quinta-feira, 3 de novembro de 2011

Como funcionam os ataques DoS e DDoS

   
     Atualmente é muito comum vermos notícias de sites que ficaram fora do ar por ataques de Hackers. Grandes empresas, sites do governo e alguns sites cujas ideologias vão contra os princípios da comunidade hacker são os principais atacados. Um exemplo recente foi um ataque ao site da Petrobrás onde foi utilizada negação de serviço. Segundo o grupo hacker que reivindicou a ação o motivo do ataque foi a atual política de preços dos combustíveis exercida pelo governo. Outro exemplo recente foi o ataque a administradora de cartões de crédito MasterCard que ocorreu após a empresa ter cancelado o envio das doações para o site WikiLeaks.

     Os ataques de negação de serviços, DoS (Denial of Service), utilizam técnicas que sobrecarregam os servidores onde os sites estão hospedados. A idéia é inundar o servidor com milhões de requisições de maneira que o site fique inacessível ou “fora do ar”. Assim os usuários que precisam utilizar os serviços não conseguem acesso ao site o que causa sérios prejuízos para usuários e empresas.

    Os administradores de rede precisam de ferramentas que identifiquem estes ataques e bloqueiem o acesso dos IPs que estão sobrecarregando o servidor. O problema é que muitas vezes os ataques vêm de milhares de máquinas espalhadas pelo mundo, máquinas de usuários comuns. Estas máquinas de usuários comuns estão infectadas por vírus ou trojans que iniciam os ataques a partir de comandos dos hackers, assim milhares de máquinas enviam requisições para um mesmo site ao mesmo tempo. Os servidores por mais robustos que sejam não suportam tamanha quantidade de requisições. Este tipo de ataque é um DoS em grande escala e é conhecido como DDoS (Distributed Denial of Service).

     Algumas ferramentas utlizadas em DDoS são Fabi Trank, Shaft TFN, TFN2K e TRIN00. Estas ferramentas foram desenvolvidas para iniciar ataques de diversos tipos: UDP flood, SYN flood, ICMP flood e TCP flood. Com o TFN (tribble flood network) pode-se forjar os endereços IPs de origem dificultando ainda mais o reconhecimento das máquinas atacantes. Algumas destas ferramentas utilizam criptografia entre o atacante e seus masters, os masters, por sua vez, controlam as máquinas infectadas (agentes) para iniciar um ataque. Os masters podem atualizar os clientes  inclusive apagando  sua imagem e substituindo por novos códigos.

     A prevenção aos ataques passa pela utilização de IDS e filtros de pacotes que detectam e bloqueiam os IPs atacantes. Os sistemas de segurança têm que reconhecer quando um IP envia muitos pacotes fora do padrão ou com tamanho fora do normal. Algumas empresas de segurança criam redes com computadores por todo o mundo que servem para dividir o ataque e agüentar melhor o ataque do que se fosse uma única rede.

Nenhum comentário:

Postar um comentário