Negação de serviço: Implementação, defesas e repercussões

Este artigo descreve um estudo sobre negação de serviço e negação de serviço distribuída, no qual são apresentados os aspectos relacionados ao ataque de negação de serviço e seus conceitos, defesas, implementação, seus tipos, funcionamento e suas repercussões.

[ Hits: 55.004 ]

Por: toniclay andrade nogueira em 10/01/2005


A criação de uma rede DDoS



Antes de efetuar um ataque DDoS, uma rede deve ser montada. Computadores devem ser identificados como possíveis vítimas a fim de ganhar acesso administrativo ao maior número de sistemas possíveis, estes computadores devem pertencer a diversas redes ou endereços IP. A utilização de uma grande quantidade de endereços IP dificulta a identificação e o bloqueio do ataque.

Implementações de Negação de Serviço


Trin00


O Trin00 utiliza os protocolos TCP e UDP para se comunicar com o servidor, o que torna necessária a utilização de portas e faz com que a troca de mensagens seja mais facilmente percebida. Os agentes Trin00 podem ser instalados em sistemas Linux e Solaris.

A utilização do Trin00 pode ser detectada pela observação de tráfego UDP tipo 17, que é utilizado para a comunicação entre os mestres e os agentes. Os mestres mantém uma lista dos agentes que poderão ser contactados.

As portas utilizadas pelo Trin00 podem ser usadas para a detecção e mesmo para o bloqueio, impedindo que os computadores da rede sejam utilizados para os ataques.

Uma vez executado o agente Trin00, ele anuncia a sua disponibilidade pelo envio de um pacote UDP contendo a string "*HELLO*" para o endereço IP de seu respectivo mestre. O mestre responde com outro pacote UDP, desta vez com a string "PONG".

Tribe Flood Network


Esta foi a primeira ferramenta de ataque DDoS disponível publicamente. O TFN foi escrito por Mixter. Os ataques efetuados pelo TFN são:
  • UDP Flooding;
  • TCP SYN Flooding;
  • ICMP Flooding;
  • e Smurf.

O controle dos mestres é feito por linha de comando, e a execução do programa deve ser acompanhada dos parâmetros desejados com a sintaxe:

tfn <iplist> <type> [ip] [port]

onde:
  • <iplist> é a lista dos agentes que podem ser utilizados;
  • <type> é o tipo de ataque desejado;
  • [ip] é o endereço da vítima;
  • e [port] é a porta desejada para ataques TCP SYN flooding, que pode ser definida como um número aleatório (parâmetro 0).

O TFN é bastante "discreto". A comunicação entre os mestres e os agentes é feita por mensagens ICMP tipo 0, o que torna difícil o monitoramento dessas comunicações, pois muitas ferramentas de monitoramento não analisam o campo de dados de mensagens ICMP.

Página anterior     Próxima página

Páginas do artigo
   1. Prólogo
   2. Introdução
   3. Conceitos sobre negação de serviço
   4. Funcionamento de um ataque DDoS
   5. A criação de uma rede DDoS
   6. Como defender-se da negação de serviço
   7. Ferramentas de detecção de negação de serviço
   8. Repercussões/Conclusão
   9. Referências bibliográficas
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada

SSHFS no CentOS, Slackware e Windows - Simples e rápido

Clone de HDs e backup de MBR

Trabalhando com init no Debian

Verificando e marcando badblocks

Aprendendo NFS - Network File System

  
Comentários
[1] Comentário enviado por lacierdias em 11/01/2005 - 06:28h

Mandou bem no artigo

[2] Comentário enviado por removido em 11/01/2005 - 07:08h

Nunca vi um texto tão bagunçado, mas o conteúdo em si é de grande utilizade! Parabéns!!!

[3] Comentário enviado por y2h4ck em 11/01/2005 - 10:27h

O artigo ficou legal levando em consideração que tri00 e TFN são mais antigos que o judas, e que hj em dia existem técnicas de DDoS muito complexas e avançadas como por exemplo DrDoS, e o SynFlood que por mais antigo que seja sua técnica é moderna e complexa.

Pela parte do conteudo falando de DoS ta legal...

[4] Comentário enviado por fernandoamador em 16/01/2005 - 05:41h

Bom!!!!

[5] Comentário enviado por pedroarthur.jedi em 25/02/2008 - 17:27h

Bom artigo! Tenho alguns comentários a fazer.

Melhore um pouco o inglês do abstract, alguns termos que você utiiza existem perfeitamente no português mas não tem correspondente na língua inglesa. Tente evitar repetições de palavras, melhoram bastante a leitura. Como citado pelo y2h4ck, procure fontes mais atualizadas, principalmente no se tratar de técnicas. Ah, tente também ser mais profundo, as descrições ficaram muitos superficiais.

Tenho uma dica pra você:
- Internet Denial of Service : Attack and Defense Mechanisms, Prentice Hall, 2004

Tem bastante informações sobre dos e ddos.

Se você está presando pela facilidade de entendimento, seu trabalho está muito bom! Mas se você pretende dar um enfoque mais científico, você deve dar uma melhorada nos aspectos técnicos e se aprofundar nos conceitos pro trás de cada ferramenta.

Parabéns!


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts