Ataques DoS e Anomalias no protocolo TCP/IP

O objetivo desse tutorial é simular um ambiente normal de rede e esse mesmo ambiente sofrendo um ataque do tipo DoS, logo após isso demonstrar as anomalias causadas no protocolo TCP/IP quando um computador sofre um ataque desse tipo. Para o entendimento desse tutorial o leitor deve possuir o mínimo de conhecimento sobre os protocolo TCP e IP, bem como se constitui um ataque DoS.O conhecimento de como é iniciada uma conexão através do three way handshake também é indispensável.

Vamos ao que interessa. Primeiramente preparei o ambiente utilizando computadores com diferenças de hardware e software, abaixo pode ser vista as configurações de cada um:

Iniciei a  captura dos pacotes que chegavam até o servidor usando o wireshark e então analisei os protocolos, ips, portas e serviços que estavam sendo usados durante a troca de mensagens. A imagem abaixo demonstra o momento em que é feito o three way handshake entre o cliente e servidor em uma conexão normal: (Clique na imagem para amplia-la)

Pude perceber  as trocas de pacotes entre os Ips 192.168.0.3 (Cliente) e 192.168.0.1 (Servidor) cuja a flag SYN esta ativa (SYN = 1), demonstrando uma requisição de conexão.

Na imagem abaixo pude ver o servidor respondendo a requisição com as flags SYN e ACK ativas (SYN = 1, ACK = 1). Depois disso o cliente concluiu a conexão enviando para o servidor novamente um pacote com a flag SYN ativa, (Three Way Handshake completado e a conexão estabelecida)

No momento em que o tráfego estava normal e as conexões ocorriam normalmente o consumo de hardware era:

                                            Consumo da CPU                                                    

Consumo de Memoria

A percentagem máxima de um pico de processamento durante a conexão normal era em torno de 20% nunca ultrapassando esse valor. O consumo de memoria ficou entre 500 a 600 MB. Fiz os teste durante um tempo de 10 minutos simulando a conexão normal e após isso dei inicio ao ataque DoS usando o software Hping3, fiz uso da técnica de IPspoof para camuflar o IP de origem  e utilizei a técnica SYNflood para atacar, inundando o servidor com requisições de tipo SYN. Veja a imagem abaixo!

Como pode ser visto na imagem, nesse momento houve uma inundação de requisições para o servidor com um intervalo de tempo muito curto não dando tempo para o servidor responder a tantas requisições.  Repare também na terceira coluna da esquerda para a direita o IP usado não corresponde ao padrão IPv4 que seria no caso formado por 32 bits e ter o formato xxx.xxx.xxx o numero que aparece é 1.2.3.4 nesse instante pode ser constatada a existência de  uma anomalia sobre o protocolo IP.

Repare agora na imagem abaixo, após alguns segundos do inicio do ataque a ferramenta nos mostrou que o atacante estava novamente tentando conexões da mesma forma que a anterior, tentando conexões em todas as portas em sequência. Nesse caso existe uma mudança de cores na tabela gerada pelo wireshark indicando reuso das portas, isso quer dizer que existem ainda conexões pendentes para serem terminadas mas como nesse tipo de ataque a conexão nunca é finalizada o servidor fica sem saber o que fazer.

Nesse momento a anomalia esta sobre o protocolo TCP, pois existem inúmeras conexões de um mesmo IP sendo abertas e não fechadas ou concluídas, essas conexões estão sendo feitas em sequência e categorizam assim, um ataque.

Em questão de segundos o servidor começou a  apresentar lentidão e a pagina da web não podia ser carregada. Verifiquei então o consumo de hardware que estava assim:

Consumo da CPU


Consumo de Memoria

O consumo de memoria aumentava a cada minuto que passava até o momento em que o computador servidor travou tendo que ser reiniciado! Já feliz com os resultados dos testes pude concluir  que um ataque desse tipo é muito poderoso e que pode ser potencializado pela técnica de DDoS, ou seja o mesmo ataque DoS mas em escala maior (ataque distribuído).

Com o advento do IPv6 a técnica de camuflagem de IP (IPspoof) não será mais possível devido ao modo de autenticação e a criptografia implementada através do IPsec, já a técnica SYNflood continua sendo valida e pode ser aplicada em redes do tipo IPv6, pois infelizmente e para a tristeza dos administradores de rede ainda não existe solução definitiva para ataques desse tipo!!

Por isso lembre-se segurança nunca é demais….

Escrevi um artigo sobre os testes e com um texto mais completo, caso queira fazer o download basta CLICAR AQUI!

Anúncios
por ferpinheiro Postado em Redes

2 comentários em “Ataques DoS e Anomalias no protocolo TCP/IP

  1. Oi vc saberia dizer se tal coisa faria com que além da lentidão, emails baixados se mesclassem? Tipo recebo um email de uma pessoa (cabeçalho) mas com o assunto de outro email, que em seguida também baixa normal…. já viu isto?

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s