Distributed denial of Services

[helldanger1]

O que é?




Mas, afinal de contas, o que vem a ser um ataque de "negação de serviço"? vamos fazer um analogia simples sobre ataques DOS, nas noites de natal e ano novo, quando milhares de pessoas decidem simultaneamente, cumprimentar à meia noite parentes e amigos, que encontram-se no Brasil e no exterior. Uns 5 minutos posteriores a virada do ano e na noite de natal provavelmente, você não conseguira completar a sua ligação, pois as linhas telefônicas estarão saturadas, causando a indisponibilidade dos serviços prestados pela companhia telefônica.
è basicamente isso um ataque do tipo DOS(denial of service), seguindo esta linha de raciocínio os ataques DDOS(distributed denial of service) são a união entre negação de serviço e intrusão distribuída.

 

[helldanger1]

Os personagens do ataque

Ao longo deste ataque o(s) atacante(s) usam máster, agente, cliente e daemom, para coordenar o ataque.
Atacante -> Quem comanda o ataque.
Master -> A máquina que comanda os agentes e recebe as instruções para realizar ataque.
Agente -> A máquina que iniciara o ataque contra a(s) vitima(s).
Cliente -> Aplicação instalada no master, que envia os comandos ao daemon.
Daemon -> Aplicação que roda no agente, recebe e executa os comandos enviados pelo cliente.
Vítima -> Como próprio nome já diz vitima é quem sofrerá o ataque, sendo infestada por uma quantidade gigantesca de pacotes, o que ira ocasionar congestionamento e a indisponibilidade dos serviços oferecidos por ela.

As três principais fases do ataque

 

[helldanger1]

1ª fase: intrusão em massa. nesta fase do ataque o atacante escolhe as vitimas(geralmente conexões de banda larga), e faz um superscan de vulnerabilidades nelas, apos encontradas as vulnerabilidades, é criado uma lista com os IP's dessas máquinas que foram invadidas e comprometidas, para serem usadas no ataque.

2ª fase: instalação das ferramentas DDOS, escolha dos masters e agentes. Após invadida as máquinas e instalados os programas DDOS é a hora de selecionar a função de cada máquina no ataque. A escolha sobre qual máquina será usada como master e agente dependerá do atacante. O perfil dos masters e agente dependerá do atacante, mais geralmente o perfil dos masters e agente são máquinas poucos manuseadas e pouco monitoradas pelo seu administrador já os agentes são máquinas rápidas, é nos agentes que serão instalados o daemon DDOS que anunciara sua presença aos masters e ficara esperando os comandos, daí começa a ser organizado o ataque, é instalado rootkits para tentar ocultar o comprometimento das máquinas.

3ª fase: iniciando o ataque. O atacante agora só precisa controlar seu ou seus agentes e "mandarem" atacar o(s) IP(s) da(s) vítima(s), por um período de tempo determinado pelo atacante.

A figura mostrada abaixo ilustra um exemplo básico de ataque DDOS.

 

[helldanger1]

As ferramentas DDOS

Bom já sabemos como é feito o ataque em si, mais faltou explicar o principal quais as ferramentas são usadas neste tipo de ataque e como detectar um ataque DDOS. a figura abaixo mostra algumas ferramentas:


Fabi Trank
Shaft TFN
Stacheldraht TFN2K
Blitznet TRIN00


Visando sempre disseminar o conhecimento, veremos um pouco sobre as principais ferramentas usadas nestes tipos de ataque como trin00, stacheldraht, tfn e tfn2k.




TRIN00

Está ferramenta foi desenvolvida em junho de 1990 e é usada para iniciar ataques DOS coordenados UDP. A estrutura de uma rede trin00 é formada por poucos masters e muitos agentes, a conexão com os masters é estabelecida no protocolo TCP na porta 27655. logo depois de realizada a conexão é pedida uma senha(que geralmente é "betaalmostdone"), os masters e os agentes se comunicam através de pacotes UDP na porta 27444 ou via TCP na porta 1524 é necessário uma senha para usar os comandos a senha default é "144adsl" e só seram executados comandos com a substring "144". Assim que um daemon é ativado, ele automaticamente anuncia sua presença na rede enviando uma mensagem ("*hello*") aos masters que tem uma lista dos IP's dos agentes ativos. geralmente a aplicação cliente que roda no master tem nome de master.c e os daemons geralmente tem o nome de ns, http, rpc, trin00, trinix, etc. Lembrando que os nomes podem ser facilmente modificados. OBS: tanto o cliente quanto o daemon podem ser iniciados sem privilégios de root(superusuário).

 

[helldanger1]

TFN(trible flood network)



O TFN ou trible flood network pode coordenar ataques a uma ou mais vítimas e pode ser iniciado de varias máquinas ao mesmo tempo e podem gerar varios tipos de ataques como UDP flood, SYN flood, ICMP flood e Smurf/faggle. é possível forjar o endereço de origem dos pacotes enviados as vítimas, o que torna muito difícil para as vítimas identificar o atacante, a conexão de um master TFN é feita através de linha de comandos executadas pela aplicação cliente, a sua conexão entre o atacante e o cliente pode ser estabelecida por métodos de conexão bem conhecidas como telnet, rsh, etc e não é necessário nenhum tipo de autenticação o interessante nesse tipo de ataque é que algumas versões são usadas criptografias(do tipo blowfish) para ocultar o conteúdo da lista dos IP's porém não existe comunicação TCP ou UDP entre os clientes e os daemons, a comunicação é feita através de pacotes ICMP_ECHORELPY e os programas precisam ser executados com privilégios de usuário root.




TFN2K(trible flood network 2000)



è uma versão mais sofisticada do seu antecessor o TFN e também dispara ataques dos tipos UDP flood, TCP flood, ICMP flood ou Smurf/faggle e os daemos podem ser instruídos a alternarem aleatoriamente entre estes tipos de ataques. A comunicação com o master pode ser feita através de pacotes TCP, UDP, ICMP ou aleatoriamente e entre os três, os pacotes são criptografados usando o algoritmo CAST. A grande inovação do TFN2K em relação ao seu antecessor e o fato desta ferramenta ser completamente "silenciosa", pois não existe ACK da recepção dos comandos a comunicação é unidirecional, os sistemas mais atacados são máquinas Linux e Solaris, mais os códigos fonte dessa ferramenta são abertos o que torna difícil sua identificação.

 

[helldanger1]

TFN(trible flood network)




O TFN ou trible flood network pode coordenar ataques a uma ou mais vítimas e pode ser iniciado de varias máquinas ao mesmo tempo e podem gerar varios tipos de ataques como UDP flood, SYN flood, ICMP flood e Smurf/faggle. é possível forjar o endereço de origem dos pacotes enviados as vítimas, o que torna muito difícil para as vítimas identificar o atacante, a conexão de um master TFN é feita através de linha de comandos executadas pela aplicação cliente, a sua conexão entre o atacante e o cliente pode ser estabelecida por métodos de conexão bem conhecidas como telnet, rsh, etc e não é necessário nenhum tipo de autenticação o interessante nesse tipo de ataque é que algumas versões são usadas criptografias(do tipo blowfish) para ocultar o conteúdo da lista dos IP's porém não existe comunicação TCP ou UDP entre os clientes e os daemons, a comunicação é feita através de pacotes ICMP_ECHORELPY e os programas precisam ser executados com privilégios de usuário root.




TFN2K(trible flood network 2000)



è uma versão mais sofisticada do seu antecessor o TFN e também dispara ataques dos tipos UDP flood, TCP flood, ICMP flood ou Smurf/faggle e os daemos podem ser instruídos a alternarem aleatoriamente entre estes tipos de ataques. A comunicação com o master pode ser feita através de pacotes TCP, UDP, ICMP ou aleatoriamente e entre os três, os pacotes são criptografados usando o algoritmo CAST. A grande inovação do TFN2K em relação ao seu antecessor e o fato desta ferramenta ser completamente "silenciosa", pois não existe ACK da recepção dos comandos a comunicação é unidirecional, os sistemas mais atacados são máquinas Linux e Solaris, mais os códigos fonte dessa ferramenta são abertos o que torna difícil sua identificação.

 

[helldanger1]

Stalcheldraht

Esta poderosa ferramenta combina basicamente aspectos das ferramentas trin00 e TFN, com uma criptografia na comunicação entre o atacante e seus masters e atualizando automaticamente os seus agentes. um aspecto muito interessante é que a atualização dos binários dos daemon executados nos agentes pode ser realizada instruindo os daemon a apagarem sua própria imagem e substituí-la por uma outra cópia.

A comunicação ocorre via serviço rpc na porta 5146(porta TCP), os programas clientes desta ferramenta geralmente recebem o nome de mserv e os daemons laf, td, etc e ambos devem ser executados com privilégios de usuários root. A conexão é feita pela por telnet, mais nesta criptografados e se conecta na porta 16660 porta TCP.



Chegamos ao fim!

Aqui termina nossa breve aventura sobre ataques do tipo DDOS(distributed denial of service) , espero que tenha gostado e compreendido este breve artigo que tem como principal objetivo mostrar como são realizado os ataques deste tipo, ficaria inviável descrever todas as ferramentas utilizadas neste tipo de ataque, mais foram mostradas as principais delas.




BY:Rodrigo de Souza Delphino