3. Quem sou?
Graduando em Ciência da Computação pelo DCC/UFRJ.
Membro do GRIS/UFRJ desde 2011 e atual colaborador do grupo.
Entusiasta de Segurança da Informação.
5. Histórico - Denial of Service
Usuários maliciosos, sabendo dessa limitação,
juntamente com falhas de implementação de
protocolos, realizam ataques de negação de
serviço.
7. Histórico - DoS
As falhas mais críticas são corrigidas e a infra
estrutura dos servidores em geral é melhorada,
tornando os ataques mais difíceis de serem
realizados.
8. Botnets - O que são?
Bot <= roBOT
Net <= NETwork
Ou seja, são computadores que funcionam
como robôs e que são controlados através da
rede.
Também são conhecidas como redes de
computadores zumbis.
9. Botnets - Importância
"Botnets atualmente são uma das maiores
ameaças relacionados a computadores
conectados à Internet" [1]
Estima se que aproximadamente um quarto
dos computadores ligados à Internet fazem
parte de uma botnet. [1]
10. Botnet - histórico
Inicialmente, as botnets surgiram como uma
forma de controlar mais facilmente diversos
robôs de IRC.
Esses robôs têm como finalidade principal
controlar o acesso a canais de IRC.
11. Botnets - histórico
Usuários maliciosos viram potencial nessa
tecnologia para controle de máquinas
infectadas com malware para executar ataques
distribuídos.
12. Botnets - componentes
Botmaster - usuário capaz de controlar a botnet
utilizando o servidor C&C.
Bot - computador que participa da botnet.
Também conhecido como zumbi.
C&C - command and control server. Servidor
controlado pelo botmaster para enviar
comandos aos bots
14. DDoS - O que é?
“Distributed Denial of Service (DDoS) utiliza muitos computadores para criar
um ataque DoS, contra um ou mais alvos.”[3]
“A Negação de serviço distribuído (DDoS) se utiliza do conceito de
computação distribuída para efetuar os ataques.”[4]
“Estes ataques são caracterizados pelo envio indiscriminado de pacotes e
requisições a um determinado alvo, visando degradar a qualidade ou tornar
complemente indisponíveis os serviços oferecidos pela vítima.” [5]
15. DDoS - Importância
Como pode ser visto em [6], [7], [8] e [9], este
tipo de ataque é de extrema importância, muito
realizado atualmente e capaz de causar danos
elevados.
*[6] CERT.br registra aumento de ataques de negação de serviço em 2014
*[7] Metade das empresas sob ataque DDoS têm dados críticos roubados
*[8] Centro de dados atingido por DDoS de 334Gbps
*[9]One in five DDoS attacks last for days or even weeks
16. DDoS - Importância
Hoje existem ferramentas automatizadas que usam botnets
já existentes para realizar ataques -> facilidade para
executar ataques.[12]
Segundo a TrendMicro, com 150 dólares você pode
comprar um DDoS de uma semana.[12]
Mais de 2000 ataques DDoS acontecem DIARIAMENTE.
[12]
Um terço dos incidentes que causam downtime nos
servidores são DDoS. [12]
18. DDoS - Classificação
Os ataques podem ser classificados como :
● DDoS de camada de Aplicação
● DDoS baseado em protocolo
● DDoS baseado em volume
19. DDoS - Como são realizados?
Inicialmente, o ataque consistia dos seguintes
passos:
● O botmaster envia comandos através do
servidor de C&C com a finalidade de gerar
tráfego no servidor alvo.
● Os bots executam esses comandos,
normalmente sem saber disso.
20. DDoS - Como são realizados?
● O servidor recebe o tráfego excessivo e, por
falta de recursos começa a apresentar
lentidão e, potencialmente, falhas.
● O servidor para de responder, ou não é
capaz de responder rapidamente, às
requisições não-maliciosas.
21. DDoS - Como são realizados?
Atualmente, algumas variantes do ataque são
conhecidas, como:
● Uso direto de um dos bots como botmaster
falso
● Geração de tráfego falso - conhecido como
Distributed Reflexive Denial of Service[10]
22. DDoS - Como são realizados?
● Ataques voluntários, normalmente ligados à
hacktivismo, usando ferramentas como o
LOIC* e o HOIC**
*http://sourceforge.net/projects/loic/
**http://sourceforge.net/projects/highorbitioncannon/
23. DDoS - Ferramentas
Dentre as ferramentas mais famosas estão[11]:
● LOIC
● HULK (HTTP Unbearable Load King)
● DDOSIM—Layer 7 DDOS Simulator
● IP Stresser
● OWASP HTTP POST Tool
● T50
● GoldenEye
32. DDoS - Problemas com Prevenção
Antes de pensarmos numa solução relacionada
a segurança, precisamos pensar no impacto
gerado pela solução em si.
Muitas vezes, o impacto gerado por uma
solução ruim pode ser igual ou até maior do
que o impacto do ataque em si
33. O que um site pode fazer para se proteger de um ataque DDoS?
“Para proteger seu website, você precisa ser capaz de bloquear ou absorver
tráfego malicioso. Webmasters podem conversar com seu Host sobre proteção
contra DDoS. Eles também podem usar um serviço de terceiros para rotear
seu tráfego, afim de filtrar tráfego malicioso, reduzindo assim o impacto nos
servidores web existentes. A maioria desses serviços requer uma assinatura
paga, mas geralmente isso custa menos do que aumentar a capacidade do
servidor para lidar com um ataque DDoS.”[12]
“Além disso, o Google Ideas lançou uma nova iniciativa, chamada Project
Shield, afim de utilizar a infra estrutura do Google para apoiar a livre expressão
online, ajudando sites independentes a mitigar o tráfego de um ataque DDoS”
[12]
DDoS - Prevenção
34. O que provedores e grandes organizações podem fazer para proteger suas
redes?
“Muitos produtos e serviços existem para proteger grandes redes de ataques
DDoS e previnir que os recursos de rede sejam utilizados para amplificar
ataques.”[12]
Exemplos de serviços:
Arbor Networks - http://www.arbornetworks.com/ddos-attacks
Snort - https://www.snort.org/
Radware - http://www.radware.com/Products/DefensePro/
DDoS - Prevenção
35. A idéia principal quando lidamos com a prevenção / mitigação de um ataque
DDoS é, após detectado que o mesmo está ocorrendo, agir para bloquear o
tráfego malicioso.
No caso de um ataque onde o tráfego malicioso não pode ser detectado
eficientemente ou simplesmente não existe, a aplicação e o servidor devem ser
escaláveis, afim de que não se tornarem um gargalo.
Uma análise do comportamento (behaviour analysis) pode ser utilizada
também para detectar acessos anômalos no servidor e então bloqueá-lo.
Há hoje em dia uma discussão na área de segurança quanto à eficiência do
uso de Firewalls / Intrusion Prevention Systems (IPS) na mitigação de ataques
DDoS, visto que muitas vezes eles acabam se tornando um gargalo.[13]
DDoS - Prevenção
37. Extra - Bruteforce 2.0 (Distribuído)
Consiste num ataque distribuído, utilizando
uma botnet, com a finalidade de descobrir
senhas através de força bruta.
Cada bot recebe do C&C(responsável por
coordenar o ataque) um número de potenciais
senhas a serem testadas e reporta ao C&C em
caso de sucesso.
38. Extra - DDoS Live
http://www.digitalattackmap.com/
39. Bibliografia
[1] Análise de botnet utilizando plataforma de simulação com máquinas virtuais
visando detecção e contenção - http://www.teses.usp.
br/teses/disponiveis/3/3142/tde-01032011-130343/en.php
[2] Bots & Botnet: An Overview - http://www.sans.org/reading-
room/whitepapers/malicious/bots-botnet-overview-1299
[3] Distributed Denial of Service: um estudo para plataformas Linux e Windows
- https://repositorio.ufsc.br/handle/123456789/79859
40. Bibliografia
[4] Negação de Serviço: Implementação, Defesas e Repercuções - http://www.
linuxsecurity.com.br/info/dos/DoS.doc
[5] Avaliação de Proteção contra Ataques de Negação de Serviço Distribuídos
(DDoS) utilizando Lista de IPs Confiáveis - http://www.lbd.dcc.ufmg.
br/colecoes/sbseg/2007/008.pdf
[6] CERT.br registra aumento de ataques de negação de serviço em 2014 -
http://www.blog.clavis.com.br/cert-br-registra-aumento-de-ataques-de-
negacao-de-servico-em-2014/
41. Bibliografia
[7] Metade das empresas sob ataque DDoS têm dados críticos roubados - http:
//www.seginfo.com.br/metade-das-empresas-sob-ataque-ddos-tem-dados-
criticos-roubados/
[8] Centro de dados atingido por DDoS de 334Gbps - http://www.
computerworld.com.pt/2015/04/29/centro-de-dados-atingido-por-ddos-de-
334gbps/
[9]One in five DDoS attacks last for days or even weeks - http://timesofindia.
indiatimes.com/tech/tech-news/One-in-five-DDoS-attacks-last-for-days-or-even-
weeks/articleshow/47140654.cms
42. Bibliografia
[10] Amplification Hell: Revisiting Network Protocols for DDoS Abuse - http://www.
internetsociety.org/sites/default/files/01_5.pdf
[11] DOS Attacks and Free DOS Attacking Tools - http://resources.infosecinstitute.
com/dos-attacks-free-dos-attacking-tools/
[12] Digital Attack Map- http://www.digitalattackmap.com/
[13]Can your firewall and IPS block DDoS attacks? - http://blog.radware.
com/security/2013/05/can-firewall-and-ips-block-ddos-attacks/