Estudo de caso de Ataques de Negação de Serviço

Propaganda
Estudo de caso de Ataques de Negação de Serviço (DDoS)
Luiz G. A. Cruz, Péricles D. O. Ramos, Samuel N. D. Vasconcelos, Claudines T.
Torres
Curso de Tecnologia em Redes de Computadores - Faculdade de Tecnologia de Bauru
(FATEC)
Rua Manoel Bento da Cruz, nº 30 Quadra 3 - Centro - 17.015-171 - Bauru, SP - Brasil
[email protected],[email protected],samuelnaliati182@hotm
ail.com,[email protected]
Abstract. There are countless problems caused by a DDoS attack, due to
vulnerable systems. This Work will present the concept of job security and its
specific information needs, the operation of the DDoS attack. Two analysis
attacks on servers tools were done in this article, making a comparison
between them. To perform the test, a scenario was developed with a physical
machine and a virtual server using the attack tool T50 and Slowloris by
analyzing each characteristics of them. It was used Wireshark program to do
an analysis of network protocols, capturing data and listing detailed
information about the attack. The results presented show that the attack tools
have efficiency and effectiveness of a DDoS attack on servers, leaving the
victim unavailable network. Will be addressed possible solutions against a
DDoS attack.
Resumo. São inúmeros os problemas causados por um ataque DDoS, devido
a sistemas vulneráveis. Será apresentado no trabalho o conceito de segurança
da informção e suas necessidades, o funcionamento do ataque DDoS. Foi
realizado neste artigo uma análise de duas ferramentas de ataques em
servidores, fazendo um comparativo entre as mesmas. Para realizar os teste,
foi elaborado um cenário com uma máquina física e um servidor virtual,
utilizando as ferramenta de ataque T50 e Slowloris, analisando as
características de cada uma. Foi utilizado o programa Wireshark para fazer
uma análise dos protocolos de redes, capturando dados, listando informações
detalhadas sobre o ataque. Os resultados apresentados, mostram que as
ferramentas de ataque tem eficiência e eficácia de um ataque DDoS em
servidores , deixando a rede da vítima indisponível. Será abordado possíveis
soluções contra um ataque DDoS.
1. Introdução
A segurança da informação tem como função proteger diretamente um conjunto de
informações, preservando o valor que contém essas informações para uso individual ou
de uma organização. Sendo decisivo nos negócios, a segurança da informação sofre
ataques a diversos sistemas, onde estão armazenadas informações confidenciais, dados
de clientes, no qual os sistemas das empresas atuam 24 horas por dia, comprometendo o
funcionamento da empresa se esse sistema parar por minutos. O conceito de segurança
da informação está diretamente ligado à proteção de informação de dados. No trabalho
será analisado as vulnerabilidades existentes nos servidores com programas específicos,
proporcionando possíveis soluções, visando sempre à segurança do sistema.
A internet é o meio mais viável para se obter acesso a informações. O sistema
deve restringir esse acesso, bloqueando informações importantes. O sistema deve estar
disponível sempre que o usuário necessitar, o mesmo não pode estar vulnerável a
ataques, protegendo a privacidade do usuário e toda informação contida no sistema.
Tendo em vista uma crescente evolução tecnológica, atendendo as necessidades
da sociedade, a segurança da informação tem um grande impacto nas organizações se
tornando um assunto de destaque e extrema importância no ambiente tecnológico,
oferecendo inúmeras ferramentas como soluções para possíveis ataques.
Dentro de um conceito empresarial, um sistema de segurança complexo e bem
protegido pode estar sujeito a tentativas de invasões, por um funcionário malintencionado, ou pelo simples prazer de invadir, são vários os motivos para realizar a
invasão, comprometendo as informações da empresa que devem ser de confiabilidade,
integridade e disponibilidade.
2. Metodologia
Essa pesquisa tem como objetivo, simular um ataque de negação de serviço
(DDoS) e suas consequências, encontrar técnicas de soluções para o problema,
instalando e configurando uma ferramenta de monitoramento na máquina local com o
sistema Windows 7 com um processador Intel I5, 8GB de memória RAM DDR3 com
um disco sólido (SSD) de 250GB, a ferramenta Nmap irá verificar as vulnerabilidades
existente no sistema. Será instalado e configurado duas ferramentas de ataques em uma
máquina virtual através do VirtualBox, na distribuição DEBIAN (Kali Linux), as
ferramentas T50 e Slowloris que irá simular o ataque. Também serão realizados testes
para fazer a comparação entre essas duas ferramentas.
O trabalho foi realizado através de pesquisas bibliográficas e testes realizados
por uma máquina física com serviços virtualizados, tendo como importância identificar
as vulnerabilidades existentes nos sistemas operacionais e nos servidores, mostrando
que todo sistema está sujeito a um ataque, independente de sua política de segurança.
3. Segurança da Informação
De acordo com Torres (2013, p. 492) a segurança é uns dos assuntos de extrema
importância quando se fala de redes de computadores, onde o maior problema seria o
pensamento das pessoas de acharem que ataques e roubos de dados só acontecem em
ambientes virtuais, sendo o meio físico os principais meios que permite um acesso não
autorizado. Diante isso, quando um golpe é descoberto e logo resolvido, outros meios
de acesso não autorizado surgirão, se tornando outro problema diante o assunto, assim
como acontece no mundo real, similarmente acontece no ambiente de redes de
computadores. O problema seria o usuário achar que está sempre protegido de um
ataque ou invasão, o que na verdade está sempre vulnerável a esses invasores, com isso
o usuário deve se proteger contra esses problemas, sabendo que não há uma proteção
totalmente segura.
3.1. Conceitos Básicos de Segurança da Informação
Para White (2011, p.308) a definição de segurança em redes é baseada em duas
afirmações, onde a segurança em redes nunca foi melhor que hoje e ela nunca foi tão
vulnerável quanto hoje. Durante a década de 1950 a 1960 a confiança é o que
representava a segurança da informação, desde esse período os sistemas operacionais
aumentarão sua flexibilidade com acesso fácil a vários usuários, recuperação de dados,
downloads, como consequência houve um aumento da complexidade da segurança dos
sistemas para se protegerem entre os usuários.
White (2011, p. 308) atualmente a internet é um meio de permissão, com um
acesso de qualquer usuário a um sistema de computadores conectado à internet, esse
processo tem suas vantagens e seus problemas, o objetivo de quem realiza o ataque é ter
acesso a sistemas proibidos destruindo tudo o que encontrar.
4. Necessidade de Segurança
As empresas vêm buscando com a tecnologia realizar seus procedimentos de forma
eficaz e eficiente, buscando vantagem competitiva dentro de um mercado concorrido.
Com o surgimento da rede, os dados da empresa ficam vulneráveis ao sistema, deixando
em risco os dados confidenciais da empresa. Na era da informação são disponibilizados
vários recursos pela rede, fazendo com que a empresa tenha mais flexibilidade e
facilidade diante dos mesmos, gerando maior produtividade consequentemente gerando
um lucro maior para a empresa, se preocupando com a segurança dos dados da empresa
e de seus clientes, estando disponíveis e seguros.
Para Nakamura e Geus (2010), para um bom andamento nas organizações, a
estrutura em relação aos dados devem ser de confiabilidade, integridade e
disponibilidade, fazendo com que esses dados sejam protegidos, ou seja, toda
informação deve chegar ao usuário sem alteração de maneira confiável, tornando a
segurança em rede algo fundamental para proteção das informações, levando em
consideração os aspectos humanos e implantando outros métodos de ataques não
tecnológicos que afetam diretamente a segurança de uma organização.
Para Tanenbaum (2010, p.308) o sistema operacional tem de ter objetivos
referentes à segurança da informação, a confidencialidade de dados que mantém em
segredo, podendo ser disponibilizado apenas por pessoas autorizadas, a integridade de
dados garante que os dados não serão alterados por usuários não autorizados, a
disponibilidade do sistema garante que o sistema não fique inutilizável. A tabela 1
representa o modelo de segurança.
Tabela 1. Segurança: metas e ameaças
Meta
Ameaça
Confidencialidade de dados
Exposição de dados
Integridade de dados
Manipulação de dados
Disponibilidade de dados
Recusa de serviços
Exclusão de dados
Controle do sistema por vírus
Fonte: Tanenbaum, 2010
5. Tipos de Ataques
De acordo com White (2011, p.308) os principais meios de ataque, exploram
vulnerabilidades conhecidas no sistema operacional e aplicativos, a vulnerabilidade em
navegadores é um local onde ocorrem ataques com mais frequência na qual o sistema é
estudado pelo invasor, para achar uma possível falha e realizar o ataque,
comprometendo a máquina ou a rede. Um método para se conseguir acesso ao sistema
de algum usuário não autorizado, é o envio de e-mail, com códigos mal-intencionados,
o famoso cavalo de Tróia, quando o usuário abrir o e-mail na inocência, danos
acontecem em seu computador ou arquivos.
Tanenbaum (2010, p.381) em termos de segurança, invasores são pessoas que
olham coisas que não lhe dizem respeito, agindo de duas maneiras, invasor passivo
refere-se a pessoas que querem apenas ler arquivos não autorizados, e invasores ativos
representados por pessoas mal-intencionadas, agindo com intenção de alterar os dados
por motivos específicos.
Uma forma de ataque é o vírus, é um programa que altera o modo que o
computador opera, o vírus como um programa é desenvolvido por uma pessoa com a
finalidade de causar danos a máquina da vítima, o invasor convencional é um usuário
não autorizado tentando invadir pessoalmente um sistema para causar estragos. O
invasor convencional atua em sistemas específicos para poder invadir, o vírus não tem
essa preocupação de que vai ter acesso, o objetivo do vírus é causar danos gerais.
6. Tipos de Vírus
Atualmente existem inúmeros tipos de vírus de computadores, a seguir temos os
principais tipos de vírus e suas características:
Arquivo: Vírus que anexa ou associa seu código a um arquivo, geralmente esse
vírus infecta arquivos executáveis do Windows, como exemplo extensões (.com e .exe).
Alarme Falso: Ao contrário do arquivo que causa danos, ele somente consome
tempo de conexão da internet, enviando alarmes ao maior número de pessoas possíveis.
Backdoor: Normalmente vem embutido em arquivos recebido por e-mail,
permitindo que hackers controlem o PC infectado.
Boot: Esse vírus ataca a parte de inicialização dos disquetes e dos discos rígidos,
com alto poder de destruição, impedindo que o usuário tenha acesso ao PC.
Cavalo de Tróia: Conhecido como Trojan, o cavalo de Tróia se encontra em
programas aparentemente inofensivo, que trazem embutidos outro programa, o vírus
maligno.
Hoax: Mensagens que chegam alertando sobre algum tipo de vírus, considerado
um vírus boato.
Macro: Esse vírus infecta os códigos executáveis utilizados nos processadores
de texto, planilhas de cálculo, desabilitando funções como salvar, fechar e sair.
Multipartite: Infecta o registro mestre de inicialização, trilhas do boot e
arquivos.
Mutante: Um vírus que se altera a cada execução do arquivo contaminado,
programado para dificultar a detecção de vírus por antivírus.
Polimórfico: Um vírus que tenta dificultar a ação do antivírus.
Programa: Infecta diretamente arquivos executáveis, impedindo que o usuário
ligue o PC.
Script: Vírus programado para executar comando sem a interação do usuário, o
script é baseado em linguagem de programação e baseado em JavaScript, sendo
embutidos em imagens e arquivos de extensões estranhas como, vbs.doc, vbs.xls ou
js.jpg.
Stealth: esse vírus usa técnicas para evitar detecções, considerado um vírus
invisível, ele pode redirecionar indicadores do sistema infectando um arquivo sem
alterar o arquivo infectado.
6.1 Negação de Serviço
A primeira detecção de ataque DoS foi em setembro de 1988, já em 1996, o Provedor
Public Access Network Corporation (PANIX) ficou aproximadamente uma semana sob
o efeito de um ataque DoS. Em maio de 1999 vários ataques DoS atingiram as redes de
vários órgãos governamentais norte-americanos.
De acordo com Maia (2003), nenhum site assumiu ter sofrido um ataque DDoS
no Brasil, mas existem relatos que alguns dos maiores sites foram atingidos.
Segundo Stein (2003), Negação de Serviço (DoS), se define quando um sistema
fica inutilizável ou lento para os usuários legítimos, utilizando recursos de uma maneira
que ninguém possa utilizá-los, devido a um ataque realizado por uma pessoa.
As principais formas de negação de serviços são os exploits e esgotamento de
recursos.
Exploits: O significado de exploits é explorar, sua função é detectar falhas de
aplicativos por erros de programação, através de códigos de programação específicos.
Para Hoglund (2004), parada parcial ou completa do sistema (DoS), exposição
de dados confidenciais, escalada de privilégios e execução de código injetado pelo
atacante são consequências de um exploit bem aplicado.
Esgotamento de Recursos: é a falta de recursos necessários para a realização
do serviço, ocorrido de um ataque malicioso de um usuário.
Segundo Zargar (2013), o esgotamento dos recursos é quando um tráfego é
maior que o limite suportado por um servidor ou pelos recursos necessários para
conectar-se à Internet.
7. Funcionamento do DDoS
De acordo com Noureldien (2002), a definição de DDOS se baseia em um ataque que
tem a finalidade de reduzir ou eliminar a disponibilidade de um serviço para o usuário.
O ataque pode ocorrer desde sistemas operacionais até serviços de redes, em qualquer
cenário o objetivo do atacante é que as vítimas não consigam realizar as operações
destinadas.
Existem várias maneiras de interromper um serviço, como por exemplo
interrupção de energia elétrica, incêndios, ataques físicos aos equipamentos
responsáveis pelos serviços e pela utilização de técnicas para enviar mensagens a vítima
com a finalidade de interferir em sua operação fazendo com que seu serviço pare e fique
indisponível. Com isso a vítima não tem comunicação adequada com os usuários, estes
ataques podem ocorrer em qualquer infraestrutura ou elementos relacionados à internet
(Hosts, roteadores, servidores DNS, etc.), que prestam ou dão suporte a estes serviços.
8. Ferramentas de Segurança
As ferramentas de segurança da informação estão sempre relacionadas à proteção de
dados, protegendo de acordo com a importância da empresa, instituição ou individuo, o
conceito de segurança da informação se aplica a proteção de dados abrangendo
vazamento de informação, espionagem e quebra de sigilo de dados. Vulnerabilidades
integram qualquer sistema de software e hardware, pessoas mal-intencionadas podem
penetrar nos sistemas através dessas brechas. Embora uma invasão no sistema não seja
tão simples, há diversos casos de invasão bem-sucedida, fazendo com que se preocupe
cada vez mais com a proteção das informações. As ferramentas apresentadas serão
usadas para proteção e ataque de um sistema.
a) Virtual Box: Uma ferramenta de virtualização multi-plataforma, ou seja,
pode ser instalado em Windows, Linux e MacOS. Como uma ferramenta virtual, o
Virtual Box permite executar vários sistemas operacionais em um computador físico,
podendo trabalhar de duas maneiras, acessando diretamente os recursos do hardware e a
virtualização total baseada em software.
b) Nmap: Lyon (2009), O Nmap é uma ferramenta de código aberto, sua
primeira versão foi disponibilizada por Gordon Lyon em 1997, considerado um
especialista em segurança e criador dessa ferramenta. O Nmap sofreu várias alterações
desde que foi disponibilizada com suas atualizações acompanhando a inovações de
hardwares e softwares. Sua principal função é escanear portas, podendo examinar mais
de 1600 portas no TCP do host alvo.
A figura 1, representa o Zenmap, que é uma interface gráfica avançada do
Nmap, na imagem podemos ver que a porta 80 está aberta.
Figura 1. Monitoramento de vulnerabilidades com o Zenmap
Fonte: Elaborado pelos Autores, 2015
De acordo com Bezerra (2012), o Nmap (Network Mapper- Mapeador de Redes)
é uma ferramenta que analisa as vulnerabilidades dos sistemas, utilizada por
profissionais de redes e administradores do mundo inteiro, considerada uma ferramenta
poderosa, criminosos usam essa ferramenta para descobrirem falhas nos sistemas.
Figura 1.2. Topologia do tráfego de redes no Zenmap
Fonte: Elaborado pelos Autores, 2015
c) Nessus: Para Vieira e Coelho (2006), Nessus é um software livre e seu
criador Renaud Deraison em 1998, desenvolvido na linguagem C e NASL (Nativa do
Nessus), pode ser instalada em várias plataformas. Uma ferramenta que tem como
função detectar, prevenir, simular e dar possíveis soluções, um programa que possui
inúmeros recursos possibilitando trabalhar em conjunto com a ferramenta Nmap. O
Nessus é composto de um servidor responsável pelo ataque, também por cliente que é
responsável em requisições de testes e analise de resultados, não permite que os
usuários não autorizados tenham acesso a ele.
A figura 2 a seguir, mostra os estados que agiram os servidores durante o
processo de avaliação do aplicativo, o primeiro estado como gerador de ataques para os
clientes e no segundo estado é o solicitador desses ataques, podendo fazer solicitações
de outros servidores.
Figura 2. Funcionamento do Nessus entre Servidores
Fonte: Vieira e Coelho, 2006
Como mostra a figura 2.1, o funcionamento do servidor realizando as
requisições dos ataques solicitados pelos clientes.
Figura 2.1. Funcionamento do Nessus entre Servidor e Cliente
Fonte: Vieira e Coelho, 2006
d) Wireshark: Segundo Weidman (2014), O Wireshark é um analisador de
protocolo usado para capturar tráficos dispositivos de redes, permitindo a visualização
dos pacotes trafegados pela rede, tem a função de decodificar diferentes protocolos
encontrados. Com essas visualizações detalhadas é possível identificar problemas na
rede, saber a fonte de negação de serviço, encontrar programas mal-intencionados,
auxiliar desenvolvedores e estudar como a rede funciona. Compatível com diversas
plataformas Windows, Linux e FreeBSD.
Figura 3. Captura de Tráfego na Rede
Fonte: Elaborado pelos Autores, 2015
e) T50: Uma ferramenta brasileira, foi desenvolvida por Nelson Brito e mantida
por Fernando Mercês e liberado sob a GPLv2. Com o T50 é possível saturar o host,
enviando milhares de pacotes de diferentes protocolos simultaneamente. Atualmente
essa ferramenta pode enviar requisições de pacotes dos protocolos ICMP, IGMP, TCP e
UDP sequencialmente com diferença de microssegundos.
Usando o conceito de stress testing, a ferramenta tem a capacidade de emitir as
seguintes requisições:
 Mais
de 1.000.000 pacotes por segundo de SYN Flood (+50% do uplink da
rede) em uma rede 1000BASE-T (Gigabit Ethernet).
 Mais de 120.000 pacotes por segundo de SYN Flood (+60% do uplink da rede)
em uma rede 100BASE-TX (Fast Ethernet).
f) Slowloris: A ferramenta slowloris é utilizada para ataque de negação de
serviço, permitindo o atacante derrubar o servidor ou tornar a conexão do mesmo lenta.
O slowloris trabalha com o processo mult-thread enviando várias requisições
incompletas ao servidor alvo. Servidores que mantem um determinado tempo as
conexões TCP, quando sobrecarregadas faz com que o servidor não valide todas as
requisições maliciosas enviadas, simultaneamente ficando em ciclo de sobrecarregar o
servidor, atingindo a camada 7 de aplicação do modelo OSI, resultando em quedas de
conexão de usuários com o servidor, ou deixando a conexão lentar ao acessar as páginas
web.
9. Kali Linux
De acordo com Broad e Bindner (2014), o Kali Linux é a distribuição mais recente live
disk de segurança disponibilizada pela Offensive Security. Contendo nessa versão mais
de 300 ferramentas de segurança e de testes de invasão, utilizada por pentesters e
pessoas que realizam avaliações de sistemas de informação.
O Kali Linux utiliza a distribuição Debian 7.0 como base, dando continuidade à
linguagem de seu antecessor, o Backtrack, e é mantido pela mesma equipe.
A Offensive Security, relata a mudança no nome como uma indicação a
reestruturação completa da distribuição Backtrack pela empresa. O Backtrack foi uma
melhoria em relação às duas ferramentas de segurança das quais foi derivado, sendo o
Kali Linux a encarnação mais recente do estado em que se encontram na engenharia
social no mercado e ferramentas para teste de invasão.
10. Rede DDoS e Topologia
De acordo com Kurose e Ross (2006), a figura 4 demonstra uma simulação de um
ataque de negação de serviço distribuído, com o objetivo a invasão e controle de vários
hosts distribuídos por um atacante, realizando uma série de ataques simultâneos aos
alvos (determinadas vítimas).
Morimoto (2008), afirma que o atacante consegue formar um botnet, com
utilização de diversos tipos de vulnerabilidades em sistemas, instalando e executando
um programa escravo em vários hosts, onde o programa irá manter o funcionamento
normal, esperando que o comando seja executado pelo seu mestre. O ataque DDoS só
poderá ser realizado à vítima quando a botnet estiver com um grande número de hosts
infectados, com um único comando o atacante consegue lançar um ataque em um alvo
escolhido.
Figura 4. Topologia DDoS
Fonte: Kurose e Ross, 2006
11. Simulação de Ataque DDoS em servidores
Foi utilizado a ferramenta T50 para simular um ataque, listando o arquivo no Kali Linux
na máquina virtualizada, depois entrando na pasta SRC, que é específica para
monitoramento de rede, como a ferramenta é um software aberto é possível editar seu
código, sendo assim foi removido os códigos do programa da linha 68 até a linha 113,
feito isso o código de monitoramento se tora um código de ataque, para deixa-lo
executável é preciso dar o seguinte comando: make – W Makefile , agora sim está
pronto para o ataque.
É possível escolher a porta que será atacada, como o ataque está sendo realizado
em um servidor, com um ataque de negação de serviço, foi utilizado a porta 80.
Para realizar o ataque utilizamos o comando executável
./t50 “IP” --flood -S --turbo --dport 80
Onde:
./t50: No diretório onde está o T50, parâmetro para execução do ataque
“IP”: O IP do servidor que será atacado é digitado, no caso 192.168.11.6
--flood: Define o tipo do ataque a ser realizado
-S: Tipo do ataque (SYN flood)
--turbo: Acelera os pacotes enviados ao servidor
--dport 80: A porta onde o ataque irá atuar
A figura 5 mostra a execução do programa T50 e o ataque sendo realizado.
Figura 5. Realizando o ataque na porta 80
Fonte: Elaborado pelos autores, 2015
O Tempo que o ataque leva para dar o efeito é aproximadamente um minuto e
meio.
A figura 5.1 mostra a captura dos pacotes que estão sendo enviados pelo ataque
do T50 através da ferramenta Wireshark.
Figura 5.1. Capturando os pacotes do ataque do T50
Fonte: Elaborado pelos autores, 2015
Simulando o ataque através do Slowloris, sendo uma ferramenta de negação de
serviço que ao contrário do t50 ele possui uma linha de código pronta, para isso é
necessário dar permissão total do usuário ROOT. De acordo com os testes obtidos o
Slowloris mostrou mais eficiência em servidores Apache e Dhttpd porque teve um
menor tempo de ataque comparado com o T50.
Para realizar o ataque é necessário dar permissão total ao programa com a linha
de comando ./slowloris.pl no terminal do Kali Linux. Com este comando mostrado na
figura 5.2 o programa está apto para realizar o ataque.
Figura 5.2. Programa Slowloris sendo executado
Fonte: Elaborado pelos autores, 2015
Com a linha de comando ./slowloris.pl –dns “IP” –port 80 –timeout 2000 –num
500 –tcpto 5.
Onde:
./slowloris.pl: script com o código do ataque
-dns “IP”: IP do alvo a ser atacado
-port 80: Porta que será atacada no servidor
-timeout 2000: Número de segundos antes de enviar e receber o timeout
-num 500: Número de conexões criadas (sockets)
-tcpto 5: Aumenta o timeout do TCP para 5 segundos
Ao iniciar o ataque será enviado vários pacotes ao servidor destinado, resultando
em queda dos usuários, servidores ou deixando a conexão lenta. A figura 5.3 relata os
pacotes sendo enviados ao destinatário.
Figura 5.3. Programa Slowloris realizando o ataque
Fonte: Elaborado pelos autores, 2015
A figura 5.4 mostra a captura dos pacotes que estão sendo enviados pelo ataque
do Slowloris através da ferramenta Wireshark.
Figura 5.4. Capturando os pacotes do ataque do Slowloris
Fonte: Elaborado pelos autores, 2015
Fazendo uma comparação entre o T50 e o Slowloris nota-se que cada programa
tem sua particularidade, sendo as características do Slowloris voltadas para quedas de
servidores e o T50 é uma ferramenta mais agressiva com a capacidade de enviar mais de
milhões de pacotes por segundo.
Os testes foram realizados em uma máquina física e servidor virtual, de acordo
com os resultados obtidos, ao realizar o ataque com o T50, em menos de um minuto a
máquina física ficou inativa esgotando a memória Ram e o cache do processador, já
com a ferramenta Slowloris a máquina física não sofreu nenhum dano e apenas os
serviços ficaram inativos.
12. Evitando Ataques
Existem formas de diminuir a força de um ataque de negação de serviço através de
ferramentas de monitoramento de redes.
IDS (Sistemas de detecção de intrusos) são softwares capazes de analisar o
sistema operacional evitando ataques de invasão em tempo real e também analisa os
pacotes que trafegam na rede comparando-os com assinaturas de ataques, caso seja
positivo, de acordo com configurações definidas pelo administrador da rede, ele pode
impedir o ataque. Os IDS são divididos em três categorias: IDS baseado em Host, IDS
baseado em Rede e IDS Híbridos.
a) IDS baseado em Host: o programa analisa um computador especifico e o
servidor principal, levantando todas informações com um software
especifico.
b) IDS baseado em Rede: As informações obtidas são monitoradas e detalhadas
através de uma análise feita pela rede.
c) IDS híbridos: junção de sistemas baseados em Host e redes.
13. Conclusão
Foi realizado no trabalho dois ataques DDoS com as ferramentas T50 e Slowloris em
um ambiente virtual com o objetivo de realizar a negação de serviço e comparar os
programas de ataque, de acordo com os resultados obtidos após os testes realizados, a
ferramenta T50 foi capaz de fazer um ataque DDoS derrubando o servidor da vítima
em minutos, enviando um grande número de pacotes onde a vítima não atenda a todas
requisições enviadas, derrubado o computador alvo, e deixando o host do atacante lento,
esgotando a memória RAM e cache do processador. Se mostrou uma ferramenta bruta e
eficiente nos testes realizados.
Os resultados também foram bem sucedidos após os testes com a ferramenta de
ataque Slowloris, foi possível realizar um ataque, mostrando bastante eficiência em
servidores, não comprometendo a máquina do atacante e derrubando somente a conexão
da vítima com o servidor.
De acordo com os testes realizados, ficou claro a necessidade de uma ferramenta
de segurança contra um ataque DDoS em servidores, onde os sistemas não se encontram
completamente seguros, existindo várias maneiras de realizar um ataque.
Referencias
Bezerra, A.(2012) Evitando Hackers: Controle seus sistemas computacionais antes
que alguém o faça. Rio de Janeiro, Ciência Moderna, 1ª edição.
Broad, J e Bindner, A.(2014) Hacking Com Kali Linux: Técnicas práticas para
testes de invasão. São Paulo, Novatec, 1ª edição.
Hoglund, G.(2004) Exploiting Software: how to break code. Addison-Wesley
Professional.
Kurose, J. F. e Ross, K. W.(2006) Redes de Computadores e a Internet: uma
abordagem topdown. São Paulo, Pearson Addison Wesley, 3ª edição.
Lyon, G.(2009) Exame de redes com NMAP. Rio de janeiro, Ciência Moderna, 1ª
edição.
Maia, L. P.(2003) Analisando Ataques do Tipo Distributed Denial of Service DDoS. Rio de Janeiro, Developers Magazine, n. 54, p. 26–27.
Morimoto, C. E.(2008) Redes: guia prático. Porto Alegre, Sul Editores.
Nakamura, E. T. e Geus, P. L.(2010) Segurança de Redes em Ambientes
Cooperativos. Rio de Janeiro, Novatec Editora Ltda.
Noureldien, A.(2002) Protecting web servers from dos/ddos ooding attacks a
technical Overview. Geneva, Proceedings.
Stein, L. e Stewart, J.(2003) Securing Against Denial of Service Attacks. Disponível
em: <http://www.w3.org/Security/Faq/wwwsf6.html>. Acesso em: 16 jun. 2015.
Tanenbaum, A. S.(2010) Sistemas Operacionais Modernos. Segurança. São Paulo,
Pearson Prentice Hall, 3ª edição.
Torres, G.(2013) Redes de computadores. Segurança. Rio de Janeiro, Nova Terra.
Vieira, C. D. E. e Coelho, K. B.(2006) Testando Vulnerabilidades Com Nessus.
Instituto de estudos superiores da Amazônia. Belém, Curso de engenharia da
computação.
Disponível
em:
<http://www3.iesam-pa.edu.br/ojs/index.php/
computação/article/viewFile/78/73> . Acesso em: 08 jun. 2015.
Weidman, G.(2014) Testes de invasão: Uma introdução pratica ao hacking. São
Paulo, Novatec, 1ª edição.
White, C. M.(2012) Redes de computadores e comunicação de dados. Segurança
das Redes. São Paulo, CENGAGE learning, 6ª edição.
Zargar, S., Joshi, J. e Tipper, D.(2013) A survey of defense mechanisms against
distributed denial of servisse (ddos) flooding attacks.
Download