Escolar Documentos
Profissional Documentos
Cultura Documentos
Computadores
Seguranção de Redes de Computadores
Nathalie de Souza Martins1, Roberto Rocha2
1. INTRODUÇÃO
O presente trabalho tem como objetivo analisar um ambiente reconfigurado do
livro Laboratório de IPv6 - conteúdo Oficial NIC.BR pelo professor Euclides Peres Farias
Junior, sendo este ambiente configurado com as redes IPV4 e IPV6. Neste cenário, foi
construído um servidor NGINX para reportar serviços web nas requisições HTTP na porta
80, sendo simulado um ataque DoS/DDoS e coletado informações de comportamento de
rede por ferramentas como iperf, scp, wget, wireshark, iptraf e speedometer. Neste
trabalho também apresenta-se uma solução para evitar ataques desta característica
baseado na tabela de regras da IPTABLES.
2. GERENCIAMENTO DE REDES
2.1 IPTABLES
Para que fosse possível ser feito a análise de rede, foi instalado a ferramenta
IPTABLES, que basicamente é programa escrito em C, que configura regras para o
protocolo de internet IPv4 na tabela de filtragem de pacotes, utilizando os módulos e
framework do kernel Linux.
Na imagem abaixo temos o comando de instalação do IPTABLES, realizado
com sucesso.
Para fim de teste foram testados diversas ferramentas de análise a rede foi a
TCPDUMP, também foi necessário a sua instalação, com a permissão de superusuários,
após a realizar o procedimento de instalação pode-se explorar a ferramenta, como analisar
os pacotes de um determinado dispositivo.
Na figura abaixo temos o comando de instalação da ferramenta TCPDUMP.
2.2 IPERF
A ferramenta Iperf também foi testada neste ambiente, que é um software livre,
do tipo client/server desenvolvido pelo National Laboratory for Applied Network
Research (NLANR). Com ele podemos testar/medir o throughput da rede, e é claro,
também pode usá-lo como ferramenta de apoio para teste de comportamento de rede sua
instalação é feita pelo comando $ sudo apt-get iperf. Na imagem abaixo temos a execução
do comando $ iperf -s, Este comando fará o iperf ser executado como server e ele passará
a aguardar as conexões do client.
2.6 Wireshark
A ferramenta Wireshark para gerência de redes em tempo real. Ela pode
ser instalada tanto no linux como no windows. Se utiliza da interface da rede do
computador para capturar echos de ping do tráfego de todos protocolos usados na rede.
Ou seja, é um analisador de protocolos para identificar problemas na rede, saber fontes
de ataques DoS, encontrar programas mal-intencionados e estudar em como uma rede
funciona.Neste projeto como pode ser observado na figura 12 é analisado todos os pacotes
de protocolos em Ipv4 e ipv6.
5. MECANISMO DE DEFESA
Para criar um mecanismo para a defesa de ataques DDoS, tem uma forma
com aplicativos de terceiros, firewalls, e uma outra forma que é configurando a parte
interna pelo próprio equipamento. Neste trabalho é feito uma configuração com a
ferramenta iptables, por ser uma ferramenta para construção de regras para filtrar tráfegos
na rede, conforme já explicado anteriormente neste trabalho.
Na iptables é criado uma regra para defender do ataque DDoS com o comando
$ iptables -t filter -A INPUT -p tcp -m limit --limit 2/s -j ACCEPT. e $ iptables -t
filter -A INPUT -j DROP. Para explicar tal comando, ele acontece com uma estrutura
composta por três tipos de comandos, são as Tabelas, que é ser usada, e neste comando
é usado o filter. Os Chains, que são opções para fazer as ações do comando, sendo neste
comando usado o INPUT. E as Rules, que seria os comandos para manipular o tráfego
da rede, sendo neste comando o tcp como protocolo, impondo um limite de 2 segundos e
no fim um componente de aceitação. Depois o outro comando para fazer a regra finalizar.
Ou seja, esta regra criada limita o atendimento de requisições de conexões a 2 por
segundo. Desta forma diminuindo o tráfego da rede mais de 50%.
Para visualizar tal regra aplicada, é feito o comando $ iptables -L,
demonstrando a tabela de todas as regras existentes. Como mostra a figura 20.
Na mesma tabela na figura 18 é mostrada outra regra feita como extra para
defender do ping da morte. Tal regra limita em uma vez por segundo a passagem de pings
para a máquina. Sendo feita com o comando $ iptables -A INPUT -p icmp --icmp-type
echo-request -m limit --limit 1/s -j ACCEPT e $ iptables -A INPUT -p icmp --icmp-
type request -j DROP.
Para ter uma visualização mais clara de entender a diferença do antes,
durante e depois do ataque é usado a ferramenta speedometer. Foi usada pelo motivo de
ser simples, gerando bons gráficos em tempo real, e fáceis de ver a diferença de entrada
e saída de uma determinada interface do tráfego de rede. Para visualizar tal diferença,
pode-se observar na figura 21, antes do ataque nem tinha tráfego na rede. Depois de ser
feito o ataque DDoS conforme no item 3 deste trabalho, onde explica o ataque, na figura
28 observa se que durante o evento teve um pico de quase um Mb/s.
Figura 28: análise do tráfego da rede antes do ataque DDoS.
6. RELATOS DE PROBLEMAS
Em primeira instância depara-se com problemas ao instalar as ferramentas, na
máquina virtual do core.br acontece erros nas ferramentas necessárias para o trabalho. O
erro acusa que não pode buscar alguns arquivos, recomenda-se executar o “apt-get
update”, que acontece no arquivo “/etc/apt/source.list”. Neste processo, foi perdido
muito tempo para tentar resolver, e com um modo somente achado que foi resolvido o
erro. Primeiro pediu para instalar o $ updete-manager-core, se não tinha instalado no
sistema. Depois os comandos $ /etc/update-manager-core/realease-upgrades, e $ do-
release-upgrade. Desta forma foi possível o uso de apt-get para a instalação das
ferramentas necessárias para o projeto solicitado.
Uma das dificuldades encontradas durante o trabalho , foi encontrar um
método para realizar o ataque DDoS, ou seja, que o procedimento de atacar o servidor a
partir de vários hosts de uma única vez. Mas com o comando correto, em uma ajuda da
ferramenta Run Tool que o ambiente core possui facilitou o ataque DDoS propriamente
dito.
Para realizar a defesa do ataque DDoS, foram utilizados vários exemplos
básicos retirados da literatura e da internet, por seu um ataque popular em ambiente de
simulações a uma grande cama de informações que facilitaram o desenvolvimento desta
etapa do trabalho. A dificuldade maior seria o pouco conhecimento de nas ferramentas
utilizadas em redes no ambiente linux.
7. FLUXOGRAMA DA SIMULAÇÃO
Na figura 31 foi elaborado um fluxograma de todas as rotinas elaboradas
durante o trabalho desde a sua instalação, testes, mecanismo de defesa e documentação.
8. FERRAMENTAS UTILIZADAS
As ferramentas utilizadas neste trabalho foram o ambiente Core Network
configurado em uma Máquina Virtual, com o ambiente reconfigurado pelo professor, para
analisar a rede antes do ataque foram utilizadas as ferramentas iperf, scp, wget relatando
o tráfego da rede. Para o ataque DDoS, foi utilizado a ferramenta T50. Para análise antes,
durante e após foram utilizadas as seguintes TCPDUMP, WIRESHARK, IPTRAF que
são ferramentas de análise de tráfego de rede e a ferramenta gráfica speedometer que
monitora o gráfico.
Os teste foram realizados em duas máquinas diferentes, sendo elas: Notebook
Portátil da Samsung dá seguintes configurações: Processador Intel(R) Core(TM) i3-
5005U CPU @ 2.00GHz 2.00 GHz, com 12,0 GB de memória RAM e um HD de 1
Terabyte. A segunda máquina que também foram realizados os teste foi Notebook Portátil
:Processador Intel(R) Core(TM) i3-7005U CPU @ 2.00GHz 2.00 GHz, com 8,0 GB de
memória RAM e um HD de 1 Terabyte.
9. CONCLUSÃO
A simulação do ambiente de redes reconfigurado pelo professor, foi testado e
analisado com sucesso, apesar de alguns erros de instalação de algumas ferramentas de
testes, foi possível ver o comportamento da rede antes do ataque, durante e após.
Identificamos perdas de pacotes na rede quando o ambiente está sendo atacado, outro
detalhe importante que foi observado é que o ambiente apresenta sinais que está sendo
atacado porém o serviço continua sendo executado normalmente, desta forma
conseguimos concluir que a quantidade de host que utilizamos poderia não ser suficiente
para derrubar o sistema, testamos outro método também para analisar o comportamento
da rede sobre o ataque do ping da morte, apesar do método ser diferente, o serviço ainda
continua sendo executado como demonstrado nos gráficos das seções anteriores,
apresentando perda de pacotes somente com testes acima de 1000 bytes, a partir deste
momento pode-se observar desfragmentação dos pacotes.
Neste mesmo ambiente também foi desenvolvido uma técnica de defesa para
que estes ataques sejam evitados utilizando uma tabela de regras pela ferramenta iptables
que defende tanto ataque recomendado pelo professor, quanto o ataque do ping da morte,
com uma regra extra de defesa.
REFERENCIAS
Boulic, R. and Renault, O. (1991). 3d hierarchies for animation. In Magnenat-
Thalmann, N. and Thalmann, D., editors, New Trends in Animation and Visualization.
John Wiley & Sons ltd.