Ataque do tipo DoS - Denial of Service

Ataque do tipo DoS - Denial of Service

É um ataque de recusa de serviço, estes ataques são capazes de tirar um site do ar, indisponibilizando seus serviços. É baseado na sobrecarga da capacidade ou em uma falha não prevista.
Um dos motivos para existirem esse tipo de falha nos sistemas é um erro bísico de programadores, na hora de testar um sistema, muitas vezes, eles não testam o que acontece se um sistema for forçado a dar erro, se receber muitos pacotes em pouco tempo ou se receber pacotes com erro, normalmente é testado o que o sistema deveria fazer e alguns erros bísicos. O invasor parte deste princàpio e fica fazendo diversos
tipos de testes de falhas, até acontecer um erro e o sistema parar.
Este tipo de ataque não causa perda ou roubo de informações, mas é um ataque preocupante, pois os serviços do sistema atacado ficarão indisponàveis por um tempo indeterminado, dependendo da equipe existente na empresa para disponibilizí-lo novamente e dependendo do negócio da empresa, este tempo de indisponibilidade pode trazer muitos prejuàzos.

De acordo com um estudo da Universidade da Califórnia, Crackers tentam
realizar em torno de 4 mil ataques do tipo DoS por semana. Os alvos mais comuns são grandes empresas.

Ataque do tipo DDoS ? Distributed Denial of Service

São ataques semelhantes ao DoS, tendo como origem diversos e até milhares de pontos disparando ataques DoS para um ou mais sites determinados. Para isto, o invasor coloca agentes para dispararem o ataque em uma ou mais vàtimas. As vàtimas são míquinas escolhidas pelo invasor por possuàrem alguma vulnerabilidade. Estes agentes, ao serem executados, se transformam em um ataque DoS de grande escala. Uma
ferramenta criada recentemente, de nome DDoS Attack, desenvolvida pelo programador brasileiro que se intitula OceanSurfer6, é capaz de causar negação de serviços em computadores na Internet através de uma inundação de conexões em determinada porta.


Fig. 1 ? DDoS Attack de OceanSurfer

Funcionamento Técnico do DDoS Attack

O software foi escrito em Delphi 5 com o intuito de ajudar administradores de redes a sanarem possàveis falhas em configurações de softwares na rede que se utilizam de sockets para funcionarem, especificamente softwares servidores de serviços. À seguir seguem informações técnicas sobre o programa.

Portas

Portas identificam serviços que rodam em servidores. Um servidor pode conter vírios serviços instalados, ou seja, o mesmo computador pode ser um servidor de correio eletrônico, servidor de FTP (File Transfer Protocol ou Protocolo de Transferência de Arquivos) e servidor Web (píginas na Internet);
O servidor é identificado por um endereço IP, mas os serviços também precisam ser identificados individualmente. Para cada serviço, então, é associada uma porta que é um número de identificação entre 0 e 65535. Existem programas chamados de scanners que podem verificar quais portas estão abertas em um computador remoto como por exemplo o scanner construàdo também por OceanSurfer.


Fig. 2 ? Scanner de portas de OceanSurfer

Os Sockets

Um socket, por definição, é um canal de comunicação entre computadores em uma rede e identifica uma conexão entre eles, normalmente entre um cliente e um servidor. Através dos sockets os computadores podem trocar informações através de uma rede. Para identificar uma conexão ente dois computadores, um socket deve ser definido, por meio das seguintes informações:

-Endereço IP do servidor;
-Porta onde se encontra o serviço solicitado;
-Endereço IP do cliente;
-Porta através da qual o cliente solicita o serviço.

Um bom exemplo de um estabelecimento de uma conexão entre computadores através de socket seria o acesso à uma pígina da Internet. Um servidor Web tem a porta 80 como porta padrão de comunicação entre os clientes. Quando digitamos um endereço de um site no Internet Explorer do Windows, automaticamente esse endereço é convertido em seu respectivo endereço IP. Se estamos numa rede, nosso micro tem um
único endereço IP. E finalmente, junto deste processo, uma porta em seu computador é disponibilizada dinamicamente, sendo um número maior que 1024, para esta conexão.
Então, temos todas as informações necessírias para estabelecer a conexão, tendo assim um socket. O cliente, no caso de uma conexão à uma pígina da Internet, é quem a solicita através de um browser (Internet Explorer, por exemplo), e o servidor é quem disponibiliza a pígina para ser acessada.
Como visto, o servidor Web trabalha na porta 80, enquanto que outros serviços têm também suas respectivas portas padrão, como o FTP que trabalha na porta 21, o Telnet que trabalha na porta 23, o SMTP que trabalha na porta 25 e o POP3 que trabalha na porta 110.

A ação do programa

Para o programa funcionar, é necessírio saber qual a porta que se quer testar e qual o IP do computador alvo na rede. É solicitado a quantidade de tentativas de conexões simultâneas que se deseja fazer para a determinada porta. Basta então clicar no botão Start e é iniciado o ataque e se o software que estiver trabalhando na porta determinada for mal construàdo, com certeza serí derrubado e pararí de operar,
indisponibilizando aquele serviço.
O teste pode ser feito de um atacante só, ou também em modo distribuàdo, com quantos atacantes quiserem. O interessante é que mesmo sem estar em modo distribuàdo, foi constatada falha em diversos programas, inclusive em Firewalls, que travavam, comprometendo em muito a segurança das redes.