1 - Distributed Denial of Service (Ddos)
1.1 Anatomia do ataque
Os ataques DoS são bastante conhecidos no âmbito da comunidade de segurança de redes. Estes
ataques, através do envio indiscriminado de requisições a um computador alvo, visam causar a
indisponibilidade dos serviços oferecidos por ele. Fazendo uma analogia simples, é o que ocorre com as
companhias de telefone nas noites de natal e ano novo, quando milhares de pessoas decidem,
simultaneamente, cumprimentar à meia-noite parentes e amigos no Brasil e no exterior. Nos cinco minutos
posteriores à virada do ano, muito provavelmente, você simplesmente não conseguirá completar a sua ligação,
pois as linhas telefônicas estarão saturadas.
Ao longo dos últimos anos, uma categoria de ataques de rede tem-se tornado bastante conhecida: a
intrusão distribuída. Neste novo enfoque, os ataques não são baseados no uso de um único computador para
iniciar um ataque, no lugar são utilizados centenas ou até milhares de computadores desprotegidos e ligados
na Internet para lançar coordenadamente o ataque. A tecnologia distribuída não é completamente nova, no
entanto, vem amadurecendo e se sofisticando de tal forma que até mesmo vândalos curiosos e sem muito
conhecimento técnico podem causar danos sérios.
Seguindo na mesma linha de raciocínio, os ataques Distributed Denial of Service, nada mais são do que
o resultado de se conjugar os dois conceitos: negação de serviço e intrusão distribuída. Os ataques DDoS
podem ser definidos como ataques DoS diferentes partindo de várias origens, disparados simultânea e
coordenadamente sobre um ou mais alvos. De uma maneira simples, ataques DoS em larga escala!
1.2 Como é feito
O ataque DDoS é dado, basicamente, em três fases: uma fase de "intrusão em massa",na qual
ferramentas automáticas são usadas para comprometer máquinas e obter acesso privilegiado (acesso de root).
Outra, onde o atacante instala software DDoS nas máquinas invadidas com o intuito de montar a rede de
ataque. E, por último, a fase onde é lançado algum tipo de flood de pacotes contra uma ou mais vítimas,
consolidando efetivamente o ataque.
Fase 1: Intrusão em massa. Esta primeira fase consiste basicamente nos seguintes passos:
É realizado um “megascan” de portas e vulnerabilidades em redes consideradas "interessantes", como
por exemplo, redes com conexões de banda-larga ou com baixo grau de monitoramento. O seguinte passo é
explorar as vulnerabilidades reportadas, com o objetivo de obter acesso privilegiado nessas máquinas. Entre
as vítimas preferenciais estão máquinas Solaris e Linux, devido à existência de sniffers e rootkits para esses
sistemas. Entre as vulnerabilidades comumente exploradas podemos citar: wu-ftpd, serviços RPC como
"cmsd", "statd", "ttdbserverd", "amd", etc.
É criada uma lista com os IPs das máquinas que foram invadidas e que serão utilizadas para a montagem da
rede de ataque.
Fase 2: Instalação de software DDoS
Esta fase compreende os seguintes passos:
Uma conta de usuário qualquer é utilizada como repositório para as versões compiladas de todas as
ferramentas de ataque DDoS.
Uma vez que a máquina é invadida, os binários das ferramentas de DDoS são instalados nestas máquinas para
permitir que elas sejam controladas remotamente. São estas máquinas comprometidas que desempenharão os
papeis de masters ouagentes. A escolha de qual máquina será usada como master e qual como agente
dependerá do critério do atacante. A princípio, o perfil dos master é o de máquinas que não são manuseadas
constantemente pelos administradores e muito menos são frequentemente monitoradas. Já o perfil dos agentes
é o de máquinas conectadas à Internet por links relativamente rápidos, muito utilizados em universidades e
provedores de acesso.
Uma vez instalado e executado o daemon DDoS que roda nos agentes, eles anunciam sua presença aos
masters e ficam à espera de comandos (status "ativo").O programa DDoS cliente, que roda nos masters,
registra em uma lista IP das máquinas agentes ativas. Esta lista pode ser acessada pelo atacante.
A partir da comunicação automatizada entre os masters e agentes organizam-se os ataques.
Opcionalmente, visando ocultar o comprometimento da máquina e a presença dos programas de ataque, são
instalados rootkits. Vale a pena salientar que as fases 1 e 2 são realizadas quase que uma imediatamente após
a outra e de maneira altamente automatizada. Assim, são relevantes as informações que apontam que os
atacantes podem comprometer uma máquina e instalar nela as ferramentas de ataque DDoS em poucos
segundos.
Tudo pronto para o ataque!!
Fase 3: Disparando o ataque
O atacante controla uma ou mais máquinas master, as quais, por sua vez, podem controlar um grande número
de máquinas agentes. É a partir destes agentes que é disparado o flood de pacotes que consolida o ataque. Os
agentes ficam aguardando instruções dos masters para atacar um ou mais endereços IP (vítimas), por um
período específico de tempo.
Assim que o atacante ordena o ataque, uma ou mais máquinas vítimas são bombardeadas por um enorme
volume de pacotes, resultando não apenas na saturação do link de rede, mas principalmente na paralização
dos seus serviços.
1.3 Como se prevenir
Até o momento não existe uma "solução mágica" para evitar os ataques DDoS, o que sim é possível é aplicar
certas estratégias para mitigar o ataque, este é o objetivo desta seção.
Dentre as estratégias recomendadas pode-se considerar as seguintes:
Incrementar a segurança do host
Sendo que a característica principal deste ataque é a formação de uma rede de máquinas comprometidas
atuando como masters e agentes, recomenda-se fortemente aumentar o nível de segurança de suas máquinas,
isto dificulta a formação da rede do ataque.
Instalar patches
Sistemas usados por intrusos para executar ataques DDoS são comumente comprometidos via
vulnerabilidades conhecidas. Assim, recomenda-se manter seus sistemas atualizados aplicando os patches
quando necessário.
Aplicar filtros "anti-spoofing"
Durante os ataques DDoS, os intrusos tentam esconder seus endereços IP verdadeiros usando o mecanismo de
spoofing, que basicamente consiste em forjar o endereço origem, o que dificulta a identificação da origem do
ataque. Assim, se faz necessário que :
Os provedores de acesso implementem filtros anti-spoofing na entrada dos roteadores, de modo que ele
garanta que as redes dos seus clientes não coloquem pacotes forjados na Internet.
Limitar banda por tipo de tráfego
Alguns roteadores permitem limitar a banda consumida por tipo de tráfego na rede. Nos roteadores Cisco, por
exemplo, isto é possível usando CAR (Commited Access Rate). No caso específico de um ataque DDoS que
lança um flood de pacotes ICMP ou TCP SYN, por exemplo, você pode configurar o sistema para limitar a
banda que poderá ser consumida por esse tipo de pacotes. Previna que sua rede seja usada como
"amplificadora".
Estabelecer um plano de contingência
Planejamento prévio dos procedimentos de resposta. Um prévio planejamento e coordenação são críticos para
garantir uma resposta adequada no momento que o ataque está acontecendo: tempo é crucial! Este
planejamento deverá incluir necessariamente procedimentos de reação conjunta com o seu provedor de
backbone.
1.4 Softwares
Não é o propósito abordar todas as ferramentas de DDoS disponíveis,mas apenas para conhecer as principais,
que são:
Trin00 - O Trin00 é uma ferramenta distribuída usada para lançar ataques DoScoordenados, especificamente,
ataques do tipo UDP flood.
TFN - O TFN é uma ferramenta distribuída usada para lançar ataques DoS coordenados a uma ou mais
máquinas vítimas, a partir de várias máquinas comprometidas. Além de serem capazes de gerar ataques do
tipo UDP flood como o Trin00, uma rede TFN pode gerar ataques do tipoSYN flood, ICMP flood e
Smurf/Fraggle.
Uma variedade de ferramentas foram desenvolvidas para detectar ferramentas de ataque DDoS que,
eventualmente, possam ter sido instaladas no seu sistema, dentre elas:
O NIPC (National Infraestructure Protection Center) disponibilizou uma ferramenta de auditoria local
chamada "find_ddos" que procura no filesystem os binários do cliente e daemon das ferramentas de Trin00,
TFN, Stacheldraht e TFN2K. Atualmente estão disponíveis os binários do find_ddos para Linux e Solaris em:
http://www.fbi.gov/nipc/trinoo.htm .
Dave Dittrich, Marcus Ranum e outros desenvolveram um script de auditoria remota,
chamado "gag" que pode ser usado para detectar agentes Stacheldraht rodando na sua rede
local.
2 - Spoofing
2.1 Anatomia do ataque
É a técnica de se fazer passar por outro computador da rede para conseguir acesso a um sistema. Esta
técnica não é um ataque e sim parte de um, visando dificultar o rastreamento do agressor. Para executá-lo, o
invasor usa um programa que altera o cabeçalho dos pacotes IP de modo que pareçam estar vindo de outra
máquina (vítima). Por exemplo, dizendo ao sistema que ele vai atacar, que ele é confiável. Isto ocorre porque
as comunicações entre computadores em uma rede (Internet) se baseiam nestes endereços "confiáveis" para
trocarem informações. Uma máquina A pode manter uma comunicação com a máquina B de forma que não
seja necessário verificar a toda hora se a informação vinda é autêntica entre elas. O hacker, então, põe uma
espécie de disfarce na sua máquina, dizendo para a máquina A que "ele" é a máquina B. Assim, a máquina A
vai aceitar todos os seus comandos. Então, o intruso pode fazer o que quiser nela. Os tipos mais comuns de
spoofing são: IP-spoofing, DNS-spoofing, Web-spoofing, mail-spoofing, entre outros.
Em uma conexão entre dois computadores existem três etapas que agem como se fosse um diálogo. A
primeira ocorre quando o cliente diz ao servidor que quer fazer uma conexão; depois, na segunda etapa, o
servidor pergunta qual é a máquina que quer se conectar; e, na última etapa, o cliente responde com o seu
endereço IP. É neste momento que ocorre o ataque.
2.2 Como é feito
Imagine uma rede local com três estações, A,B e C. Neste caso, a máquina que será invadida será a
máquina A e o invasor será a máquina C. O ataque ocorre com base na máquina B, já que o endereço IP dela
será roubado para fazer a invasão. Na prática, o invasor da máquina C simplesmente tira a máquina B do ar,
usando uma técnica de ataque, que pode ser um DOS, e depois engana a máquina A, dizendo que é a máquina
B. Isso é possível porque, na grande maioria dos serviços, não é necessária uma senha no momento em que é
realizada a conexão.
2.3 Como se prevenir
Uma forma de detectar o IP spoofing é monitorando pacotes com algum software de monitoração de
redes, tal como o netlog, por exemplo. O objetivo é verificar um pacote na interface externa da rede que tenha
direções IP de origem e destino pertencentes ao domínio local.
Com a atual tecnologia de protocolo IP, é impossível eliminar pacotes IP-spoofed. Sistemas provedores
de serviços Internet baseados em TCP podem ver-se inabilitados de administrar tais serviços quando estão
sobre um ataque e por algum tempo depois de que o mesmo já tenha cessado. Para evitar um ataque desse
tipo, várias medidas podem ser tomadas para reduzir o número de pacotes IP-spoofed que entram na rede.
A melhor forma de prevenir o problema de IP spoofing é reduzir a probabilidade de que um site seja
objetivo de algum destes ataques, instalando um roteador que filtre a entrada da interface externa da rede
(conhecido como um filtro de entrada), não permitindo que um pacote o atravesse, se o mesmo tem como
direção de origem um que não corresponda ao da rede interna. Isto preveniria que um agressor não
pertencente à sua rede lhe envie pacotes pretendendo ser uma máquina de sua rede. Esta à uma boa solução,
se nós unicamente confiarmos em máquinas locais. Se cofiarmos em máquinas externas, esta solução
topológica falha.
Neste caso, deve-se bloquear todos os protocolos que usem TCP e autenticações baseadas em direções.
Ainda que este ataque específico esteja dirigido a sistemas Unix, qualquer sistema que autentica hosts ou
usuários baseados em endereços IP é vulnerável a um ataque de spoofing.
2.4 Prejuízos
Os ataques de spoofing podem trazer inúmeros prejuízos para a empresa, dependendo muito do
atacante que estará realizando o ataque. Este ataque poderá ser ativo ou passivo. Sendo passivo, os prejuízos
incluem o roubo de informações, fraude financeira e ataques DoS. Sendo este ataque ativo, podemos os
problemas atingem invasão de sistemas e sabotagem de dados e redes, além dos prejuízos já citados no ataque
passivo.
2.5 Softwares que implementam o Ataque
1) Mendax para Linux
Mendax é uma ferramenta de uso fácil para prever o número sequêncial TCP e para rshd spoofing.
2) spoofit.h
spoofit.h é uma biblioteca muito bem comentada para inclusão de funcionalidades IP spoofing dentro de seus
programas.
3) ipspoof
ipspoof é um utilitário para TCP e IP spoofing.
4) hunt
hunt é um sniffer que também oferece muitas funções de spoofing.
5) dsniff
dsniff é uma coleção de ferramentas para auditar redes e para testes de penetração. dsniff, filesnarf, mailsnarf,
msgsnarf, urlsnarf, e webspy vigiam passivamente uma rede para conseguir dados interessantes (palavras-
chave, e-mail, ficheiros, etc.). arpspoof, dnsspoof, e macof auxiliam na interceptação de tráfego de rede.
3 – Spamming
3.1 Anatomia do Ataque
Spams são mensagens indesejadas que chegam a você sem sua autorização. Acontecem em e-mails
principalmente, mas é possível se ver spams em IRC e ICQ.
3.2 Como é feito
Existem sites que vendem grandes listas contendo vários endereços eletrônicos para que você possa
enviar spams.
A forma como estas mensagens são entregues é uma forte indicação do caráter criminoso das pessoas
que se empenham nesta forma de marketing ilegal. Como muitas pessoas são veementemente contra esta
prática, os spammers normalmente enviam suas mensagens a partir de outros computadores que não têm nada
a ver com o esquema. Isto é feito para encobrir as pistas e impedir que os protestos retornem ao computador a
partir do qual todas as mensagens realmente se originaram. Até bem pouco tempo a configuração normal da
maior parte dos servidores de correio eletrônico da Internet permitiam a entrega de mensagens oriundas de
outros computadores, o que no jargão técnico se denomina relaying. Explicando melhor, o computador A
envia para o computador B uma mensagem destinada a 100.000 pessoas. O computador B está configurado
para aceitar este tipo de solicitação e realiza a entrega das mensagens. Em breve os administradores do
computador B estão recebendo mensagens iradas de diversas partes do mundo, sem nem mesmo saber a
razão. E os usuários do computador B também irão reclamar, pois ele se tornará extremamente lento (e não
sem razão, não?).
3.2 Como se prevenir
Para que você não seja descoberto, o melhor que tem a fazer é não divulgar seu e-mail. Se for um e-
mail pessoal, diga aos seus amigos. Pronto! Um erro é colocar o e-mail correto no ICQ ou no IRC. Tudo bem,
alguém te descobriu! Se for poucos os "remetentes" que começaram a te enviar spams? Vê se primeiro você
escolheu um bom servidor de e-mail, que possa te dar a opção de bloquear endereços indesejáveis. Tendo
isso, configure o servidor colocando o endereço indesejado! Foi descoberto por muitos? O melhor é primeiro
descobrir a fonte destes spams. Se foi algo no qual você se cadastrou, tente se descadastrar. Não dando certo,
tente o bloqueio. Se nada funciona, o melhor é trocar de e-mail e principalmente de servidor!
Para se proteger de spams no ICQ é quase impossível. Simplificando: não há segurança no ICQ! Se
você souber tudo sobre proteção no ICQ, é bem provável que o spammer também saiba, além de saber
também como burlar estas proteções. No IRC é mais fácil, pois alguns scripts já vem com proteção contra
spams. Um exemplo é o Flush Script.
3.3 Prejuízos
Além deste desgaste institucional, de se ter empresas sérias associadas a tais práticas condenáveis,
temos que considerar também o tempo gasto pelos computadores para entregar todas as mensagens e também
o congestionamento do canal de comunicação que conecta a empresa à Internet. Não nos esqueçamos também
dos analistas de sistemas que têm que tentar apagar estas mensagens, explicar tudo, etc, etc. Como se pode
ver, os prejuízos são imensos. Hoje em dia é cada vez mais raro encontrar-se computadores na Internet que
concordem em entregar mensagens desta forma, mas os spammers continuam na busca. Assim que descobrem
um computador mais permissivo, ele é imediatamente inundado com centenas de milhares de mensagens para
entregar.
3.4 Softwares
A maioria dos programas de email (Eudora, Netscape Messenger, Microsoft Exchange e outros)
oferecem facilidades de filtragem de mensagens. A filtragem serve para direcionar mensagens para arquivos
diferentes da caixa de entrada, para leitura posterior ou, como no caso das mensagens de spamming, para
apagá-las imediatamente. Mensagens cujo título contenha as palavras money, o carácter $, e outras (você
mesmo vai montando o seu dicionário particular com o tempo), geralmente se enquadram nesta categoria.
Crie o seu filtro e pronto, você nem mesmo verá tais mensagens. Adicionalmente você pode tomar medidas
para proteger seu endereço eletrônico. Ao se cadastrar em alguma lista eletrônica, certifique-se que a lista de
assinantes não está disponível para qualquer um. Se enviar mensagens para grupos de discussão (Usenet
News), utilize um endereço eletrônico diferente do que você usa para conduzir as suas atividades diárias.
Existem várias empresas que oferecem endereços eletrônicos gratuitamente (Altavista, Excite, HotBot, Excite,
Infoseek e muitos outros).
4 - SYN- Flood
4.1 Anatomia do ataque
Está técnica se baseia em mandar para a máquina alvo uma grande quantidade de pacotes de abertura de
conexão para deixá-la lenta ou inoperável. A seguir será explicado que tipo de ataque é esse.
4.2 Como é feito
O SYN flood se baseia no protocolo TCP. Quando queremos iniciar uma conexão TCP com um servidor
acontecem obrigatoriamente três passos. Primeiro o cliente requisita para o servidor uma abertura de conexão
(SYN), depois o servidor, se aceitar a conexão, responde com um (SYN+ACK) que indica que ele aceitou a
abertura de conexão então encaminha para o cliente o pedido de abertura de conexão para o cliente, pois a
transmissão acontece nos dois sentidos. Então o cliente responde com um ACK para indicar que aceitou a
conexão então os dois começam a comunicação.
Toda vez que um servidor recebe um pedido de abertura de conexão ele armazena vários recursos para
tratar essa conexão e é nisso que o SYN flood se apóia, ou seja, ele faz com que a máquina alvo fique
sobrecarregada.
O SYN flood é um ataque ativo e o que ele faz é requisitar várias aberturas de conexão a máquina alvo
para que ela fique sobrecarregada. SIN flood podem ser disparados em qualquer máquina que esteja
“escutando” em alguma porta um serviço TCP, como http, FTP, telnet, e muitos outros. Quem está realizando
o ataque começa a mandar pacotes de abertura de conexão com o servidor (SYN) e o servidor armazena
recursos para essa conexão e manda o SYN+ACK confirmando a conexão. Mas agora, ao invés de responder
com o ACK aceitando a conexão, o atacante apenas se mantém calado, não respondendo ao pedido.
4.3 Prejuizos
O servidor fica esperando, com os recursos alocados, até que a conexão seja respondida ou até que ocorra
o timeout. Como o timeout pode ser alto (1 minuto), o atacante fica mandando várias requisições e aloca
muito espaço no servidor que fica sobrecarregado. Isso impossibilita a abertura de novas conexões por parte
de outros clientes que desejam utilizar o serviço. Com essa sobrecarga na máquina, se ela não for tolerante a
esses ataques, ela poderá entrar em crash.
Essa abertura de conexão é chamada de half-open pois nunca é respondida pelo atacante. Essa técnica é um
tipo de DoS (Deny of Service) e pode ser misturada com a técnica de spoofing para que o atacante não seja
identificado.
4.4 Como se prevenir
Para se defender de um SYNflood é complicado, pois se ele for utilizado de modo distribuído não
podemos bloqueá-lo pois outros podem querer utilizar o serviço e com isso estaríamos colaborando com o
DoS. Existem ferramentas de detecção de intrusão (IDSs) que ajudam com esse tipo de problema, mas não os
resolvem. Por exemplo, o Internet Explorer abre uma conexão TCP (SYN) toda a vez que deseja baixar um
gif, jpeg, html, isto é, podemos ter várias aberturas de conexão de um mesmo IP sem que isto seja considerado
um ataque. Uma boa providência por lado do Servidores de Conexão é que eles utilizem filtros de pacotes de
maneira que as máquinas de dentro de sua rede não possam fazer spoofing de máquinas externas, pois o filtro
não deixaria pacotes com endereço de origem diferente da sub-rede sair para fora dela. E também não deixaria
pacotes com endereço origem iguais aos da rede interna entrar nela. Isso não impediria um spoof interno, mas
com isso já se teria um rastro melhor para se saber de onde partem os ataques.
Para tentar identificar quando um servidor está sendo atacado seria possível verificando um número “bem
grande” de aberturas de conexões por um único IP, mas esse tipo de alarme precisa ser bem configurado (por
exemplo, IDS) para que não fique dando muitos alarmes falsos. A detecção deste tipo de ataque é complicada,
pois, muitas vezes, quando for detectado o servidor já pode estar sobrecarregado.
Outro jeito de se defender é fazer uma limitação na banda por tipo de tráfego, implementada por alguns
roteadores. Isto faz com que se possa limitar, por exemplo, tráfegos do tipo SYN, não permitindo que passe
um número excessivo de abertura de conexão, então o servido já estará mais protegido. Mas é necessário
observar bem que limites se quer impor, pois podemos estar prejudicando os serviços.
4.5 Softwares
Uma das ferramentas que implementa esse tipo de ataque é o TFN (Tribe Flood Network). Com esta
ferramenta podemos realizar vários outros tipos de ataque, e ainda podemos fazê-lo de forma distribuída.
5 - Smurfing
Smurfing é uma técnica de ataque ativa que se utiliza do protocolo ICMP, utilizando o ICMP Echo
Request (Ex. Ping) para disparar uma grande quantidade de resposta em uma máquina alvo.
5.1 Anatomia do ataque
Quando transmitimos um ICMP Echo Request para uma máquina ela nos responde com um ICMP Echo
Reply e é com isso que o smurfing é feito. Primeiramente o atacante descobre o IP da máquina alvo e então
utiliza a técnica de spoofing juntamente com o smurfing para o ataque. O ataque consiste em mandar uma
grande quantidade de Requests para várias máquinas fazendo um spoof, isto é, mandando no cabeçalho da
mensagem (endereço origem) a máquina que será atacada. Quando as máquinas recebem esse Request elas
prontamente respondem para a origem, isto é, o endereço que foi spoofed inundando a máquina alvo de
respostas.
Como o atacante quer ganhar vantagem usando essa técnica ele, pois se mandasse pacotes com o Request
para um único endereço fixo (isto é, um endereço IP de máquina existente) o atacante gastaria a mesma banda
que o atacado, somente levando vantagem se por acaso a sua banda fosse maior. O que se faz então é mandar
um Request para dentro de uma rede grande rede sendo o destino o um endereço broadcast, ou seja,
terminando com todos os bits em um (os bits necessários terminados em 1 são aqueles que aparecem depois
da máscara de sub-rede. Ex Máscara: 255.255.255.0 IP:10.0.5.255, perceba como a terminação 255 seta todos
os bits finais para 1). Com isso todas as máquinas responderão diretamente para a máquina alvo. Quanto
maior for a rede interna em que se dispara o broadcast maior será o envio de respostas, tornando assim o
ataque mais efetivo.
Para disparar Requests que sejam broadcast é necessário estar dentro da rede interna pois roteadores
filtram endereços broadcast. Essa técnica é utilizada para se fazer um DoS na máquina alvo e combina outras
técnicas para ser mais efetiva como o spoofing (forjamento de IP) e técnicas de Ddos, invadindo máquinas
dentro de redes para fazê-las disparar os pacotes dentro da própria rede.
5.2 Prejuízos
Como o ataque consiste em apenas enviar Replays de ICMP o grande prejuízo causado será o altíssimo
consumo de banda da máquina sendo atacada e também das redes que estão disparando o ataque. Com isso a
máquina atacada ficará extremamente lenta e muitas vezes inutilizável. Se o sistema não for tolerante a esse
tipo de ataque a máquina poderá travar. Esse ataque não serve para invadir ou roubar informações, mas
apenas para consumir com a capacidade de uma máquina.
5.3 Prevenção
Uma prevenção é o filtro de pacotes, explicado com mais detalhes na parte de SYN flood. Com ele
podemos evitar a maior parte dos spoofing realizados de maneira a diminuir a força do ataque. Outra forma é
fazer com que máquinas não respondam a Requests broadcast, baixando bastante a quantidade de banda
utilizada por vez. É sempre necessário manter todas as estações de trabalho atualizadas dentro de uma rede
para que a tenhamos menos chances de invasão para as tentativas de DDos.
5.4 Softwares
Uma das ferramentas que implementam esse ataque é o TNF, já citado anteriormente. Este pode combinar
este ataque com os outros, gerando efeitos maiores.
6 – Sniffing
6.1 Anatomia do ataque
O Sniffing nada mais é do que a captura de todos os pacotes que passam pela interface de rede, de
acordo com os filtros configurados por quem está rodando o Sniffer. Saber se você está sendo "farejado" é
algo muito difícil, porque a maioria das técnicas não deixa rastros visíveis, o que dificulta muito o controle de
informações confidenciais.
6.2 Como é feito e os prejuízos causados
O "farejamento" de informações é uma técnica muito usada para capturar informações de determinadas
comunicações. Ao longo da progressão da informática, foram inventadas novas técnicas, de acordo com
novos equipamentos/protocolos, etc.
O Sniffing de uma determinada rede normalmente ocorre quando esta é invadida ou quando seu
administrador decide coletar determinadas ações nela, ou ainda quando algum usuário mal intencionado quer
coletar dados de outros usuários. Qualquer usuário de sua rede pode saber o que você faz na Internet,
independentemente de ela usar HUB ou Switch. Um Sniffer pode ser isntalado como um processo em
background ou instalado em outra máquina da rede ou em alguma máquina que fique entre rota dos dois alvos
que serão "Sniffados".
Por exemplo:
Você faz uma compra com cartão de crédito na Internet. Sua máquina está ok, sem cavalos de tróia,
sem portas abertas, sem serviços vulneráveis, praticamente segura. O site onde você compra tem um
certificado válido, usa conexões seguras, nunca foi invadido e não está vulnerável a invasões. Acontece que
no meio da rota entre o seu computador e o site, em um dos roteadores do caminho, existe um Sniffer que
captura todos os pacotes. Pronto, você teve seus dados roubados.
Outro caso:
Você está numa LAN (Local Area Network) e o seu computador também está ok. A rota a partir do
servidor de comunicação da sua empresa está perfeita. O site, indiscutivelmente seguro. Então, onde está o
vazamento? No servidor da sua empresa. Servidores "esquecidos" são uma falha GRAVE de segurança. Se o
administrador da sua rede deixou o servidor configurado com alguns daemons (serviços) com falhas de
segurança, é bem simples de alguém invadir o servidor e instalar um Sniffer nele. Esse seria um Sniffer
passivo. Sniffer passivo é aquele em que todos os pacotes que passam pela interface de rede ou interfaces num
equipamento são "escutados" pelo farejador. Técnicamente, chamamos de Passive Sniffing.
Sniffer ativo é aquele que envia pacotes à rede-alvo, passando-se por algum host que se comunica com
esta rede, passando-se por outro computador e assim recebendo todos os pacotes destinados a este. Para isso,
são usadas técnicas como Spoofing e ARP Poisoning.
Um exemplo clássico de Sniffing Passivo é aquele que é rodado a partir de uma estação numa LAN
usando HUB. O HUB é um alvo muito fácil de ser farejado, pois o método de transmissão dos pacotes é
totalmente inconfiável.
Se você utilizar um Sniffer que coloque a placa de rede em modo prosmícuo, ele estará hábil a
interceptar todos os pacotes a serem transmitidos pelo HUB. A única coisa que ele faz é capturar o pacote que
está sendo enviado a outra placa de rede, mesmo não tendo o endereço MAC dela.
Switch é ralmente seguro? NÃO. Um Switch diferencia-se de um HUB, pois o mesmo estabelece uma
rota exclusiva aos dois pontos de rede, usando buffering para envio das informações, sendo assim,
teoricamente mais seguro. Só que existe uma técnica que se chama ARP Poisoning, pela qual é possível
escutar todos os pacotes que passam por um Switch. Esta técnica consiste em estabelecer uma conexão entre
os dois hosts que querem se comunicar, passando todos os pacotes pela máquina que está fazendo o Sniffing.
Exemplo:
CPD está rodando Passive Sniffing, usando ARP Poisoning. Neste caso, CPD fará uma lista de
máquinas na LAN, enviando pacotes ARP e escutando as respostas. Por que ARP para listar máquinas na
LAN, e não, um simples ICMP ECHO REQUEST (ICM code8)? Simples. Windowns não responde a ICMP
Brodcast ping. Então, uma vez sabendo as máquinas na LAN, deveremos especificar quais máquinas
queremos escutar. Digamos que selecionamos CONTABILIDADE e FINANCEIRO. O Sniffer lerá o cache
ARP de CONTABILIDADE e FINANCEIRO. Como isso é possível? O protocolo ARP é fraco em questões
de segurança. Para reduzir o tráfego na rede, a cada conexão ou transmissão de pacotes, uma entrada na tabela
ARP é feita, mesmo não sendo solicitada. O Sniffer se aproveita dessa vantagem e manda entradas na tabels
ARP, forçando os pacotes a serem direcionados primeiro para a máquina que está realizando o farejamento
para, então, serem direcionados ao seu destino.