DDOS - Distributed Denial of Service (Ataques distribuídos)
O que é?
Ataques distribuídos, semelhantes aos conceitos de sistemas distribuídos, são ataques que podem ser efetuados a partir de diversos computadores de forma bastante simples. Neste tipo de ataque é feita uma sobrecarga ou inundação de pacotes, formando uma quantidade de dados global maior que uma rede ou um host pode suportar. Isto, por conseqüência, pode demonstrar a quantia de tráfego que um host qualquer pode suportar utilizando esta metodologia como uma ferramenta para teste de desempenho, ou então tornar instável a rede e prejudicar os serviços oferecidos por ela.
Como funciona?
Basicamente o ataque caracteriza-se por explorar vulnerabilidades e através disto obter acesso privilegiado a máquinas que preferencialmente operem em redes de banda larga. Os sistemas operacionais preferidos para utilização são o Solaris e Linux devido à existência de rootkits e sniffers para esses sistemas.
Após a invasão é criada uma lista dos IPs das máquinas exploradas para formar a rede de ataque. Neste ponto, cada uma das máquinas listadas já possui instalado software necessário para efetuar o ataque propriamente dito.
Em um próximo passo são escolhidas as máquinas que serão MASTERs (máquinas que recebem os comandos de ataque e comanda os agentes) e as que serão AGENTEs (máquinas que efetivamente concretizam o ataque). Nos agentes é instalado e executado o software necessário e estes passam a anunciar ao master a sua presença. Assim, para efetuar o ataque basta que o master forneça o IP a ser atacado e o tempo de ataque e todos os agentes que entrarão em atividade. Como conseqüência, pode-se saturar o link ou paralisar os serviços oferecidos pela vítima. Veja abaixo a ilustração de uma rede de ataque:
Como detectar?
Algumas anomalias podem sinalizar a ocorrência deste tipo de ataque. Abaixo, algumas delas serão abordadas:
Pacotes UDP e ICMP de tamanho acima do normal: Geralmente as sessões UDP utilizam pacotes pequenos de dados dificilmente maiores que 10 bytes (payload). As mensagens ICMP não excedem a faixa entre 64 e 128 bytes. Pacotes cujo tamanho seja superior a esses números são considerados suspeitos de conterem mensagens de controle, destinadas a cada um dos agentes que está participando do ataque. Apesar do conteúdo dos pacotes estar cifrado, o endereço do destino é verdadeiro, desta forma pode-se localizar um dos agentes que estão realizando o ataque baseado no seu fluxo de mensagens.
Pacotes TCP e UDP não fazem parte de uma conexão: Alguns tipos de DDOS utilizam aleatoriamente vários protocolos (incluindo protocolos orientados a conexão) para enviar dados sobre canais não orientados a conexão. Isto pode ser detectado utilizando-se firewalls que mantenham o estado das conexões (statefull-firewalls). Outro ponto importante é que estes pacotes costumam destinar-se a portas acima de 1024.
Os tipos de pacotes devem ser analisado: Quando os dados de pacotes recebidos for estritamente em formato binário e seu destino for diferente às portas de ftp ou http, estes devem ser descartados.
Atualmente, não existe uma solução simples que possa resolver o problema dos ataques distribuídos, mas existem diversos métodos que podem ser utilizados para minimizar os riscos e melhor proteger um determinado host. Vejamos abaixo alguns deles:
Aumentar o nível de segurança no host, instalando patches para tratar das vulnerabilidades conhecidas, afim de dificultar a formação das redes de ataque .
Através do provedor do backbone da rede, implementar mecanismos anti-spoofing para evitar a movimentação de pacotes com endereços forjados pela Internet.
Limitar a banda por tipo de tráfego, ou seja, limitar a banda disponível para os tipos de pacotes utilizados nos ataques (no caso deste tipo de ataque é feito um flood de pacotes ICMP ou TCP SYN) através da configuração de seus roteadores. É aconselhável para isso que os fabricantes dos equipamentos sejam contatados afim de buscar maiores informações.
Estabelecer um plano de resposta a um eventual ataque juntamente com o provedor do seu backbone, afim de minimizar o ataque através de uma estratégia de contingência rápida e eficiente.
Se você detectar um ataque a partir da sua rede, ou se você estiver sendo contatado por causa disto, você deverá imediatamente desligar o seu sistema, ou pelo menos desconectar quaisquer sistemas de qualquer rede. Se estão ocorrendo tais ataques no seu host, isso significa que o atacante tem quase controle total sobre as máquinas. Eles devem ser analisados, e então reinstalados. Você pode também entrar em contato com organizações de segurança por centros de emergência em segurança. Alguns exemplos são os CERTs (www.cert.org). Também se lembre que contatando essas organizações os dados deixados pelo atacante são muito importantes, pois estes poderão ajudar a identificar a origem dos ataques.