Negação de Serviço

DoS / DDoS

21 MAI 2019
Sumário
1. INTRODUÇÃO
2. DOS vs DDOS
3. TIPOS DE ATAQUE:
A. CONSUMO DE LARGURA DE BANDA
B. INANIÇÃO DE RECURSOS
C. FALHAS DE PROGRAMAÇÃO
D. ATAQUES DE ROTEAMENTO E DNS
E. SMURF
F. TCP SYN FLOOD
4. ATAQUE FÍSICO
5. EXEMPLO DE FERRAMENTAS ÚTEIS PARA ATACAR
6. FORMAS DE SE DEFENDER
7. EXEMPLOS DE ATAQUE E CONTRA-ATAQUE
1. INTRODUÇÃO
1. Introdução
● DoS → Denial of Service
● DDoS → Distributed Denial of Service

Objetivo: indisponibilizar recursos de um sistema para seus utilizadores.

Não é invasão ao sistema. Em geral, é mais fácil interromper do que

invadir.
Modos de ação:
- Forçar a reinicialização do sistema alvo
- Consumir todos os recursos do alvo (processamento, memória, etc)
- Obstruir a mídia de comunicação entre o sistema e o utilizador
2. DDOS
2. DDoS
● DoS ou DDoS?

○ DoS → único atacante →

limitações

○ Como potencializar e
alcançar os objetivos?

○ DDoS → múltiplas origens

de ataque → vantagens
para o atacante!
2. DDoS
● DDoS → Distributed Denial of Service

● Atacante → computadores mestres → computadores zumbis

● ‘exército de zumbis’ → requisições simultâneas → esgotamento dos

recursos do servidor → interrupção do serviço
2. DDoS
● Componentes
○ Mestres → não monitorados pelo sistema
○ Zumbis → boa conexão à internet

● Dificultar identificação e interrupção do ataque

○ filtro de IPs permitidos
○ distinguir as requisições → usuários comuns x atacantes?

● Aumentar a eficiência do ataque → facilita consumo dos recursos do

sistema → menor tempo para resposta de defesa
2. DDoS
● Outras aplicações:
○ teste de desempenho: avaliar quantidade de tráfego um
servidor suporta

● Tipos de ataque
○ consumo de banda
○ inanição de recursos
○ falhas de programação
○ roteamento e DNS
○ smurf
○ TCP syn flood
3. TIPOS DE ATAQUE
3. Tipos de ataque
a. Consumo de Largura de Banda

● Esse tipo de ataque visa consumir a largura de banda disponível em

um site, para assim impedir o tráfego de informação nele
● Esse tipo de ataque é visto desde 1996, e já teve grandes sites como
alvo, como por exemplo Ebay, Yahoo, CNN
● Há algumas maneiras de evitar esse tipo de ataque. Limitar o tráfego
de dados (evita ataques com poucos bots) e implementar filtros de
ingresso na rede (ajuda a identificar possíveis IP’s maliciosos que
tentam realizar o ataque) são algumas dessas maneiras.
3. Tipos de ataque
a. Consumo de Largura de Banda
3. Tipos de ataque
b. Inanição de Recursos

● Ao invés de consumir a largura de banda, esse ataque consome

recursos de um sistema
● Tem como alvo a CPU, Memória, inundar sistemas de arquivos, etc.
Requerer várias conexões de um serviço ao mesmo tempo com o
intuito de consumir a memória/CPU do sistema ou enviar muitos dados
de rede para um sistema são exemplos de ataque
● Uma maneira de evitar esse tipo de ataque seria utilizar métodos de
Sistema Operacional para limitar execuções para não consumir toda a
memória.
3. Tipos de ataque
b. Inanição de Recursos
3. Tipos de ataque
c. Falhas de Programação
●Falhas de um programa aplicativo, sistema operacional ou chip com
lógica embutida no manuseio de condições incomuns
●Ocorre quando um usuário manda dados inesperados para o
elemento vulnerável
●O atacante costuma enviar pacotes estranhos com o objetivo de
determinar se a pilha de rede tratará desta exceção ou se ela resultará
em um pânico do núcleo e uma queda completa do sistema
operacional
●Exemplo: referência insegura e direta a objetos
3. Tipos de ataque
c. Falhas de Programação
● Prevenção:
- sistemas sempre atualizados com versões de correções("Patches")
- uso de boas práticas de programação(ex: implementação de testes)
- habilitar apenas os serviços essenciais
- restringir acessos aos serviços
Ex: Firewall
3. Tipos de ataque
d. Ataque de Roteamento
● atacante manipulando entradas de tabela de roteamento para
negar serviço a sistemas de redes legítimos
● maior parte dos protocolos de roteamento possui autenticação
fraca ou inexistente
● atacante altera rotas legítimas, falsificando IP de origem
● vítimas terão tráfego roteado para rede do atacante ou para um
buraco negro
● Prevenção:
- equipamentos de infraestrutura não devem estar na mesma
sub-rede de serviços e clientes
3. Tipos de ataque
d. Ataque de DNS
● Envolvem convencer o servidor da vítima a colocar em cache
informações de endereçamentos falsas
- atacante adivinha ID da consulta DNS(ex: ID = ID + 1)
- atacante envenena o DNS com mapeamento com requisitos não
requisitados(alguns servidores aceitam e colocam em cache)
● Cliente executa consulta -> o atacante pode redirecioná-lo para o
site que desejar ou buraco negro
● Prevenção:
- políticas de anti-spoofing da rede(não permitir tráfego da parte
externa para interna da rede com endereço de origem de um host
interno)
3. Tipos de ataque
e. Smurf
●Baseado em: IP Spoofing (Malware DDoS.Smurf) + Broadcast
●Processo:
i. Malware cria um pacote ICMP Echo Request com IP spoofado
(IP da vítima)
ii. O pacote ICMP é enviado em broadcast para uma rede
intermediária (fator de amplificação)
iii. Cada host da rede envia uma resposta ICMP para o endereço
da vítima, causando um tráfego de rede violento e
possibilitando a negação do serviço
3. Tipos de ataque
e. Smurf

●Prevenção:
i. desabilitar o tráfego broadcast no roteadores
ii. configurar SO para não permitir respostas ICMP a pedidos em
broadcast
iii. configurar firewall para proibir pings vindos de fora da rede
3. Tipos de ataque
e. TCP SYN Flood
●Explora o estabelecimento de conexão TCP (three-way handshake)
●Processo:
i. Atacante envia SYN a diversas portas do servidor alvo,
podendo utilizar um IP falso (IP spoofing)
ii. Cada porta do servidor responde com um SYN-ACK e fica
esperando um ACK de confirmação, que nunca será enviado
iii. As múltiplas conexões semi-abertas ocupam recursos do
servidor, impedindo que conexões legítimas sejam feitas e
causando negação do serviço
3. Tipos de ataque
e. TCP SYN Flood
SYN

SYN-ACK

● Prevenção:
i. Syn cookies (fila de espera e números de sequência)
ii. Firewall (políticas de estabelecimento da conexão)
4. ATAQUE FÍSICO
4. Ataque Físico
a. Conceito
● O principal objetivo de um ataque físico é roubar fisicamente ou
danificar computadores, redes de computadores.
● O ataque também pode ser feito ao sistemas de apoio de uma rede de
computadores como o sistema de controle de temperatura(vital para
data centers; energia elétrica; etc
4. Ataque Físico
b. Formas de Prevenção
● Utilização de câmeras de segurança.
● Acesso ao local dos servidores através do uso de senha; biometria;
etc.
● Backup dos dados em outro local.
● Utilização de supressão de incêndio.
● Gerador de energia.
5. FERRAMENTAS ÚTEIS
5. Ferramentas úteis
a. HOIC - High Orbit Ion Cannon
5. Ferramentas úteis
a. HOIC - High Orbit Ion Cannon
Backup dos dados em outro local.
● Desenvolvido pelo Anonymous
para superar o LOIC
● Vem com add-ons conectados ao
script principal
● Pode atacar até 256 URLs
simultaneamente
● Primeira ferramenta a conseguir
aleatorizar os cabeçalhos HTTP
5. Ferramentas úteis
b. Slowloris
5. Ferramentas úteis
b. Slowloris

● Tenta manter diversas conexões

abertas com um servidor e
mantê-las abertas o mais tempo
possível, por meio de
requisições HTTP incompletas
● Baixo uso de banda de rede
● Dificuldade de detecção
EXEMPLOS DE ATAQUES E
CONTRA-ATAQUES
Exemplos de contra-ataque reais: 19 fev 2008

● Foram furtados 4 noteboos e 2 HDS

● HDs continham informações sobre campo de petróleo e gás
na bacia de santos
● Furto ocorreu após anúncio da empresa de campos na região
Exemplos de contra-ataque reais: 06 mai 2019
Exemplos de ataques reais: 28 fev 2018

1,35 Tb/s de dados.

DDoS sem uso de botnets
(memcache)
Exemplos de ataques reais: 21 out 2016

● Dyn → Provedor de DNS

● Dezenas de milhões de requisições simultâneas de endereços
IP diferentes
● Malware ‘Mirai’/Botnets 1,2 Tb/s
● Serviços afetados:
○ Airbnb ○ Netflix ○ Reddit
○ Amazon.com ○ PayPal ○ Tumblr
○ CNN ○ Quora ○ Twitter
○ HBO ○ Spotify ○ Visa
Exemplos de ataques reais: sistema financeiro
CONCLUSÃO