Carlos Vinícius Cavalcanti Pivotto & Luís Carlos de Souza Pimenta
Denial of Service - Negação de Serviço
 EEL878 - Redes de Computadores I
Profº Otto Carlos Muniz Bandeira Duarte

01. Introdução

1.1: DoS e DDoS

1.2: Motivação

1.3: Histórico e evolução do DoS
<< Índice | 01.Introdução | 02.Defesa >>
Capítulo 01: Introdução

1.1: Dos e DDoS:

O objetivo dos ataques de Negação de Serviço, ou DoS (Denial of Service), é interromper atividades legítimas como navegar em um web browser, ouvir uma rádio ou assistir a um canal de TV online ou transferir dinheiro para uma conta bancária.

Uma forma de provocar os ataques é aproveitando-se de falhas e/ou vulnerabilidades presentes na máquina vítima, ou enviar um grande número de mensagens que esgote algum dos recursos da vítima, como CPU, memória, banda, etc.

Para isto, é necessário ou uma única máquina poderosa, com bom processamento e bastante banda disponível, capaz de gerar o número de mensagens suficiente para causar a interrupção do serviço, ou ter o controle de um grupo de máquinas, que podem ter recursos mais humildes, que se concentrem em enviar mensagens para a vítima. Este último, por distribuir os ataques em várias máquinas, é denominado ataque de Negação de Serviço Distribuído, ou DDoS (Distributed Denial of Service).

Embora os ataques de DoS sejam em geral perigosos para os serviços de internet, a forma distribuída é ainda mais perigosa, justamente por se tratar de um ataque feito por várias máquinas, que podem estar espalhados geograficamente e não terem nenhuma relação entre si – exceto o fato de estarem  parcial ou totalmente sob controle do atacante. O agravante é a existência de várias ferramentas DDoS facilmente encontradas em sites e fóruns hacker, que permitem facilmente o domínio sobre várias máquinas para usá-las em ataque. Além disso, mensagens DDoS podem ser complexas por conseguirem facilmente se passar por mensagens de tráfego legítimo. Enquanto é extremamente pouco natural que uma mesma máquina envie várias mensagens a um servidor em períodos muito curtos de tempo, é igualmente muito natural que várias máquinas enviem mensagens de requisição de serviço regularmente.

1.2: Motivação

É da natureza humana a existência de discórdia entre grupos que interagem. A internet hoje não só permite esta interação como jamais se permitiu na história da humanidade, como também oferece serviços que fornecem às pessoas rendimentos, educação, entretenimento, informação e até serviços dos quais vidas dependem. A interrupção em um servidor Web ou em um roteador pode ser definitivo na interferência de um ou vários destes serviços. Com a popularização da rede mundial de computadores, ela tornou-se não só um local de encontro de pessoas do mundo todo, mas também um palco de conflitos. Neste contexto se encaixa o DoS.

Todavia, os ataques não são um fim em si. Os primeiros ataques de DoS eram feitos por hackers apenas para provar que a segurança de um website nunca era o bastante para que nunca pudesse ser quebrada, e, a partir disso, travar brigas entre si pela supremacia dos atacantes, via DoS. Também ocorrem ataques políticos e ataques de extorsão, cobrando os websites por “proteção”, prática que remonta às da Máfia.

Mas hoje não são só os hackers padrão os principais atacantes. Dadas as facilidades de obter ferramentas na internet, muitos usuários comuns tornam-se atacantes, e mesmo os próprios países, usando das máquinas de estado, amplos recursos e inteligência, podem desenvolver ferramentas próprias, inclusive para atacar outros países em guerras.

1.3: Histórico e evolução do DoS

Programas para ataques remotos de DoS surgiram em meados dos anos 90, causando problemas. Para usar estes programas, era necessária uma conta em um grande computador ou rede, para obter efeito máximo. Havia nas universidades muitas “contas de aluguel”, que eram trocadas com os atacantes por software, cartões de crédito, dinheiro, etc.

Em 1996, falhas no TCP/IP foram descobertas, e no ano seguinte, ataques em larga escala em redes IRC começaram a ocorrer. Aproveitava-se de falhas nos sistemas Windows dos usuários para travar seus sistemas.

Ainda em 1997 surgiu uma técnica chamada Smurf. Lançando alguns poucos pacotes na rede,  destinados a uma vítima, o atacante podia multiplicá-los por um fator de centenas, ou até milhares, dependendo do tamanho da rede, que eram enviados da vítima original para um endereço broadcast da rede. Este exército de pacotes eventualmente alcançava diversas outras vítimas, e a vítima original era a teórica culpada pelo ataque. A defesa contra este tipo de ataque era simples, no entanto. Bastava desligar as capacidades de recepção de mensagens broadcast nos roteadores. Algumas redes possibilitaram isso, enquanto outras não, permanecendo assim a ameaça de potenciais ataques Smurf.

A seguir, os atacantes resolveram explorar outra linha de ação: Simplesmente enviar centenas de pacotes ao alvo. Se a vítima usava uma conexão discada de velocidade baixa (variando de 14,4Kbps a 56Kbps) e o atacante usava uma conexão roubada de uma Universidade, de em torno de 1Mbps, ele obliteraria facilmente a conexão discada da vítima, que seria prejudicada a ponto de tornar-se inútil e com velocidade de resposta praticamente nula.

Em 1998, as velocidades de conexão já se tornavam menos heterogêneas e ataques Smurf eram fáceis de serem combatidos. Aí surgiu o DDos, com atacantes passando a tentar obter controle de máquinas alheias para conseguir alagar a conexão da vítima com tráfego suficiente. Protótipos de ferramentas DDoS começaram a surgir em meados de 98. Ataques explorando vulnerabilidades de sistema sempre continuaram, e passou-se a combinar várias falhas DoS em uma única ferramenta, usando shell scripts em Unix. Isso aumentava a velocidade e violência do ataque, que foi denominado rape (estupro).

Em 1999, a computação distribuída foi combinada com worms para causar novos ataques DDoS. Em meados deste ano, vários novos programas de DoS foram usados. As vítimas principais foram novamente redes e clientes IRC. Com a iminência do ano 2000, vários ataques que causassem falhas esperadas com o chamado “Bug do Milênio” foram previstos pelos especialistas, causando pânico na população. Estes ataques jamais ocorreram, no entanto.

Em fevereiro de 2000, eBay, Yahoo, Amazon e CNN, todos sites robustos, adaptados a tráfegos pesados e milhares de acessos simultâneos, sofreram ataques DDoS, resultando em milhões de dólares em perdas de publicidade e vendas. Nem o FBI americano escapou, e no mesmo mês sofreu um ataque durante 3 horas.

Em janeiro de 2001, requests DNS falsos enviados a vários servidores DNS ao redor do mundo gerou o tráfego para um ataque DDoS refletido de um site de registros de domínios: o atacante enviou vários requests sob identidade da vítima. Os servidores DNS responderam aos pedidos enviando a informação à vítima. O tráfego gerado foi de mais de 50Mbps, com o site enviando mais de 200 requests DNS por servidor por minuto. Este ataque durou uma semana, e não foi detido rapidamente pois a única forma de fazê-lo seria desligar o serviço para todos os clientes (inclusive) legítimos do site. Como o ataque foi feito através de diferentes servidores DNS, não se podia escolher um que estivesse apenas criando tráfego falso para ser filtrado.

A posição já destacada da Microsoft no mercado fazia da empresa um alvo freqüente de ataques DDoS. Mas ela estava sempre em salvaguarda, sobretudo quando um novo produto ou atualização importante era lançado. Mesmo assim, alguns ataques obtiveram sucesso, e em um deles um roteador que gerenciava todas as propriedades dos servidores DNS da Microsoft teve sua velocidade de ação reduzida, não respondendo normalmente ao tráfego requerido. 98% dos serviços da Microsoft foram total ou parcialmente negados com este ataque.

No ano seguinte, talvez inspirado no ataque à Microsoft, um atacante tentou derrubar todos os 13 servidores raiz de DNS. Com um simples ataque DDoS, chegou-se a conseguir negar o serviço de 9 dos 13 servidores. Graças à robustez dos servidores e da curta duração do ataque, não houve um grande impacto à internet como um todo. Fosse um ataque mais duradouro, as conseqüências poderiam ter sido devastadoras.

Em 2003, houve uma grande mudança nas motivações aos ataques. Primeiro, as redes de spam, paralelo aos ataques de negação contra sites antispam; Segundo, crimes financeiros envolvendo DDoS, quando às vezes milhares de dólares eram pedidos como extorsão para parar ataques de negação; Motivações políticas, quando na Guerra no Iraque, a sucursal no Qatar da rede de televisão Al-Jazeera, praticamente único órgão de mídia com acesso pleno aos acontecimentos no Oriente Médio, sofreu ataques quando mostrava imagens de soldados americanos capturados.

Agora amparados também em motivações monetárias, os ataques prosseguem. Os worms também avançam, infectando redes e servidores.