Download
1 / 30
300 likes | 402 Vues
DoS – Negação de Serviço. Carlos Vinícius Cavalcanti Pivotto Luís Carlos de Souza Pimenta Redes de Computadores I – Profº Otto. Introdução. Negação de Serviços DoS : Denial of Service Ataque singular (único agente) DDoS: Distributed Denial of Service
E N D
DoS – Negação de Serviço Carlos Vinícius Cavalcanti Pivotto Luís Carlos de Souza Pimenta Redes de Computadores I – Profº Otto
Introdução • Negação de Serviços • DoS :Denial of Service • Ataque singular (único agente) • DDoS: Distributed Denial of Service • Ataque em massa (distribuído, vários agentes)
Introdução • Negação de Serviços • Interrompem atividades legítimas • Web Browsers; • Streaming; • Bancos Online;
Motivações • Disputa entre hackers; • Burlar segurança de sites; • Política; • Extorsão.
Evolução • Falhas TCP/IP; • Ataques em redes IRC; • Smurf; • Inundação; • DDoS; • Worms; • Ataques a grandes sites.
Ataques • Controle sobre agentes; • Bots de IRC; • Infecção por worms.
Tipos de Ataque • Inundação • Tráfego TCP SYN; • Three-way Handshake; • Envio massivo de pacotes.
Tipos de Ataque • Reflexivo • Particularidade de inundação; • Espelho entre atacante e vítima; • Forja-se endereço da vítima.
Tipos de Ataque • Infra-estrutura • Visa grandes sites; • Ataca elemento vital que não dependa da vítima; • Banda; • DNS.
Tipos de Ataque • Vulnerabilidade • Explora falhas de protocolos ou aplicações.
IP Spoofing • Spoof: forjar, falsificar. • Falsificar endereços IP; • Usado em ataques reflexivos; • Invasão de redes privadas; • Gerado: • Aleatoriamente (0.0.0.0 – 255.255.255.255) • Subrede (X.Y.Z.*); • IP da vítima.
Defesa • Remediar a prevenir: • Ataques freqüentes, mas poucas vítimas; • Prevenir-se é caro.
Tipos de Defesa • Sistema de Rastreamento de Pacotes IP • Determina origem dos pacotes; • Roteadores inserem assinaturas em pacotes; • Pushback • Rede impede tráfego de ataque
Tipos de Defesa • D-WARD • Detecta tráfego antes que deixe sua rede nativa; • Limita taxas, não as bloqueia. • NetBouncer • Legitimação de clientes; • Preferência para legítimos.
Tipos de Defesa • Secure Overlay Service • Rotea apenas tráfego legítimo; • Cliente contata ponto de acesso primeiro; • Prova de Trabalho
Tipos de Defesa • DefCOM • Núcleo de rede; • Geradores, Limitadores e Classificadores. • COSSACK • Age na rede-fonte;
Tipos de Defesa • Pi • Impressões digitais de pacotes; • Age após identificação do ataque. • SIFF • Tráfego privilegiado e não privilegiado; • Exige modificações de protocolo. • Filtro de Contagem de Saltos • Observação e estimativa de TTL (time to live)
Aspectos Legais • Vítimas: • IRC; • Agências de inteligência; • Alvos políticos; • Imprensa; • Portais; • Pornografia, Apostas; • e-Commerce.
Aspectos Legais • Várias leis podem ser aplicadas: • Extorsão; • Usurpação; • Dano; • Estelionato.
Aspectos Legais • Quem foi o atacante? • Sob que leis o crime deve ser julgado? • Agentes têm parcela de culpa?
Conclusão • Muitos ataques, poucas vítimas; • Mudança de alvos: • Deterioração de serviços; • VoIP; • Novas defesas, novos ataques.
Perguntas e Respostas • Qual é o objetivo dos ataques de Negação de Serviço e como podem ser conseguidos? • Interromper atividades legítimas como navegar em um web browser, ouvir uma rádio ou assistir a um canal de TV online ou transferir dinheiro para uma conta bancária, aproveitando-se de falhas e/ou vulnerabilidades presentes na máquina vítima, ou enviar um grande número de mensagens que esgote algum dos recursos da vítima, como CPU, memória, banda, etc.
Perguntas e Respostas • Diferencie DoS padrão de DDoS. • DoS utiliza uma única máquina poderosa, capaz de gerar o número de mensagens suficiente para causar a interrupção do serviço. Em DDoS assume-se controle de um grupo de máquinas, que podem ter recursos mais humildes, mas que se concentrem em enviar mensagens para a vítima, ou seja, distribui-se o ataque.
Perguntas e Respostas • Qual é a hierarquia básica de controle direto em um ataque DDoS? • O atacante controla a rede agente através de comandos diretos impostos ao operador, que os repassa aos agentes, às vezes usando um conjunto de comandos e semântica diferentes.
Perguntas e Respostas • Quais são as vantagens e desvantagens de remediar e não prevenir-se contra DoS e DDoS? • A vantagem é que embora existam muitos ataques ocorrendo na Internet, as vítimas são relativamente poucas. Entretanto, remediar um problema significa deixar que ele aconteça para depois reagir a ele.
Perguntas e Respostas • O que é IP Spoofing? • IP Spoofing é o fornecimento de um falso endereço IP, forjando a identificação de seu remetente.
Referências • MIRKOVIC, J., DIETRICH, S., DITTRICH, D., REIHER, P. - "Internet Denial of Service: Attack and Defense Mechanisms". EUA, Prentice Hall PTR, 1ª Edição, 2004. • LAUFER, R. P., Moraes, I. M., VELLOSO, P. B., BICUDO, M. D. D., CAMPISTA, M. E. M., CUNHA, D. O., COSTA, L. H. M. K., DUARTE, O. C. M. B. - "Negação de Serviço: Ataques e Contramedidas", Minicursos do Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais - SBSeg'2005. Florianópolis, Brasil, pp. 1-63, Setembro de 2005. • LAUFER, R. P., VELLOSO, P. B., e DUARTE, O. C. M. B. - "Um Novo Sistema de Rastreamento de Pacotes IP contra Ataques de Negação de Serviço", XXIII Simpósio Brasileiro de Redes de Computadores - SBRC'2005, Fortaleza, CE, Brasil, Maio de 2005. • LAUFER, R. P. "Rastreamento de Pacotes IP contra Ataques de Negação de Serviço" [Rio de Janeiro] 2005. XIII, 93 p. 29,7cm (COPPE/PEE/UFRJ, M.Sc., Engenharia Elétrica, 2005) Dissertação - Universidade Federal do Rio de Janeiro, COPPE. • CERT Coordination Center. “Denial of Service Attacks”. Disponível em . Acesso em: 18 de abril de 2006. • HOUSEHOLDER, A. et alli. "Managing the Threat of Denial-of-Service Attacks". CERT Coordination Center, 2001. • ROGERS, L. "What is a Distributed Denial of Service (DDoS) Attack and What Can I Do About It?". US-CERT. Disponível em . Acesso em: 18 de abril de 2006. • VARGAS, G. "Código Penal Brasileiro", Decreto-Lei nº2848. Rio de Janeiro, 7 de Dezembro de 1940.
