1.1:
Dos e DDoS:
O objetivo
dos ataques de Negação de Serviço, ou DoS (Denial of Service), é interromper
atividades legítimas como navegar em um web browser, ouvir uma rádio ou
assistir a um canal de TV online ou transferir dinheiro para uma conta bancária.
Uma forma
de provocar os ataques é aproveitando-se de falhas e/ou vulnerabilidades
presentes na máquina vítima, ou enviar um grande número de mensagens que esgote
algum dos recursos da vítima, como CPU, memória, banda, etc.
Para isto,
é necessário ou uma única máquina poderosa, com bom processamento e bastante
banda disponível, capaz de gerar o número de mensagens suficiente para causar a
interrupção do serviço, ou ter o controle de um grupo de máquinas, que podem
ter recursos mais humildes, que se concentrem em enviar mensagens para a
vítima. Este último, por distribuir os ataques em várias máquinas, é denominado
ataque de Negação de Serviço Distribuído, ou DDoS (Distributed Denial of
Service).
Embora os
ataques de DoS sejam em geral perigosos para os serviços de internet, a forma
distribuída é ainda mais perigosa, justamente por se tratar de um ataque feito
por várias máquinas, que podem estar espalhados geograficamente e não terem
nenhuma relação entre si – exceto o fato de estarem parcial ou totalmente sob controle do atacante. O agravante é a
existência de várias ferramentas DDoS facilmente encontradas em sites e fóruns hacker, que permitem facilmente o
domínio sobre várias máquinas para usá-las em ataque. Além disso, mensagens
DDoS podem ser complexas por conseguirem facilmente se passar por mensagens de
tráfego legítimo. Enquanto é extremamente pouco natural que uma mesma máquina
envie várias mensagens a um servidor em períodos muito curtos de tempo, é
igualmente muito natural que várias máquinas enviem mensagens de requisição de
serviço regularmente.
1.2:
Motivação
É da
natureza humana a existência de discórdia entre grupos que interagem. A
internet hoje não só permite esta interação como jamais se permitiu na história
da humanidade, como também oferece serviços que fornecem às pessoas
rendimentos, educação, entretenimento, informação e até serviços dos quais
vidas dependem. A interrupção em um servidor Web ou em um roteador pode ser
definitivo na interferência de um ou vários destes serviços. Com a
popularização da rede mundial de computadores, ela tornou-se não só um local de
encontro de pessoas do mundo todo, mas também um palco de conflitos. Neste
contexto se encaixa o DoS.
Todavia, os
ataques não são um fim em si. Os primeiros ataques de DoS eram feitos por
hackers apenas para provar que a segurança de um website nunca era o bastante
para que nunca pudesse ser quebrada, e, a partir disso, travar brigas entre si
pela supremacia dos atacantes, via DoS. Também ocorrem ataques políticos e
ataques de extorsão, cobrando os websites por “proteção”, prática que remonta
às da Máfia.
Mas hoje
não são só os hackers padrão os principais atacantes. Dadas as facilidades de
obter ferramentas na internet, muitos usuários comuns tornam-se atacantes, e
mesmo os próprios países, usando das máquinas de estado, amplos recursos e
inteligência, podem desenvolver ferramentas próprias, inclusive para atacar
outros países em guerras.
1.3:
Histórico e evolução do DoS
Programas para ataques
remotos de DoS surgiram em meados dos anos 90, causando problemas. Para usar
estes programas, era necessária uma conta em um grande computador ou rede, para
obter efeito máximo. Havia nas universidades muitas “contas de aluguel”, que
eram trocadas com os atacantes por software, cartões de crédito, dinheiro, etc.
Em 1996, falhas no TCP/IP foram
descobertas, e no ano seguinte, ataques em larga escala em redes IRC começaram
a ocorrer. Aproveitava-se de falhas nos sistemas Windows dos usuários para
travar seus sistemas.
Ainda em 1997 surgiu uma técnica
chamada Smurf. Lançando alguns poucos pacotes na rede, destinados a uma vítima, o atacante podia
multiplicá-los por um fator de centenas, ou até milhares, dependendo do tamanho
da rede, que eram enviados da vítima original para um endereço broadcast da
rede. Este exército de pacotes eventualmente alcançava diversas outras vítimas,
e a vítima original era a teórica culpada pelo ataque. A defesa contra este
tipo de ataque era simples, no entanto. Bastava desligar as capacidades de recepção
de mensagens broadcast nos roteadores. Algumas redes possibilitaram isso,
enquanto outras não, permanecendo assim a ameaça de potenciais ataques Smurf.
A seguir, os atacantes resolveram
explorar outra linha de ação: Simplesmente enviar centenas de pacotes ao alvo.
Se a vítima usava uma conexão discada de velocidade baixa (variando de 14,4Kbps
a 56Kbps) e o atacante usava uma conexão roubada de uma Universidade, de em
torno de 1Mbps, ele obliteraria facilmente a conexão discada da vítima, que
seria prejudicada a ponto de tornar-se inútil e com velocidade de resposta
praticamente nula.
Em 1998, as velocidades de
conexão já se tornavam menos heterogêneas e ataques Smurf eram fáceis de serem
combatidos. Aí surgiu o DDos, com atacantes passando a tentar obter controle de
máquinas alheias para conseguir alagar a conexão da vítima com tráfego
suficiente. Protótipos de ferramentas DDoS começaram a surgir em meados de 98.
Ataques explorando vulnerabilidades de sistema sempre continuaram, e passou-se
a combinar várias falhas DoS em uma única ferramenta, usando shell scripts em
Unix. Isso aumentava a velocidade e violência do ataque, que foi denominado rape
(estupro).
Em 1999, a computação distribuída
foi combinada com worms para causar novos ataques DDoS. Em meados deste
ano, vários novos programas de DoS foram usados. As vítimas principais foram
novamente redes e clientes IRC. Com a iminência do ano 2000, vários ataques que
causassem falhas esperadas com o chamado “Bug do Milênio” foram previstos pelos
especialistas, causando pânico na população. Estes ataques jamais ocorreram, no
entanto.
Em fevereiro de 2000, eBay,
Yahoo, Amazon e CNN, todos sites robustos, adaptados a tráfegos pesados e
milhares de acessos simultâneos, sofreram ataques DDoS, resultando em milhões
de dólares em perdas de publicidade e vendas. Nem o FBI americano escapou, e no
mesmo mês sofreu um ataque durante 3 horas.
Em janeiro de 2001, requests DNS
falsos enviados a vários servidores DNS ao redor do mundo gerou o tráfego para
um ataque DDoS refletido de um site de registros de domínios: o atacante enviou
vários requests sob identidade da vítima. Os servidores DNS responderam aos
pedidos enviando a informação à vítima. O tráfego gerado foi de mais de 50Mbps,
com o site enviando mais de 200 requests DNS por servidor por minuto. Este
ataque durou uma semana, e não foi detido rapidamente pois a única forma de
fazê-lo seria desligar o serviço para todos os clientes (inclusive) legítimos
do site. Como o ataque foi feito através de diferentes servidores DNS, não se
podia escolher um que estivesse apenas criando tráfego falso para ser filtrado.
A posição já destacada da
Microsoft no mercado fazia da empresa um alvo freqüente de ataques DDoS. Mas
ela estava sempre em salvaguarda, sobretudo quando um novo produto ou
atualização importante era lançado. Mesmo assim, alguns ataques obtiveram
sucesso, e em um deles um roteador que gerenciava todas as propriedades dos
servidores DNS da Microsoft teve sua velocidade de ação reduzida, não
respondendo normalmente ao tráfego requerido. 98% dos serviços da Microsoft
foram total ou parcialmente negados com este ataque.
No ano seguinte, talvez inspirado
no ataque à Microsoft, um atacante tentou derrubar todos os 13 servidores raiz
de DNS. Com um simples ataque DDoS, chegou-se a conseguir negar o serviço de 9
dos 13 servidores. Graças à robustez dos servidores e da curta duração do
ataque, não houve um grande impacto à internet como um todo. Fosse um ataque
mais duradouro, as conseqüências poderiam ter sido devastadoras.
Em 2003, houve uma grande mudança
nas motivações aos ataques. Primeiro, as redes de spam, paralelo aos ataques de
negação contra sites antispam; Segundo, crimes financeiros envolvendo DDoS,
quando às vezes milhares de dólares eram pedidos como extorsão para parar
ataques de negação; Motivações políticas, quando na Guerra no Iraque, a
sucursal no Qatar da rede de televisão Al-Jazeera, praticamente único órgão de
mídia com acesso pleno aos acontecimentos no Oriente Médio, sofreu ataques
quando mostrava imagens de soldados americanos capturados.
Agora amparados também em
motivações monetárias, os ataques prosseguem. Os worms também avançam,
infectando redes e servidores.