O assunto segurança de redes passou a fazer parte da ordem do dia na imprensa falada e escrita. Na pauta das conversas nos cafés e esquinas das cidades tornou-se comum falar sobre os hackers, os mais recentes ataques que deixaram inacessíveis alguns dos mais famosos web sites, e até mesmo se ouvia falar em ataques de "negação de serviço" (Denial of Service, DoS).

Mas, afinal, o que é um ataque de "negação de serviço"? Os ataques DoS são bastante conhecidos no âmbito da comunidade de segurança de redes. Estes ataques, através do envio indiscriminado de requisições a um computador alvo, visam causar a indisponibilidade dos serviços oferecidos por ele. Fazendo uma analogia simples, é o que ocorre com as companhias de telefone nas noites de natal e ano novo, quando milhares de pessoas decidem, simultaneamente, cumprimentar à meia-noite parentes e amigos no Brasil e no exterior. Nos cinco minutos posteriores à virada do ano, muito provavelmente, você simplesmente não conseguirá completar a sua ligação, pois as linhas telefônicas estarão saturadas.

Ao longo do último ano, uma categoria de ataques de rede tem-se tornado bastante conhecida: a intrusão distribuída. Neste novo enfoque, os ataques não são baseados no uso de um único computador para iniciar um ataque, no lugar são utilizados centenas ou até milhares de computadores desprotegidos e ligados na Internet para lançar coordenadamente o ataque. A tecnologia distribuída não é completamente nova, no entanto, vem amadurecendo e se sofisticando de tal forma que até mesmo vândalos curiosos e sem muito conhecimento técnico podem causar danos sérios. A este respeito, o CAIS tem sido testemunha do crescente desenvolvimento e uso de ferramentas de ataque distribuídas, em várias categorias: sniffers, scanners, DoS.

Seguindo na mesma linha de raciocínio, os ataques Distributed Denial of Service, nada mais são do que o resultado de se conjugar os dois conceitos: negação de serviço e intrusão distribuída. Os ataques DDoS podem ser definidos como ataques DoS diferentes partindo de várias origens, disparados simultânea e coordenadamente sobre um ou mais alvos. De uma maneira simples, ataques DoS em larga escala!

Os primeiros ataques DDoS documentados surgiram em agosto de 1999, no entanto, esta categoria se firmou como a mais nova ameaça na Internet na semana de 7 a 11 de Fevereiro de 2000, quando vândalos cibernéticos deixaram inoperantes por algumas horas sites como o Yahoo, EBay, Amazon e CNN. Uma semana depois, teve-se notícia de ataques DDoS contra sites brasileiros, tais como: UOL, Globo On e IG, causando com isto uma certa apreensão generalizada.

Diante destes fatos, a finalidade deste artigo é desmistificar o ataque, de modo que administradores e gerentes de sistemas, conhecendo melhor o inimigo, se preparem para combatê-lo.



Quando tratamos de um ataque, o primeiro passo para entender seu funcionamento é identificar os "personagens". Pois bem, parece nãohaver um consenso a respeito da terminologia usada para descrever este tipo de ataque. Assim, esclarece-se que ao longo deste artigo será utilizada a seguinte nomenclatura:

  • Atacante: Quem efetivamente coordena o ataque.
  • Master: Máquina que recebe os parâmetros para o ataque e comanda os agentes (veja a seguir).
  • Agente: Máquina que efetivamente concretiza o ataque DoS contra uma ou mais vítimas, conforme for especificado pelo atacante.
  • Vítima: Alvo do ataque. Máquina que é "inundada" por um volume enormede pacotes, ocasionando um extremo congestionamento da rede e resultando na paralização dos serviços oferecidos por ela. Vale ressaltar que, além destes personagens principais, existem outros dois atuando nos bastidores:
  • Cliente: Aplicação que reside no master e que efetivamente controla os ataques enviando comandos aos daemons.
  • Daemon: Processo que roda no agente, responsável por receber e executar os comandos enviados pelo cliente.

O Ataque

O ataque DDoS é dado, basicamente, em três fases: uma fase de "intrusão em massa",na qual ferramentas automáticas são usadas para comprometer máquinas e obteracesso privilegiado (acesso de root). Outra, onde o atacante instala software DDoS nas máquinas invadidas com o intuito de montar a rede deataque. E, por último, a fase onde é lançado algum tipo de flood de pacotes contra uma ou mais vítimas, consolidando efetivamente o ataque.

Fase 1: Intrusão em massa

Esta primeira fase consiste basicamente nos seguintes passos:

1. É realizado um megascan de portas e vulnerabilidades em redes consideradas "interessantes", como por exemplo, redes com conexões de banda-larga ou com baixo grau de monitoramento.

2. O seguinte passo é explorar as vulnerabilidades reportadas, com o objetivode obter acesso privilegiado nessas máquinas. Entre as vítimas preferenciais estão máquinas Solaris e Linux, devido à existência de sniffers e rootkits para esses sistemas. Entre as vulnerabilidades comumente exploradas podemos citar: wu-ftpd, serviços RPC como "cmsd", "statd", "ttdbserverd", "amd", etc.

3. É criada uma lista com os IPs das máquinas que foram invadidas e que serão utilizadas para a montagem da rede de ataque.

 

Fase 2: Instalação de software DDoS

 Esta fase compreende os seguintes passos:

1. Uma conta de usuário qualquer é utilizada como repositório para as versões compiladas de todas as ferramentas de ataque DDoS.

2. Uma vez que a máquina é invadida, os binários das ferramentas de DDoS sãoinstalados nestas máquinas para permitir que elas sejam controladasremotamente. São estas máquinas comprometidas que desempenharão os papeis de masters ouagentes. A escolha de qual máquina será usada como master e qual comoagente dependerá do critério do atacante. A princípio, o perfil dos master é o de máquinas que não são manuseadas constantemente pelos administradores e muito menos são frequentemente monitoradas. Já o perfil dos agentes é o de máquinas conectadas à Internet por links relativamente rápidos, muito utilizados em universidades e provedores de acesso.

3. Uma vez instalado e executado o daemon DDoS que roda nos agentes, elesanunciam sua presença aos masters e ficam à espera de comandos (status "ativo").O programa DDoS cliente, que roda nos masters, registra em uma listao IP das máquinas agentes ativas. Esta lista pode ser acessada pelo atacante.

4. A partir da comunicação automatizada entre os masters e agentes organizam-se os ataques.

5. Opcionalmente, visando ocultar o comprometimento da máquina e a presençados programas de ataque, são instalados rootkits.

Vale a pena salientar que as fases 1 e 2 são realizadas quase que umaimediatamente após a outra e de maneira altamente automatizada. Assim, são relevantes as informações que apontam que os atacantes podem comprometer uma máquina e instalar nela as ferramentas de ataque DDoS em poucos segundos.

Voilá, tudo pronto para o ataque!

 

Fase 3: Disparando o ataque

 Como mostrado na figura 1, o atacante controla uma ou mais máquinas master, as quais, por sua vez, podem controlar um grande número de máquinas agentes. É a partir destes agentes que é disparado o flood de pacotes que consolida o ataque. Os agentes ficam aguardando instruções dos masters para atacar um ou mais endereços IP (vítimas), por um período específico de tempo.

Assim que o atacante ordena o ataque, uma ou mais máquinas vítimas são bombardeadas por um enorme volume de pacotes, resultando não apenas na saturação do link de rede, mas principalmente na paralização dos seus serviços.

 

Como se prevenir?

Até o momento não existe uma "solução mágica" para evitar os ataques DDoS, o que sim é possível é aplicar certas estratégias para mitigar o ataque, este é o objetivo desta seção. Dentre as estratêgias recomendadas pode-se considerar as seguintes:

  • Incrementar a segurança do host: Sendo que a característica principal deste ataque é a formação de uma rede de máquinas comprometidas atuando como masters e agentes, recomenda-se fortemente aumentar o nível de segurança de suas máquinas, isto dificulta a formação da rede do ataque.
  • Instalar patches: Sistemas usados por intrusos para executar ataques DDoS são comumente comprometidos via vulnerabilidades conhecidas. Assim, recomenda-se manter seus sistemas atualizados aplicando os patches quando necessário.
  • Aplicar filtros "anti-spoofing": Durante os ataques DDoS, os intrusos tentam esconder seus endereços IP verdadeiros usando o mecanismo de spoofing, que basicamente consite em forjar o endereço origem, o que dificulta a identificação da origem do ataque. Assim, se faz necessário que:
    1. Os provedores de acesso implementem filtros anti-spoofing na entrada dos roteadores, de modo que ele garanta que as redes dos seus clientes não coloquem pacotes forjados na Internet.
    2. As redes conectadas à Internet, de modo geral, implementem filtros anti-spoofing na saída dos roteadores de borda garantindo assim que eles próprios não enviem pacotes forjados na Internet.
  • Limitar banda por tipo de tráfego: Alguns roteadores permitem limitar a banda consumida por tipo de tráfego na rede. Nos roteadores Cisco, por exemplo, isto é possível usando CAR (Commited Access Rate). No caso específico de um ataque DDoS que lança um flood de pacotes ICMP ou TCP SYN, por exemplo, você pode configurar o sistema para limitar a banda que poderá ser consumida por esse tipo de pacotes.
  • Prevenir que sua rede seja usada como "amplificadora": Sendo que algumas das ferramentas DDoS podem lançar ataques smurf (ou fraggle), que utilizam o mecanismo de envio de pacotes a endereços de broadcasting, recomenda-se que sejam implementadas em todas as interfaces dos roteadores diretivas que previnam o recebimento de pacotes endereçados a tais endereços. Isto evitará que sua rede seja usada como "amplificadora". Maiores informações a respeito do ataque smurf (e do parente fraggle) podem ser encontradas em: http://users.quadrunner.com/chuegen/smurf
  • Estabelecer um plano de contingência: Partindo da premisa que não existe sistema conectado à Internet totalmente seguro, urge que sejam considerados os efeitos da eventual indisponibilidade de algum dos sistemas e se tenha um plano de contingência apropriado, se necessário for.
  • Planejamento prévio dos procedimentos de resposta: Um prévio planejamento e coordenação são críticos para garantir uma resposta adequada no momento que o ataque está acontecendo: tempo é crucial! Este planejamento deverá incluir necessariamente procedimentos de reação conjunta com o seu provedor de backbone.

 

Como detectar?

As ferramentas DDoS são muito furtivas no quesito detecção. Dentre as diversaspropriedades que dificultam a sua detecção pode-se citar como mais significativa a presença de criptografia. Por outro lado, é possível modificar o código fonte de forma que as portas, senhas e valores padrões sejam alterados.

Contudo, não é impossível detectá-las. Assim, esta seção tem por objetivo apresentar alguns mecanismos que auxiliem na detecção de um eventual comprometimento da sua máquina (ou rede) que indique ela estar sendo usada em ataques DDoS. Estes mecanismos vão desde os mais convencionais até os mais modernos.

Como reagir?

Se ferramentas DDoS forem instaladas nos seus sistemas: Isto pode significar que você está sendo usado como master ou agente. É importante determinar o papel das ferramentas encontradas. A peça encontrada pode prover informações úteis que permitam localizar outros componentes da rede de ataque. Priorize a identificação dos masters. Dependendo da situação, a melhor estratégia pode ser desabilitar imediatamente os masters ou ficar monitorando para coletar informações adicionais.

Se seus sistemas forem vítimas de ataque DDoS: O uso do mecanismo de spoofing nos ataques DDoS dificulta em muito a identificação do atacante. Assim, se há um momento em que pode-se fazer um backtracing e chegar ao verdadeiro responsável é no exato momento em que está ocorrendo o ataque. Isto significa que é imprescindível a comunicação rápida com os operadores de rede do seu provedor de acesso/backbone.

Considere que, devido à magnitude do ataque, não é recomendável confiar na conectividade Internet para comunicação durante um ataque. Portanto, certifíque-se que sua política de segurança inclua meios alternativos de comunicação (telefone celular, pager, sinais de fumaça, etc). Mas, por favor, aja rápido, tempo é crucial!

Fonte: Rede Nacional de Ension e Pesquisa

Autores:
Liliana Esther Velásquez Alegre Solha
Renata Cicilini Teixeira
Jacomo Dimmit Boca Piccolini