas, não as bloqueia.
• NetBouncer
– Legitimação de clientes;
– Preferência para legítimos.
Tipos de Defesa
• Secure Overlay Service
– Rotea apenas tráfego legítimo;
– Cliente contata ponto de acesso primeiro;
• Prova de Trabalho
Tipos de Defesa
• DefCOM
– Núcleo de rede;
– Geradores, Limitadores e Classificadores.
• COSSACK
– Age na rede-fonte;
Tipos de Defesa
• Pi
– Impressões digitais de pacotes;
– Age após identificação do ataque.
• SIFF
– Tráfego privilegiado e não privilegiado;
– Exige modificações de protocolo.
• Filtro de Contagem de Saltos
– Observação e estimativa de TTL (time to live)
Aspectos Legais
• Vítimas:
–
–
–
–
–
–
–
IRC;
Agências de inteligência;
Alvos políticos;
Imprensa;
Portais;
Pornografia, Apostas;
e-Commerce.
Aspectos Legais
• Várias leis podem ser aplicadas:
–
–
–
–
Extorsão;
Usurpação;
Dano;
Estelionato.
Aspectos Legais
• Quem foi o atacante?
• Sob que leis o crime deve ser julgado?
• Agentes têm parcela de culpa?
Conclusão
• Muitos ataques, poucas vítimas;
• Mudança de alvos:
– Deterioração de serviços;
– VoIP;
• Novas defesas, novos ataques.
Perguntas e Respostas
 Qual é o objetivo dos ataques de Negação de
Serviço e como podem ser conseguidos?
Interromper atividades legítimas como navegar
em um web browser, ouvir uma rádio ou assistir a
um canal de TV online ou transferir dinheiro para
uma conta bancária, aproveitando-se de falhas
e/ou vulnerabilidades presentes na máquina
vítima, ou enviar um grande número de
mensagens que esgote algum dos recursos da
vítima, como CPU, memória, banda, etc.
Perguntas e Respostas
 Diferencie DoS padrão de DDoS.
DoS utiliza uma única máquina poderosa, capaz de
gerar o número de mensagens suficiente para causar a
interrupção do serviço. Em DDoS assume-se controle
de um grupo de máquinas, que podem ter recursos
mais humildes, mas que se concentrem em enviar
mensagens para a vítima, ou seja, distribui-se o
ataque.
Perguntas e Respostas
 Qual é a hierarquia básica de controle direto em
um ataque DDoS?
O atacante controla a rede agente através de
comandos diretos impostos ao operador, que os repassa
aos agentes, às vezes usando um conjunto de comandos
e semântica diferentes.
Perguntas e Respostas
 Quais são as vantagens e desvantagens de remediar e
não prevenir-se contra DoS e DDoS?
A vantagem é que embora existam muitos ataques
ocorrendo na Internet, as vítimas são relativamente
poucas. Entretanto, remediar um problema significa
deixar que ele aconteça para depois reagir a ele.
Perguntas e Respostas
 O que é IP Spoofing?
IP Spoofing é o fornecimento de um falso endereço IP,
forjando a identificação de seu remetente.
Referências
•
•
•
•
•
•
•
•
MIRKOVIC, J., DIETRICH, S., DITTRICH, D., REIHER, P. - "Internet Denial of Service:
Attack and Defense Mechanisms". EUA, Prentice Hall PTR, 1ª Edição, 2004.
LAUFER, R. P., Moraes, I. M., VELLOSO, P. B., BICUDO, M. D. D., CAMPISTA, M. E.
M., CUNHA, D. O., COSTA, L. H. M. K., DUARTE, O. C. M. B. - "Negação de Serviço:
Ataques e Contramedidas", Minicursos do Simpósio Brasileiro de Segurança da Informação e de
Sistemas Computacionais - SBSeg'2005. Florianópolis, Brasil, pp. 1-63, Setembro de 2005.
LAUFER, R. P., VELLOSO, P. B., e DUARTE, O. C. M. B. - "Um Novo Sistema de
Rastreamento de Pacotes IP contra Ataques de Negação de Serviço", XXIII Simpósio Brasileiro
de Redes de Computadores - SBRC'2005, Fortaleza, CE, Brasil, Maio de 2005.
LAUFER, R. P. "Rastreamento de Pacotes IP contra Ataques de Negação de Serviço" [Rio de
Janeiro] 2005. XIII, 93 p. 29,7cm (COPPE/PEE/UFRJ, M.Sc., Engenharia Elétrica, 2005)
Dissertação - Universidade Federal do Rio de Janeiro, COPPE.
CERT Coordination Center. “Denial of Service Attacks”. Disponível em . Acesso em: 18 de
abril de 2006.
HOUSEHOLDER, A. et alli. "Managing the Threat of Denial-of-Service Attacks". CERT
Coordination Center, 2001.
ROGERS, L. "What is a Distributed Denial of Service (DDoS) Attack and What Can I Do
About It?". US-CERT. Disponível em . Acesso em: 18 de abril de 2006.
VARGAS, G. "Código Penal Brasileiro", Decreto-Lei nº2848. Rio de Janeiro, 7 de Dezembro de
1940.