Toda e qualquer forma de ataque cujo objetivo é dificultar ou negar um serviço a um usuário legítimo.A principal característica, justamente é a falta de serviço para um usuário. Temos vários exemplos destes ataques na mídia {Ex1, Ex2 e Ex3}.
Como podemos efetuar estes ataques: Eles podem ser efetuados de diversas maneiras, a que nos interessa hoje em dia é através de meios cibernéticos(Internet), mas podem ser executados de diversas outras maneiras, bastando negar o serviço para um usuário legítimo.
Objetivo: Derrubar a internet do seu amigo.
Como? : Desligando a chave geral da residência.
Impacto : Após o término da bateria do no-break para o modem ADSL, indisponibilidade do acesso a internet e perda da amizade.
Como vistos, ataques de negação de serviço podem ser bem simples e rápidos de serem efetuados. Mas se não temos acesso a meios físicos, como podemos derrubar um serviço através da Internet? Na Figura 1, temos o esquema de um Servidor conectado a internet.
 |
| Figura 1 - Esquema minimalista da rede. |
A grande pergunta é Como?
Aqui entram os detalhes técnicos que quero apresentar, a maioria dos kiddies atualmente apenas baixam uma das ferramentas já desenvolvidas e ataca um alvo qualquer sem nem ao menos saber como funciona a ferramenta ou a técnica. O que proponho a vocês é subirem um nível na "hierarquia hacking".
Camada de Transporte.
Sabemos que a internet utiliza basicamente dois protocolos na camada de transporte, UDP e o TCP. Ambos com características únicas. Podemos utilizar destas características para sobrecarregar os links de conexão entre o servidor e a internet.
Flooding (Inundação):
Consiste basicamente em enviar mais dados do que o link pode suportar, inundando a conexão com dados irrelevantes e causando o congestionamento da rede. Para este ataque dar certo, é necessário que o atacante tenha mais banda do que a vitima. Suponhamos a seguinte possibilidade no cenário acima: O Atacante possui uma banda de 1Gbps, o Servidor alvo possui um link de 3Mbps. Observem que a diferença entre as larguras de banda é enorme, e portanto o atacante consegue enviar mais dados para o servidor do que a banda dele consegue suportar... deixando o canal de comunicação(Rede) tão cheio que impossibilita o grupo de usuários regulares de se conectar ao servidor.
Sublinhei a palavra congestionamento. Dos protocolos mencionados acima o TCP prevê um controle de congestionamento da rede. Esta característica pode ser utilizada para ataques de negação de serviço, se durante um fluxo TCP o atacante conseguir manipular o RTO (Retransmission Time Out) para um valor muito baixo, forçando o TCP Thoughput para um valor muito baixo.
O Protocolo UDP não implementa qualquer tipo de controle de congestionamento, e portanto é possível enviar tantos pacotes quanto a sua conexão permitir.
Vale lembrar que o sucesso deste ataque está em sobrepujar toda a largura de banda do servidor alvo. Se a sua banda não for maior que a do servidor alvo, e em geral, não é. Você pode utilizar as técnicas de LowRate D.O.S. explorando as características dos protocolos. Ou como diz o ditado, a união faz a força. Se o alvo possui um link de 10Mbps, um Atacante com a posse de 20 links de 2 Mbps em teoria pode derrubar o alvo. É o chamado D.D.O.S.
O Protocolo UDP não implementa qualquer tipo de controle de congestionamento, e portanto é possível enviar tantos pacotes quanto a sua conexão permitir.
Vale lembrar que o sucesso deste ataque está em sobrepujar toda a largura de banda do servidor alvo. Se a sua banda não for maior que a do servidor alvo, e em geral, não é. Você pode utilizar as técnicas de LowRate D.O.S. explorando as características dos protocolos. Ou como diz o ditado, a união faz a força. Se o alvo possui um link de 10Mbps, um Atacante com a posse de 20 links de 2 Mbps em teoria pode derrubar o alvo. É o chamado D.D.O.S.
Syn Flooding:
Ao criar uma conexão, o TCP utiliza um método chamado de 3-way handshake. Podemos ver o funcionamento na Figura2;
 |
| Figura 2 - TCP 3-way handshake. |
Camada de Aplicação.
Até agora falamos de ataques que acontecem na camada de transporte. Existem diversos protocolos que são utilizados na camada de aplicação, a questão é utilizar as fraquezas destes protocolos para negar serviço. Cada tipo de serviço implementa o seu próprio protocolo Ex; a Web utiliza o HTTP.
O SlowLoris por exemplo, utiliza o Protocolo HTTP para negar o serviço. Como? Quando é enviado uma requisição HTTP, o servidor espera que toda a requisição seja enviada para então poder processar. Se o atacante atrasa o envio do CLRF(Indica o fim do cabeçalho HTTP), o servidor aloca recursos e fica esperando para processar. Milhares de requisições destas poderão utilizar todos os recursos que o Servidor dispõe para o servidor Web causando lentidão e a negação do serviço.
O SlowLoris por exemplo, utiliza o Protocolo HTTP para negar o serviço. Como? Quando é enviado uma requisição HTTP, o servidor espera que toda a requisição seja enviada para então poder processar. Se o atacante atrasa o envio do CLRF(Indica o fim do cabeçalho HTTP), o servidor aloca recursos e fica esperando para processar. Milhares de requisições destas poderão utilizar todos os recursos que o Servidor dispõe para o servidor Web causando lentidão e a negação do serviço.
Existem diversas ferramentas que fazem ataques de D.O.S ou StreesTesting. Cada uma implementa uma ou mais técnicas descritas acima.
Ferramentas:
- LOIC
T50(apenas para teste de strees em redes locais).- SlowLoris / PyLoris
- HPing
- Slowhttptest
- c4
