Um
ataque de negacao de servico
(tambem conhecido como
DoS Attack
, um
acronimo
em
ingles
para
Denial of Service
), e uma tentativa de tornar os recursos de um sistema indisponiveis para os seus utilizadores. Alvos tipicos sao
servidores web
, e o ataque procura tornar as paginas hospedadas indisponiveis na
rede
. Nao se trata de uma
invasao do sistema
, mas sim da sua invalidacao por sobrecarga. Os ataques de negacao de servico sao feitos geralmente de duas formas:
- forcar o sistema vitima a reinicializar ou consumir todos os recursos (como
memoria
ou
processamento
, por exemplo) de forma que ele nao possa mais fornecer seu servico;
- obstruir a midia de comunicacao entre os utilizadores e o sistema vitima de forma a nao se comunicarem adequadamente.
Num ataque distribuido de negacao de servico (tambem conhecido como
DDoS
, um
acronimo
em
ingles
para
Distributed Denial of Service
), um
computador
mestre denominado
master
pode ter sob seu comando ate milhares de computadores
zombies
, literalmente zumbis. Nesse caso, as tarefas de ataque de negacao de servico sao distribuidas a um "exercito" de maquinas escravizadas.
O ataque consiste em fazer com que os
zombies
(maquinas infectadas e sob comando do Mestre) se preparem para aceder a um determinado recurso num determinado servidor numa mesma hora de uma mesma data. Passada essa fase, na determinada hora, todos os
zombies
(ligados e conectados a rede) acedem ao mesmo recurso do mesmo servidor. Como servidores web possuem um numero limitado de utilizadores que pode atender simultaneamente (
slots
), o grande e repentino numero de requisicoes de acesso esgota esse numero, fazendo com que o
servidor
nao seja capaz de atender a mais nenhum pedido.
Dependendo do recurso atacado, o servidor pode chegar a reiniciar ou ate mesmo ficar travado.
Virus conhecidos criados para a distribuicao de rotinas de ataque de negacao de servico incluem "Codered", "Slammer", "MyDoom", que escravizam o infectado. Ferramentas conhecidas de ataques DDos incluem "Fabi" (1998), "Blitznet", "Trin00" (jun/1999), "TFN" (ago/1999), "Stacheldraht" (set/1999), "Shaft", "TFN2K" (dez/1999), "Trank".
Uma outra estrategia de ataque seria por meio dos
botnets
praticando ataques de negacao de servico contra alvos remotos.
O principal objetivo de um ataque de negacao de servico e deixar um recurso computacional inacessivel aos seus utilizadores legitimos. As duas classes principais de metodos de ataque sao diminuicao de largura de banda e esgotamento de recursos. Ataques de diminuicao de
largura de banda
sao caracterizados pelos ataques por inundacao e amplificacao. Ataques de esgotamento de recursos sao ataques que fazem uso indevido dos protocolos de comunicacao de rede ou enviam pacotes de rede malformados.
[
1
]
Ataques por inundacao se caracterizam por enviarem um grande volume de
trafego
ao sistema da vitima primaria de modo a congestionar a sua banda. O impacto deste ataque pode variar entre deixar o sistema lento, derruba-lo ou sobrecarregar a banda da rede da vitima. Ataques por inundacao podem usar pacotes UDP (
User Datagram Protocol
) ou ICMP (
Internet Control Message Protocol
).
[
1
]
Um dos grandes problemas desse ataque e que qualquer tipo de pacote pode ser usado, bastando ele ter permissao de andar pelos enlaces ate o sistema visado, e dessa forma, consumindo toda a capacidade do servidor.
Ataques por amplificacao se caracterizam por enviarem requisicoes forjadas para uma grande quantidade de
computadores
ou para um
endereco IP
de
broadcast
, que por sua vez responderao as requisicoes. Forjando o endereco IP de origem das requisicoes para o endereco IP da vitima primaria fara com que todas as respostas sejam direcionadas para o alvo do ataque. O endereco IP de
broadcast
e um recurso encontrado em roteadores. Quando uma requisicao possui um endereco IP de
broadcast
como endereco de destino, o
roteador
replica o
pacote
e o envia para todos os enderecos IP dentro do intervalo de
broadcast
. Em ataques por amplificacao, enderecos de
broadcast
sao usados para amplificar e refletir o trafego de ataque, reduzindo entao a banda da vitima primaria.
[
1
]
Ataques por exploracao de protocolos se caracterizam por consumir excessivamente os recursos da vitima primaria explorando alguma caracteristica especifica ou falha de implementacao de algum protocolo instalado no sistema da vitima.
Os principais ataques por exploracao de protocolos sao por uso indevido de pacotes TCP SYN
(Transfer Control Protocol Synchronize) ou de pacotes TCP PUSHACK.
[
1
]
Referencias