UNIVERSIDADE ESTCIO DE S

Especializao em Informtica Coordenao de Ps-Graduao

DDoS Distributed Denial of Service

Por

Claudio Portella
www.claudioportella.com

Rio de Janeiro Outubro de 2002

UNIVERSIDADE ESTCIO DE S
Especializao em Informtica Coordenao de Ps-Graduao

DDoS Distributed Denial of Service

Por

Claudio Portella
www.claudioportella.com

Dissertao Monogrfica entregue Universidade Estcio de S, como requisito final para obteno do ttulo de ps-graduado em Redes de Computadores.

Rio de Janeiro Outubro de 2002 II

Para Brbara

III

AGRADECIMENTOS

Ao professor Joo Mendes Filho, pelo auxlio e incentivo fundamentais para o trmino deste trabalho.

A Adriana, Kayser, Pina, Raquel, Simara e todos os colegas de curso, pela troca de experincias durante o curso.

IV

SUMRIO

Introduo ...................................................................................................................... 10 Captulo 1 Origem...................................................................................................... 12 Captulo 2 Funcionamento......................................................................................... 17 Captulo 3 Defesa ....................................................................................................... 42 Concluso ....................................................................................................................... 54 Referncias Bibliogrficas ............................................................................................. 56

LISTA DE FIGURAS

Figura 1 Smurf ............................................................................................................ 22 Figura 2 3-Way Handshake ........................................................................................ 25 Figura 3 TCP SYN Flood........................................................................................... 26 Figura 4 Topologia da Rede DDoS ............................................................................ 28 Figura 5 Zombie Zapper............................................................................................ 51 Figura 6 DDoS Ping ................................................................................................... 52

VI

LISTA DE TABELAS

Tabela 1 Comunicao na rede Trin00 ..................................................................... 31 Tabela 2 Senhas do Trin00 ........................................................................................ 31 Tabela 3 Comandos do Master Trin00 ...................................................................... 32 Tabela 4 Comandos do Agente Trin00 ...................................................................... 32 Tabela 5 Comandos do Master Tribe Flood Network............................................... 33 Tabela 6 Comandos do Agente Tribe Flood Network .............................................. 34 Tabela 7 Comunicao na rede Stacheldrath ........................................................... 34 Tabela 8 Comandos do Stacheldrath ........................................................................ 36 Tabela 9 Portas utilizadas pelo Shaft ........................................................................ 37 Tabela 10 Comandos do Master Shaft ....................................................................... 37 Tabela 11 Comandos do Agente Shaft ...................................................................... 37 Tabela 12 Comandos do Tribe Flood Network 2000 ................................................ 39 Tabela 13 Comunicao na rede mstream ................................................................ 40 Tabela 14 Comandos do Master mstream ................................................................. 40 Tabela 15 Comandos do Agente mstream................................................................. 40

VII

RESUMO

Os ataques Distributed Denial of Service (DDoS) so uma grande ameaa ao funcionamento da Internet e j causaram enormes prejuzos a muitas empresas em todo o mundo. Este trabalho se inicia por uma definio de DDoS seguida de uma observao do panorama histrico da criao destes ataques. Na segunda parte, so mostrados os principais protocolos e ferramentas DDoS. O trabalho se encerra com as formas de proteo disponveis.

VIII

ABSTRACT

The Distributed Denial of Service attacks are a deep threat to the Internet and have already caused huge losses to many companies around the world. This paper begins with the DDoS definition followed by an overview of the historic panorama of the attacks. On the second part, the main protocols and the DDoS tools are presented. This papers ends with the protection methods available.

IX

INTRODUO

Desde o surgimento da Internet, a segurana da informao tem sido um assunto constante. A partir do momento em que cada empresa se conectava na rede mundial, seus dados ficavam expostos. Este crescimento da quantidade de informaes disponveis, naturalmente, aumentou o interesse das pessoas com relao ao tema segurana de redes. Muitas formas de invaso surgiram e muitas formas de defesa tambm foram criadas, a fim de garantir que os dados da empresa permanecessem em segurana. Com o aumento da quantidade de empresas que passaram a depender da utilizao da Internet para a realizao de seus negcios, surgiu uma oportunidade de prejudic-las sem a necessidade de acesso rede corporativa. Esta nova forma de ataque acontece com o envio de uma grande quantidade de dados para algum servidor da empresa escolhida. Quando esta quantidade de dados atinge o limite da capacidade da rede, o servio oferecido que pode ser desde o site comercial at o servidor de correio eletrnico dos funcionrios fica paralisado. Este novo tipo de ataque foi chamado Denial of Service, que mais tarde evoluiu para o Distributed Denial of Service (DDoS). Os ataques do tipo Distributed Denial of Service (DDoS) j paralisaram a atividade de diversas redes de computadores e de muitos sites e.g. CNN, Yahoo, Amazon, eBay, Time-Warner, UOL, Globo e iG. As perdas j causadas pelo DDoS so

enormes, de forma que preciso conhec-lo a fim de evitar que os prejuzos cresam ainda mais. Este trabalho teve como objetivo responder s seguintes questes: 1) Como surgiu o Distributed Denial of Service (DDoS)? 2) Como funciona o DDoS? Quais os principais protocolos e ferramentas utilizados no DDoS? 3) Como as redes de computadores podem se proteger do DDoS? Para isso foi caracterizado o panorama histrico da criao do Distributed Denial of Service (DDoS), analisado o modo de funcionamento do DDoS identificando suas principais ferramentas e os protocolos envolvidos no processo e ainda identificadas e analisadas as formas de proteo contra ataques do tipo DDoS. O livro Hackers Beware, de Eric Cole, foi utilizado como referencial terico. O autor PhD em Computer Security (George Mason University) e MS em Computer Science (New York Institute of Technology). Cole tambm membro do IEEE (Institute of Electrical and Electronics Engineers) e da ISSA (Information Systems Security Association). O trabalho foi realizado com uma abordagem fenomenolgica, visando a anlise do tema como um todo. Apesar de previsto, no foi necessrio um tratamento dialtico, pois no foi encontrada controvrsia entre o referencial terico e outros autores estudados.

XI

 Captulo 1

ORIGEM

O Distributed Denial of Service (DDoS) uma variao do Denial of Service (DoS). Assim, antes da definio de DDoS, fundamental que seja feita uma explicao do que DoS.

1.1 O QUE DOS Segundo a definio de [Co01], DoS um ataque por meio do qual uma pessoa pode deixar um sistema inutilizvel ou consideravelmente lento para os usurios legtimos atravs do consumo de seus recursos, de maneira que ningum consegue utilizlos. O ataque explora alguma vulnerabilidade existente no sistema operacional, nos aplicativos ou nos protocolos utilizados. Como a Internet surgiu tendo como base um grupo fechado e confivel, seus principais protocolos se baseiam na confiana mtua, o que em um universo aberto como a Internet atual se transforma em grave fonte de insegurana. As trs principais reas da segurana de redes so: confidencialidade, integridade e disponibilidade. Ataques DoS visam atingir o terceiro componente, a disponibilidade. O resultado de qualquer ataque DoS sempre o mesmo: usurios legtimos no conseguem ter acesso s informaes que desejam.

Os ataques DoS tambm podem acontecer involuntariamente, quando algum usurio legtimo, acidentalmente, realiza alguma ao que deixa os recursos indisponveis. Uma organizao deve se precaver contra ambos os tipos de ataques DoS, porm o presente trabalho trata apenas do ataque intencional. A maioria dos sistemas operacionais, roteadores e componentes de rede que precisam processar pacotes em algum nvel, so vulnerveis a ataques DoS. Devido ao extenso nmero de softwares disponveis, os ataques Denial of Service podem ser executados de maneira simples por pessoas que no precisam sequer ter noo de como o ataque transcorre.

1.2 O QUE DDOS Um ataque DoS acontece quando uma mquina qualquer efetua um ataque, j o Distributed Denial of Service (DDoS) se utiliza do conceito de computao distribuda para efetuar os ataques. O atacante invade e se apropria de diversos computadores para executar o ataque a partir de diferentes origens simultaneamente. Como o ataque tem origem em endereos diferentes, alm de ter a sua eficcia aumentada pela quantidade, o seu bloqueio e a sua deteco ficam mais difceis. Um pequeno e inofensvel nmero de pacotes vindo de uma mquina pode passar por IDSs1, porm quando estes poucos pacotes se juntam com outros pacotes com endereos de origem diferentes, o ataque pode ser bemsucedido.

1.3 OS PRIMEIROS ATAQUES Em 1988 houve a primeira deteco de ataque DoS.

Sistemas de Deteco de Intrusos.

13

Em setembro de 1996, o Provedor PANIX (Public Access Network Corporation) ficou cerca de uma semana sob o efeito de um ataque DoS, causando negao de servio a mais de 5 mil pessoas e empresas. Em maio de 1999 uma srie de ataques DoS atingiu as redes de FBI e de vrios outros rgos governamentais norte-americanos. Esta seqncia de ataque foi supostamente uma retaliao contra uma srie de batidas promovidas pelo FBI contra hackers. Em 17 de agosto de 1999 mais de 200 computadores entre eles, 27 da Universidade de Washington e 114 da Internet2 foram utilizados em um ataque com a ferramenta Trin00 contra a Universidade de Minnesota, que teve sua rede paralisada por mais de dois dias. Em dezembro de 1999 o Computer Emergency Response Team da Universidade Carnegie Mellon descreveu as primeiras ferramentas DDoS: Trin00 e Tribe Flood Network. Com a utilizao destas ferramentas tornou-se possvel que pessoas sem grande conhecimento tcnico realizassem os ataques. Apesar das tcnicas utilizadas para efetuar estes ataques j estarem documentadas desde meados de 1999, o DDoS ganhou visibilidade apenas no comeo do ano 2000 devido distribuio das ferramentas criadas para automatiz-lo. Em dezembro de 1999 foi lanada a ferramenta Tribe Flood Network 2000 (TFC2K), considerada a mais avanada ferramenta DDoS. Esta ferramenta foi escrita por Mixter para demonstrar a sofisticao a que chegaram as ferramentas dos hackers. Em fevereiro de 2000 aconteceram os primeiros ataques DDoS que causaram grande repercusso. No dia 6 teve incio a primeira onda de ataques. Os usurios do Yahoo na poca o segundo domnio mais visitado do mundo, atrs apenas da America Online ficaram impedidos de acessar o site por cerca de trs horas. No dia

14

seguinte os sites eBay, Buy.com, Amazon, CNN e E*TRADE sofreram ataques do mesmo tipo. Este foi, at ento, o ataque mais devastador j sofrido pela Internet. No final de Julho de 2002, o site da RIAA associao das gravadoras norte-americanas ficou fora do ar por vrias horas como retaliao pela luta da associao em impedir o compartilhamento de msicas atravs de redes peer-to-peer2. Em outubro de 2002, foi anunciado pelo FBI um grande ataque DDoS com durao aproximada de uma hora dirigido a 13 servidores DNS primrios da Internet. Este foi considerado o maior e mais sofisticado ataque j realizado infraestrutura da Internet [MK02]. Segundo [Ma01], no Brasil, nenhum site assumiu publicamente ter sofrido um ataque DDoS, mas existem sinais que alguns grandes sites foram atingidos. Apesar de no confirmado, possvel que sites brasileiros como UOL, Globo e iG tenham sido alvos de ataques em fevereiro de 2000.

1.4 MOTIVAO Existem vrias razes que podem levar algum a executar um ataque DoS, entre as principais, destacam-se:

1.4.1 VINGANA A interrupo da operao de uma rede ou sistema por um ataque DDoS muito mais simples de ser efetuada do que o acesso invaso ao sistema. Assim, muitos ataques DDoS so realizados como vingana aps uma tentativa de invaso ter sido frustrada

Redes ponto-a-ponto, onde os usurios compartilham e trocam arquivos.

15

1.4.2 RIXAS PESSOAIS OU IDEOLGICAS. Adversrios pessoais ou ideolgicos podem utilizar as ferramentas DDoS com o objetivo de prejudicar seus opositores.

1.4.3 REINICIALIZAO DO SERVIDOR Outro motivo que leva um indivduo a efetuar este ataque a necessidade de reinicializao de um computador para que alguma instalao/configurao seja efetuada. Isto acontece quando, depois de invadir um computador, o atacante instala algum programa ou altera alguma configurao que necessite a reinicializao do servidor. Embora a reinicializao possa indicar um possvel ataque, na maior parte das vezes o problema tratado como uma falha do sistema operacional, e o sistema e inicializado sem que sejam feitas mais investigaes.

16

 Captulo 2

FUNCIONAMENTO DO DDOS

2.1 TIPOS DE ATAQUES Os ataques Distributed Denial of Service podem ser classificados pelo nvel de automao, pela vulnerabilidade explorada, pela dinmica e pelo impacto causado. Classificando segundo a vulnerabilidade explorada, existem dois tipos de ataques DDoS: o envio de pacotes especiais (ataques aos protocolos) e o consumo de largura de banda (ataques de fora-bruta).

2.1.1 ATAQUES AOS PROTOCOLOS Neste primeiro caso, um atacante pode enviar pacotes inesperados para o alvo, fazendo com que o computador trave ou reinicie3. Alguns pacotes criados em desacordo com a devida norma (RFC) tm a caracterstica de travar o sistema alvo. O conjunto de protocolos TCP/IP possui caractersticas que podem ser exploradas por meio do envio destes pacotes especiais, pois foi desenvolvido para ser usado em uma comunidade aberta e confivel. Alm das vulnerabilidades inerentes aos protocolos, os sistemas operacionais e aplicativos tambm possuem falhas em suas pilhas de rede.

Como em muitos casos necessria a presena humana para que o sistema volte a funcionar corretamente, o DoS pode se estender por um tempo bem superior ao simples boot da mquina.

Para explorar estas vulnerabilidades so criados pacotes que atingem as falhas de algum aplicativo ou do sistema operacional da vtima. Este tipo de ataque o mais simples de ser efetuado, pois com poucos pacotes uma rede pode ficar indisponvel, no sendo necessria uma grande estrutura para ser efetuado. Por outro lado, quando uma vulnerabilidade conhecida, a grande maioria dos sistemas operacionais e aplicativos so rapidamente corrigidos, acabando com a condio que pode ocasionar um DoS. Mesmo assim, muitos administradores no atualizam seus softwares com a freqncia necessria, o que torna seus sistemas vulnerveis a este tipo de ataque.

2.1.2 ATAQUES DE FORA BRUTA Neste segundo caso, o atacante envia para a rede um nmero de pacotes superior ao limite que o destino capaz de absorver, e.g., uma rede conectada Internet por ADSL, pode ficar disponvel caso algum com acesso a uma linha T1 (1,544 Mbps) resolva enviar uma quantidade de dados superior aos 256 kbps da rede ADSL4. Se isto acontecer, no sobrar banda para que um usurio legtimo tenha acesso aos servios da rede. No momento em que o ataque termina, o sistema e a rede voltam a operar normalmente5. Por este motivo, este ataque requer mais recursos do atacante, pois ele deve continuar a enviar pacotes para a rede pelo tempo em que desejar que dure o ataque. Este foi um dois principais motivos que levaram ao surgimento do DoS distribudo (DDoS). Este tipo de ataque tambm pode se concentrar em consumir recursos do sistema, como ciclos de CPU, memria, quotas de sistema de arquivos ou outros processos.

Segundo [Moor2001], mais importante do que a quantidade de bits a quantidade de pacotes por segundo que so enviados para a rede, visto que na prtica a incapacidade de uma rede lidar com uma grande quantidade de pacotes ocorre normalmente antes de toda a largura de banda da rede ser utilizada. 5 Em alguns casos pode haver travamento da mquina, o que far com que o DoS dure ainda mais do que o tempo do ataque, porm na maioria das vezes, a rede volta a funcionar automaticamente, sem a necessidade de interveno humana.

18

2.2 EXPLOITS A descoberta de vulnerabilidades no simples e exige um grande conhecimento tcnico. Porm, aps a sua divulgao, so escritos e distribudos pequenos programas que permitem que estas vulnerabilidades sejam exploradas facilmente. Em princpio, os exploits aqui apresentados funcionam para ataques DoS, porm as ferramentas utilizadas para ataques DDoS utilizam-se destas mesmas vulnerabilidades para efetuar o ataque de forma distribuda e automatizada. Os principais exploits utilizados em DDoS so: Ping of Death, SSPing, Land, ICMP Flooding, UDP Flooding, Smurf, Fraggle, TCP SYN Flooding, Teardrop e Targa.

2.2.1 PING OF DEATH O Ping of Death um dos ataques DoS mais antigos. Ele consiste no envio de uma mensagem ICMP imprevista, acontecendo na camada 3 (Rede) do modelo OSI. Mensagens ICMP so basicamente utilizadas para testar a conectividade de equipamentos que utilizam o protocolo TCP/IP. O ICMP negocia erros e troca mensagens de controle. O datagrama IP com a mensagem ICMP encapsulado em um segmento TCP, onde a especificao IP define que o tamanho mximo de um datagrama seja 65.536 bytes, contendo 20 bytes de cabealho [Po81a]. O Ping um aplicativo TCP/IP que utiliza o protocolo ICMP pelo envio de uma mensagem ICMP tipo 8 (Echo Request) a fim de verificar se um equipamento conectado rede est respondendo. Quando uma mquina recebe um ICMP tipo 8 (Echo Request) enviada uma resposta ICMP tipo 0 (Echo Reply). O Ping um dos utilitrios mais utilizados para o diagnstico de problemas em redes TCP/IP. O ataque Ping of Death acontece quando criado uma mensagem ICMP tipo 8 (Echo Request) com tamanho exagerado que encapsulado em um datagrama IP

19

maior do que o limite especificado. As reaes ao recebimento de um pacote com estas caractersticas podem ser o travamento ou a reinicializao do sistema. O sistema operacional Windows 95 e outros sistemas mais antigos foram desenvolvidos sem prever o recebimento de mensagens ICMP em desacordo com a especificao e no conseguem lidar com pacotes maiores do que 64.400 bytes. Um simples comando Ping (com tamanho de buffer maior do que 64.400 bytes6) consegue fazer o sistema parar de funcionar. Um equipamento com Windows 95 sem a correo especfica posteriormente lanada , ao receber um pacote deste tipo, apresenta a tela azul e necessrio ser reiniciado. Em uma implementao TCP/IP como esta, quando um cabealho de pacote lido, conta-se com as informaes nele contidas para criar um buffer para os dados teis. Quando o tamanho alegado do cabealho mais o tamanho dos dados teis do pacote ultrapassa o limite de 64.400 bytes definido pela especificao TCP/IP, o sistema pode travar devido a erros na alocao de memria. O Ping of Death acontecia na maioria dos sistemas operacionais e atualmente considerado obsoleto, todavia existem novos exploits que se utilizam de solicitaes de Echo ICMP.

2.2.2 SSPING Esta vulnerabilidade explorada atravs do envio de uma srie de pacotes altamente fragmentados fazendo com que o alvo dos pacotes trave ao tentar reorganiz-los. Para que seja possvel a correta ordenao dos pacotes, preciso que a pilha TCP/IP registre informaes adicionais a fim de organiz-los devidamente. Se a pilha TCP/IP no for construda corretamente, pacotes especialmente criados para este fim podem causar um overflow na memria, fazendo com que o equipamento para de responder.
6

A partir da verso 98, o Windows no mais vulnervel ao Ping of Death. Alm disso, o sistema atual tambm no permite que o utilitrio Ping seja utilizado para criar um buffer maior do que o limite especificado pela RFC 791.

20

Normalmente o ataque realizado com poucos pacotes, devido a esta pequena quantidade de pacotes e ao uso de mensagens ICMP que so muito comuns a deteco deste ataque bastante difcil, seja pelo protocolo (comum) ou pela (baixa) freqncia dos pacotes. Porm uma anlise em conjunto do tipo de protocolo (ICMP), do exagerado tamanho dos pacotes e da sua alta fragmentao pode indicar um ataque SSPING. As principais ferramentas utilizadas para este ataque so ssping, eggdrop e Agressor, porm este ataque tambm pode ser realizado a partir de um simples gerador de pacotes, que possa criar um pacote grande e fragmentado. Os exploits Jolt e Jolt2 tambm fazem uso da fragmentao de pacotes.

2.2.3 LAND O ataque Land ocorre atravs do envio de pacotes TCP SYN onde o endereo IP e a porta de origem e de destino so idnticos. Este ataque tambm explora o envio de pacotes que no so previstos pelo padro TCP/IP. Muitos sistemas no sabem como lidar com esta situao e travam. Para conseguir realizar o envio de pacotes com endereos de origem forjados utilizada a tcnica de Spoofing7.

2.2.4 ICMP FLOODING Uma grande quantidade de mensagens ICMP (normalmente do tipo 8) so enviadas para a vtima de forma a causar uma paralisao dos servios atravs da fora bruta.

A tcnica de Spoofing utilizada em quase todos os ataques DDoS com o intuito de dificultar o rastreamento do emissor dos ataques.

21

2.2.5 UDP FLOODING A forma mais comum de UDP Flooding o ataque direto a uma rede pelo meio de um grande nmero de datagramas com endereos de origem forjados e com destino a portas e servios de diagnstico de forma a causar uma interrupo de seus servios atravs de fora-bruta. Este ataque tambm conhecido como Pepsi (nome do programa original).

2.2.6 SMURF Este ataque ocorre pelo envio de uma mensagem ICMP tipo 8 (Echo Request) para um endereo de broadcast8 usando como endereo IP de origem o endereo da vtima do ataque. Isto faz com que todos os computadores da rede amplificadora recebam as solicitaes e enviem respostas ICMP tipo 0 (Echo Reply) para o suposto endereo de origem da solicitao. Em uma rede broadcast com mltiplos acessos, o nmero de mquinas que enviaro uma resposta bastante alto.

Atacante

Broadcast 192.168.0.255

192.168.0.1

192.168.0.2

192.168.0.3

192.168.0.5

192.168.0.7 192.168.0.253

192.168.0.4

192.168.0.6

192.168.0.254

Vtima
Figura 1 Smurf
Um endereo de broadcast utilizado para o envio de um pacote para todos os equipamentos do segmento da rede.
8

22

O Smurf cujo nome surgiu a partir do aplicativo original que explorava esta vulnerabilidade tem o objetivo de consumir toda a banda da rede do sistema alvo. Neste ataque, alm do atacante e da vtima, h um terceiro participante: a rede amplificadora. Esta uma rede que esteja executando a funcionalidade de broadcast de camada 3 (IP) para a camada 2 (rede), que normalmente utilizado para fins de diagnstico. para o endereo de broadcast desta rede que as mensagens ICMP so enviados. A rede amplificadora tambm pode ser a vtima do ataque. Isto acontece quando todas as mquinas desta rede comeam a enviar os mensagens ICMP tipo 0 (Echo Reply). Se o volume de pacotes for grande o bastante, toda a banda ser consumida, causando um DoS nesta rede. Outra forma de realizar o Smurf a atravs da invaso da rede e de dentro da rede enviar a mensagem ICMP tipo 8. Como o atacante j tem acesso rede, no h a necessidade de falsificao do endereo de origem, assim basta um simples Ping (presente em todos os principais sistemas operacionais) para sua execuo. Devido ao grande nmero de redes conectadas Internet, existe um grande nmero de empresas com redes que podem ser usadas para o Smurf. Estas redes no apenas aceitam mensagens ICMP tipo 8 direcionadas para endereos de broadcast, como tambm permitem que os pacotes ICMP tipo 0 sejam enviados para fora da rede. Existem alguns sites que oferecem o servio de rastreamento de redes com o objetivo de descobrir se a funcionalidade de broadcast direto est ativa, e.g., netscan.org e powertech.no/smurf. O primeiro, alm de detectar a vulnerabilidade, envia emails para os administradores das redes vulnerveis com informaes sobre como desabilitar o servio. A quantidade de pacotes que podem ser gerados por este ataque bastante alta, e.g., com uma rede de cerca de 200 hosts possvel que seja gerado um trfego superior a 80Mbps. A execuo deste ataque tambm no necessita de muitos recursos.

23

Um simples gerador de pacotes pode gerar a solicitao necessria para a execuo de um ataque Smurf.

2.2.7 FRAGGLE Fraggle uma variao do ataque Smurf que funciona de maneira similar, sendo que so utilizados pacotes UDP. O atacante envia datagramas UDP com endereo de origem forjado para o endereo de bradcast da rede amplificadora, normalmente para a porta 7 (Echo). Cada sistema da rede que estiver com o Echo ativado responder ao host escolhido como alvo. Caso o Echo no esteja ativo em um sistema da rede amplificadora, este sistema gerar uma mensagem ICMP tipo 1 (Host Unreachable), o que tambm consome largura de banda. Atualmente as maiores vtimas deste tipo de ataque so os servidores de Internet Relay Chat (IRC). Segundo [Hu00], o Fraggle simplesmente uma re-escrita do Smurf.

2.2.8 TCP SYN FLOODING Anterior ao Smurf, este mais um ataque que se faz valer da premissa de confiana da sute de protocolos TCP/IP. O TCP SYN Flooding deixa um grande nmero de solicitaes de conexo abertas. Assim, qualquer sistema conectado Internet oferecendo servios de rede baseados em TCP passvel de sofrer este ataque. A conseqncia do ataque varia de acordo com o sistema operacional da vtima. Quando um cliente tenta realizar uma conexo TCP com um servidor, ambos trocam uma srie de pacotes de controle chamada 3-Way Handshake (figura 2) que tem o objetivo de confirmar qual o nmero de seqncia inicial que ser usado na conexo. O cliente envia uma mensagem de sincronizao contendo o nmero de seqncia (do cliente) e o bit SYN ativado para o servidor. Ao receb-la, o servidor

24

envia uma mensagem com os bits SYN e ACK ativados contendo o nmero de seqncia do servidor e confirmando o recebimento da solicitao de sincronismo (SYN+ACK). O cliente ento finaliza o estabelecimento da conexo enviando um pacote de confirmao de recebimento (ACK). Aps esta troca, o cliente confirma que o servidor est funcionando e pronto para receber os dados.

Host A
1

SYN SEQ = 100

ACK = 201 (200+1) SEQ = 101

SYN SEQ = 200 ACK = 101 (100+1) Host B

Figura 2 3-Way Handshake

O SYN Flooding acontece com o envio de pacotes SYN solicitando o incio de uma conexo TCP. Este pacote tem o endereo de origem forjado com o endereo de um sistema que no esteja conectado rede. Assim, o servidor retorna o pacote SYN+ACK para o suposto endereo de origem, porm como o cliente no retorna o pacote ACK, a conexo permanece aberta. Com o envio de um grande nmero de pacotes SYN, a estrutura de dados para o recebimento de solicitaes SYN pode chegar a seu limite, e o sistema fica incapacitado de receber novas solicitaes at que novamente haja espao disponvel. Normalmente existe um timeout9 para que as solicitaes SYN que no completem a conexo sejam descartadas, todavia o atacante pode continuar a enviar

Tempo esperado antes do descarte da solicitao.

25

pacotes SYN forjados requisitando novas conexes mais rapidamente do que o descarte de pacotes pendentes.

Atacante (200.1.2.0)
1

? (210.200.4.57)

SYN SEQ = 375 Destino = 139.82.19.55 Origem = 210.200.4.57 SYN SEQ = 946 ACK = 376 Destino = 210.200.4.57 Origem = 139.82.19.55 Vtima (139.82.19.55)
Figura 3 TCP SYN Flooding
2

O ataque TCP SYN Flooding pode ser direcionado para qualquer servio TCP que esteja sendo executado no servidor. Na maioria dos casos, o sistema alvo deste ataque ter dificuldades em receber novas conexes para o servio sob ataque, neste caso o ataque afeta determinado servio e os buffers para outros servios permanecem disponveis. Em outros casos o ataque pode travar o servidor para todos os servios oferecidos. O fato das solicitaes SYN estarem com o endereo de origem forjado dificulta que o atacante seja descoberto. A deteco do SYN Flooding pode ser feita quando um grande nmero de solicitaes SYN recebido sem que os respectivos pacotes ACK sejam recebidos. Alm de forjar o endereo de origem da solicitao SYN, o SYN Flooding tambm pode ser executado com um endereo de origem especfico que no envie o pacote ACK para finalizar a conexo. Isto requer que os pacotes sejam monitorados e bloqueados no host ou no roteador.

26

O SYN Flooding pode ser direcionado no apenas a hosts, mas tambm a roteadores e outros dispositivos de redes caso estes ofeream algum tipo de servio TCP. So exigidos poucos pacotes e pequena largura de banda para o incio de uma inundao SYN bem-sucedida.

2.2.9 TEARDROP O Teardrop explora uma vulnerabilidade no cdigo de remontagem de pacotes recebidos por implantaes de TCP/IP especficas. O campo offset informa o posicionamento do fragmento em relao ao pacote IP do qual faz parte.. O ataque Teardrop foi criado para kernels antigos de Linux anteriores verso 2.0 que no manipulavam fragmentos IP sobrepostos de maneira correta. O Windows NT e 95 tambm so vulnerveis a ataques derivados, como o newtear.c, o syndrop.c e o boink.c. Foram lanados Services Packs para ambas as verses, a fim de corrigir estas vulnerabilidades. As verses posteriores do Windows tambm j esto corrigidas.

2.2.10 TARGA Este ataque acontece a partir do envio de pacotes inesperados. Estes pacotes inesperados possuem um ou mais itens invlidos, e.g., fragmentao, protocolo, tamanho, cabealho, offset, segmentos, indicao de rotas, etc. Foi originalmente criado para atingir o sistema operacional Windows. Uma vez que o sistema recebe os pacotes, o kernel precisa alocar recursos para lidar com estes pacotes. Se a quantidade de pacotes for suficiente, o sistema ir travar devido falta de recursos.

27

2.3 TOPOLOGIA A topologia de uma rede DDoS dividida em quatro partes. Os sistemas comprometidos10 so divididos em Masters e Agentes11. So os Agentes que geram o trfego que ir resultar na negao de servio. Estes Agentes so controlados por um ou mais Masters, que mantm uma lista com todos os Agentes disponveis. No momento de incio do ataque, so os Masters que enviam para os Agentes as instrues de incio e tipo de ataque. O atacante pode controlar vrios Masters e os Agentes tambm podem ser controlados por mais de um Master.

Atacante

Master

Master

Master

Agente Agente Agente

Agente Agente

Vtima
Figura 4 Topologia de uma rede DDoS

Os sistemas comprometidos so aqueles aos quais o atacante j teve acesso e possuem instaladas a ferramenta de ataque DDoS a ser utilizada. 11 No h uma padronizao com relao a estas denominaes.

10

28

A utilizao de duas camadas (Masters e Agentes) entre o atacante e a vtima dificulta o rastreamento, pois caso a vtima seja capaz de seguir os pacotes forjados at os Agentes, ainda ser necessrio segui-los at os Masters e s depois ser possvel chegar ao atacante. Como o caminho percorrido pelo pacote possui administraes distintas, o rastreamento total at o atacante extremamente difcil.

2.4 A CRIAO DE UMA REDE DDOS Antes de efetuar um ataque DDoS uma rede deve ser montada. Computadores devem ser identificados como possveis vtimas a fim de ganhar acesso administrativo ao maior nmero de sistemas possvel. Como estes computadores devem ser utilizados para um ataque importante que pertenam a diversas redes ou endereos IP. A utilizao de uma grande quantidade de endereos IP dificulta a identificao e o bloqueio do ataque. A escolha de uma rede que possua alta taxa de transferncia facilita o ataque. Por ltimo a mquina deve ter recursos suficientes e estar localizada em uma rede que no tenha uma segurana muito rgida. A falta de segurana facilita a instalao do servidor e dificulta a deteco do ataque no momento em que ele for executado. Na maioria das vezes utilizado o software nmap em conjunto com scripts de ataque personalizados a fim de identificar os sistemas vulnerveis. Os principais caractersticas procuradas em redes para serem utilizadas em DDoS so: proximidade com um backbone de alta velocidade, grande nmero de computadores vulnerveis e administrao imprpria dos equipamentos. Computadores pessoais com acesso 24 horas Internet tambm so considerados teis para a rede DDoS. A maneira mais utilizada para o comprometimento de um computador domstico por meio do envio de um arquivo infectado. Aps a escolha dos Masters e Agentes desejados, o atacante procura uma vulnerabilidade nos equipamentos escolhidos com o intuito de conseguir realizar a

29

instalao do programa. Nenhuma das ferramentas DDoS citadas apresenta opes para efetuar a invaso no sistema da vtima. O acesso conseguido de outra forma, na maioria das vezes por meio de Buffer Overflow. Ao conseguir acesso, o programa instalado em cada mquina da futura rede DDoS. Depois de instalado e configurado o software nos Agentes, ainda devem ser escolhidas as mquinas para funcionarem como Masters controlando os Agentes. Neste momento tambm so instalados root kits com o intuito de esconder programas, conexes e arquivos. Aps o fim desta etapa so feitos testes a fim de verificar se a estrutura montada est funcionando adequadamente. Muitas vezes todos estes passos so realizados por meio de scripts, fazendo com que a rede seja formada de maneira rpida. A partir de ento os Masters e Agentes ficam prontos para receber os comandos e iniciar o ataque.

2.5 FERRAMENTAS DDOS

2.5.1 TRIN00 O Trin00 utiliza os protocolos TCP e UDP para se comunicar com o servidor, o que torna necessria a utilizao de portas e faz com que a troca de mensagens seja mais facilmente percebida. A comunicao entre o cliente e o Master normalmente realizada pela porta TCP/27665. Entre o Master e o servidor pela porta UDP/27444. A comunicao do servidor voltando para o Master normalmente feita pela porta UDP/31335. Os Agentes Trin00 podem ser instalados em sistemas Linux e Solaris. A utilizao do Trin00 pode ser detectada pela observao de trfego UDP tipo 17, que utilizado para a comunicao entre os Masters e os Agentes.

30

Os Masters mantm uma lista dos Agentes que podero ser contactados. Esta lista localizada no arquivo oculto ... (trs pontos). Este arquivo se localiza no mesmo diretrio do que o binrio do Master.

Comunicao

Tabela 1 Comunicao da rede Trin00

Atacante Master 27665 TCP Master Agente 27444 UDP Agente Master 31335 UDP

Porta Protocolo

As postas utilizadas pelo Trin00 (figura 1) podem ser utilizadas para a deteco e mesmo para o bloqueio, impedindo que os computadores da rede sejam utilizados para os ataques. Alguns nomes utilizados para os Agentes Trin00 so: ns, http, rpc, Trin00, rpc.listen, trinix, rpc.irix e irix. O Trin00 exige uma senha para que seja feita a conexo. Se j houver algum conectado, ser feita uma notificao contendo o endereo IP de onde veio cada tentativa de conexo posterior. Uma vez executado o Agente Trin00 ele anuncia a sua disponibilidade pelo envio de um pacote UDP contendo a string *HELLO* para o endereo IP de seu respectivo Master. O Master responde com outro pacote UDP, desta vez com a string PONG.

gOrave Interface Remota do Master betaalmostdone Comando mdie killme

Tabela 2 Senhas do Trin00

Agente Inicializao do Master

l44adsl

31

Comando
die quit mtimer N dos IP mdie pass

mping mdos <ip1:ip2:ip3> info msize nslookup host killdead

usebackup bcast help <comando> mstop

Tabela 3 Comandos do Master Trin00

Desliga o Master Logoff do Master Define o tempo do ataque em <N> segundos Ataca o endereo IP especificado em <IP> Desativa todos os hosts.(uma senha especfica <pass> necessria para a utilizao deste comando) Envia o comando Ping para todos os hosts. Ataca os endereos especificados em <IP>. Mostra a verso e as informaes de compilao, e.g., This is the "trinoo" AKA DoS Project master server version v1.07d2+f3+c Compiled 15:08:41 Aug 16 1999 Define o tamanho do buffer para pacotes enviados durante o ataque. Realiza um look up do host especificado a partir do host onde o Master estiver funcionando. Tenta fazer que os hosts inativos voltarem a funcionar, por meio do envio do comando shi, que faz com que todos os hosts ativos respondam com a string inicial *HELLO*. A seguir o arquivo bcast renomeado com a extenso -b, fazendo com que ele seja reiniciado quando os pacotes *HELLO* forem recebidos. Troca para o arquivo Bcast criado pelo comando killdead Lista todos os hosts ativos. Fornece uma lista de comandos ou uma breve descrio do comando, caso indicado pelo parmetro <comando>. Tenta parar o ataque (no implementado, mas constando no help do programa).

Descrio

Comando

aaa pass IP

bbb pass N shi pass png pass d1e pass rsz N xyz pass 123:ip1:ip2:ip3

Tabela 4 Comandos do Agente Trin00

Ataca o endereo IP especificado. Envia pacotes UDP para portas aleatrias por um perodo de tempo. O tempo 120 segundos, ou o valor especificado pelo comando bbb. O tamanho 1000 bytes, ou o especificado pelo comando rsz. Define o limite (em segundos) para o ataque. Envia a string *HELLO* na porta 31335/udp para a lista de Masters compilada no programa. Solicita o envio da string PONG na porta 31335/udp. Desliga o Agente Trin00. Define o tamanho do buffer para os ataques em <N> bytes. Ataque mltiplo. o mesmo que o comando aaa, mas para diversos endereos IP.

Descrio

32

2.5.2 TRIBE FLOOD NETWORK Esta foi a primeira ferramenta de ataque DDoS disponvel publicamente. O TFN foi escrito por Mixter, mesmo criador do TARGA12. Os ataques efetuados pelo TFN so: UDP Flooding, TCP SYN Flooding, ICMP Flooding e Smurf. O controle dos Masters feito por linha de comando (shell remoto, terminal SSH, LOKI, Telnet, etc.). A execuo do programa deve ser acompanhada dos parmetros desejados com a sintaxe: ./tfn <iplist> <type> [ip] [port] Onde: <iplist> a lista dos Agentes que podem ser utilizados. <type> o tipo de ataque desejado (ver tabela 3). [ip] o endereo da vtima. [port] a porta desejada para ataques TCP SYN flooding, que pode ser definida como um nmero aleatrio (parmetro 0)

Valor

-1 <bytes> -1 <mscara>

0 1 <alvos> 2 <alvos> <porta> 3 <alvos> 4 <porta> 5 <alvo@bcasts>

Tabela 5 Comandos do Master Tribe Flood Network

Define o tamanho dos pacotes utilizados no ataque Mscara de rede para o endereo forjado. 0 = aleatrio 1=classe A 2= classe B 3 = classe C Altera o tamanho de pacotes UDP/ICMP. Ataque UDP Flood. Os IPs das vtimas devem ser definidos com o @ como separador, e.g., 192.168.0.1@192.168.0.2 Ataque TCP SYN Flooding. A porta pode ser escolhida ou definida aleatoriamente com o parmetro 0. Ataque ICMP. Apenas se compilado com ID_SHELL. Porta a ser conectada como root. Ataque Smurf. Apenas uma vtima <alvo> pode ser escolhida para este ataque. Os endereos em seguida <bcasts> indicam os servidores broadcast.

Descrio

ferramenta de ataque DoS que permite a escolha entre 8 tipos de ataques DoS diferentes (boink, jolt, land, nestea, newtear, syndrop, teardrop e winnuke) ou que efetue o ataque automaticamente com cada um dos tipos at que obtenha sucesso.

12

33

O TFN bastante discreto. A comunicao entre os Masters e os Agentes feita por mensagens ICMP tipo 0 (Echo Reply), o que torna difcil o monitoramento dessas comunicaes, pois muitas ferramentas de monitoramento no analisam o campo de dados de mensagens ICMP. O TFN no possui senhas, porm para cada comando enviado aos Agentes designado um nmero de 16 bits que enviado no campo ID da mensagem ICMP. Os valores originais so mostrados na tabela 3, porm o programa incentiva que estes nmeros sejam alterados.

Comando

#define ID_ACK #define ID_SHELL #define ID_PSIZE #define ID_SWITCH #define ID_STOPIT #define ID_SENDUDP #define ID_SENDSYN #define ID_SYNPORT #define ID_ICMP #define ID_SMURF

Tabela 6 Comandos do Agente Tribe Flood Network

123 456 789 234 567 890 345 678 901 666

Nmero

Respostas para o Master Root Shell Altera o tamanho dos pacotes Altera forma como pacotes so forjados Para o ataque Ataque UDP Flooding Ataque TCP SYN Flooding Definine a porta utilizada Ataque ICMP Flooding Ataque Smuf

Descrio

2.5.3 STACHELDRAHT Alm de combinar caractersticas do Trin00 e do Tribe Flood Network, os principais diferenciais do Stacheldraht so a utilizao de comunicao por sesses Telnet criptografada entre o Atacante e os Masters e a realizao de atualizao automtica dos Agentes. O Stacheldraht funciona em sistemas Linux e Solaris.

Tabela 7 Comunicao na rede Stacheldraht

Atacante Master 65512 Master Agente 65513 Agente Master 65513

Comunicao

Porta Protocolo
TCP TCP TCP

34

Os Masters e Agentes tambm podem se comunicar por meio de mensagens ICMP tipo 0 (Echo Reply) Quando os Agentes iniciam, tentam ler um arquivo de configurao com a lista dos Masters para descobrir por quais Masters so controlados. Este arquivo uma lista de endereos IP criptografada com o algoritmo Blowfish. Se o arquivo no for localizado, sero utilizados os endereos originais j contidos no programa compilado. Em seguida so enviadas mensagens ICMP tipo 0 (Echo Reply) com o ID 666 e a string skillz no campo de dados. Os Master respondem com a string ficken e o ID 667. A falta de autenticao destes pacotes considerada a nica falha do Stacheldraht [Cr00].

35

Comando
.distro help . killall . madd ip1[:ip2[:ipN]] mdie.. mdos micmp ip1[:ip2[:ipN]] mlist t. mping msadd . msort mstop ip1[:ip2[:ipN]] mstop all msrem . .msyn ip1[:ip2[:ipN]] .mtimer seconds. .mudp ip1[:ip2[:ipN]] .setisize .setusize .showalive .showdead .sprange lowport-highport

Comanda o Agente a instalar e executar uma nova cpia dele mesmo utilizando o comando rpc, e.g., "rcp user@server:linux.bin ttymon") Mostra uma lista com os comandos disponveis Desliga todos os Agentes ativos. Adiciona um endereo IP lilsta de vtimas. Envia requisies die a todos os Agentes Inicia o ataque DoS. Inicia o ataque ICMP flood contra os hosts especificados. Lista os endereos IP dos hosts sendo atacados no momento Realiza um comando Ping a todos os Agentes para saber se esto funcionando. Adiciona um novo Master lista de Masters disponveis. Define os Agenste que esto ativos ou no. (Realiza comandos Ping e mostra o percentual de Agentes ativos e inativos. Para o ataque a um endereo IP especfico ou a todos. Remove o Master da lista de Master disponveis. Inicia um ataque TCP SYN flood contra o(s) host(s) especificado(s). Define o tempo de durao do ataque. Inicia um ataque UDP flood contra o(s) host(s) especificado(s). Define o tamanho dos pacotes ICMP. Define o tamanho dos pacotes UDP. Mostra todos os Agentes ativos. Mostra todos os Agentes inativos. Define a srie de portas utilizadas para o ataque TCP SYN flood.

Descrio

Tabela 8 Comandos Stacheldraht

2.5.4 SHAFT Neste programa, o controle dos Masters feito por sesses Telnet. O Shaft utiliza tickets para controlar seus Agentes. O nmero do ticket deve estar corretamente relacionado com a senha (cifra de Csar, transposio) para que o Agente execute uma solicitao.

36

Tabela 9 Portas utilizadas pelo Shaft

Atacante Master 20432 Master Agente 18753 Agente Master 20433

Comunicao

Porta Protocolo
TCP UDP UDP

Comando

size <size> type <0|1|2|3> time <length> own <victim> end <victim> stat alive switch <handler> <port> pktres <host> new <password> pktres <password> <sock> <ticket> <packets sent>

Tabela 10 Comandos do Agente Shaft

Define o tamanho dos pacotes. Tipo de ataque. 0 = UDP 1 = TCP 2 = UDP/TCP/ICMP 3 = ICMP. Durao do ataque em segundos. Adiciona uma vtima lista de hosts para efetuar o ataque. Remove a vtima da lista de hosts. Requisio de estatsticas dos pacotes de um Agente. Verifica se o host est ativo. Troca o IP e a porta do Master relacionado ao Agente. Requisita o resultado dos pacotes para o host no final do ataque. Troca a senha. Pacotes enviados para o host identificados pelo nmero (ticket)

Descrio

Comando

mdos <host list> edos <host list> time <length> size <packetsize> type <UDP|TCP|ICMP|BOTH> -node <host list> ns <host list> ltic pkstat alive stats switch ver exit

Tabela 11 Comandos do Master Shaft

Inicia o ataque direcionado a <host list> Finaliza o ataque. Define a durao do ataque. Define os pacotes para o ataque. Define o tipo de ataque: UDP flooding, TCP SYN flooding, ICMP flooding ou BOTH (os trs tipos) Remove os Agentes. Efetua um DNS lookup em toda a lista de hosts. Lista todos os tickets. Mostra as estatsticas de pacotes para os Agentes. Envia um comando alive para todos os Agentes. Mostra o status. Torna-se o Master para os Agentes. Mostra a verso Termina a execuo do programa

Descrio

37

2.5.5 TRIBE FLOOD NETWORK 2000 TFN2K Esta ferramenta uma evoluo do Tribe Flood Network. A comunicao entre seus participantes feita com protocolos aleatrios, alterados dinamicamente de maneira que nenhum padro possa ser reconhecido, impedindo assim que o ataque seja detectado. Um protocolo chamado protocolo Tribe encapsulado nos pacotes escolhidos aleatoriamente. Como no realizada nenhuma confirmao do recebimento dos pacotes, cada comando enviado 20 vezes, baseando-se na probabilidade de que pelo menos um deles ser recebido. Alm dos pacotes necessrios, tambm so enviados pacotes forjados para dificultar a comunicao entre o atacante e os Masters. O protocolo Tribe criptografado com CAST-256 e utiliza a codificao base64. O cdigo no possui nenhuma senha padro, todas as senhas devem ser definidas pelo atacante. Todos os comandos so formados por um nico caractere, tornando-se assim extremamente difcil de ser localizado. Segundo Mixter criador do TFN2K no existem strings que possam ser localizadas nos Masters, porm nos Agentes, esta descoberta possvel. Segundo [Cr00], a fraqueza do TFN2K existe devido utilizao da codificao base64. No final de cada pacote, independente do protocolo e de algoritmo de criptografia utilizado, existe uma seqncia de 0x41s (A). Podem acontecer vrias ocorrncias desta string no final dos pacotes, porm sempre h pelo menos uma.

38

Comando
+ a b c d e f g h i j k l

Tabela 12 Comandos do Tribe Flood Network 2000

Separador do cabealho Conectar shell como root Alterar o tamanho dos pacotes UDP/ICMP Troca o modo com que o IP forjado Parar o ataque Ataque UDP Flood Ataque TCP SYN Flood Porta a ser utilizada Ataque ICMP Flood Ataque Smurf Ataque Targa3 Intervalos UDP/SYN/ICMP Executa um camando do sistema

Descrio

2.5.6 WIN TRIN00 Verso para Windows do Trin00. Funciona com um cavalo de tria normalmente chamado de service.exe com o tamanho de 23.145 bytes. O Win Trin00 opera escutando a porta 3455/TCP e 3455/UDP. Este trojan j detectado por todos os antivrus devidamente atualizados.

2.5.7 MSTREAMS Segundo [Di+00], o mstream uma ferramenta de DDoS mais primitiva do que as analisadas anteriormente. O controle dos Master realizado atravs de uma conexo TCP porta 6723. Os comandos no so criptografados e devem ser inteiramente includos no campo data de um nico pacote TCP, o que significa que no pode ser utilizada uma sesso Telnet para esta comunicao. A comunicao entre Master e Agentes feita por meio de datagramas UDP. Os comandos so listas separadas por / (barra) e quando os argumentos possuem mais de um item, estes so separados por : (dois pontos).

39

A senha original no cdigo fonte N7%diApf!. Se a senha correta no for utilizada, todos os usurios conectados sero informados da tentativa de conexo. Mesmo que a senha esteja correta, todos os usurios tambm so informados da nova conexo.

Tabela 13 Portas utilizadas pelo mstream

Atacante Master 6723 Master Agente 7983 Agente Master 9325

Comunicao

Porta Protocolo
TCP UDP UDP

Comando
help servers who ping

stream: <nome_do_host> <segundos>

mstream <ip1:ip2:ip3:...> <segundos>

quit:

Mostra os comandos disponveis Relaciona todos os Agentes conhecidos. Mostra os usurios conectados. Identifica os Agentes ativos restantes. Envia o comando ping para todos os Agentes conhecidos e informa os usurios a cada resposta recebida. Inicia um ataque contra um nico host, pela durao especificada. O Master resolve o no do host a um endereo IP e envia o comando "mstream/arg1:arg1/arg2" para todos os Agentes, onde arg1 o endereo IP e arg2 a durao em segundos. Inicia um ataque contra vrios endereos IP pela durao especfica e envia o comando "mstream/arg1/arg2" para todos os Agentes, onde arg1 a lsita de endereos IP separados por : e arg2 a durao em segundos. Finaliza a conexo do atacante com o
Master

Descrio

Tabela 14 Comandos do Master mstream

Comando
ping stream/IP/segundos mstream/IP1[:IP2[:IPN]]/seconds

Tabela 15 Comandos do Agente mstream

Responde a endereos IP que enviem estes pacores com pong Inicia o ataque ao endereo IP pela durao especificada em segundos Inicia o ataque a todos os endereos indicados pela durao especificada em segundos

Descrio

40

Os Masters so protegidos por senha, porm esta transmitida como Clear Text, podendo ser facilmente capturada. Os Agentes no so protegidos por senhas.

41

 Captulo 3

COMO EVITAR O DDOS

Devido a arquitetura do ataque e de sua fora, no existe uma maneira totalmente eficaz de evitar o ataque DDoS. Uma soluo ideal seria que todos os computadores fossem configurados e protegidos de maneira a no serem utilizados para a formao da rede DDoS. Porm esta soluo supe que a segurana de cada rede fica sob responsabilidade de todas as outras redes. Apesar de no haver uma soluo definitiva contra ataques DDoS, existem vrias maneiras de se minimizar as chances de se tornar alvo deste tipo de ataque. A maioria das sugestes de defesa valem para manter o sistema seguro no apenas contra ataques do tipo DDoS, mas tambm contra tentativas de invases com outros objetivos. A seguir seguem alguns pontos que devem ser observados para evitar o ataque DDoS a partir dos mais genricos (que servem para garantir a segurana da rede contra outros tipos de ataque) at os mais especficos (defesas especficas contra ataques DDoS)

3.1 PREVENO

3.1.1 PLANO DE CONTINGNCIA Antes ainda de tentar evitar o ataque fundamental que a rede esteja preparada para a eventualidade de um ataque ser bem-sucedido. Para isso a arquitetura da

42

rede deve ser tratada com bastante cuidado. Todos os servios essenciais para o funcionamento da empresa devem ser redundantes, se possvel em localizaes geogrficas distintas. Devem existir tambm mltiplos pontos de acesso Internet. Esta a melhor soluo contra ataques do tipo fora-bruta que consomem todos os recursos da rede por terem origem em redes mais numerosas ou com mais recursos.

3.1.2 POLTICA DE SEGURANA importante que a empresa tenha uma Poltica de Segurana ativa. Para garantir que todos seus usurios legtimos no sejam eventuais colaboradores conscientemente ou no de possveis ataques.

3.1.3 SENHAS Muitas redes DDoS so formadas a partir de hosts com senhas que podem ser facilmente descobertas. Para evitar isso, fundamental que as senhas escolhidas tenham um tamanho mnimo adequado, sejam trocadas com freqncia, alm de serem formadas por letras e nmeros alternados.

3.1.4 ACESSO FSICO Deve ser garantido que o sistema apenas seja acessvel pelos seus administradores autorizados. Toda a segurana da rede fica comprometida caso seja possvel utilizar o host localmente.

3.1.5 ATUALIZAES A cada momento so descobertas novas falhas, bugs e vulnerabilidades. Porm os grandes fabricantes so rpidos ao fornecer solues para os problemas

43

divulgados. Por isso, a atualizao constante do sistema e seus aplicativos ajuda a prevenir um grande nmero de situaes que poderiam ser exploradas para efetuar um ataque DDoS.

3.1.6 DETECO E PREVENO DE VRUS Todos os computadores da rede devem possuir programas antivrus instalados e atualizados. Todos os dados devem ser varridos e tambm devem ser feitas verificaes de integridade com o intuito de perceber qualquer mudana nos dados originais.

3.1.7 PORTAS Um grande nmero de portas abertas significa uma maior quantidade de vulnerabilidades possveis. importante que sejam verificadas quais portas devem realmente permanecer abertas e que todas as outras sejam fechadas. Alm disso, a rede deve ser rastreada freqentemente a fim de ter garantia de que apenas as portas necessrias permanecem abertas. Para isso devem ser utilizadas ferramentas como nmap ou saint que fazem o rastreamento da rede em busca de portas abertas e possveis vulnerabilidades. A documentao do sistema operacional tambm deve ser analisada cuidadosamente para que seja descoberto se h algum servio oferecido pelo kernel, assim no visvel como um programa separado. Alm disso, portas que so normalmente utilizadas em ataques DDoS devem ser monitoradas e bloqueadas.

3.1.8 LARGURA DE BANDA. Um ataque DDoS pode consumir toda a largura de banda da empresa mesmo que esteja sendo efetuado contra uma porta especfica. Para evitar que isto acontea deve ser estipulado um limite de largura de banda por servio, de forma que mesmo que

44

ocorra um ataque ao servidor web porta 80 os usurios que tentarem usar o servio de correio eletrnico portas 25 e 110 conseguiro faz-lo com xito. Todavia esta soluo no impede que sejam efetuados ataques DDoS simultaneamente a duas ou mais portas.

3.1.9 DESATIVAO DE BROADCAST Para impedir que a rede seja usada como amplificadora para ataques Smurf, necessrio que a funcionalidade de Broadcast seja desativada no roteador de fronteira. Alm disso, sistemas operacionais tambm podem ser configurados para descartar solicitaes Echo de broadcast.

3.1.10 TRFEGO A segurana do permetro normalmente um firewall ou roteador deve ser reforada. Apenas o trfego realmente necessrio deve ter permisso para entrar (ingress filtering) e sair (egress filtering) da rede. Muitas empresas se preocupam apenas com o trfego para dentro da rede, todavia o trfego que sai da rede deve merecer a mesma importncia. Mensagens ICMP so duplamente importantes, pois so utilizadas no apenas diretamente para efetuar ataques Smurf, mas tambm para a comunicao entre os componentes da rede DDoS. O ingresso de trfego ICMP e UDP nos roteadores de borda deve ser limitado aos realmente necessrios para o funcionamento da rede. O trfego ICMP que normalmente no bloqueado deve ser analisado com cuidado. Deve ser verificada a real necessidade da utilizao de Ping em endereos de broadcast. No momento do ataque, aconselhvel trabalhar com o provedor de acesso a fim de tentar limitar o trfego ICMP o mais longe possvel dos hosts finais.

45

 possvel a utilizao do CAR (Comitted Access Rate) permitindo que o trfego ICMP seja limitado a valores baixos. O CAR uma funcionalidade criada para roteadores Cisco que permite que certos tipos de trfego sejam limitados a determinadas origens e destinos, podendo ser til na preveno de ataques do tipo Smurf e TCP SYN Flooding. Mesmo que seja utilizado um firewall, deve-se configurar o roteador externo para bloquear certos tipos de pacotes. Assim alm de diminuir a carga de trabalho do firewall, os roteadores externos podem indicar previamente quando a rede estiver sendo atacada.

3.1.11 BLOQUEIO DE ENDEREOS IP Caso acontea um ataque, o(s) endereo(s) da origem do ataque deve(m) ser descoberto(s) e o roteador externo deve ser imediatamente configurado para bloque-lo(s). Mesmo defendendo a rede interna no roteador externo, este roteador estar sofrendo uma inundao de pacotes que pode negar servio a usurios legtimos. Por isso o provedor de acesso deve ser contatado a fim de que o bloqueio passe a ser feito por ele. Com mltiplos pontos de acesso e alta taxa de transferncia, improvvel que uma inundao de pacotes possa causar alguma conseqncia para o provedor, liberando a rede para acesso por usurios legtimos. A defesa contra ataques do tipo Land pode ser feita pelo bloqueio de qualquer pacote que tente entrar na rede que possua como origem um endereo interno da rede. Porm esta ao no impede que um atacante invada a rede para efetuar um ataque a partir de um equipamento interno.

46

3.1.12 INTRUSION DETECTION SYSTEM IDS Seguindo a idia de que a preveno total contra ataques DDoS impossvel de ser conseguida, a implantao de um IDS ajuda a detectar o ataque mais rapidamente. O IDS auxilia tanto na deteco de ataques quando no caso de algum host da rede estar sendo utilizado como Agente em um ataque DDoS direcionado a outra rede. Os IDSs funcionam analisando os padres e as anomalias do trfego da rede. Os padres so comparados com uma base de dados de ataques conhecidos, caso haja algum ataque catalogado, disparado um alarme indicado a situao. J no caso de anomalias, o IDS define o que a caracterstica usual de trfego da rede. Caso o trfego no esteja dentro do considerado comum tratado como suspeito. Como as caractersticas de trfego usual variam enormemente em funo de cada rede, a grande maioria das ferramentas IDS trabalha com anlise de padres.

3.1.13 VARREDURA Atualmente existem milhares de redes j infectadas com ferramentas DDoS. Ao se implantar a segurana da rede, antes de impedir que alguma nova ferramenta seja instalada, deve-se verificar se a rede no est comprometida. Para isso so utilizados scanners que fazem a varredura dos hosts em busca de ferramentas DDoS. Um sistema que esteja configurado corretamente e atualizado, na maioria das vezes impede que algum no-autorizado consiga acess-lo.

3.1.14 PREVENO CONTRA TCP SYN FLOODING O comando netstat, presente nos principais sistemas operacionais, pode ser usado para a identificao de conexes em estado SYN_RECV. A presena de muitas conexes neste estado pode indicar que um ataque TCP SYN Flooding esteja em andamento.

47

A implantao dos protocolos TCP/IP de cada fornecedor ligeiramente diferente, todavia possvel que o tamanho da fila de conexo seja ajustado com o intuito de minimizar os efeitos de um ataque SYN Flooding. Com esta soluo, mais recursos ficam alocados e o desempenho prejudicado. Outra soluo diminuir o timeout para que as conexes que no forem estabelecidas sejam rapidamente descartadas. A maneira mais prtica de evitar um ataque SYN Flooding ter um roteador ou firewall configurado corretamente. O ataque pode ser bloqueado ao limitar o nmero de conexes que estiverem aguardando comfirmaes ACK, e.g., se um servidor for capaz de lidar com 50 solicitaes de conexo, o roteador ou firewall pode limitar a 20 o nmero de solicitaes ACK sendo aguardadas. Apesar de tambm negar servio a usurios legtimos, esta estratgia de defesa impede que o servidor trave e tambm impede que outros servios sendo oferecidos sejam afetados.

3.1.15 SYN COOKIES Foi criada uma forma de defesa para ataques SYN Flooding em sistemas Linux e Solaris. Os SYN Cookies funcionam quando o nmero de solicitaes de conexo estiver prximo do limite suportado pelo sistema. Neste momento as novas solicitaes param de ser enviadas para o queue, para isso so calculadas funes a partir dos endereos e portas de origem e de destino. Quando o servidor recebe o pacote ACK verificado se a funo vlida e, caso positivo, o SYN queue refeito.

3.1.16 PREVENO CONTRA SMURF Para se defender de um ataque Smurf existem duas estratgias: solues para o intermedirio e solues para a vtima.

48

Para o intermedirio deve ser desabilitada a opo de broadcast para IP diretos no roteador. Na prtica isto faz com que o trfico que vem de fora da rede no possa ter como destino o endereo de broadcast da rede. Na grande maioria dos casos esta funcionalidade no necessria e o seu bloqueio no acarreta nenhum nus para a rede. Porm se o atacante invadir a rede com o intuito de efetuar o ataque de dentro, a proteo no roteador perde o efeito. Neste caso, a soluo configurar o sistema operacional para que pacotes ICMP tipo 8 (Echo Request) com endereo IP broadcast sejam ignorados. Segundo [Se99], o envio e recebimento de broadcast direto devem estar desabilitados por padro nos roteadores. Os endereos dos pacotes tambm devem ser checados com a tabela de roteamento, para garantir que o caminho de retorno seja o mesmo pelo qual ele foi recebido. Assim fica diminuda a possibilidade de ataques com endereos forjados. Os hosts tambm podem ser programados para se recusar a responder a pacotes ICMP tipo 8 (Echo Request) em broadcast. No existe uma soluo totalmente eficiente para a vtima de ataques Smurf. O trfego ICMP tipo 8 (Echo Request) pode ser bloqueado no roteador da rede da vtima, contudo isto no impedir o congestionamento que se formar entre o roteador da vtima e o provedor de acesso Internet. O que acontece com grande parte dos ataques DoS que o ponto em que se bloqueia o ataque se torna a vtima do ataque. O bloqueio de pacotes ICMP no roteador far com que eles no atinjam a mquina vtima, mas o acesso Internet ficar comprometido, pois o roteador que estiver bloqueando o trfego estar sendo o alvo do ataque. Alm disso, deve ser negada a resposta a mensagens ICMP tipo 8 enviados para endereos de broadcast.

49

3.2 REAO Uma vez detectado um ataque DDoS, o ideal que a empresa coloque em funcionamento o seu plano de resposta a incidentes. Porm so poucas as empresas que o possuem. Segundo [SS01], o ataque sofrido no deve ser divulgado e somente os indivduos diretamente envolvidos na resoluo do problema devem ter conhecimento da ocorrncia. Caso seja encontrada uma ferramenta DDoS, o computador deve ser imediatamente removido da rede. Caso sua utilizao seja crtica, o seu backup (se disponvel) seve ser utilizado. Se no houver backup disponvel, o servio deve inevitavelmente ficar paralisado at a ferramenta ser removida. No caso de ataques Smurf, cada roteador deve ser analisado, a partir da rede amplificadora e seguindo o fluxo acima. Isto realizado determinando a interface pela qual o pacote foi recebido e rastreando em sentido contrrio. Existem algumas ferramentas como os scripts Fireball e DoS Tracker que fazem o rastreamento at a origem dos ataques, todavia sua utilizao limitada ao tipo dos roteadores encontrados no caminho e ao nvel de controle que pode ser conseguido em cada um deles.

3.3 FERRAMENTAS

3.3.1 ZOMBIE ZAPPER Esta ferramenta no detecta vulnerabilidades, ela serve para bloquear um ataque em andamento. Caso o IDS indique que a rede est sendo utilizada como plataforma de ataque, o Zombie Zapper pode ser utilizado para acabar com a inundao de pacotes. Como os scanners de vulnerabilidades, esta ferramenta tambm assume que as ferramentas estejam utilizando a porta padro.

50

O Zombie Zapper funciona enviando comandos para os Agentes interromperem o ataque. Ele capaz de desabilitar Agentes Trin00, Tribe Flood Network e Stacheldraht.

Figura 5 Zombie Zapper

3.3.2 FIND_DDOS Esta ferramenta foi desenvolvida pelo National Infrastructure Proctection Center (NIPC) rgo do FBI em funo da grande quantidade de ataques DDoS ocorridos. O find_ddos localiza no sistema os Masters e Agentes das ferramentas Trin00, Tribe Flood Network, TFN2k e Stacheldraht. Apesar de gratuito, o cdigo deste programa escrito em C no disponibilizado pelo governo norte-americano. Existem verses para diversas plataformas, como Linux, Solaris e Intel. Este programa tambm localiza e faz uma cpia para posterior anlise de arquivos que possam conter a lista dos Masters da rede DDoS.

51

3.3.3 SECURITY AUDITORS RESEARCH ASSISTANT SARA Este um scanner de vulnerabilidades genrico baseado em Unix que, alm de outras vulnerabilidades, tambm detecta a presena de ferramentas DDoS.

3.3.4 DDOS PING Programa desenvolvido por Robin Keir e posteriormente adquirido pela Foundstone que possui interface grfica, tornando mais acessvel e fcil a sua utilizao. O DDoS Ping detecta Agentes Trin00, Tribe Flood Network e Stacheldraht. O rastreamento feito atravs do envio de datagramas e mensagens UDP e ICMP para uma relao de endereos IP definidos pelo usurio.

Figura 6 DDoSPing

52

3.3.5 RID O RID foi desenvolvido pelo Theory Group com auxlio de David Dittrich, George Weaver e Alice Ohgi. A principal caracterstica deste programa que ele altamente configurvel. Assim, quando novas ferramentas DDoS surgem, ele pode ser atualizado pelo usurio. O RID um gerador e analisador de pacotes. O seu funcionamento ocorre por meio da anlise das respostas recebidas aos pacotes enviados. Os pacotes enviados so definidos no arquivo config.txt. Estas ferramentas de deteco de vulnerabilidades tambm so utilizadas pelos atacantes com o intuito de descobrir se a rede est vulnervel. Por isso muito importante que elas sejam utilizadas com freqncia para que o administrador da rede tenha conhecimento das falhas antes que elas possam ser exploradas. Os scanners de vulnerabilidades DDoS s funcionam se as ferramentas forem instaladas na porta padro. Caso o atacante configure as ferramentas para a utilizao de outras portas, elas no sero detectadas.

53

CONCLUSO

O Distributed Denial of Service se tornou uma grande ameaa a partir do momento em que as ferramentas para sua execuo foram distribudas. Atualmente, devido ao grande nmero de ferramentas disponveis livremente na Internet, um ataque DDoS de grandes propores pode ser realizado sem muitas dificuldades, mesmo por pessoas que no tenham conhecimento tcnico de como est funcionando o ataque. Os ataques aos protocolos podem ser evitados atravs do conserto das vulnerabilidades no prazo mais curto possvel depois de sua descoberta. Por outro lado, os ataques do tipo fora-bruta no podem ser evitados facilmente, principalmente por precisarem ser evitados na sua origem. A ameaa de um ataque DDoS impossvel de ser eliminada, pois se um equipamento estiver conectado Internet h sempre a possibilidade de receber dados em quantidade acima do limite suportado. Atualmente principalmente devido arquitetura distribuda e

supostamente confivel com que a Internet foi desenvolvida no existe a possibilidade de ser garantida a segurana total de qualquer dispositivo conectado a rede. Existem vrias formas de se minimizar a possibilidade de um DDoS, mas nenhuma infalvel. Se o atacante possuir tempo e recursos disponveis, o ataque inevitavelmente ser bemsucedido. Somente a segurana de toda a Internet pode fazer que este tipo de ataque seja bem-sucedido com menor freqncia.

54

Uma soluo alternativa visando a segurana global da rede est no desenvolvimento de sistemas de segurana a serem implementados em pontos-chave com a finalidade de interromper os ataques em suas origens [Mi02]. A partir do monitoramento dos principais roteadores da Internet, qualquer ameaa DDoS teria imediatamente o seu trfego reduzido ou mesmo bloqueado. Aps o ataque, o trfego voltaria a ser liberado aos poucos de maneira a no causar inundao (flooding) em seus destinos. Os recentes ataques aos treze servidores DNS, mostram que, no apenas as empresas, mas toda a infra-estrutura da Internet est vulnervel. Por isso fundamental que o Distributed Denial of Service continue a ser estudado a fim de garantir a segurana da Internet. As medidas de segurana que necessitem de implementao generalizada em toda a rede no representam uma soluo vivel, todavia a implantao de sistemas de segurana em pontos especficos pode significar, enfim, uma soluo definitiva para este problema.

55

REFERNCIAS BIBLIOGRFICAS

[BT00] BARLOW, JASON& THROWER, WOODY. TFN2K - An Analysis. AXENT Security Team, 2000. Disponvel em < http://packetstormsecurity.com/distributed/TFN2k_Analysis-1.3.txt >. Acesso em 16 set 2002. [Bh02] BHARGAVA, BHARAT et al. Detecting Service Violations and DoS Attacks. West Lafayette: Purdue University, 2002. [Ce99] CERT COORDINATION CENTER. Results of the Distributed-Systems Intruder Tools Workshop. Pittsburgh: Carnegie Mellon University, 1999. [Ce02a] CERT COORDINATION CENTER. Managing the Threat of Denial-ofService Attacks. Disponvel em <http://www.cert.org/archive/pdf/Managing_DoS.pdf >. Acesso em 20 set. 2002. [Ce02b] CERT COORDINATION CENTER. Trends in Denial of Service Attack Technology. Disponvel em <http://www.cert.org/archive/pdf/DoS_trends.pdf>. Acesso em 20 set. 2002. [Co01] COLE, ERIC. Hackers Beware. Indianapolis: New Riders Publishing, 2001. [Cr00] CRISCUOLO, PAUL J. Distributed Denial of Service. California: Lawrence Livermore National Laboratory, 2000. [Da02] DATTA, ABHISEK. Deadly DoS Attack. Disponvel em: <http://www.astalavista.com/library/ddos/basics/INTRODUCTION-TODoS.doc>. Acesso em 20 set. 2002.

[Die00] DIETRICK, SVEN, et al. An analysis of the Shaft distributed denial of service tool. Washington: University of Washington, 2000. Disponvel em < http://www.adelphi.edu/~spock/shaft_analysis.txt >; Acesso em 16 set 2002. [Di99a] DITTRICH, DAVID. The Tribe Flood Network distributed denial of service attack tool. Washington: University of Washington, 1999. Disponvel em <http://staff.washington.edu/dittrich/misc/tfn.analysis.txt>; Acesso em 16 set 2002. [Di99b] DITTRICH, DAVID. The DoS Project's trinoo distributed denial of service attack tool. Washington: University of Washington, 1999. Disponvel em <http://staff.washington.edu/dittrich/misc/trinoo.analysis.txt>; Acesso em 16 set 2002. [Di+99] DITTRICH, DAVID, et al. The stacheldraht distributed denial of service attack tool. Washington: University of Washington, 1999. Disponvel em <http://staff.washington.edu/dittrich/misc/stacheldraht.analysis.txt>. Acesso em 16 set 2002. [Di+00] DITTRICH, DAVID, et al. The mstream distributed denial of service attack tool. Washington: University of Washington, 2000. Disponvel em <http://staff.washington.edu/dittrich/misc/mstream.analysis.txt>; Acesso em 16 set 2002. [Fe00] FERGUSON, PAUL. Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing (RFC 2827). Bolton: Amaranth Networks Inc., 2000. [Gl02] GLOBAL INTEGRITY CORPORATION. Distributed Denial of Service Attacks: Defenses. Disponvel em <http://www.bai.org/pdf/DDOSdefense.pdf>. Acesso em 22 set. 2002. [Hu00] HUEGEN A., CRAIG. The Latest in Denial of Service Attacks: Smurfing. Disponvel em <http://www.pentics.net/denial-ofservice/white-papers/smurf.txt>. Acesso em 25 set. 2002. [Hu02] HUNT, CRAIG. TCP/IP Network Administration. 3a ed. Boston: O'Reilly & Associates, 2002. [Kl02] KLEVINSKY, T. J. et al. Hack I.T.: security through penetration testing. Boston: Pearson Education, 2002. [Ma01] MAIA, LUIZ PAULO. Analisando Ataques do Tipo Deny of Service DDoS. Developers Magazine. Rio de Janeiro, n. 54, p. 2627, fev. 2001. [MK02] MCGUIRE, DAVID & KREBS, BRIAN. Attack On Internet Called Largest Ever. Disponvel em < http://www.washingtonpost.com/wpdyn/articles/A828-2002Oct22.html>. Acesso em 27 out. 2002.

57

[Mi02] MIRKOVIC, JELENA. D-WARD: DDoS Network Attack Recognition and Defense PhD Dissertation Prospectus. Los Angeles: University of California, 2002. [Mi+01a] MIRKOVIC, JELENA et al. A Taxonomy of DDoS Attacks and DDoS Defense Mechanisms. Los Angeles: University of California, 2001. [Mi+01b] . A Source Approach to DDoS Defense. Los Angeles: University of California, 2001. [Mi+01c] . Attacking DDos at the Source. Los Angeles: University of California, 2001. [Mo+01] MOORE, DAVID et al. Inferring Internet Denial-of-Service Activity. San Diego: University of California, 2001. [Na98] NAUGLE, MATTHEW G. Ilustrated TCP/IP. New York: Wiley Computer Publishing, 1998. [Ot02] OTHMAN, RAJA AZRINA RAJA. Understanding the Various Types of Denial of Service Attack. Kuala Lumpur: National ICT Security and Emergency Response Centre, 2002. [Pa02] PAXSON, VERN. An analysis of using reflectors for distributed denialof-service attacks. Berkeley: AT&T Center for Internet Research at ICSI, 2002. [Po80] POSTEL, J. User Datagram Protocol (RFC 768). USC/Information Sciences Institute, 1980. [Po81a] . Internet Protocol (RFC 791). USC/Information Sciences Institute, 1981. [Po81b] . Internet Control Message Protocol (RFC 792). USC/Information Sciences Institute, 1981. [Po81c] . Transmission Control Protocol (RFC 793). USC/Information Sciences Institute, 1981. [Sc+01] SCAMBRAY, JOEL et al. Hackers Expostos. 2a ed. So Paulo: Makron Books, 2001. [Se99] SENIE, DANIEL. Changing the Default for Directed Broadcasts in Routers (RFC 2644). Bolton: Amaranth Networks Inc., 1999. [SS01] STEIN, LINCOLN & STEWART, JOHN. Securing against Denial of Service attacks. Disponvel em: <http://www.w3.org/Security/Faq/wwwsf6.html>. Acesso em 16 set. 2002. [SP02] STREBE, MATTHEW & PERKINS, CHARLES. Firewalls. So Paulo: Makron Books, 2002.

58

[Ta02] TANENBAUM, ANDREW. Computer Networks. 3a ed. New Jersey: Prentice Hall, 2002. [To01] TORRES, GABRIEL. Redes de Computadores. Rio de Janeiro: Axcel Books, 2001. [We01a] WERNER, JOS ALBERTO VASI. Apostila de Internet e Arquitetura TCP/IP volume I. 2a ed. Rio de Janeiro: Pontifcia Universidade Catlica - PUC, 2001. [We01b] . Apostila de Internet e Arquitetura TCP/IP volume II. 2a ed. Rio de Janeiro: Pontifcia Universidade Catlica - PUC, 2001.

59